Transformation in die Cloud - welche Cloud darf es sein?
Security

De oorlog tegen botnets

25-mrt-2019

Botnets bestaan soms uit miljoenen apparaten en gedragen zich als onoverwinnelijke monsters. Deze bestrijden is gemakkelijker gezegd dan gedaan. Als je er één elimineert, komen er duizenden voor in de plaats.
Botnetze lassen sich nur mühsam bekämpfen.
Plotseling verdween een deel van het internet. Op een regenachtige oktoberdag in 2016 leken internetgiganten zoals Amazon, CNN, The Guardian, Netflix, Spotify en Twitter urenlang van het web te zijn gevaagd. De oorzaak? Een aanval op Dyn, de internet serviceprovider die de toegang beheert tot de webservers van deze bedrijven. De aanvaller was de botnet Mirai, een combinatie van zo'n 600.000 computers en verbonden apparaten zoals routers of camera's met een internetaansluiting.

Overbelasting door DDoS-aanvallen

De aanvallen waren zogeheten DDoS (Distributed Denial of Service) aanvallen waarbij cybercriminelen gekaapte apparaten gebruiken om urenlang zóveel gelijktijdige verzoeken te sturen naar de Dyn-servers dat ze overbelast raakten en crashten. Zelfs als individuele apparaten 'gered' worden van de botnet, komen er in korte tijd duizenden nieuwe, geïnfecteerde apparaten bij.

Aanlokkelijke beveiligingskwetsbaarheden

Criminele computernetwerken zijn moeilijk te bestrijden. Conventionele antivirusprogramma's zijn niet in staat alle mogelijke varianten van botnet-malware af te weren. Met zoveel gekaapte apparaten is het bijna onmogelijk om botnets te elimineren met antivirusbescherming. Bovendien ontwikkelen cybercriminelen meestal snel malware en spelen rap in op de ene nieuwe kwetsbaarheid na de andere in de beveiliging. Het Mirai-botnet infecteerde hoofdzakelijk slecht geconfigureerde apparaten die geen door de gebruiker gedefinieerd wachtwoord hadden. Sindsdien is dit lek gedicht maar Satori, de opvolger van Mirai heeft allang andere achterdeuren gevonden en gebruikt.

Geïnfecteerde servers vinden

Er is echter wel een manier om de botnet-dreiging te bestrijden. Elk botnet heeft een of meer servers die op afstand te controleren zijn en die op die manier door kunnen infecteren. Door middel van een nauwkeurige analyse van de malware en het dataverkeer dat een geïnfecteerd apparaat genereert, kunnen deze servers opgespoord en uitgezet worden. Dat klinkt eenvoudiger dan het is. In 2015 was daar een gecoördineerde actie van beveiligingsdiensten voor nodig. Samen met Interpol werd een botnet vernietigd die bestond uit meer dan 770.000 bots met meerdere servers in 14 landen.

Honeypots en hackervallen

Geen eenvoudige taak: de eerste stap is om het dataverkeer van de botnet-software te analyseren. Om te waarborgen dat er geen ernstige schade wordt toegebracht, gebruiken IT-beveiligingsexperts honeypots - computers die doen alsof ze een kwetsbaar apparaat zijn om cybercriminelen tot een aanval te verleiden. Dit is tijdrovend werk waarbij experts nodig zijn met veel ervaring met het bestrijden van cybercriminaliteit. Dat is iets eenvoudiger met een sensor-netwerk dat honeypots verdeeld over zoveel mogelijk kwetsbare subnets en de gegevens doorstuurt naar een centrale server. Dat is de aanpak die gebruikt wordt door het Honeysens project, ontwikkeld door de Technische Universiteit in Dresden, Duitsland in samenwerking met T-Systems voor het staatsbestuur van de Duitse deelstaat Saksen.

Hackers lokken

Een honeypot is een onopvallende doos met twee antennes erop. De dozen worden gelijkmatig verdeeld in een LAN of WLAN maar zijn er niet mee verbonden. Hun enige doel is om via de internetverbinding hackers te lokken. Daardoor stroomt er veel informatie binnen die interessant is voor beveiligingsexperts, zodat zij snel in staat zijn de control-servers en de door de hackers gebruikte methodieken op te sporen. Op die manier kan zelfs de toegang tot de control-servers van de cybercriminelen overgenomen worden.

Leren van cybercriminelen

Om dit voor elkaar te krijgen gebruiken beveiligingsexperts de trucjes die ze van hackers geleerd hebben. Ze leiden de controle gegevens van en naar de bots om zodat ze niet langer illegale activiteiten kunnen ondernemen. Maar om uiteindelijk de overhand te krijgen is het belangrijk dat de criminelen zelf geïdentificeerd worden. Dat is een tijdrovende klus omdat degenen die de botnets bedienen anoniem handelen. Het kan dus maandenlang onderzoek vergen om ze aan te wijzen. Het kostte weken om de mannen achter het Mirai botnet - drie Amerikaanse studenten - te identificeren. Ze kregen een gevangenisstraf van 5 jaar.