Internet Systems Consortium (ISC) oogst bewondering met de innovatieve uitschakeling van botnet Coreflood. De non-profit internetorganisatie kreeg van een Amerikaanse rechter toestemming om zijn eigen commando- en controleservers in de lucht te brengen, nadat de kwaadaardige controle-infrastructuur van CorefIood op 12 april door de FBI was uitgeschakeld.
ISC verwijdert de Coreflood-malware niet van geïnfecteerde pc's, want dat mag juridisch niet, maar vertelt de pc bij elke reboot om de Coreflood-software af te sluiten. Daardoor kan de malware geen schade aanrichten.
Daarnaast verzamelen de commando- en controleservers van ISC de IP-adressen van geïnfecteerde machines. Deze informatie geven ze door aan de betrokken providers, die hierdoor in staat worden gesteld hun klanten te informeren. In tandem hiermee verwijdert Microsoft via de Malicious Software Removal Tool de malware van geïnfecteerde Windows-machines.
‘Best mogelijke aanpak’
'Ik verwacht dat dit de komende jaren de dominante aanpak gaat worden', vertelt Michel van Eeten, hoogleraar bestuurskunde aan de faculteit Techniek, Bestuur & Management van de Technische Universiteit (TU) Delft. 'Dit is momenteel de best mogelijke aanpak.'
De aanpak vormt volgens Van Eeten 'een interessant experiment dat een balans weet te vinden tussen twee extremen: alleen de commando- en controleservers aanpakken, en daarmee de bots ongemoeid laten, of de bots ook aanpakken door via het botnet verwijdersoftware of counter-infecties te laten distribueren. Dat laatste, een droom van sommige beveiligingsexperts, is een onzalig plan om allerlei redenen en bovendien illegaal.'
Van Eeten: 'Dit experiment laat echter de software ongemoeid en stuurt alleen een soort slaapinstructie. Ondertussen worden de IP-adressen gebruikt om de betreffende ISP's te waarschuwen. Die kunnen contact opnemen met de gebruiker en hem of haar een gratis een verwijdertool aanbieden. Gebruikers nemen echter zelf verantwoordelijkheid voor het draaien van de tool, dat wordt niet opgelegd.'
Slechts één op tien machine-infecties aangepakt
De uitschakeling van Coreflood door ISC kent echter één zwak punt, volgens van Eeten. 'Hoeveel ISP's gaan daadwerkelijk actie ondernemen op basis van deze informatie en hoeveel gebruikers volgen het advies van de ISP daadwerkelijk op?' Uit eerder onderzoek van Van Eeten bleek dat slechts bij één op de tien machine-infecties actie wordt ondernomen door Nederlandse internetproviders, door bijvoorbeeld de klant te informeren of deze in quarantaine te plaatsen.
'Ook bij Bredolab heeft men de IP-adressen aan de ISP's in allerlei landen doorgespeeld, maar de meeste ISP's deden niets met die informatie', aldus Van Eeten. Ook bij het neerhalen van het Bredolab-botnet brachten Nederlandse autoriteiten eigen commando- en controleservers in de lucht. Deze leidde elke met Bredolab geïnfecteerde machine die contact zocht, naar een website met informatie over het opschonen van hun pc.
‘Internationale samenwerking ontbreekt’
Het ontbreken van internationale samenwerking is een ander zwak punt van het neerhalen van Coreflood. Daarop wijst beveiligingsexpert Rik Ferguson van Trend Micro. Hij noemt het resultaat van de actie 'beperkt', omdat ISC alleen toestemming heeft om Amerikaanse bots aan te sturen. Ook vindt de beveiligingsexpert het een nadeel dat ISC de malware niet verwijdert en in plaats daarvan elke keer als een geïnfecteerde machine is geherstart, opnieuw instructies moet verzenden.
Voor een succesvolle aanpak van botnets moeten volgens Ferguson een aantal ingrediënten samenkomen: 'handhaving, een proactieve opstelling van internet service providers en internationale harmonisering van wetgeving.'
Juist die internationale samenwerking ontbreekt in dit geval. 'Grotere internationale samenwerking zou het mogelijk maken om dit type activiteit te laten plaatsvinden over een groter geografisch gebied. Het zou bovendien geweldig zijn wanneer de FBI de IP-adressen van geïnfecteerde machines over de gehele wereld zou kunnen sturen, omdat het botnet zich ook niet beperkt tot de Verenigde Staten', aldus Ferguson.
De manier waarop Coreflood is aangepakt toont volgens Ferguson wel aan dat botnet-bestrijdings-eenheden 'leren van vroegere acties'.
Veelkoppige slang Hydra
Botnets worden tot nu toe voornamelijk aangepakt via het uitschakelen van de commando- en controleservers. Hoewel zo'n actie 'botherders' het wapens uit de handen slaat, blijven met malware geïnfecteerde computers in de lucht, in afwachting van nieuwe instructies. Dat geeft kwaadwillenden de mogelijkheid om vanaf een nieuwe commando- en controlestructuur opnieuw de controle over het botnet over te nemen.
'Je kunt het vergelijken met Hercules die de de veelkoppige slang Hydra bestrijdt: je kunt een botnet niet uitschakelen door de koppen er af te slaan. Sla er één hoofd af en er zullen twee nieuwe groeien. Dat is het probleem met botnets. Je moet dus een andere manier vinden', vertelde beveiligingsadviseur Rik Ferguson van Trend Micro eerder aan Computable.
Coreflood
Coreflood dook voor het eerst op in 2003 in de vorm van een trojan, dat regelmatig updates ontving om anti-malware software te slim af te zijn. Vanaf 2009 transformeerde het tot een botnet en infecteerde zo'n twee miljoen computers wereldwijd. Coreflood was verre van onschuldig: het verzamelde financiële informatie op geïnfecteerde machines en verzond dit naar de commando- en controleservers van het botnet.
13:15 Update
Reactie beveiligingsexpert Rik Ferguson is toegevoegd ('Internationale samenwerking ontbreekt')
Als ik het goed begrijp reageren slechts weinig ISP’s op de door ISC aangeleverde “besemette” IP-adressen.
Da’s wel jammer… want zo blijven een hoop computers besmet.
Is er niet een mogelijkheid de toegang van deze IP-adressen via een soort DNS-blacklistachtige constructie, zoals die bestaat voor smtp-contacten, de toegang te ontzeggen van (delen van) het internet om die providers heen?
Effect voor de eindgebruiker is gelijk (ze kan niet meer onbeperkt andere netten benaderen, misbruiken en besmetten) en het is iets dat serieuze ISP’s mogelijk in hun firewallregels zouden kunnen verwerken.
@Klaus:
Dat is weer een voorbeeld van symptoonbestrijding. Misschien ook wel (deels) nuttig*, maar er wordt veel te weinig gedaan aan de oorzaak: nl. het zo lek als een mandje zijnde Windows die per default ook een aantal instellingen (die met veiligheid te maken hebben) heeft die verkeerd om staan (uit i.p.v. aan of uit i.p.v. aan). Waarom moet een auto aan allerlei veiligheidsinstellingen voldoen en waarom hoeft dat bij een veelgebruikt ‘openbaar besturingsysteem’ niet?
En niet altijd weer de gebruiker de schuld geven: op een Ubuntu-PC zou een leek moeite moeten doen om een virus binnen te halen (vooral een gevolg van Open Source). Bij Windows is het precies andersom: je moet moeite doen om je systeem veilig te houden. En dat lukt zelfs de meest doorgewinterde experts niet, omdat er altijd weer zero-day aanvallen zijn die veel schade weten aan te richten – ook bij die experts. Laat staan de computerleken. Die hebben gewoon geen schijn van kans om zeker te zijn (/blijven) van een schone Windows-bak.
Ook het veelgehoorde argument dat Linux net zo goed slachtoffer zou zijn van malware als het populairder zou zijn, is onzin. Linux is van de ground up opgebouwd met veiligheid in het achterhoofd.
*: Misschien dus wel deels nuttig, maar zodoende worden de onkosten die het gevolg zijn van het lekke Windows wel doorgeschoven naar de normale belasting- en internetbetaler. Die kosten moet je ook rekenen als men voor Windows kiest. De overheid zou het goede voorbeeld moeten geven en zoveel mogelijk (100% indien mogelijk – op lange duur moet dat mogelijk zijn) overstappen naar Open Source.
@mm:
Je hebt uiteraard volkomen gelijk dat het symptoombestrijding is. Maar verreweg het grootste deel van de eindgebruikers maken geen keuze voor een OS op basis van veiligheid maar op basis van “welke programma’s kan ik er EENVOUDIG voor kopen/krijgen/kopieren/downloaden en dat zal zo blijven. In die zin hoop ik dat softwarebouwers (ook) Linux steeds vaker als een doelplatform zullen gaan nemen.
De discussie Linux Windows kunnen we dus wel weer uit gaan kouwen maar da’s niet zo zinvol hier.
Dusch…. back to the problem at hand.
Symptoombestijding geldt feitelijk ook voor DNS-blacklists voor mail en die gebruiken ook heel veel mailserverbeheerders. Er is helaas nu eenmaal geen goed alternatief om providers, die hun besmette klanten niet goed “kunnen” helpen door bij de bron in te grijpen, “te straffen”.
Op de manier die ik voorstelde ga je eigenlijk OM de ISP heen en hoop je dat klanten dan uiteindelijk zelf tot de ontdekking komen dat ze een mindere ISP hebben en op zoek gaan naar een betere.
Welk deel van internet wil je wel en welk deel wil je niet toestaan, in jouw voorstel?