211service.com
Hoe de volgende generatie botnets anonieme netwerken gaat exploiteren en hoe ze te verslaan
Botnets zijn computerprogramma's die via internet met elkaar communiceren. Sommige zijn volkomen goedaardig, zoals degenen die internetchats beheersen. Maar veel botnets zijn volledig kwaadaardig, programma's die spam verzenden of deelnemen aan denial-of-service-aanvallen, enzovoort. Deze netwerken worden beheerd door individuele criminelen die ze gebruiken voor snode doeleinden, zoals het genereren van illegale inkomsten of het aanvallen van andere websites.
Het vinden en stoppen van deze criminele activiteit is een wereldwijde onderneming geworden. De eerste generatie botnets was relatief eenvoudig te stoppen. Omdat ze werden bestuurd door een enkele computer ergens op het web, was het de kunst om die computer te vinden en af te sluiten.
Dat was eenvoudig toen de programma's zelf de informatie bevatten die nodig was om met de command and control-server te communiceren.
Maar de laatste jaren is dit kat-en-muisspel veel geavanceerder geworden. Botnets nemen nu routinematig stappen om de locatie van de command and control-server te verbergen. Een benadering, bekend als fast fluxing, is om een constante stroom van IP-adressen te creëren en honderden of duizenden tegelijk toe te wijzen aan een domeinnaam. Iedereen die de command and control-server hoopt te vinden, zou elk IP-adres moeten doorzoeken voordat het verandert.
Meer recentelijk zijn botnets begonnen met het exploiteren van het Tor-netwerk, dat is ontworpen om mensen anoniem via internet te laten communiceren. Dit, in combinatie met de komst van niet-traceerbare elektronische valuta zoals Bitcoin, heeft geleid tot de opkomst van chantage en ransomware die zelfs na een betaling niet kan worden getraceerd.
Vandaag zeggen Amirali Sanatinia en Guevara Noubir van de Northeastern University in Boston dat de volgende generatie botnets waarschijnlijk nog geavanceerder zal zijn. Ze schetsen hoe ze denken dat deze botnets zullen evolueren, maar suggereren ook een eenvoudige manier om ze te neutraliseren.
Sanatinia en Noubir zeggen dat de anonimiteit die wordt geboden door Tor-achtige netwerken onweerstaanbaar zal zijn voor botnetmasters, dus de meeste innovatie zal op dit gebied plaatsvinden. Om deze anonimiteit te benutten, zullen deze botnets een techniek moeten gebruiken die uienroutering wordt genoemd en die berichten inkapselt in verschillende versleutelingslagen, zoals de lagen van een ui.
Elke server waar het bericht doorheen gaat, ontsleutelt een laag van de ui en onthult zijn volgende bestemming. Wanneer de laatste laag wordt onthuld, heeft het bericht zijn bestemming bereikt. De anonimiteit komt voort uit het feit dat geen enkele server langs de route iets over het bericht weet, behalve de volgende bestemming.
Sanatinia en Noubir denken duidelijk dat dit niveau van anonimiteit moeilijk te weerstaan zal zijn voor botnetmasters. Daarom dopen ze de volgende generatie botnets die deze OnionBots zullen exploiteren, en besteden ze wat tijd om uit te leggen hoe ze precies moeten werken om optimaal gebruik te maken van uienrouting.
Dat klinkt verdacht veel als een grote stap in de richting van een ramp - de paper is een nuttige achtergrondinformatie voor iedereen die een OnionBot wil opzetten. Sanatinia en Noubir hebben echter ook een manier gevonden om dit soort OnionBots te neutraliseren.
Het basisidee is om programma's in het netwerk te injecteren die bij voorkeur aan OnionBots worden gekoppeld. Vervolgens reproduceren ze zichzelf en omringen ze effectief elke OnionBot, zodat deze niet langer is verbonden met een ander deel van het netwerk. Wanneer dat gebeurt, wordt de OnionBot geïsoleerd en geneutraliseerd.
Dat wil niet zeggen dat het mogelijk is om je volledig te beschermen tegen een aanval van OnionBots. Maar Sanatinia en Noubir hopen een kickstart te geven om deze volgende generatie bots aan te pakken voordat deze zelfs maar van start gaat. Er zijn nog steeds veel uitdagingen die preventief moeten worden aangepakt door de beveiligingsgemeenschap, we hopen dat dit werk nieuwe ideeën doet ontbranden om proactief oplossingen te bedenken voor de nieuwe generaties op crypto gebaseerde botnets, zeggen ze.
Het kan een riskante strategie zijn om dit in het openbaar te doen. Aan de andere kant kan een publieke benadering de breedste pool van beveiligingstalent aanboren. Suggesties voor het verbeteren van deze strategie in de opmerkingen hieronder.
Referentie: arxiv.org/abs/1501.03378 : OnionBots: privacy-infrastructuur ondermijnen voor cyberaanvallen