Je kunt een oud botnet nieuw leven blijven inblazen, waardoor ook verschijningsvormen van de malware bijna niet uit te roeien zijn. Dat blijkt uit twee studies die onderzoek deden in de wereld van ‘succesvolle’ botnets.
Rustock, ongeveer vijf jaar geleden ontdekt door antivirusbedrijven, leidt de troep aan spam-versturende botnets met ongeveer een kwart miljoen geïnfecteerde systemen, zo blijkt uit data van netwerkbeveiliger SecureWorks, een bedrijf dat recent door Dell opgekocht is. Rustock blijft hardnekkig populair doordat de ontwikkelaars van de malware steeds nieuwe manieren inbouwen om de standaardtechnieken die gebruikt worden om de software te verwijderen te omzeilen, zegt malware-onderzoeker Joe Stewart.
“Je kunt niet langer zomaar een tool downloaden om je te ontdoen van infecties, dat werkt niet meer”, zegt Stewart. “Het komt steeds vaker voor dat je meerdere infecties tegelijkertijd oploopt.”
De software, die ooit begon als een rootkit, vertoont kenmerken die mogelijk aangeven dat de ontwikkeling plaatsvindt vanuit een enkele organisatie, schrijft SecureWorks in zijn rapport.
Spam via een versleuteld protocol
Voortdurende ontwikkeling van bot-eigenschappen is niets nieuws onder de zon. In 2010 ontdekte Symantec dat Rustock TLS (Transport Layer Security, niet te verwarren met het gelijknamige ov-bedrijf), een standaard protocol ging gebruiken voor het versleutelen van e-mail, om te voorkomen dat spam gedetecteerd kon worden. Cutwail en Lethic, ook twee oudere botnets, completeren de top 3 vaakst spammende botnets van SecureWorks. Eerstgenoemde gebruikt een eigen vorm van versleuteling om spam te versturen terwijl Lethic berucht is vanwege een pay-for-install mechanisme tijdens de installatie ervan.
In de lijst van beveiliger Damballa staat TDL (ook bekend als TDSS) op nummer één. Dit twee jaar oude botnet wordt ingezet door de meest voorname botnet-bendes. TDL is een botnet-variant die zich via rootkit-technieken op een pc van een slachtoffer laat installeren en gebruikt bijvoorbeeld het master boot record van de harde schijf om zich van eventuele herinstallatie te verzekeren. Een criminele groep die met TDL werkt is verantwoordelijk voor 15 procent van het totale aantal geïnfecteerde computers die door Damballa in het onderzoek werden betrokken.
Hoewel er veel veranderd is in de top 10 van Damballa, blijven de meest gebruikte tools bekende namen, zoals TDL, ZeuS, Koobface, Conficker en SpyEye.
Marktaandeel beruchte botnets groeit gestaag verder
“De grootste, gemeenste botnets zijn nog geavanceerder geworden en hebben hun marktaandeel vergroot”, zegt onderzoeker Gunter Ollmann van Damballa.
In tegenstelling tot SecureWorks, dat zich botnets onderzocht op basis van de spam die zij verzonden, keek Damballa vooral naar de achterliggende criminele bendes die de bots bestierden. Hierdoor verschillen de lijsten die de bedrijven naar aanleiding van hun onderzoek opstelden.
Volgens SecureWorks’ Stewart gaat het om een volwassen, inmiddels stabiele markt. “We zien een stagnatie in het aantal spelers – de bekende namen keren telkens terug”, aldus de onderzoeker.
Reageer
Preview