- Door
- Jeroen Mulder
- geplaatst op
- 18 oktober 2012 08:03 uur
Internetbeveiliger Arbor Networks houdt zich al jaren bezig met het bestrijden van DDoS-aanvallen. In een zeer recent uitgegeven whitepaper heeft Arbor nu de resultaten gepubliceerd van een diepgaand onderzoek naar de werking van de botnets die worden gebruikt om dergelijke aanvallen uit te voeren.
De whitepaper ‘Anatomy of a Botnet’ laat zich overigens niet gemakkelijk lezen: het vergt een behoorlijke kennis van systemen en hoe systemen met elkaar over internetprotocollen communiceren. Reden voor het onderzoek laat zich raden: het aantal en de intensiteit van DDoS-aanvallen neemt al jaren met tientallen procenten toe. Bovendien wordt de impact van deze aanvallen steeds groter door de toenemende afhankelijkheden van systemen die via het internet met elkaar zijn verbonden.
Sandbox
Het Arbor Security Engineering and Response Team (ASERT) verzamelde vanaf 2002 data uit 2,5 miljoen threats. Het team haalt deze data uit twee- tot vijfduizend malware samples die per dag uit antivirussystemen en spam traps van klanten worden gefilterd. De ‘malware’ uit deze threats werd geïsoleerd en vervolgens binnen een ‘sandbox’ – een gesloten ontwikkelomgeving – opnieuw operationeel gemaakt. Met deze methode kon ASERT een blauwdruk maken van de meest gebruikte soort botnets in DDoS-aanvallen.
YoYoDDos
In ‘Anatomy of a Botnet’ richt ASERT zich vooral op YoYoDDos: een redelijk nieuwe familie van trojans die een achterdeurtje installeren, waarna geïnfecteerde systemen via de botnet verbinding leggen met een control server. De eerste YoYoDDos-variant werd in mei 2010 ontdekt in de sandbox-omgeving van Arbor. Sinds die tijd heeft het bedrijf meer dan driehonderd varianten ontdekt van deze soort. De soort is te herkennen aan het feit dat de code van YoYoDDos geen ‘packer’ gebruikt: programmaatjes die de executable in een andere vorm ‘verbergen’.
De executable van YoYoDDos-malware is feitelijk niet meer dan een stukje machinecode. De bot kopieert deze executable-code in de C:\Windows\System32\- directory en geeft zichzelf dan een andere naam, beginnend met een A en gevolgd door acht willekeurige karakters. Het is het begin van een proces waarin de bot zich voortdurend kopieert en originelen wist om zichzelf zo te verbergen in systemen. Het installatieproces stopt als de bot verbinding legt met de controlserver die via de bots een HTTP-flood command kunnen distribueren.
‘Anatomy of a Botnet’ geeft een aardig inzicht in de werking van malware en botnets. Het rapport is gratis te downloaden.