Vandaag publiceer ik een reconstructie over de bestrijding van een van de beruchtste botnets: Gameover ZeuS.

Hoe een opmerkelijke coalitie een Russische crimineel bestreed Een Nederlandse student, enkele onderzoekers, enkele securitybedrijven en de FBI haalden een berucht crimineel netwerk offline. Een reconstructie van een bijzondere zaak. Lees hier mijn verhaal

In deze explainer leg ik uit wat botnets precies zijn, hoe ze werken en waarom ze zo’n plaag zijn.

Wat zijn botnets?

Het woord botnet is een samenvoeging van robot network. Het is een verzameling computers die zijn aangesloten op het internet en in onderlinge samenwerking een taak uitvoeren. Ze staan onder controle van een of meerdere botmasters of botherders. Die geven instructies door middel van een command-and-control server, een centrale server die onder controle staat van de crimineel.

Bijvoorbeeld om een botnet verder uit te breiden door computers te scannen op kwetsbaarheden. Zodra een bekende kwetsbaarheid is gevonden, wordt geprobeerd om de computer te infecteren en in het botnet op te nemen.

De eigenaar van de aangesloten computer heeft doorgaans niet door dat zijn computer deel uitmaakt van andermans netwerk.

Waar worden ze voor gebruikt?

Botnets worden meestal voor kwaadaardige

Criminelen gebruiken ze om malware op computers te installeren, die weer informatie steelt. Daar kan mee gefraudeerd worden.

Sommige botnets installeren die bestanden op de computer versleutelt en vervolgens losgeld eist om de versleuteling ongedaan te maken.

Botnets worden meestal voor kwaadaardige doeleinden gebruikt

Andere botnets worden weer gebruikt om spam te versturen. In die spam zitten dan weer links naar andere malware waarmee computers besmet raken.

Botnets worden ook geregeld ingezet voor waarbij alle bots tegelijk een website bezoeken waardoor die onbereikbaar wordt.

Hoeveel zijn het er?

Duizenden. Er komen dagelijks nieuwe botnets bij en sommige verdwijnen weer. Het is nooit precies te zeggen hoeveel er actief zijn.

Waarom zoveel?

Na verloop van tijd lekt de broncode van botnets vaak uit. Andere kwaadwillenden hergebruiken die code vervolgens in een eigen botnet. Op die manier ontstaan hele families van botnets.

Het bekendste voorbeeld is de ZeuS-familie. In 2010 werd de broncode gelekt naar Sindsdien zijn er honderden varianten opgedoken die allemaal net weer wat anders werken om antivirusbedrijven

Daarnaast worden botnets vaak als service verkocht of verhuurd. Je koopt dan software waarmee je je eigen bot kunt maken en beheren. Vervolgens kun je updates kopen (of soms een abonnement nemen).

Hoeveel computers zijn erdoor geïnfecteerd?

Dat verschilt nogal. Botnets verliezen continu computers (die bijvoorbeeld een securityupdate krijgen), maar besmetten ook nieuwe. De FBI schatte in 2014 dat er jaarlijks wereldwijd 500 miljoen Dat zijn niet alleen pc’s of webservers, maar kunnen ook apparaten zijn als routers.

Hoeveel schade berokkenen ze?

Er zijn geen eenduidige cijfers, maar in 2014 meldde de FBI dat er wereldwijd tot dan toe 110 miljard dollar schade was geleden. Het lijkt mij wat aan de hoge kant. Een van de succesvolste botnets, Gameover ZeuS, zou bijvoorbeeld voor een paar honderd miljoen dollar schade hebben aangericht, maar ook bij dat cijfer zijn vraagtekens te zetten.

Hoe hebben botnets zich ontwikkeld?

Tot de eerste botnetachtige malware behoorden Sub7 en Pretty Park, die eind jaren negentig Voor het eerst legde een besmette computer contact met een server van buiten (een in dit geval) om commando’s op te halen. Rond de millenniumwisseling dook het Global Threatbot op (GTbot). Dit botnet kon computers die besmet waren met Sub7 overnemen. In 2002 werden SDbot en Argobot gelanceerd. Met name Argobot was vernieuwend: het forceerde een achterdeur in computers, probeerde de antivirussoftware onklaar te maken en blokkeerde vervolgens de toegang tot securitysoftware.

In deze vroege jaren waren botnets vooral hobbywerk van hackers. Vanaf ongeveer 2003 begonnen criminelen steeds meer gebruik van botnets te maken. De eigenaars van bijvoorbeeld Bagle, Bobax en Mytob verhuurden hun botnets bijvoorbeeld aan spammers. Er werden keyloggers geplaatst, waarmee de toetsaanslagen werden opgenomen en criminelen dus ook wachtwoorden konden stelen.

Het Gameover ZeuS-botnet voerde ook spionageactiviteiten uit tegen Turkije, Oekraïne en Georgië

Rond 2005 beginnen de zogenoemde banking trojans op te komen, botnets die malware installeren die zich richt op internetbankieren. De botherders verzinnen telkens slimmere manieren om onder de radar van antivirussoftware te blijven. Ze worden bijvoorbeeld geïnstalleerd in de waardoor ze eerder worden geladen dan het besturingssysteem.

Lange tijd werden botnets gecentraliseerd aangestuurd. Aan het einde van het vorige decennium kwamen de zogenoemde peer-to-peerbotnets op. Die werken net als illegale downloads van films en muziek: computers praten niet met een centrale server, maar geven commando’s door aan elkaar. Tot dan toe kon je botnets uitschakelen door de centrale servers uit de lucht te halen. Met peer-to-peerbotnets ging dat niet meer.

Rond dezelfde tijd beginnen ook staten gebruik te maken van botnets voor politieke doeleinden. Rusland nam bijvoorbeeld enkele buurlanden onder vuur met DDoS-aanvallen. Later zou bekend worden dat het Gameover ZeuS-botnet ook spionageactiviteiten uitvoerde tegen Turkije, Oekraïne en Georgië.

In de onderstaande video geeft de Finse securityonderzoeker Mikko Hypponen een overzicht van de belangrijkste malware. Het is een goede, maar wat verouderde lijst waarin ook veel botnets voorkomen.

YouTube
Het praatje van Hypponen op DEFCON 2011.

Wat zijn nu de belangrijkste botnets?

Twee zijn er in opkomst: Dridex en Dyre. Dridex dook eind 2014 op en gebruikt Microsoft Word-attachments, verspreid via spam, om kwaadaardige code op computers te krijgen. Dit is eigenlijk een heel oude manier van infecteren. In hetzelfde jaar dook ook Dyre op. Dit probeert in te breken op het verkeer tussen jouw browser en je bank om wachtwoordinformatie te stelen. Dyre laadt ook andere malware op computers, zoals de ransomware Cryptowall. Ondanks de succesvolle bestrijding van Gameover ZeuS, zijn er nog steeds

Wat kun je tegen botnets doen?

Als gebruiker niet zo heel veel. Zorg ervoor dat je software up-to-date is en klik niet zomaar op linkjes in e-mails. Je kunt echter ook besmet raken door een zogenoemde drive by download: als je toevallig op een besmette site komt, kan kwaadaardige code worden meegeladen met de site. Het kan helpen om geen JavaScript toe Tot slot, zorg ervoor dat je een goed antivirusprogramma hebt.

Hoe kan software je computer gijzelen? De laatste tijd verschijnen er veel berichten in de media over ransomware, software die je computer gijzelt. Wat is ransomware? En wat kun je ertegen doen?
Lees verder
Tien manieren om je computer vrij te houden van virussen en andere ongein Hoe voorkom je dat je computer wordt overgenomen of misbruikt door criminelen? En hoe bescherm je je bestanden het best? In deze update tien suggesties voor een gezonder digitaal bestaan. Lees verder Handig: je tampon aansluiten op het internet. Maar hoe veilig is dat? Steeds meer alledaagse objecten worden aan het internet gehangen. Maar hoe houd je controle over de datastromen van je slimme tv, Barbie, auto en, ja, zelfs tampons? Lees verder