02.02.16 Explainer 4 min

Wat zijn botnets en waarom zijn ze zo’n plaag op internet?

Correspondent Surveillance & Technologie

Botnets zijn een ware plaag op het internet. Maar wat zijn botnets eigenlijk? En waarom zijn ze zo schadelijk?

Vandaag publiceer ik een reconstructie over de bestrijding van een van de beruchtste botnets: Gameover ZeuS.

In deze explainer leg ik uit wat botnets precies zijn, hoe ze werken en waarom ze zo’n plaag zijn.

Wat zijn botnets?

Het woord botnet is een samenvoeging van robot network. Het is een verzameling computers die zijn aangesloten op het internet en in onderlinge samenwerking een taak uitvoeren. Ze staan onder controle van een of meerdere botmasters of botherders. Die geven instructies door middel van een command-and-control server, een centrale server die onder controle staat van de crimineel.

Bijvoorbeeld om een botnet verder uit te breiden door computers te scannen op kwetsbaarheden. Zodra een bekende kwetsbaarheid is gevonden, wordt geprobeerd om de computer te infecteren en in het botnet op te nemen.

De eigenaar van de aangesloten computer heeft doorgaans niet door dat zijn computer deel uitmaakt van andermans netwerk.

Waar worden ze voor gebruikt?

Botnets worden meestal voor kwaadaardige doeleinden gebruikt.

Criminelen gebruiken ze om malware op computers te installeren, die weer informatie steelt. Daar kan mee gefraudeerd worden.

Sommige botnets installeren ransomware die bestanden op de computer versleutelt en vervolgens losgeld eist om de versleuteling ongedaan te maken.

Botnets worden meestal voor kwaadaardige doeleinden gebruikt

Andere botnets worden weer gebruikt om spam te versturen. In die spam zitten dan weer links naar andere malware waarmee computers besmet raken.

Botnets worden ook geregeld ingezet voor denial of service attacks, waarbij alle bots tegelijk een website bezoeken waardoor die onbereikbaar wordt.

Hoeveel zijn het er?

Duizenden. Er komen dagelijks nieuwe botnets bij en sommige verdwijnen weer. Het is nooit precies te zeggen hoeveel er actief zijn.

Waarom zoveel?

Na verloop van tijd lekt de broncode van botnets vaak uit. Andere kwaadwillenden hergebruiken die code vervolgens in een eigen botnet. Op die manier ontstaan hele families van botnets.

Het bekendste voorbeeld is de ZeuS-familie. In 2010 werd de broncode gelekt naar criminele fora. Sindsdien zijn er honderden varianten opgedoken die allemaal net weer wat anders werken om antivirusbedrijven te ontwijken.

Daarnaast worden botnets vaak als service verkocht of verhuurd. Je koopt dan software waarmee je je eigen bot kunt maken en beheren. Vervolgens kun je updates kopen (of soms een abonnement nemen).

Hoeveel computers zijn erdoor geïnfecteerd?

Dat verschilt nogal. Botnets verliezen continu computers (die bijvoorbeeld een securityupdate krijgen), maar besmetten ook nieuwe. De FBI schatte in 2014 dat er jaarlijks wereldwijd 500 miljoen computers besmet raken. Dat zijn niet alleen pc’s of webservers, maar kunnen ook apparaten zijn als routers.

Hoeveel schade berokkenen ze?

Er zijn geen eenduidige cijfers, maar in 2014 meldde de FBI dat er wereldwijd tot dan toe 110 miljard dollar schade was geleden. Het lijkt mij wat aan de hoge kant. Een van de succesvolste botnets, Gameover ZeuS, zou bijvoorbeeld voor een paar honderd miljoen dollar schade hebben aangericht, maar ook bij dat cijfer zijn vraagtekens te zetten.

Hoe hebben botnets zich ontwikkeld?

Tot de eerste botnetachtige malware behoorden Sub7 en Pretty Park, die eind jaren negentig werden gelanceerd. Voor het eerst legde een besmette computer contact met een server van buiten (een IRC-server in dit geval) om commando’s op te halen. Rond de millenniumwisseling dook het Global Threatbot op (GTbot). Dit botnet kon computers die besmet waren met Sub7 overnemen. In 2002 werden SDbot en Argobot gelanceerd. Met name Argobot was vernieuwend: het forceerde een achterdeur in computers, probeerde de antivirussoftware onklaar te maken en blokkeerde vervolgens de toegang tot securitysoftware.

In deze vroege jaren waren botnets vooral hobbywerk van hackers. Vanaf ongeveer 2003 begonnen criminelen steeds meer gebruik van botnets te maken. De eigenaars van bijvoorbeeld Bagle, Bobax en Mytob verhuurden hun botnets bijvoorbeeld aan spammers. Er werden keyloggers geplaatst, waarmee de toetsaanslagen werden opgenomen en criminelen dus ook wachtwoorden konden stelen.

Het Gameover ZeuS-botnet voerde ook spionageactiviteiten uit tegen Turkije, Oekraïne en Georgië

Rond 2005 beginnen de zogenoemde banking trojans op te komen, botnets die malware installeren die zich richt op internetbankieren. De botherders verzinnen telkens slimmere manieren om onder de radar van antivirussoftware te blijven. Ze worden bijvoorbeeld geïnstalleerd in de ‘master boot record,’ waardoor ze eerder worden geladen dan het besturingssysteem.

Lange tijd werden botnets gecentraliseerd aangestuurd. Aan het einde van het vorige decennium kwamen de zogenoemde peer-to-peerbotnets op. Die werken net als illegale downloads van films en muziek: computers praten niet met een centrale server, maar geven commando’s door aan elkaar. Tot dan toe kon je botnets uitschakelen door de centrale servers uit de lucht te halen. Met peer-to-peerbotnets ging dat niet meer.

Rond dezelfde tijd beginnen ook staten gebruik te maken van botnets voor politieke doeleinden. Rusland nam bijvoorbeeld enkele buurlanden onder vuur met DDoS-aanvallen. Later zou bekend worden dat het Gameover ZeuS-botnet ook spionageactiviteiten uitvoerde tegen Turkije, Oekraïne en Georgië.

In de onderstaande video geeft de Finse securityonderzoeker Mikko Hypponen een overzicht van de belangrijkste malware. Het is een goede, maar wat verouderde lijst waarin ook veel botnets voorkomen.

*Het praatje van Hypponen op DEFCON 2011.*

Wat zijn nu de belangrijkste botnets?

Twee zijn er in opkomst: Dridex en Dyre. Dridex dook eind 2014 op en gebruikt Microsoft Word-attachments, verspreid via spam, om kwaadaardige code op computers te krijgen. Dit is eigenlijk een heel oude manier van infecteren. In hetzelfde jaar dook ook Dyre op. Dit probeert in te breken op het verkeer tussen jouw browser en je bank om wachtwoordinformatie te stelen. Dyre laadt ook andere malware op computers, zoals de ransomware Cryptowall. Ondanks de succesvolle bestrijding van Gameover ZeuS, zijn er nog steeds ZeuS-varianten actief.

Wat kun je tegen botnets doen?

Als gebruiker niet zo heel veel. Zorg ervoor dat je software up-to-date is en klik niet zomaar op linkjes in e-mails. Je kunt echter ook besmet raken door een zogenoemde drive by download: als je toevallig op een besmette site komt, kan kwaadaardige code worden meegeladen met de site. Het kan helpen om geen JavaScript toe te staan. Tot slot, zorg ervoor dat je een goed antivirusprogramma hebt.

Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.

Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.

Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!