Microsoft zal de ervaringen van de recente aanval op het Waledac-botnet gebruiken om achter meer botnets aan te gaan. Daarbij worden juridische en technische maatregelen gecombineerd.
In een presentatie voor journalisten op het hoofdkantoor van Microsoft in Redmond geeft hoofdjurist Richard Boscovich aan dat de recente onthoofding van het Waledac botnet slechts een proof of concept betreft.
"We kijken nu naar partners, ook in de academische wereld, om te zien welke volgende stappen we zullen nemen," Boscovich. "De aanpak en technieken zijn wellicht anders. Maar ik denk dat we een proces hebben geformuleerd waarbij we het probleem goed in kaart hebben gebracht en de resultaten die we met Waledac hebben behaald vaker kunnen realiseren." Om zich niet in de kaarten te laten kijken door botnetherders, wil hij niet verder in detail gaan.
Juridisch en technisch offensief
Bij het oprollen van Waledac gebruikte Microsoft voor het eerst een combinatie en een juridische en technische aanpak. Het botnet gebruikte 277 url's die de zombie-computers van commando’s voorzag. Indien contact met die centrale commadopost niet mogelijk was, viel het netwerk terug op peer-to-peer communicatie.
Waledac was weliswaar een relatief klein botnet, maar Microsoft koos juist deze als doelwit omdat onderzoekers aan de universiteit van Bonn de werking ervan al zeer goed in kaart hadden gebracht
Amerikaanse rechter
Via de Amerikaanse rechter regelde Microsoft dat de 277 .com-domeinen werden overgedragen. De Chinese CERT onteigende nog eens 20 domeinen. Tegelijkertijd stuurden beveiligers een soort zelfmoordbevel naar de zombies, om te voorkomen dat deze zouden terugvallen op het peer-to-peer netwerk. Bij het in kaart brengen en oprollen van de peer-to-peer structuur kreeg Microsoft steun van Nederlandse en Duitse overheden.
In de komende weken zal Microsoft verdere stappen ondernemen om de restanten van Waledac op te rollen. Boscovich hintte dat daarbij besmette systemen waarschijnlijk zullen worden opgeschoond.
.com domeinen
Waledac communiceerde uitsluitend via .com-domeinen die op Chinese adressen waren geregistreerd. Die vallen onder het Amerikaanse Verisign, en daarmee onder de Amerikaanse jurisdictie. Maar Boscovich is ervan overtuigd dat het ook zal lukken om botnets op te rollen die vertrouwen op domeinnamen van landen die minder doortastend zijn in het aanpakken van cybercriminaliteit.
Bron: Webwereld.nl