Kraken botnet is storm in glas water

Sinds gisteren zijn verschillende artikelen verschenen waarin melding wordt gemaakt van een nieuw botnet dat groter zou zijn dan dat van de Storm worm en door 80% van de anti-virus software niet wordt herkend. Het eerste wat veel beveiligingsexperts afvroegen is hoe zo'n botnet kan bestaan zonder dat iemand dit weet. Volgens Fraser Howard van de Britse virusbestrijder Sophos valt veel te verklaren als we kijken naar de bron van het bericht.

Beveiligingsbedrijf Damballa waarschuwde eerder al voor het MayDay botnet, dat krachtiger zou zijn dan dat van de beruchte Storm worm, en talloze onderwijsinstellingen, bedrijven en klanten van grote ISPs zou hebben geïnfiltreerd.

Ook in het geval van deze bot kwam het bericht als een donderslag bij heldere hemel en beschuldigde Sophos het bedrijf van een PR-stunt. Symantec volgde door te zeggen dat de activiteit helemaal niet zo omvangrijk was als Damballa deed voorkomen.

Uit de cijfers van Damballa zou blijken dat Kraken zeker 400.000 machines heeft geïnfecteerd, waaronder computers van Fortune 500 bedrijven. Een enkele computer in dit botnet zou 500.000 spamberichten op een dag versturen. Veel details heeft het bedrijf nog niet prijsgegeven, maar Sophos onderzocht de malware, die ook door de concurrentie werd gedetecteerd. "Net als met MayDay, is dit een opgeblazen verhaal. De geïnfecteerde slachtoffers zullen er ongetwijfeld zijn, maar de omvang van de dreiging moet niet overschat worden," gaat Howard verder.

security.nl

Top botnets versturen 135 miljard spamberichten per dag

De acht grootste botnets op het internet zijn in staat om per dag meer dan 135 miljard spamberichten te versturen. Het grootste gedeelte van de spam is afkomstig van het Srizbi botnet, dat over 315.000 bots beschikt en een capaciteit van 60 miljard spamberichten heeft. Botnets worden al lange tijd ingezet om spam te versturen, maar sinds 2004 zijn spammers overgestapt op het zogeheten "template-based spamming". Deze tactiek is niet alleen een oplossing voor geïnfecteerde machines die zich achter NAT routers bevinden, het verhoogt ook de efficiëntie van het spammen, omdat de te spammen adressen over de bots zijn te verdelen. Dit in tegenstelling tot het "proxy-based spamming", dat voor 2004 door botnets als Sobig werd toegepast.

Elk botnet beschikt over specifieke eigenschappen, of het nu gaat om de manier waarop het beheerd wordt tot het versturen van het soort en de hoeveelheid spam. Zo is Bobax met een omvang van 185.000 zombies het tweede botnet op het internet, toch verstuurt het dagelijks "maar" 9 miljard spamberichten. Het botnet heeft als bijnaam "Kraken", waar de laatste tijd veel over te doen is geweest. In tegenstelling tot veel andere botnets gebruikt Bobax geen rootkit-technologie.

Dat omvang niet alles zegt bewijst het Mega-D botnet. Met 35.000 machines is het veel kleiner dan Bobox, maar weet toch dagelijks 10 miljard spamberichten te versturen. Het beruchte Storm botnet heeft een leger van 85.000 zombies, waarvan er 35.000 voor het spammen worden gebruikt.

Security.nl

Helft alle spam afkomstig van Srizbi botnet

Bijna de helft van alle spam op het internet is afkomstig van één botnet dat uit 315.000 actieve bots bestaat. Laatst werd al bekend dat de Srizbi het grootste botnet van dit moment is. De bots binnen dit netwerk kunnen elk 8000 spamberichten per uur versturen.

Srizbi verscheen eind 2007 voor het eerst op de radar, maar is de afgelopen twee maanden pas grote hoeveelheden spam aan het versturen en is qua hoeveelheid spam meer dan verdubbeld. Inmiddels is het goed voor 45% van alle ongewenste commerciële e-mail die op het web rondgaat. Het botnet werkt ook aan uitbreiding, zo probeert het de afgelopen dagen via berichten als "we caught you naked! check the video" nieuwe slachtoffers te maken.

Het eens zo machtige Storm botnet zou nog voor maar 1% van alle spam verantwoordelijk zijn. De cijfers verschillen met die van SecureWorks, dat laatst een overzicht van de grootste botnets publiceerde. In dit overzicht was echter alleen de potentiële capaciteit berekend. Toch werd ook daar Srizbi als grootste spambron genoemd.


Security.nl

Kraken botnet duikt onder na media-aandacht

Het Kraken botnet dat twee weken geleden de internationale pers haalde, lijkt niet te genieten van alle media-aandacht. Volgens beveiligingsbedrijf Damballa was Kraken een nieuw botnet dat groter was dan dat van de Storm worm en door 80% van de anti-virus software niet werd herkend. Eerste deden veel anti-virusbedrijven de ontdekking af als een storm in een glas water.

Volgens andere beveiligingsexperts ging het om het Bobax botnet, dat door Damballa anders werd genoemd. Het bedrijf reageerde dat er wel overeenkomst tussen Bobax en Kraken zijn, maar het wel twee verschillende botnets betreft.

Inmiddels blijkt de Kraken botnetbeheerder een update naar alle zombies te hebben gestuurd via TCP poort 447. Die zorgt ervoor dat de command & control van de bots moeilijker te detecteren is. Ook gebruiken de zombies niet meer UDP poort 447 met een pakket van vaste grootte, maar willekeurige UDP pakketten en poorten. Alle communicatie is daarnaast versleuteld en loopt via HTTP over poort 80 en 443. Opmerkelijk is dat de communicatie over poort 443 wel versleuteld is, maar niet via SSL.

Security.nl