Is uw pc een bot?
Kortgeleden was er de nodige ophef over botnets: minstens 150.000 Nederlandse computers zijn via malware onderdeel geworden van een zogeheten botnet. De overheid wist er al een half jaar van, maar deed weinig tot niets met die kennis. Gelukkig bent u lezer van Computer Idee. En uw lijfblad vertelt niet alleen wat botnets zijn, maar ook hoe u voorkomt dat u slachtoffer wordt.
Illustratie: Erwin Suvaal
Een botnet is een netwerk van geïnfecteerde computers die op afstand worden gecommandeerd door een ‘botmaster’. De bot-pc’s zijn besmet met malware die in het geniep orders ontvangt van deze criminele opperbaas. Deze pc’s voeren activiteiten uit waarvan de gebruikers niet op de hoogte zijn. En dat zijn eigenlijk altijd illegale activiteiten.
Cybercriminelen laten hun schimmige klusjes graag opknappen door een huurleger van bots. Dat weten de malware-makers en daarom “bevat bijna alle moderne malware tegenwoordig botnet-functionaliteit,” zegt antivirus-onderzoeker Roel Schouwenberg van Kaspersky Lab.
Roel Schouwenberg
Uit metingen van professor Michel van Eeten van de TU Delft in 2010 bleek dat vijf tot tien procent van de Nederlandse huishoudens op enig moment in het jaar een computer heeft die onderdeel is van een botnet. Van Eeten: “Dat aantal ligt anno nu ongeveer op hetzelfde peil als in 2010.”
Michel van Eeten
Keurige website
Gebruikers openen niet meer zomaar een mailbestand. Ook mijden ze bling-bling sites en zijn ze voorzichtig met het installeren van onbekende software. Maar omdat iedereen websurft, proberen criminelen nu vooral om malware te lanceren vanaf normale en liefst vertrouwde websites. Zo werden op een woensdagmiddag in maart 2012 naar schatting honderdduizend bezoekers van Nu.nl onderdeel van het Sinowal-botnet. Criminelen hadden die ochtend via een beveiligingslek in het ‘contentmanagementsysteem’ (CMS) een javascript op de webserver geïnstalleerd. Zodra een website-bezoeker een nieuwsberichtje ophaalde van de geïnfecteerde webserver, zorgde dat script ervoor dat er kwaadaardige software werd gedownload. Die zocht op de pc van de bezoeker naar programma’s met beveiligingslekken. Werd zo’n lek gevonden, dan werd het prompt gebruikt om de pc te besmetten met de zogeheten Sinowal-trojan.
Websites patchen slecht
De aanval op en via Nu.nl laat volgens professor Van Eeten zien dat websitebeheerders veel actiever moeten zijn in het beveiligen van hun servers en sites. “Eindgebruikers horen al jarenlang dat ze stelselmatig beveiligings-updates moeten installeren. Maar de aanbieders aan de andere kant van de internetverbinding laten het er vaak nog bij zitten.”
Ook internetadvertenties kunnen besmet zijn. In november vorig jaar ontdekten beveiligers dat de advertenties op de NRC-nieuwswebsites geïnfecteerd waren met een nieuwe variant van de Sinowal-botnetmalware. Van Eeten: “Internet-advertenties kunnen technisch behoorlijk geavanceerd zijn. Soms zit er Flash in, of Java. Dat zijn eigenlijk gewoon programmeertalen die je ook kunt gebruiken om commando’s op de computer uit te voeren.”
Zo blijft uw pc bot-vrij
Risico’s zijn bij het werken met de computer nooit helemaal uit te sluiten, maar u kunt de kans op besmetting met malware wel zo klein mogelijk maken. Dat gaat zo:
1. Laat Windows automatisch updaten (in elk geval voor wat betreft de beveiligingsupdates).
2. Update dagelijks uw antivirussoftware.
3. Laat browsersoftware zoals Java, Flash, Adobe Reader en Quicktime automatisch updaten.
4. En ja, de inmiddels bijna bejaarde tips: open nooit zomaar een bijlage in een e-mail, en wees heel voorzichtig met het bezoeken van de rosse buurten van internet en scan alle downloads uit Nieuwsgroepen en van torrent-sites.
Chantage-software
Een botnet-besmetting gaat meestal in twee stappen: eerst installeert de malware een downloader. Die doet nog niks, maar wacht op instructies. Hij staat klaar om criminele software te downloaden en installeren. Vaak verhuurt de botmaster in dit stadium de pc. Criminelen betalen een bepaald bedrag per bot. Zo kunnen ze zelf een huurleger samenstellen. In een bepaalde regio, van een bepaalde omvang. En dat geschikt is voor een zware klus naar keuze. Van het gezamenlijk plat-bezoeken van websites (DDoS-aanval), tot het spammen van Viagra-mails en het massaal afluisteren van online banktransacties. Schouwenberg: “Aanvallen worden dus steeds gelaagder. Als de pc eenmaal geïnfecteerd is met een downloader kan er daarna van alles gebeuren.”
Chantage, bijvoorbeeld. Volgens Roel Schouwenberg is losgeld-software in opkomst. Een berucht voorbeeld is het ‘politie’- of Ukash-virus. Dat blokkeert de toegang tot de pc of tot losse bestanden. Een melding, zogenaamd afkomstig van de FBI of KLPD, bericht dat de pc is vergrendeld wegens het downloaden van illegale software. Pas na betaling van een boete krijgt de eigenaar zijn pc weer terug. Schouwenberg: “Het ergste is afpers-software die pc-eigenaren ervan beschuldigt dat ze kinderporno bezitten. Soms toont de malware daadwerkelijk kinderporno die zogenaamd op de harde schijf aanwezig zou zijn. Dat is ontzettend sluw van aanvallers. Malware-slachtoffers durven daardoor geen aangifte te doen.”
Onder de radar
Wanneer uw pc onderdeel is van een DDoS-botnet kunt u dat volgens Schouwenberg soms merken: “Dan is er heel veel netwerkverkeer. Daardoor wordt het internet traag.”
Maar meestal merkt u helemaal niets van botnet-activiteit op uw pc, aldus de antivirus-onderzoeker. Wanneer een aanvaller wachtwoorden, creditcardnummers of bankinlogcodes probeert te stelen doet hij er alles aan om onzichtbaar te blijven. “Daarbij komt dat cybercriminelen botnet-software steeds dieper in het systeem proberen in te graven om detectie en verwijdering zo moeilijk mogelijk te maken. Zo nestelde de Sinowal-trojan van Nu.nl zich in de master boot record van de harde schijf. De meeste antimalware-tools kunnen hem daar niet verwijderen.
Op pagina 2 leest u hoe u kunt herkennen of uw pc een bot is en geven we een aantal expert-tips
Expert-tips: analyse van het netwerkverkeer
Of uw pc onderdeel is geworden van een botnet, is lastig vast te stellen. Een van de beste manieren is via het ‘meten’ van het netwerkverkeer. We vroegen Maarten Hartsuijker van informatiebeveiligingsbedrijf Classity hoe dat gaat.
Waarom is het zo lastig om botnet-activiteit te ontdekken op je computer?
“Als je de analyse van netwerkverkeer op een computer uitvoert die geïnfecteerd is, kan de malware proberen deze software om de tuin te leiden. Daarom kun je dat beter doen vanuit een andere plek in het netwerk. Malware kan immers software op de pc misleiden, maar het netwerkverkeer niet. Dat is er gewoon.”
Hoe analyseer je het netwerkverkeer van buitenaf?
“Door de verdachte pc via een hub te verbinden met een andere pc. Op die andere pc installeer je dan bijvoorbeeld Snort (www.snort.org). Dat is samen met Suricata het meest gebruikte open source Intrusion Detection Systeem (IDS). Binnen het IDS kun je regels instellen. Zo controleer je het netwerkverkeer dan op verdachte patronen, waaronder kenmerken die op een malware-infectie wijzen. Wanneer er dan iets gebeurt dat niet normaal is, krijg je een melding van het IDS.”
Waar moet je naar zoeken?
“Malware-dreigingen veranderen snel. Dus je kunt het lastig voorspellen. Experts zoeken naar dingen die ze niet bekend voorkomen. Je kunt bijvoorbeeld op je pc met tools als TCPView zoeken naar onbekende netwerkverbindingen. Wanneer er bijvoorbeeld heel veel connecties over poort 25 naar het internet lopen, kan dat wijzen op het versturen van spam.”
Wat is jouw oplossing, als je een verdachte pc ontdekt?
“Bij klanten doe ik, tenzij er iets specifieks uitgezocht moet worden, eigenlijk niet eens moeite om met malware besmette pc’s te onderzoeken. Als je niets vindt, weet je namelijk nooit zeker of er ook niets is. Als de netwerkanalyse bepaalde pc’s als verdacht aanmerkt, laat ik zo’n pc altijd uit voorzorg opnieuw installeren. Zelfs als de antivirussoftware zegt niets vreemds te vinden.”
Verschillen tussen providers
De pc-gebruiker merkt dus lang niet altijd iets van een botnet-besmetting. Zijn of haar provider kan vaak wel zien vanaf welke ip-adressen onfrisse activiteiten plaatsvinden die wijzen op botnet-activiteit. Maar volgens Van Eeten pakten providers tot voor kort slechts een fractie van de botnets aan. Van Eeten: “Providers hebben niet altijd de juiste informatie over wie er besmet is. Bovendien is het kostbaar om elke klant persoonlijk te helpen.” Toch zijn er volgens de onderzoeker “sterke verschillen in de ellende die providers in hun netwerk herbergen.” Dat komt door verschillen in beveiliging, toezicht op het netwerk, en bereidheid om pc-gebruikers te informeren over besmettingen en te helpen bij de bestrijding daarvan.
Van Eeten gaat daarom de komende drie jaar de besmettingsniveaus per provider vergelijken. Dat gebeurt als deel van een Europees project dat recent door Eurocommissaris Kroes is gelanceerd.
Helaas zijn er in Nederland nog geen concrete plannen voor een nationale helpdesk voor computergebruikers die vrezen dat hun pc besmet is met botnetsoftware. Zo’n helpdesk bestaat al wel in Duitsland. Providers kunnen internetgebruikers daar doorverbinden naar het callcenter van ‘Bot Frei’. Dat helpt de slachtoffers, op kosten van de overheid en providers, telefonisch gratis verder bij het opschonen van hun pc.
Criminele infrastructuur
Door onze uitstekende internet-infrastructuur draait relatief veel criminele botnet-commandosoftware op Nederlandse servers. Voor de hostingbedrijven die deze grote computers verhuren is het lastig om te controleren wat hun huurders zoal doen met de ruimte die ze huren. Bovendien druist het tegen privacybeschermingsregels in om te snuffelen in de software die op servers is geïnstalleerd. Natuurlijk proberen opsporingsdiensten desondanks de criminele activiteiten zoveel mogelijk tegen te werken. Soms lukt dat, zoals in oktober 2010, toen de High Tech Crime Unit van de KLPD maar liefst 143 commando- en controleservers van botnetwerk BredoLab uitschakelde bij één van de grootste Nederlandse hostingbedrijven.
Het oprollen van dit soort servers, hoe indrukwekkend ook, heeft volgens Van Eeten helaas slechts tijdelijk effect. Over de BredoLab-actie zei hij in 2010: “De Nederlandse politie heeft niet werkelijk het botnet uitgeschakeld, maar slechts een specifiek onderdeel ervan: de commando- en controleservers. De geïnfecteerde machines zijn nog steeds in de lucht…” En wat dat betekende bleek al binnen een paar dagen: andere criminelen richtten nieuwe C&C servers in en wisten daarmee opnieuw contact te zoeken met de bot-populatie. Van Eeten vergelijkt deze gang van zaken wel eens met het arresteren van een drugsdealer: “Als je de infrastructuur niet succesvol aanpakt, wordt hij gewoon vervangen door een nieuwe.”
Is mijn pc een bot?
“Het ontdekken van een botnet is voor gewone gebruikers heel erg lastig,” zegt Maarten Hartsuijker van informatiebeveiligingsbedrijf Classity. “Eigenlijk moet je dan het netwerkverkeer analyseren, onafhankelijk van de geïnfecteerde machine. Maar thuis heb je meestal geen geavanceerd intrusion detection systeem staan. Goede antivirus-software is daarom voor gebruikers waarschijnlijk het meest praktisch. Al loopt deze software vaak een beetje achter de feiten aan.” Daarom adviseert Hartsuijker om aanvullende scans te doen, bijvoorbeeld met de gratis tool RUbotted van Trend Micro. En “Hitman pro is een goede aanvullende scanner waarmee je je pc extra kunt controleren op malware.”
Of uw pc mogelijk onderdeel is (geweest) van het Pobelka Botnet, kun u achterhalen op check.botnet.nu. Klik op deze pagina (van het beveiligingsbedrijf Digital Investigation) op het mannetje naast Maybe you are infected as well… en volautomatisch wordt uw ip-adres vergeleken met die in de database met besmette computers.
Tekst:Jolein de Rooij