Battle tegen botnets

Hindrik Jan Tilma uit Nieuwegein keek vreemd op toen hij op een ochtend zijn browser opstartte. In plaats van zijn gebruikelijke startpagina van Google kwam hij op een pagina van zijn provider. Die meldde dat zijn internetverbinding was afgesloten omdat er een 'veiligheidsprobleem' zou zijn.

Een belletje naar de helpdesk gaf meer duidelijkheid. “Blijkbaar was uit loggings van een andere partij op een of andere manier geconstateerd dat ik een virus op mijn computer had”, vertelt Tilma. Zijn ip-adres was terecht gekomen in de zogeheten AbuseHUB, een nieuw systeem om misbruik op internet tegen te gaan.

De AbuseHUB is een initiatief .nl-beheerder SIDN en enkele grote Nederlandse internetproviders, zoals KPN, Solcon, UPC, Xs4all, ZeelandNet en Ziggo en richt zich met name op botnets. Die ontstaan doordat mensen via een e-mailbijlage of een malafide website een virus of een andere vorm van malware binnenhalen op hun computer. Die kwaadaardige software maakt verbinding met een centrale computer die duizenden van deze zogeheten zombie-pc's aanstuurt om bijvoorbeeld grote hoeveelheden spam te versturen of om hackaanvallen uit te voeren.

Totdat hij niet meer kon internetten, had Hindrik Jan Tilma geen idee dat ook hij zo'n zombie-pc thuis had staan. “Ik heb er nooit iets van gemerkt en heb dus geen idee hoe lang het virus al op mijn pc stond. Ik was zelfs verbaasd dat mijn computer was geïnfecteerd, omdat ik wel virusscanners heb en de malware er ondanks dat toch doorheen is gekomen.”

Veel providers stellen al alles in het werk om deze botnets tegen te gaan, maar volgens Niels Huijbregts van Xs4all kunnen providers individueel weinig uitrichten.“Dat is dweilen met de kraan open. Het internet staat vol met besmette computers. Je kunt alleen iets tegen botnets doen door samen te werken.” Daar komt nog bij dat providers in principe niet naar het internetverkeer van individuele gebruikers kijken om te zien of er misschien iets verdachts plaatsvindt. In het geval van spam worden ze vaak door andere providers of anti-spamorganisaties erop gewezen dat vanaf het ip-adres, en dus een van de computers, van hun klant spam wordt verstuurd.

Spamdatabase

Om snel actie te kunnen ondernemen als er bijvoorbeeld weer een spambot actief is, is de AbuseHUB ontwikkeld. In feite is dat een grote database waarin allerlei meldingen van internetmisbruik worden verzameld. Al die binnenkomende meldingen worden op basis van het ip-adres automatisch gesorteerd en afgeleverd bij de betreffende provider. Die weet dan dat er sprake is van een besmetting en stuurt een bericht naar de klant dat zijn internetverbinding wordt misbruikt. Afhankelijk van het beleid van de provider en de ernst van het misbruik wordt dan ook de internetverbinding automatisch afgesloten.

Zo ging het ook bij Hindrik Jan Tilma. Op de pagina van zijn provider die hij kreeg voorgeschoteld, stonden instructies om de computer te scannen op virussen en andere vormen van malware. Omdat Tilma na een grondige inspectie niets verdachts vond op zijn laptop meldde hij bij zijn provider dat hij virusvrij was en werd zijn internetverbinding automatisch weer hersteld. Probleem opgelost, dacht hij.

“Een maand later had ik weer een blokkering. Ik was toen wel wat geïrriteerd. Ik scande mijn laptop opnieuw, maar vond weer niets. Iemand van de helpdesk zei toen dat ik al mijn computers moest scannen, ook de kantoor-pc die ik niet zo vaak gebruik. Daar bleek een variant van het zero access-virus op te staan”, aldus Tilma.

Botnets opgerold

Dagelijks verwerkt de AbuseHUB 10 tot 50 duizend meldingen van misbruik. Die komen bijvoorbeeld van zogeheten spamtraps, speciale e-mailadressen waarmee spamberichten worden verzameld en geanalyseerd. Maar de meldingen komen niet uitsluitend op basis van spamberichten. Niels Huijbregts: “Het komt ook voor dat de beheerders van een botnet worden opgepakt. De command and control-server (de centrale computer in een botnet, red.) wordt dan soms nog in werking gehouden zodat te zien is vanuit welke ip-adressen wordt geprobeerd een verbinding te maken met de server. Op die manier wordt duidelijk wiens computers besmet is. Hoewel er dan geen spam meer wordt verstuurd via het botnet, is het toch belangrijk om de gebruiker te laten weten dat zijn computer vatbaar is voor malware.”

Omdat het knap vervelend kan zijn als een nietsvermoedende internetgebruiker opeens niet meer kan surfen, is het voor de providers achter AbuseHUB belangrijk dat de misbruikmeldingen uit betrouwbare bron komen. “We moeten weten dat de informatie betrouwbaar en actueel is” vertelt Niels Huijbregts. “Als pas na 48 uur een melding wordt doorgegeven, is dat veel te laat. Het systeem moet zo goed als realtime werken, zodat mensen niet onterecht worden afgesloten.”

Dat de AbuseHUB per dag miljoenen meldingen binnenkrijgt, betekent niet dat er ook vanuit even veel internetverbindingen spam wordt verstuurd, want vaak komen er meerdere meldingen per ip-adres. Toch worden volgens Huijbregts alleen al bij Xs4all enkele tientallen klanten per dag afgesloten omdat ze ongewild onderdeel zijn geworden van een botnet.

Niet alleen spam

Een botnet kan voor verschillende doeleneinden worden gebruikt. Vaak worden ze verhuurd voor het versturen van spam, maar het komt ook voor dat ze worden ingezet bij een DDoS-aanval. Die afkorting staat voor distributed denial of service en betekent dat (honderd)duizenden computers bijvoorbeeld een website proberen te openen, waardoor de server overbelast raakt en het verkeer niet meer aan kan. Daarnaast worden botnets gebruikt voor het rondsturen van kinderporno en het 'delven' van de virtuele munt Bitcoin.

'Haarlems' botnet

Op 25 oktober 2010 nam het High Tech Crime Team van de Nederlandse politie 143 servers in beslag bij het datacentrum van Leaseweb in Haarlem. De servers bleken de basis te vormen van een van de grootste botnets die ooit actief waren: het BredoLab-botnet.

Ruim een jaar eerder laat het botnet voor het eerst van zich horen. Het trojaanse paard met de naam BredoLab weet zich wereldwijd op computers van nietsvermoedende gebruikers te nestelen. De aantallen zijn indrukwekkend: geschat wordt dat per maand zo’n 3 miljoen pc’s werden besmet met de trojan en dat in totaal 30 miljoen computers worden geïnfecteerd door BredoLab. Het overgrote deel van de besmettingen komt doordat mensen bijlages van e-mailberichten openen en zo het BredoLab-virus binnenhalen. Voor de verspreiding van de malware wordt onder andere het eigen botnet gebruikt.  Dat verstuurt eind 2009 het indrukwekkende aantal van 3,6 miljard berichten per dag, hopend dat nog meer mensen de bijlages openen en zo opgenomen worden in de botnet.

Naast dat het botnet wordt ingezet om het eigen netwerk uit te breiden, verhuurt de maker het ook aan anderen die het inzetten om spam te versturen en malware te verspreiden. De verhuur is lucratief. Volgens onderzoekers brengt het BredoLab-botnet bijna 140.000 dollar per maand in het laatje.

Toch is het in oktober 2010 afgelopen voor het BredoLab-botnet, maar niet zonder slag of stoot. Nadat de servers in Haarlem in beslag zijn genomen, weet de beheerder een deel van de geïnfecteerde computers nog onder controle te krijgen. Met die pc’s doet hij een DDoS-aanval op Leaseweb in een poging om het datacentrum plat te leggen. Dat plan mislukt en al gauw arresteert de Armeense politie Georgy Avanesov. Hij wordt ervan verdacht het meesterbrein te zijn achter dit botnet. In mei 2012 wordt hij hiervoor veroordeeld tot vier jaar cel.

Tekst: Jeroen van de Nieuwenhof