Microsoft opent aanval op zombienetwerk

29 oktober 2005

Microsoft heeft de jacht geopend op de eigenaren van een zombienetwerk,
dat zich exclusief richtte op spam-mail. Een zombienetwerk bestaat uit
gehackte computers (in veel gevallen door kwetsbaarheden in Microsoft
Windows en andere programma’s), die worden gebruikt om grote
hoeveelheden spam te verzenden, veelal zonder dat de computer-eigenaren
er iets vanaf weten. Microsoft was het netwerk op het spoor gekomen
door enkele Windows-pc’s bewust te laten besmetten met allerlei
virussen en andere malware in het kader van haar HoneyMonkey-project.
Het project is opgestart als onderdeel van de juridische strijd die
Microsoft voert tegen spam- en malware-producenten. Een van de besmette
pc’s bleek spoedig onderdeel van een zombienetwerk te zijn en
verstuurde in 20 dagen tijd ruim 18 miljoen spamberichten. In het kader
van het project dat Microsoft in juni is gestart waren voldoende
voorzieningen getroffen om te voorkomen dat de berichten ook
daadwerkelijk verstuurd werden. Microsoft-medewerkers hebben het hele
proces van nabij bestudeerd en geanalyseerd. Zo werd ontdekt dat het
zombienetwerk gebruikt werd door meer dan 10 anonieme internetters uit
de Verenigde Staten. Via een rechtszaak zal geprobeerd worden om achter
hun identiteit te komen.



Microsoft was verbaasd over de grote hoeveelheid spam die via het
netwerk werd verzonden. ‘This was a pretty astonishing number for us’,
zo zei Tim Cranton,
Microsoft’s directeur verantwoordelijk voor beveiligingsprogramma’s.
‘We knew that it would be a high volume, but this was an even greater
volume of spam than we had anticipated passing through one computer.’
Microsoft hoopt via de rechtszaak uit te vinden wie het zombienetwerk
heeft opgezet. Het is de bedoeling dat informatie over zombienetwerken
en de bijbehorende scene verzameld zal worden om toekomstige
opsporingen te vereenvoudigen; de informatie zal aan de bevoegde
autoriteiten overgedragen worden. Microsoft heeft aangekondigd het
experiment in de toekomst te herhalen om dit soort zombienetwerken op
te sporen. Zone Labs,
een beveiligingsbedrijf voor Internettransacties, ziet een gigantische
hoeveelheid spam verzonden worden door zombienetwerken. Volgens Jon
Orbeton, technisch productmanager van Zone Labs: ‘The people who
assemble zombie networks are able to turn around and sell access to the
hijacked computers for large sums. It’s lucrative. Anything that’s
lucrative in that way tends to expand and become more refined and more
sophisticated as time goes on.’ Microsoft heeft op dit moment meer dan
honderd rechtzaken aangespannen tegen vermoedelijke spam-operators,
maar veel van deze zaken concentreren zich op de misleidende inhoud van
de mail zelf, zoals valsheid in geschrifte of vervalste adresgegevens.
Deze zaak richt zich meer op het inrichten van het zombienetwerk zelf,
waarbij aangehaald wordt dat 50 tot 80 % van de spam-mail via
zombienetwerken wordt verzonden. Het Strider Honey Monkey project van
Microsoft is gericht
op het in een vroeg stadium ontdekken van veiligheidslekken en het
detecteren van daarvoor geschreven exploit-scripts. De
veiligheidslekken richten zich in eerste instantie op de lekken die
uitgebuit worden om met minimale tussenkomst van de gebruiker spyware te installeren op computers. In juni zijn er 752 URL’s gevonden die doorverwezen naar websites die spyware
wisten te installeren op een ongepatchte Windows XP-machine. Begin juli
werd zelfs een exploit ontdekt die een volledig gepatchte machine wist
te infecteren. Resultaten van een maand testen waren dat het
installeren van patches absoluut noodzakelijk is om een redelijke
zekerheid te hebben van veiligheid. Analyse van de doorstuurpaden van
de URL’s wijst uit dat, hoewel er veel grote spywarehosts zijn, deze
verdeeld zijn over enkele individuen die vaak sites over de gehele
wereld bezitten. Als lokkertje voor de websites wordt vooral
pornografie gebruikt. Uit het onderzoek bleek ook dat zoekmachines als
Google en Yahoo respectievelijk 13,6 % en 13,3 % van de onderzochte
URL’s in hun zoekresultaten opnemen. MSN Search bevatte maar 6 % van
deze URL’s. Uit de resultaten van dit project kan Microsoft steeds meer
en beter zombienetwerken detecteren.

Share This:

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.