Artikel top billede

Microsoft går efter botnet med nyt juridisk våben

Microsoft har øjnene stift rettet mod adskillige botnet, som virksomheden regner med at få skovlen under med juridisk taktik.

Computerworld News Service: Microsoft erkender, at virksomheden endnu ikke helt har afskåret al kommunikation mellem Waledac-botnettets command-and-control-servere og de tusindvis af kompromitterede Windows-pc'er, der er blevet brugt af hackere til at sælge falsk sikkerhedssoftware og sende en mindre mængde spam.

Men ikke destomindre, vil de forsøge at bekæmpe adskillige andre botnet med den samme juridiske taktik, som blev brugt mod Waledac.

"Dette beviser, at det kan lade sig gøre," siger Richard Boscovich, der er juridisk chefrådgiver hos Microsofts Digital Crimes Unit.

"Hvert botnet er selvfølgelig forskelligt, men dette giver os et nyt våben. Og det bliver ikke vores sidste tiltag… Vi har andre aktiviteter på tegnebrættet."

For nylig offentliggjorde Microsoft at have fået rettens ord for, at næsten 300 websites skulle lukkes ned. Disse sites udgjorde en nøgleforbindelse mellem hackere og de pc'er, der udgjorde Waledac-botnettet.

Den juridiske taktik, som er blevet hyldet af mange sikkerhedseksperter som et præcedens-skabende tiltag, resulterede i, hvad Microsoft kalder en "større sejr" over Waledac, hvilket dog anfægtes af visse eksperter.

Den samme metode kan og vil ifølge Boscovich blive brugt i forhold til andre botnet. Han afviser dog at sige præcist hvilken hær af zombie-pc'er, der nu står for skud.

"Det er selvfølgelig muligt at skalere denne tilgang," svarer han til spørgsmålet, om den juridiske kamp mod Waledac ville kunne fungere mod andre botnet, eller om det var en engangsforestilling.

"Dette er et nyt værktøj, vi nu kan benytte, endnu en mekanisme der er tilgængelig."

Da Microsoft i starten af januar gik i gang med at beslutte hvilket botnet, virksomheden skulle gå efter, startede den med en liste på seks, der blev indsnævret til tre, hvoraf valget faldt på Waledac. De sidste fem unavngivne botnet er dog stadig på Microsofts liste.

"Vi havde et mål om at give os selv en teknisk udfordring," svarer Boscovich til spørgsmålet om, hvorfor valget faldt på Waledac.

"Det havde en vis anseelse fra et teknisk synspunkt."

Og Waledac har rigtigt nok et vist ry. Malwaren, der inficerer ofrenes computere, er skabt af - ligesom botnettet vedligeholdes af - de samme hackere, der oversvømmede internettet med botnettet Storm fra først i 2007 til midt i 2008. Skaberne af Waledac "er helt sikkert kompetente," bemærker Joe Stewart, der er direktør for malwareanalyse hos SecureWorks og er en anerkendt botnet-ekspert.

Mere end 60.000 zombie-pc'er

Richard Boscovich erkender, at Waledac ikke er verdens største botnet, men påpeger, at der var adskillige ting, der talte for, at dette botnet skulle være det første til at mærke brodden af Microsofts nye juridiske tilgang i kampen mod botnettene.

Blandt disse ting kan fremhæves, at de identificerede command-and-control-domæner alle var registrerede hos VeriSign, hvilket gjorde det lettere at koordinere nedlukningen af websitene. Og Microsoft havde været i kontakt med adskillige uafhængige sikkerhedseksperter, der havde gravet sig dybt ind i malwarens kode og forstod botnettets adfærd.

Mens Microsoft lover at svinge det juridiske sværd igen, erkender virksomheden dog, at forbindelserne mellem de inficerede pc'er og de hackere, der kontrollerer dem, ikke er helt skåret over.

"De blev hårdt ramt, og vi forventer, at det vil blive endnu hårdere for dem i løbet af de næste adskillige dage," siger T. J. Campana, der arbejder under Boscovich som senior program manager i Microsofts Digital Crimes Unit.

Til spørgsmålet om forbindelserne mellem Waledac-hackerne og botnettets pc'er nu er fuldstændigt afbrudt, svarer Campana: "I det store og hele må svaret være nej."

I sidste uge hævdede Microsoft at have vundet kontrollen over mere end 60.000 zombie-pc'er i Waledac-botnettet, efter en domstol besluttede at lukke for de 277 domæner.

Adskillige sikkerhedseksperter satte dog spørgsmålstegn ved, om denne taktik ville have en tilstrækkelig effekt på Waledac, da hackerne benytter flere forskellige mekanismer til at sende kommandoer til de inficerede maskiner.

I nødstilfælde kan Waledac-zombier kommunikere med deres kontrol-servere "i det uendelige" ved hjælp af IP-adresser, der er indkodede i den trojaner, som botnettet udnytter, forklarede Stewart fra SecureWorks i sidste uge.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
BI Excellence Day 2025

Kom og få indsigt i, hvordan du kan arbejde målrettet og struktureret med BI, så din virksomhed bliver i stand til at tage hurtige og datadrevne beslutninger, der understøtter din virksomheds strategi. Netværk og del erfaringer med ligesindede og mød eksperter, der kan give viden om de nyeste tendenser, og hvordan du gør brug af disse uden at gå på kompromis med compliance.

30. april 2025 | Læs mere


Cyber Briefing: Geopolitik og cloud

Private vs. public cloud - hybride løsninger der sikrer kritiske data. Overvejer din organisation at vende de amerikanske cloud-giganter i ryggen set i lyset af den geopolitiske situation? Vi dykker ned i en dugfrisk rapport og diskuterer mulighederne for en "Plan B".

05. maj 2025 | Læs mere


Virksomhedsplatforme i forandring: Hvordan navigerer du i den teknologiske udvikling?

Hvordan finder du balancen mellem cloud- og hybride løsninger? Hvordan integrerer du legacy-applikationer ind i dit nye ERP-setup? Hvordan undgår du at havne i statistikken over store ERP-projekter, der fejler eller overskrider budgetterne?

06. maj 2025 | Læs mere