Steeds meer C&C servers voor botnets worden in de cloud gehost

Command & Control (C&C) servers voor botnets worden in toenemende mate in de cloud gehost. Ook is de hoeveelheid C&C infrastructuur die wordt gehost op servers die exclusief voor dit doeleinde worden geregistreerd fors gestegen.

Dit blijkt uit het Spamhaus Botnet Threat Report 2017 van Spamhaus Malware Labs. In totaal heeft Spamhaus in 2017 ruim 9.500 C&C servers geïdentificeerd op 1.122 verschillende netwerken. Het gaat hierbij om gehackte servers die een legitiem doeleinde hebben en door aanvallers worden misbruikt als C&C server, maar ook om servers die exclusief voor dit doeleinde worden geregistreerd met behulp van valse of gestolen identiteitsgegevens. Deze laatste groep bestond in 2017 uit 6.588 botnet controllers, wat gelijk staat aan 68% van alle botnet controllers die Spamhaus heeft opgespoord.

Botnet Controller List

Servers die uitsluitend worden gebruikt als botnet controller worden geregistreerd op een 'Botnet Controller List' (BCL). Deze lijst bevat IP-adressen van servers die in zijn geheel kunnen worden geblokkeerd door Internet Service Providers, zonder dat dit impact heeft op legitiem internetverkeer. Het aantal aanmeldingen op de BCL is in 2017 met 40% gestegen ten opzichte van 2016. Ten opzichte van 2014 gaat het zelfs om een stijging van 90%. Per maand werden tussen de 600 en 700 nieuwe IP-adressen toegevoegd aan de BCL.

Spamhaus wijst erop dat botnet controllers gehost op het dark web of via het anonimiseringsnetwerk Tor niet zijn meegenomen in de cijfers. Deze servers zijn volgens Spamhaus moeilijk te traceren en daarmee moeilijk offline te halen. Wie zich tegen C&C-verkeer vanaf servers op Tor wil verdedigen, doet er volgens Spamhaus goed aan Tor-verkeer geheel te blokkeren en alleen via een opt-in beschikbaar te maken voor gebruikers die het Tor-netwerk nodig hebben.

Wie heeft de meeste botnet controllers gehost?

In de onderstaande tabel is een overzicht te vinden van de hostingpartijen die de meeste botnet controllers hebben gehost in 2017. Hierbij is geen onderscheid gemaakt tussen gehackte servers/websites en webservers die exclusief zijn gehuurd door aanvallers om botnet controllers te hosten.

spamhaus-c-c-servers-2017

Het aantal C&C servers dat Spamhaus in 2017 heeft ontdekt (bron tabel: Spamhaus)

Spamhaus wijst erop dat het voor veel hosters een grote uitdaging is te voorkomen dat servers of websites van klanten worden gehackt, aangezien klanten deze doorgaans zelf beheren. Veel klanten draaien verouderde software op hun servers, wat het voor aanvaller relatief eenvoudig maakt deze servers te kraken.

Botnet controllers in de cloud

Opvallend is de stijging in het aantal botnet controllers dat bij cloud providers is gehost. De meeste botnet controllers werden in 2017 gehost bij AWS, gevolgd door AVG en AnMaXX.

spamhaus-c-c-servers-cloud-2017

Het aantal C&C servers gehost in de cloud die Spamhaus in 2017 heeft opgespoord (bron tabel: Spamhaus)

Meer informatie is te vinden in het Spamhaus Botnet Threat Report 2017.

Meer over
Lees ook
Spam, Botnets en een derde plaats voor Nederland

Spam, Botnets en een derde plaats voor Nederland

Uit de Q2 rapportage van Spamhaus blijkt dat een nieuw soort botnets stevig in opmars is en dat Nederland niet goed op de kaart staat. Omdat het nieuws type botnets makkelijk onder de radar blijft is het zaak voor IT beheerders goed op te letten.

Webinar: Image Vulnerability Scanning voor Container Security

Webinar: Image Vulnerability Scanning voor Container Security

Steeds meer cloudomgevingen zijn gebaseerd op ‘containers’. Door het inzetten van geautomatiseerde Image Vulnerability Scanning worden kwetsbaarheden binnen deze omgevingen snel herkend. De kans op succesvolle aanvallen wordt aanzienlijk verkleind en gecontaineriseerde workloads worden beter beschermd.

Jouw SaaS-data, jouw verantwoordelijkheid

Jouw SaaS-data, jouw verantwoordelijkheid

De coronacrisis heeft de afgelopen anderhalf jaar tal van werknemers uit het kantoor verdreven. Overal ter wereld werden mensen door de overheid aangespoord om zoveel mogelijk vanuit huis te werken. Maar nu de lockdowns langzaam worden opgeheven, lijkt hybride werken de norm te blijven. Onderzoeksbureau IDC onderschrijft deze visie. Het voorspelt1