Botnet

Botnets zijn belangrijke hulpmiddelen van cybercriminelen over de hele wereld. Een botnet is een netwerk van besmette computers die door criminelen zijn overgenomen. Deze computers, ook wel zombie-computers genoemd, kunnen op afstand worden aangestuurd om criminele activiteiten te verrichten. Ze worden gebruikt om spam te versturen, DDoS uit te voeren en gegevens te stelen.

Met een systeem dat onderdeel is geworden van een botnet, kunnen criminele handelingen worden uitgevoerd. Hoewel het in feite een crimineel is die deze handelingen uitvoert, ben je als eigenaar wel eindverantwoordelijk voor wat er op dat systeem gebeurt. Je kan hierdoor imagoschade oplopen of verantwoordelijk gehouden worden voor eventueel ontstane schade bij anderen.

Hoe herken ik een botnet?

Je apparaten kunnen deel gaan uitmaken van een botnet als gevolg van een malwarebesmetting. Daarom is een eerste stap om botnetbesmettingen te herkennen via virus -en malwarescanners. Een andere mogelijkheid is om een botnet te herkennen aan ongebruikelijk netwerkverkeer. Zo kan een zombie-computer spam gaan versturen. Controleer dus niet alleen binnenkomende e-mail op spam, maar ook uitgaande e-mail. Een zombie-computer wordt aangestuurd via een centrale computer (command-and-control systeem). Het is dus interessant om te zien of een van de computers in je netwerk contact heeft met een bekend command-and-control systeem.

Via het internet zijn verschillende (zowel gratis als commerciële) lijsten met IP-adressen van command-and-control systemen beschikbaar. Een andere manier om dit ongebruikelijke netwerkverkeer op te sporen is door gebruik te maken van een Intrusion Detection Systeem (IDS). Vraag je leverancier van netwerkapparatuur naar de mogelijkheden.

Daarnaast kun je jouw IT-dienstverlener vragen om een DNS-sinkhole op te zetten binnen jouw IT-landschap. Met sinkholing kun je internetverkeer met botnets onderscheppen, geïnfecteerde apparaten herkennen en verbindingen naar kwaadaardige domeinen stoppen. Sinkholing wordt voornamelijk door Internet Service Providers (ISP's) en domeinregistratiebedrijven ingezet om hun klanten te beschermen. Als je echter het beheer hebt over je eigen firewall of DNS-servers, kun je zelf ook DNS-sinkholing configureren om te ontdekken of er communicatie is met onveilige domeinen.