Lang lebe der Honeypot!

Ich habe mir vor einer Weile mal einen Honeypot, genauer gesagt einen nepenthes auf meinem Debian Lenny Server, der neben mir steht aufgesetzt. Hübsch muss ich schon sagen. Die Dokumentation ist wunderbar, die Installation ist schnell und einfach verlaufen und das ich eine Menge Ports dafür im Router öffnen musste, war auch kein Problem. Das Ding läuft jetzt schon seit einer Weile stabil und sammelt fein Binarys von irgendwelchen Botnetzen. Dabei fielen mir bestimmte Aspekte auf. Es gibt nicht mehr viele Botnetze, die über DCOM oder ASN1 spreaden, deshalb ist die Anzahl der verschiedenen Binarys relativ gering, bzw. der Binarys die von CWSandbox analysiert werden und ich den Report von bekomme. Auch gibt es immer wieder 1-2 bestimmte Netze, die von der Spreadinganzahl dominieren, wie z.B. das &virtu Botnetz. Dieses Netz ist hartnäckig, es scheint so, als würde es bei einem Befall die Binary verändern. Jedenfalls bekomme ich immer wieder größtenteils CWSandbox Reporte von diesem Netz zugeschickt. (Die Dateinamen sind dabei immer irgendwie upds.exe, antiv.exe oder winscrvs.exe)

Ich weiß nicht was es für ein Netz ist, jedoch existiert es wohl schon länger, wie es scheint. Google spuckte mir, als ich bestimmte Informationen dieses Netzes eingab, ein paar Ergebnisse aus, die bis zum Januar 2007 zurückführen. Wie kann ein Botnetz, welches zahlreich in verschiedene Honeypots getappt ist solange überleben?

Nun, dass ganze werde ich noch etwas beobachten und falls ich etwas dazu herausfinde, melde ich mich zu Wort.