® 
Botnet
Definitie
Een botnet is een netwerk van met malware besmette computers (bots) die onder controle staan van een aanvaller (botherder). Botnets worden gebruikt voor DDoS-aanvallen, spamverzending, cryptomining en datadiefstal.
Een botnet is een netwerk van met malware geinfecteerde computers, servers en IoT-apparaten die onder controle staan van een aanvaller (botherder). Botnets worden ingezet voor DDoS-aanvallen, spamverzending, cryptomining en datadiefstal. Het Mirai-botnet demonstreerde in 2016 de verwoestende kracht van IoT-botnets met een DDoS-aanval van 1,2 Tbps.
Hoe werkt een botnet?
Apparaten worden onderdeel van een botnet via malware-infecties: phishing-e-mails, drive-by downloads, niet-gepatchte kwetsbaarheden of standaardwachtwoorden op IoT-apparaten. Na infectie maakt de malware verbinding met een Command and Control (C2)-server die de botherder beheert. Via het C2-kanaal ontvangt de bot instructies: deelnemen aan een DDoS-aanval, spam versturen, credentials stelen of cryptocurrency minen. De eigenaar van het geinfecteerde apparaat merkt vaak niets van de infectie. Moderne botnets gebruiken peer-to-peer (P2P) architectuur in plaats van een centraal C2-punt om veerkrachtiger te zijn tegen takedowns.
Soorten botnets
DDoS-botnets overweldigen doelwitten met massaal netwerkverkeer. Spam-botnets verspreiden miljoenen spam-e-mails per dag. Credential-stealing botnets stelen inloggegevens en financiele data. Cryptomining-botnets misbruiken rekenkracht voor cryptocurrency-mining. Proxy-botnets gebruiken geinfecteerde apparaten als anonimiserende proxy. Bekende botnets zijn Emotet (bankingtrojan die evolueerde tot botnet-as-a-service), Mirai (IoT-botnet), TrickBot en Gameover Zeus.
Impact voor organisaties
Organisaties kunnen zowel slachtoffer als onwetende deelnemer van een botnet zijn. Als doelwit van een botnet-DDoS worden diensten onbereikbaar met directe omzetverlies. Als onwetende deelnemer draagt de geinfecteerde infrastructuur bij aan aanvallen op derden, met potentiele juridische en reputatiegevolgen. NIS2 verplicht organisaties tot adequate bescherming tegen botnets. Het NCSC publiceert regelmatig waarschuwingen over actieve botnet-campagnes.
Bescherming
Implementeer netwerksegmentatie om laterale verspreiding te beperken. Monitor uitgaand verkeer op C2-communicatie via SIEM en NDR (Network Detection and Response). Houd alle systemen en IoT-apparaten up-to-date. Wijzig standaardwachtwoorden op alle apparaten. Gebruik EDR voor detectie van botnet-malware. Blokkeer bekende C2-infrastructuur via threat intelligence-feeds.
Hoe DEFION helpt
DEFION detecteert botnet-activiteit via Managed Threat Detection en monitort C2-communicatie als onderdeel van de 24/7 SOC-dienstverlening. DDoS-tests evalueren de weerbaarheid van de infrastructuur tegen botnet-gedreven aanvallen.