Autor Thema: Trojaner 2.0 nutzen Web 2.0  (Gelesen 10554 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Botnetze: Bis zu 25.000 Spams pro PC und Stunde
« Antwort #15 am: 23 April, 2009, 17:53 »
Botnetze haben eine ungeheuer große Leistungsfähigkeit, wenn es um den Versand von Spam-Mails geht. Das beste derzeit aktive System kann bis zu 25.000 Nachrichten pro infiziertem System in einer Stunde verschicken.

Das haben Forscher des Sicherheits-Instituts TraceLabs aus den USA in einer Untersuchung herausgefunden. "Rustock" und "Xarvester" heißen die Spitzenreiter unter den Botnetzen, die es auf diesen Wert bringen. Dies entspricht maximal 600.000 E-Mails pro Tag oder 4,2 Millionen pro Woche.

Bedenkt man, dass solche Botnetze in der Regel aus einigen zehntausend bis hunderttausend Rechnern bestehen, erhält man eine Ahnung davon, auf welch leistungsfähige Infrastrukturen Spammer zugreifen können. Der Versand von Millionen Werbenachrichten ist binnen Minuten zu organisieren und durch die Verwendung gekaperter Rechner auch noch äußerst billig.

Das drittplatzierte Botnetz, "Mega-D" schafft immerhin 15.000 Spams pro Stunde und PC. 4.000 Nachrichten sind es bei "Grum", dem schlechtesten der zehn untersuchten Netze. Die Forscher hatten Test-PCs bewusst mit Trojanern infiziert, die Rechner für die jeweiligen Botnetze rekrutieren und die Leistungsfähigkeit der integrierten Mailserver getestet.

Quelle : http://winfuture.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Kampf gegen Botnetze weitgehend ineffizient
« Antwort #16 am: 24 April, 2009, 12:55 »
Strafverfolger und IT-Industrie gehen momentan noch ineffizient gegen Botnetzbetreiber und andere Cyber-Kriminelle vor. Das erklärte Joe Stewart, Director of Malware Research bei Secureworks in seinem Vortrag "Demonetizing Botnets" im Rahmen der noch bis heute andauernden RSA Conference 2009. Laut Stewart konzentrieren sich die Gegenmaßnahmen zumeist auf technische Lösungen: Patchen von Lücken, Abschalten der Command-und-Control-Server (C&C) von Botnetzen, Installieren von Spamfiltern und so weiter.

Insbesondere die weltweite IT-Sicherheitsgemeinde hat eher die Abwehr der Attacke im Fokus als die Angreifer. Dabei sind es genau diese Experten, die Stewart zufolge den Strafverfolgern möglichst viele Informationen über die für die Angriffe Verantwortlichen zukommen lassen müssten. Die Aktivitäten der Forscher und der Behörden überschneiden sich laut Stewart kaum. Diese Tatsache sorgt in Kombination mit chronischer Knappheit an Geld und Mitarbeitern sowie der oft mangelhaften internationalen Zusammenarbeit für die niedrige Erfolgsquote der Strafverfolger und die stetig anschwellende Zahl neuer Angriffe. Stewart bemängelt auch, dass viele Maßnahmen nur kurzfristig Linderung bringen, die Angreifer nach kurzer Erholungsphase aber umso entschlossener zu Werke gehen.

Seiner Meinung nach hätte man den Hoster McColo nicht vollständig vom Netz nehmen dürfen. Denn das hat die Betreiber der Botnetze, deren C&C-Server von McColo gehostet wurden, auf den Plan gerufen. Sie haben sich anschließend höchstwahrscheinlich einen Hoster in einem Land gesucht, in dem ISPs nicht so schnell zur Zusammenarbeit mit den Strafverfolgungsbehörden gezwungen werden können. Die Chance wurde also vertan, mehr über die Cyber-Kriminellen in Erfahrung zu bringen.

Der Sicherheitsexperte Stewart schlägt daher vor, unauffälliger zu Werke zu gehen. Im Falle der C&C-Server würde es seiner Meinung nach genügen, deren Bandbreite zu drosseln und so den Wirkungsgrad für die Zeit zu senken, die Sicherheitsforscher und Polizei benötigen, um Hinweise auf die Identität der Betreiber zu sammeln. Gleichzeitig hätten die ISPs der Kunden, deren Rechner infiziert waren, diese per DNS-Zone isolieren können. Die Taktik der Jäger sollte keinesfalls so auffällig und leicht zu durchschauen sein, dass sie die Verfolgten aufschreckt und dazu anstachelt, ihr bösartiges Werk technisch noch weiter zu verfeinern. Laut Stewart ist die raffinierte dezentrale Peer-to-Peer-Struktur der Botnetze Whaledac und Conficker das Ergebnis des zuvor geräuschvoll abgewickelten Abschaltens einiger C&C-Server.

Um wirklich effizient gegen Cyber-Gangster vorgehen zu können, brauche man andere Strukturen und Kompetenzen, sagte Stewart. Ihm schwebe eine Reihe von spezialisierten Teams aus Fachleuten vor, die ganz gezielt gegen jeweils eine Gruppe von Kriminellen vorgeht. In den Teams sollen sich jeweils über den ganzen Globus verstreute Personen mit unterschiedlichen Fähigkeiten finden, wie zum Beispiel Fachleute für Reverse Engineering, Social Engineering oder Sprachwissenschaftler. Stewart ließ offen, ob hinter den Kulissen bereits am Zusammenstellen solcher Teams gearbeitet wird.

Idealer Partner für diese Expertengruppe wären nationale CERTs (Computer Emergency Respsonse Team) mit erweiterten Kompetenzen. Als Beispiel führte Stewart das CERT in Südkorea an: Alle ISPs des Landes schicken im Fünfminutentakt Statusmeldungen über Netzwerktraffic und eventuelle Auffälligkeiten an das CERT. Werden dort bösartige Vorgänge festgestellt, kann das CERT ohne zeitraubende Rücksprache mit Behörden oder Strafverfolgern IP-Adressen sperren, URLs filtern oder schädlichen Traffic blockieren. Die so gesammelten Informationen dienen aber nicht nur als Grundlage für sofortige technische Gegenmaßnahmen, sondern auch zur Identifikation der Täter.

Stewart räumte gleichzeitig aber ein, dass ein solches Konzept nur dann Erfolg verspricht, wenn möglichst viele Länder ein CERT mit solchen erweiterten Zuständigkeiten unterhalten. Außerdem dürfe das CERT keinesfalls zum Hilfssheriff beispielsweise für die Musik- und Filmindustrie werden, sondern sich ausschließlich auf den Kampf gegen Cyber-Kriminelle konzentrieren.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Trojaner-Verbreitung per Suchmaschine
« Antwort #17 am: 28 April, 2009, 21:25 »
Beim Versuch, schädliche Software zu verbreiten, gehen Cyberkriminelle jetzt verstärkt neue Wege: Statt Spam-Mails zu versenden, werden jetzt immer öfter Suchmaschinen manipuliert.

Um Viren, Würmer, Trojaner oder auch sogenannte Scareware (gefälschte Sicherheitsprogramme mit dem primären Ziel, nichtsahnenden Anwendern Geld aus der Tasche zu ziehen) zu verbreiten, verschickten Cyberkriminelle bisher oft massenhaft Spam-Mails, die die entsprechende Software enthielten oder auf diese verlinkten. Das jedoch blieb auch den Internetnutzern nicht verborgen, weswegen viele von ihnen unbekannten Mail-Anhängen gegenüber zunehmend sehr misstrauisch wurden. Dementsprechend sahen sich die Schadsoftware-Autoren gezwungen, erneut kreativ zu werden. Ihre neueste Methode ist nach Angaben der IT-Sicherheitsfirma Panda Security die Manipulation von Suchmaschinen-Ergebnissen durch massenhaftes Online-Stellen manipulierter, suchmaschinenoptimierter Websites, so dass die Suchmaschinen auf die Schadsoftware verweisen.

Besonders krass ist momentan der Fall der Firma Ford Motor Company. Zu diesem beliebten Suchbegriff sollen rund 1,2 Millionen gefälschte, der Verbreitung von Malware dienende Websites im Netz sein.

Fachleute prägten für die neue Methode der Malware-Verbreitung die Bezeichnung "Blackhat SEO-Attacke". Die Angreifer verschaffen sich mit Hilfe von Tools wie zum Beispiel "Google Trends" einen Überblick, welche Suchbegriffe gerade besonders gefragt sind. Mit diesen wird dann eine Website erstellt, die neben den Suchbegriffen auch manipulierte, thematisch passende Videos enthält, über die sich nichtsahnende Besucher den Schadcode auf ihren Rechner ziehen, wenn sie diese herunterladen.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
US-Forscher übernehmen Botnet "Torpig"
« Antwort #18 am: 05 Mai, 2009, 07:27 »
Rund 180.000 Rechner sollen infiziert sein

In Kalifornien haben Sicherheitsforscher der Universität von Santa Barbara für zehn Tage das Botnetz des Schadprogramms "Torpig" übernommen. In Kooperation mit Strafverfolgungsbehörden schnitten sie dabei die übermittelten Daten der infizierten Rechner mit und untersuchten, mit welchen ausgefeilten Techniken Torpig seit drei Jahren überleben konnte.
Das Programm Torpig, bei manchen Antivirenherstellern auch als "Sinowal" bezeichnet, tauchte erstmals 2006 auf und ist immer noch im Umlauf. Es verbreitet sich inzwischen nicht mehr nur durch ausführbare Dateien, die per E-Mail versendet werden, sondern auch durch Skriptcode auf Webseiten.

Schon dabei geht Torpig laut der Analyse der Computer Security Group an der staatlichen Universität von Santa Barbara sowohl aggressiv wie auch vorsichtig vor. Die infizierten Rechner selbst generieren die Domainnamen, von denen sie Schadcode nachladen. Dabei beziehen sie als Zufallselement auch Suchergebnisse von Twitter ein, die in die Domainnamen einfließen.

Dadurch wird es schwer, die Domains im Vorfeld zu sperren - ähnlich arbeitet auch der Wurm Conficker, der seit Herbst 2008 sein Unwesen treibt. Kann Torpig einmal durch nicht gepatchte Sicherheitslücken in Browser oder Java-Engine seinen Code nachladen, führt das Programm eine Vielzahl von Attacken auf den Browser und Plugins wie Active-X durch. Wenn er so Code mit Administratorrechten ausführen kann, installiert er sich in ausführbaren Dateien und dem Master Boot Record der Festplatte.

Torpig wird dann bei jedem Start des Rechners noch vor einem eventuell vorhandenen Antivirusprogramm ausgeführt, die Scanner können ihn dann jedoch immer noch entdecken. Einige Aktionen kann er dann aber bereits ausgeführt haben.

Insbesondere trifft das für die Updatefunktion des Schädlings zu, bei der er ebenfalls wie Conficker arbeitet. Die US-Forscher haben dieses Verhalten der Generierung von Domainnamen in Anspielung auf Fast-Flux-Netze "domain flux" getauft. Durch die Vielzahl von Domains, welche jeder Client generiert, ist deren Sperrung im Vorfeld einer Aktualisierung nur schwer möglich.

Hat Torpig einen Rechner erst einmal infiziert, so schneidet er alle Eingaben des Benutzers mit und versucht dabei gezielt, Loginversuche über Webformulare, Kreditkartennummern und Accounts für Onlinebanking zu finden. Seine Daten übermittelt das Programm dann an einen der so genannten "Command & Control Server", die jedes Botnetz steuern.

Einen dieser Server konnten die Wissenschaftler aus Santa Barbara Anfang 2009 für zehn Tage übernehmen und somit Torpig untersuchen. Wie diese Übernahme gelang, und warum das Botnetz nicht weiter unter Kontrolle oder geschwächt wurde, geben sie nicht an. Die Forscher erklären jedoch in ihrem ausführlichen Bericht (PDF) zu der Aktion, dass sie mit dem US-Verteidigungsministerium und FBI zusammengearbeitet hätten. Das sei auch notwendig gewesen, um die Daten der Personen zu schützen, welche die infizierten Rechner benutzen.

Rund 70 GByte an Informationen übermittelten die Zombie-PCs an den Control-Server der Universität im Zeitraum von zehn Tagen. Dabei fanden sich tausende von Bankdaten, aber auch Accounts für E-Mail-Dienste, Foren und andere vertrauliche Daten. Auch aufgrund dieser Daten ergaben sich interessante Rückschlüsse auf die Zahl der Rechner, die im Torpig-Netz hängen.

Die reine Zahl der IP-Adressen, welche die Control-Server anrufen, erlaubt nämlich noch keinen Rückschluss auf die Zahl der infizierten Rechner. Diese können sich beispielsweise in einem Firmennetzwerk zu hunderten hinter der selben IP verbergen. Größere Netze sind offenbar auch Torpig zum Opfer gefallen, denn unter einer IP verzeichnete der Control-Server der Sicherheitsforscher Zugriffe auf 80 Accounts bei einem Mailserver einer Universität.

Insgesamt versuchten 1,2 Millionen IP-Adressen, mit dem Control-Server der Wissenschaftler Kontakt aufzunehmen. Da Torpig aber jedem Client eine Art Seriennummer zuordnet, entspricht das nicht der Zahl der Infektionen, zudem gibt es in Botnetzen stets mehrere Control-Server. Über 180.000 der Torpig-Seriennummern meldeten sich bei dem gekaperten Control-Server, sodass die Forscher von mindestens dieser Zahl an Torpig-Zombies ausgehen.

Dass Schädlinge wie Torpig sich über Jahre nur über Länder verbreiten können, in denen der Internetzugang für Privatleute samt dem nötigen Wissen um Sicherheitsrisiken noch nicht alltäglich ist, geht auf den Daten des Experiments nicht hervor. Die meisten Zugriffe auf den Control-Server kamen aus den USA, gefolgt von Italien und Deutschland.

Über 24.000 Torpig-Seriennummern kamen dabei aus Deutschland, von diesen Rechnern wurden in nur zehn Tagen 641 Datensätze für den Login bei 122 Finanzunternehmen übermittelt.

Rückschlüsse auf die Autoren und Betreiber von Torpig zieht die Universität nicht. Bereits seit dem ersten Auftauchen des Schädlings wird das Programm aber mit dem berüchtigten Russian Business Network in Verbindung gebracht.

Quelle : http://www.golem.de/0905/66878.html

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Botnetze: 2009 bereits 12 Millionen PCs gekapert
« Antwort #19 am: 06 Mai, 2009, 13:29 »
Seit Jahresbeginn haben Betreiber von Botnetzen bereits 12 Millionen neue PCs in ihre Infrastrukturen integrieren können. Das geht aus einem neuen Bericht des Sicherheitsunternehmens McAfee hervor.

Obwohl die Hersteller von Betriebssystemen und Software intensiv an der Verbesserung der Sicherheit arbeiten, steigt die Zahl der Infektionen rasant an. Die Steigerungsrate ist derzeit 50 Prozent höher als im Vergleichszeitraum des Vorjahres, hieß es.

Die Ursache dafür liegt vor allem in einer Neuausrichtung der großen Spam-Versender. Diese nutzten bisher meist herkömmliche Mail-Server. Im letzten Jahr gelang es den Behörden allerdings einen Provider in den USA stillzulegen, über den ein Großteil der unerwünschten Werbenachrichten verschickt wurden. Das Spam-Aufkommen brach dadurch zwischenzeitlich um bis zu 60 Prozent ein.

Seitdem versuchen die Spammer über Botnetze eine größere Unabhängigkeit zu erreichen. Das ist ihnen in den letzten Monaten recht gut gelungen. Die Zahl der verschickten Werbe-E-Mails hat fast wieder das alte Niveau erreicht.

Laut McAfee stehen 18 Prozent der in Botnetze integrierten PCs in den USA. Das Land führt damit die Liste an. An zweiter Stelle folgt China mit 13 Prozent und Australien mit 5,3 Prozent. Deutschland liegt mit 4,7 Prozent auf Rang 4.

Quelle : http://winfuture.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Botnet-Opfer benutzen meist den IE
« Antwort #20 am: 08 Mai, 2009, 17:23 »
Die Entdeckung eines Botnet aus 1,9 Millionen gekaperten Rechnern liefert einige Einblicke, die besonders Unternehmen zu denken geben sollten. Die meisten Zombies stehen in den USA, etliche jedoch auch in Deutschland.

Online-Kriminelle, die ihre Botnets weiter ausbauen wollen, machen erst einmal keinen Unterschied, ob ihre Trojanischen Pferde (Bots) private PCs oder Firmenrechner rekrutieren. Je nach Art und Aufgaben des Schädlings können die Schäden, die dadurch in Unternehmen entstehen, weitaus größer sein als für Privatleute. In Unternehmen werden auch seltener alternative Web-Browser wie Firefox eingesetzt. Meist herrschen hier ältere IE-Versionen vor, die besonders gefährdet sind.

Wie das israelische Sicherheitsunternehmen Finjan bei der Analyse eines Botnets aus 1,9 Millionen Zombies-PCs festgestellt hat, ist auf der überwiegenden Zahl (78 Prozent) der gekaperten Rechner der Internet Explorer als Standard-Browser eingerichtet. Firefox folgt mit immerhin 15 Prozent, Opera mit drei Prozent. Die Schädlinge gelangen über so genannte Drive-by Downloads auf die Rechner, oft beim Besuch gehackter Websites.
Die meisten der gekaperten Computer stehen in den USA und machen etwa 45 Prozent des Botnet aus. Großbritannien (sechs Prozent) sowie Kanada und Deutschland mit je vier Prozent Anteil folgen auf den Plätzen, dahinter Frankreich mit drei Prozent. Unter diesen Rechnern sind etliche, die zu Regierungsbehörden, etwa Botschaften, in verschiedenen Ländern gehören. Insgesamt 77 Regierungs-Domains haben die Forscher im Botnet ausgemacht.
Der auf diesen Rechnern laufende Bot wird über mehrere Kommando-Server gesteuert und liefert ausspionierte Daten an sein Mutterschiff. Dazu gehören Informationen aus Mails, Screenshots, aufgezeichnete Tastatureingaben und kopierte Dateien. Die Online-Kriminellen setzen auf diesem Weg Befehle an ihre Zombie-Armee ab, die dann zum Beispiel Spam versenden, als Web-Server dienen oder DoS-Angriffe auf Unternehmen starten.
Botnets oder Teile davon werden oft zeitweise an Spammer oder andere Online-Kriminelle vermietet, die sie für ihre Zwecke nutzen. Aus verschiedenen Untergrundforen haben die Finjan-Forscher ermittelt, dass ein Botnet für Preise von 100 bis 200 US-Dollar pro Tag und 1000 Rechner vermietet wird. Bei einem 1,9 Millionen Computer umfassenden Botnet könnten die Botmaster also durchaus 200.000 US-Dollar am Tag verdienen.

Andere Sicherheitsfachleute kommen zu ähnlichen Erkenntnissen. Alex Lanstein vom Sicherheitsunternehmen FireEye gibt zu bedenken, dass die meisten Botnets kaum bekannt sind, wenig Erwähnung in den Medien finden. Das wäre auch nicht im Interesse der Botmaster, die lieber ungestört im Verborgenen operieren.

Paul Kocher von Cryptography Research ergänzt, die Täter benutzten inzwischen oft starke Verschlüsselung sowohl bei der Kommunikation zwischen Bots und Mutterschiff als auch beim Speichern der ausspionierten Daten. Werden diese Daten auf gekaperten Rechnern zwischengelagert und vom Benutzer eines Rechners entdeckt, erscheinen die Dateiinhalte wie sinnloser Datenmüll.

Unternehmen sollten sich besser schützen, indem sie mehrschichtige Sicherheitsmaßnahmen einsetzen. Firewall und Antivirus-Software allein genügen meist nicht mehr. Jede zusätzliche Schicht, etwa IDS/IPS-Systeme, erhöht die Chance, Eindringliche zu entdecken und fern zu halten.
Der wichtigste Aspekt (und der immer noch am meisten vernachlässigte) bleibt jedoch die Unterweisung der Anwender. So raten viele Fachleute übereinstimmend, Anwendern sollten die Tricks der Angreifer (Stichwort: Social Engineering) demonstriert werden, damit sie nicht mehr (so oft) darauf herein fallen. Das sei der beste Schutz vor Malware-Angriffen.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Und es hat Boom gemacht: Botnetz zerstört sich selbst
« Antwort #21 am: 11 Mai, 2009, 16:06 »
Wie erst jetzt bekannt wurde, soll sich ein vermutlich rund 100.000 PCs umfassendes Botnetz Anfang April selbst zerstört haben – indem der Steuerserver einen Befehl zum Unbrauchbarmachen von Windows aussendete. Das Botnetz beruhte auf ZeuS, einem nur mehrere hundert Dollar kostenden Botnet-Toolkit, mit dem Kriminelle die PCs von Anwender infizieren und sie später aus der Ferne kontrollieren können.

Sobald eine Drohne einen Kill-Befehl vom Server erhält, löscht sie nach Analysen der Spezialisten von S21sec die Windows-Registry-Pfade HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE\Software und HKEY_LOCAL_MACHINE\System. Anschließend überscheibt die Drohne den virtuellen Speicher von Windows mit Nullen. In der Folge wird das Betriebssystem unbrauchbar.

Neu sind solche Selbstzerstörungsfunktionen in Bots und insbesondere in Banking-Trojanern wohl nicht. Gerade bei Banking-Trojanern dient der Mechanismus dazu, das Opfer nach dem Diebstahl von Bankzugangsdaten und/oder PINs und TANs vom Internet abzuschneiden, damit es keine weiteren Kontobewegungen mehr online verfolgen kann. Zudem können Kriminelle die Spuren ihrer Aktivitäten zumindest teilweise verwischen – obwohl etwa die Binaries der Schädlinge oft auf dem Rechner verbleiben.

Über die Gründe für die nun vollständige Selbstzerstörung gibt es unterschiedliche Vermutungen. Möglicherweise wurde der ZeuS-Steuerserver von einer feindlichen Bande übernommen. Allerdings beruhen die Angaben zur Zerstörung bislang allein auf Beobachtungen des schweizerischen Anti-Spam-Aktivisten Roman Hüssy, der die Seite ZeusTracker zur Überwachung mehrerer ZeuS-Steuerserver verschiedener Banden betreibt. Nach seinen Angaben beobachtete er, wie ein vom ihm überwachter Zeus-Server am 8. April den Kill-Befehl an die 100.000 Bots aussendete. Gegenüber US-Medien äußerte Hüssy die Vermutung, dass die Betreiber das eigene Netz vielleicht aus Versehen zerstörten. Oftmals handele es sich bei den Betreibern nicht um besonders ausgebildete oder befähigte Personen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Botnet-Provider abgeklemmt
« Antwort #22 am: 05 Juni, 2009, 19:17 »
Die US-Handelsaufsicht hat mit einer gerichtlichen Verfügung einen als Dienstleister für Online-Kriminelle bekannten Hosting-Provider vom Internet getrennt. Er soll Botnet-Betreiber aktiv unterstützt haben.

Die Ratten verlassen das sinkende Schiff. Sicherheitsunternehmen beobachten den Umzug etlicher Domains, die mit kriminellen Aktivitäten in Verbindung gebracht werden. Der Grund dafür ist, dass die US-Handelsaufsicht FTC (Federal Trade Commission) eine gerichtliche Verfügung gegen in Kalifornien ansässigen Hosting-Provider 3FN erwirkt hat. Seine Upstream-Provider haben daraufhin den Stecker gezogen und seine Verbindungen zum Internet gekappt.

Hinter 3FN (Triple Fiber Network) steckt die Firma Pricewert LLC, die auch unter Namen wie APS Telecom und APX Telecom firmiert. Ermittlungen der US-Bundespolizei FBI, der NASA sowie von Sicherheitsunternehmen haben ergeben, dass im Rechenzentrum von Pricewert unter anderen Kontroll-Server großer Botnets eine Heimstatt gefunden hatten. Auf den Web-Servern soll unter anderen Malware, Scareware und Kinderpornografie gefunden worden sein.

Pricewert werden Verstöße gegen US-Gesetze vorgeworfen, die noch in einem Gerichtsverfahren zu prüfen sein werden. Es soll ferner in den dunkelsten Ecken des Internet, etwa in Foren von Botnet-Betreibern, aktiv für seine Dienste geworben haben. Die Verantwortlichen sollen Online-Kriminelle sogar aktiv unterstützt haben. So sollen etwa Chat-Protokolle belegen, dass der Chefprogrammierer von Pricewert direkt am Aufbau und der Konfiguration eines Botnets teilgenommen hat.

Nach Angaben der FTC sollen sowohl die Unternehmensleitung als auch die Techniker des in Oregon registrierten Unternehmens Pricewert außerhalb der USA beheimatet sein, offenbar in der Ukraine. Sicherheitsunternehmen bestätigen, dass 3FN etliche Kommando-Server des "Cutwail"-Botnets unter seinem Dach hatte. Auch die Website "botmaster.net" lag auf Servern von 3FN, ein bei Online-Kriminellen äußerst beliebter Dienst, der Blogs massenhaft mit Kommentar-Spam verseucht hat.

Die Verantwortlichen von Pricewert haben gegen die Abschaltung protestiert. Ein aus der Ukraine stammender Sprecher des Providers hat sich beklagt, die FTC habe vor der Maßnahme keinen Kontakt mit dem Unternehmen aufgenommen, um die Angelegenheit zu klären. Er wirft den US-Behörden vor, sie hätten Pricewert ins Visier genommen, weil es Verbindungen in die Ukraine habe.

Seit dem Abklemmen des Spam-Providers McColo im Herbst 2008 ist dies die mit Abstand größte Maßnahme gegen einen Provider, der Server von Online-Kriminellen beherbergt. Es ist die erste Maßnahme überhaupt, die von der FTC mit Hilfe eines Gerichtsbeschlusses durch geführt worden ist. Das Gericht in Kalifornien hat nicht nur die Trennung der Internet-Anbindung angeordnet sondern auch die Beschlagnahme allen Eigentums des Unternehmens.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Kaspersky veröffentlicht Details zur Botnetz-Schattenwirtschaft
« Antwort #23 am: 23 Juli, 2009, 16:30 »
Ein neuer Artikel des Virenanalysten Yuri Namestnikov von Kaspersky, russischer Anbieter von Virenschutzsoftware, fasst den derzeitigen Stand in Sachen Botnetze zusammen. Er erläutert, wie Computer infiziert und zu Zombienetzen zusammengeschlossen werden und für welche Zwecke man die so entstandenen Botnetze einsetzt.

Im Detail sind es Denial-of-Service-Angriffe, Diebstahl von Bank- und Identitätsdaten, Phishing, Versand von Spam et cetera, mit denen der moderne Kriminelle Geld verdienen kann. Allein 780 Millionen Dollar wurden im vergangenen Jahr mit Spam umgesetzt. Mit der für diese Straftaten erforderlichen Infrastruktur lässt sich ebenfalls Geld verdienen, etwa mit der Vermietung der Botnetze.

Laut einer Meldung der ComputerWeekly veröffentlichte Kaspersky auch eine genaue Preisliste, allerdings ohne Angabe des Fundortes. Nach dieser Liste kostet beispielsweise die Miete für ein Botnetz zu DDoS-Zwecken zwischen 50 und mehreren Tausend Dollar für einen 24-stündigen Angriff. Eine Liste mit einer Million E-Mail-Adressen ist schon ab 20 Dollar zu haben. Beim Schleuderpreis von 30 Cent aufwärts für jedes auf einem fremden Rechner installierte Schadprogramm muss ein Cyberkrimineller schon viele installieren, um reich zu werden - es steht zu befürchten, dass das ohne Weiteres gelingt.

Wie man dem Treiben Einhalt gebietet, beschreibt Namestnikov in seinem Artikel. Allerdings ist dazu eine Zusammenarbeit von Malware-Experten, Strafverfolgern und Providern erforderlich. Außerdem sind Internetanwender in der Pflicht, zumindest die wichtigsten Sicherheitsregeln zu befolgen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Botnetz-Analyse: Mini-Internet im Supercomputer
« Antwort #24 am: 29 Juli, 2009, 12:53 »
Forscher in den kalifornischen Sandia National Laboratories haben eine neue Testumgebung geschaffen, mit der das Verhalten von Botnetzen besser analysiert werden soll.

Dafür schufen man eine Art Mini-Internet. Dieses ist in einem einzigen Supercomputer von Dell angesiedelt. Der Rechner namens MegaTux ist mit 4.480 Intel-Prozessoren ausgestattet. Über Virtualisierungs-Software laufen auf diesen rund 1 Million separater Rechner, die untereinander vernetzt sind, berichtete die 'New York Times'.

Die virtuellen Linux-Maschinen werden jeweils mit Wine ausgestattet, um Trojaner verwenden zu können, die eigentlich für Windows-PCs entwickelt wurden. Auf echte Windows-Umgebungen mussten die Forscher verzichten, da sie keine Lizenzgebühren für die zahlreichen Umgebungen aufbringen konnten.

"Wir haben damit eine Testumgebung, in der wir verschiedene Sachen im Maßstab des Internets ausprobieren können", sagte Keith Vanderveen, Leiter des Bereichs Scalable Computing Research in der Forschungseinrichtung. Im Oktober sollen die ersten Versuche mit Botnetz-Malware starten.

Dies soll neue Erkenntnisse für die Bekämpfung solcher Infrastrukturen bringen, die bisher nicht in einer solchen Genauigkeit möglich waren. "Wenn ein Wald brennt, kann man darüber hinweg fliegen, aber bei Attacken im Internet hat man oft keine klare Vorstellung vom Gesamtbild", erläuterte Sicherheits-Forscher Ron Minnich die bisherigen Schwierigkeiten.

Quelle : http://winfuture.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Botnet-Hoster vom Netz getrennt
« Antwort #25 am: 05 August, 2009, 23:15 »
Der dubiose Hosting-Provider aus Lettland "Real Host" hat seit Montag keine Verbindung zum Internet mehr.

Real Host ist in Kreisen der Sicherheitsexperten als einer der größten Botnet-Hoster in Europa bekannt. Unter anderem soll er dem Zeus-Botnetz geraume Zeit ein Zuhause gegeben haben. Seit dem gestrigen Montag scheint sich dies jedoch erledigt zu haben. Der Internetdienstleister steht ohne Internetanbindung da. Obendrein sollen auch die "Command and Control"-Server der Zombie-Netzwerke nicht mehr erreichbar sein.

Nachdem vor fast zwei Jahren der US-amerikanische Webhoster McColo vom Netz getrennt wurde, reihte sich vor einigen Monaten der ebenfalls in den USA ansässige Provider 3FN/Pricewert ein. Und auch auf europäischem Boden scheint sich nun etwas in diese Richtung getan zu haben.

Verantwortlich für diesen Schritt ist der schwedische Netzdienstleister Telia Sonera. Offenbar fühlte man sich durch die Machenschaften von Real Host stark gestört und sah einen triftigen Handlungsgrund. Glaubt man den bisherigen Ankündigungen, so besteht sogar zwischen dem in der lettischen Hauptstadt Riga ansässigen Hosting-Anbieter und dem berüchtigten Russian Business Network eine Verbindung.

In den Reiehn der Cyberkriminellen hatte Real Host den Ruf als "Bullet Proof"-Hoster tätig zu sein. Besonders für die Köpfe hinter illegalen Machenschaften wie Botnetze, Malware- oder Phishing-Webseiten war dieser Schutz interessant. Immerhin sei der lettische Hoster dafür bekannt gewesen, internationalen Ermittlern stets den Zugriff auf die Server verwehrt zu haben. Doch dieses Treiben scheint nun zu einem Ende gekommen zu sein. Nachdem Telia Sonera den Upstream-Provider Junik am Montag aufgefordert hatte, den Link von Real Host zu kappen, wurde dies kurzerhand vollzogen. Im Allgemeinen wird dieser Schlag gegen die organisierten Cyberkriminellen als einer der Erfolgreichsten in Europa angesehen.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Botnet aus Linux-Servern entdeckt
« Antwort #26 am: 12 September, 2009, 18:58 »
IT-Sicherheitsforscher entdeckten kürzlich ein Botnet, das nicht aus infizierten PCs, sondern aus Linux-Webservern besteht.

Die meisten Botnets bestehen aus Heim-PCs, die (meist über Trojaner) infiziert werden und anschließend dem Botnet-Master zur Verfügung stehen. Per Fernsteuerung können diese Bots (oft auch "Zombies" genannt) beispielsweise für DDoS-Angriffe und den Versand von Spam-Mails verwendet werden. Viele Botnet-Master vermieten ihre Netze auch, beispielsweise an Firmen, die Konkurrenten aus dem Netz bomben oder ihre Potenzmittel per Massen-Mailing vermarkten wollen, und verdienen damit Geld. Das neu entdeckte Botnet allerdings ist etwas anders.

Das Netz erhielt von Sicherheitsforschern schon den Spitznamen "Special Operations Botnet" und scheint primär der Malware-Verbreitung zu dienen. Jeder der Bots ist ein Linux-Webserver, auf dem legitime Websites gehostet werden. Wie Denis Sinegubko, ein selbständiger IT-Sicherheits-Experte aus Russland, berichtet, läuft auf den betroffenen Servern neben der Webserver-Software Apache noch ein zweiter Webserver mit Namen nginx. Auf diesem wird Malware gehostet.

"Was wir hier sehen ist ein lang erwartetes Botnet aus Zombie-Webservern. Eine Gruppe miteinander vernetzter infizierter Webserver mit einem gemeinsamen Kontrollserver, die dazu dienen, Malware zu verbreiten," schreibt Sinegubko in seinem Blog. Eine weitere Besonderheit: Nach Angaben des Sicherheitsforschers ist das Webserver-Botnet zusätzlich mit einem Botnet infizierter PCs vernetzt.

Der Schadcode wird auf dem nginx-Webserver auf Port 8080 angeboten. Anschließend wird er mit Hilfe dynamischer DNS-Server in legitime Websites injiziert. "Es ist besser, gleichzeitig Zombie-Clients und -Server zu haben. Dieses heterogene System bietet viel mehr Möglichkeiten und macht das ganze System flexibler," schreibt Sinegubko.

Wie die Server infiziert wurden, kann der Sicherheits-Experte noch nicht mit Bestimmtheit sagen. Er vermutet allerdings, dass sie von unvorsichtigen Administratoren betreut werden, deren Root-Passwörter mitgesnifft werden konnten.

Mit rund 100 Zombies scheint das Botnet bisher eher klein zu sein. Alle kompromittierten Server laufen unter verschiedenen Linux-Distributionen und verwenden die Webserver-Software Apache. Sinegubko vermutet, dass es sich bei dem Botnet entweder um einen reinen Proof of Concept handelt oder dass noch weitere infizierte Maschinen existieren, die bisher nicht entdeckt wurden.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Google als C&C Struktur von Botnetz genutzt
« Antwort #27 am: 14 September, 2009, 10:06 »
Soziale Netzwerke kommen als Kommunikationsstruktur für Botnetze immer stärker in Mode. Eine von Symantec entdeckte Variante bedient sich Google Groups.

Der Fokus von Sicherheitsunternehmen bei der Bekämpfung von Botnetzen richtet sich primär auf die so genannte „Command and Control“ (C&C) Struktur, über die Bots Informationen austauschen. Um unentdeckt zu bleiben, unterziehen die Entwickler von Botnetzen diese Struktur einem ständigen Wandel: Ursprünglich auf IRC basierend, wurden in den letzten Jahren immer häufiger unabhängige Peer-to-Peer (P2P) Strukturen aufgebaut. Neuster Trend: Die Nutzung von sozialen Netzwerken, wie Twitter oder – und das ist neu – Google Groups.

Die Forscher von Symantec entdeckten einen Trojaner, der als DLL verteilt wird und mit den Login Daten eines Google Benutzerkontos ausgestattet ist. Dieser Account greift auf eine private Newsgroup namens „escape2sun“ zurück. Diese Newsgroup dient einen Botnetz als C&C Struktur. Wie eine Analyse der Newsgroup ergab, liegen seit Dezember 2008 Zugriffe vor. Die Anzahl der einmaligen TCP/IP-Sockel (einmalige Systemzugriffe) lag laut Logfiles im Dezember 2008 bei unter 50, wuchs zwischenzeitlich auf über 400 an und liegt momentan bei circa 300. Die Forscher vermuten, dass es sich hierbei um einen Prototypen für eine neue Form von Botnetz handelt, der Google Groups als aktives C&C verwendet.

Quelle : www.tecchannel.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Botnetz-Kontrollserver tarnt Befehle als JPEG-Bild
« Antwort #28 am: 01 Oktober, 2009, 10:44 »
Offenbar in dem Versuch, die Kommunikation ihrer Bots über das Netzwerk zu verschleiern, tarnt der Command&Control-Server des Monkif-Botnetzes seine Befehle an die Drohnen rudimentär als JPEG-Bild. Laut Beobachtungen von Websense antwortet der als Webserver arbeitende C&C-Server auf Anfragen der Bots mit einem HTTP-Paket, in dessen Header als Content-Type "image/jpeg" eingetragen ist. Zusätzlich enthält das Paket einen gefälschten, jedoch gültigen JPEG-Header. Der Rest des Pakets enthält statt eines Bildes nur noch einen codierten Befehl (XOR mit 0x4).

Die Kriminellen wollen damit vermutlich in Firmennetzen installierte Netzwerküberwachungssysteme oder spezielle Bot-Detection-Software austricksen. Je nach Art der Erkennung könnte die Botkommunikation auf den ersten Blick für ein solches System wie eine normale Websession zwischen Browser und Server aussehen, bei dem der Anwender einige Bilder abruft. Um der Botnetzverbindung auf die Schliche zu kommen, müssten die Systeme tiefer in das Paket hineinschauen, was zusätzlich Aufwand bedeutet und gerade in sehr großen Netzwerken mitunter Probleme mit sich bringt.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Drive-by-Botnetz von Innen
« Antwort #29 am: 05 Oktober, 2009, 08:55 »
Wissenschaftlern der University of California in Santa Barbara (UCSB) ist es gelungen, in ein Malware-Netzwerk einzudringen, das es auf Besucher legitimer Websites abgesehen hat. Den Forschern gelang es dabei, neue Einblicke in den Bereich so genannter "Drive-by"-Angriffe zu gewinnen. Sie fanden dabei mehr als 6500 Websites, auf denen sich Schadcode verbarg. Betroffen waren bis zu 340.000 Surfer.

Damit ihre Methode funktioniert, hacken die Online-Gauner zunächst seriöse Angebote, von denen aus Nutzer dann auf Websites mit Schadcode umgeleitet werden. In der bislang noch unveröffentlichten Studie zeigen die Forscher, wie sie vier Monate lang das "Mebroot"-Botnetz infiltrieren konnten. Dabei fanden sie unter anderem heraus, dass längst nicht mehr nur zwielichtige Angebote von "Drive-by"-Attacken heimgesucht werden. Zwar waren insbesondere Pornoangebote besonders erfolgreich beim Verteilen der Malware, doch gewöhnliche Geschäfts-Websites waren insgesamt in der Mehrzahl.

"Es gab eine Zeit, da konnte man denken, es würde ausreichen, sich einfach nicht auf ominösen Sex-Websites herumzutreiben, um nicht zum Opfer zu werden", sagt Giovanni Vigna, Professor für Computerwissenschaften an der UCSB und einer der Autoren der Studie. Das reiche inzwischen nicht mehr aus. "Auch wer sich nicht auf Rotlichtseiten herumtreibt, kann angegriffen werden."

Das Mebroot-Botnetz wurde erstmals 2007 entdeckt. Es verwendet kompromittierte Websites, um die Besucher auf zentrale Download-Server umzuleiten, die dann wiederum versuchen, ihre Rechner zu infizieren. Die Malware, benannt nach einer Infektionsart bei Windows-Rechnern (MBR steht für Master Boot Record), erwies sich bei der Untersuchung als durchaus professionell. So scheinen die Programmierer durch diverse Debugging-Zyklen zu gehen. "Das ist definitiv eines der modernsten Botnetze, die es gibt", meint Kimmo Kasslin von der finnischen Anti-Viren-Software-Firma F-Secure.

Mebroot nutzt eine Reihe von Methoden, um legitime Web-Angebote nach eigenen Wünschen zu verändern. Dazu gehört spezieller JavaScript-Code, der Nutzer automatisch auf eine andere Adresse umleitet und die sich regelmäßig ändert. Dort versucht dann ein von den Online-Gangstern beherrschter Server, den Rechner des Benutzers mit Malware zu infizieren, die es ihnen erlaubt, diesen später fernzusteuern.

Die eigens für Mebroot entwickelte Generierung neuer Schadcode-Domains sei ein relativ cleverer Weg, Versuche zu unterbinden, das Malware-Netzwerk abzuschalten, schreiben Vigna und sein Team. Ältere "Drive-by"-Angriffe hätten die Opfer dagegen auf stets gleiche Adressen umgeleitet. Statt statisch zu bleiben, erzeugt das von Mebroot verwendete JavaScript jeden Tag eine neue Adresse. Der Domain-Algorithmus erinnert dabei stark an einen anderen Datenschädling, der die Welt bis vor kurzem in Atem hielt: "Conficker". Doch Mebroot ist schlauer. Während die bei Conficker verwendete Technik inzwischen bekannt ist und dazu führte, dass zahlreiche Steuerserver ihren Betrieb erst gar nicht aufnehmen konnten, nutzt das Botnetz zusätzliche Methoden zur Verschleierung.

In den vier Monaten, in denen die UCSB-Forscher Mebroot untersuchten, wurden drei verschiedene Domain-Algorithmen ermittelt. Zwei davon, die relativ einfach zu beherrschen waren, nutzten nur das jeweilige Tagesdatum. Die letzte Variante war jedoch erstaunlich schlau gewählt und ließ sich nicht einfach von Sicherheitsexperten vorhersagen: Sie nutze als zusätzliche Variable Buchstaben aus dem am jeweiligen Tag populärsten Suchbegriff beim Kurznachrichtendienst Twitter. "Die Mebroot-Hintermänner nutzen eine Variable, die niemand kontrollieren kann", sagt Marco Cova, UCSB-Student und Co-Autor der Studie.

Nachdem sie die Domain-Generierung entschlüsselt hatten, gelang es den Forschern, Mebroot immerhin kurzzeitig zu kompromittieren. Sie ermittelten die Steuerdomain und registrierten diese kurzerhand selbst. Allerdings reagierten die Online-Gauner darauf schnell: Nachdem sie mitbekamen, dass ein "Konkurrent" Adressen registrierten, reservierten sie gleich Dutzende im Voraus.

Den Forschern gelang es auch, die Systeme der potenziellen Mebroot-Opfer zu erkennen. Fast 64 Prozent der Benutzer nutzten Windows XP, 23 Prozent Windows Vista. Danach folgten Mac OS 10.4 und 10.5 mit 6,4 Prozent aller Besucher. (Allerdings bedeutet das nicht, dass alle dieser Nutzer auch wirklich infiziert wurden, Mebroot ist auf Windows-Sicherheitslücken abgestimmt.)

Zwar übernahmen die Forscher nicht auch Endbenutzersysteme, doch konnten sie anhand mehrerer Merkmale feststellen, ob diese bereits infiziert waren oder nicht. Demnach waren zwischen 6,5 und 13,3 Prozent aller Nutzer Mebroot-Opfer. Mehr als die Hälfte der angegriffenen Systeme verwendete zwar Antiviren-Programme, doch 12 Prozent der Rechner dieser Benutzer waren bereits von anderer Malware befallen.

Die Forscher entdeckten außerdem, dass fast 70 Prozent der potenziellen Mebroot-Opfer klassifiziert nach Internet-Adressen stark gefährdet waren. Mindestens eine von 40 Sicherheitslücken, die von Online-Gaunern besonders gerne ausgenutzt werden, stand bei ihnen offen. Von Mebroot selbst hätte immerhin die Hälfte angegriffen werden können; insgesamt sechs verschiedene Lücken nutzt das Botnetz aus, wissen die Forscher.

Die Studie zeige vor allem, wie wichtig es sei, sein System auf dem neuesten Stand zu halten, meint IT-Wissenschaftler Vigna. "Solche Aktualisierungen helfen den Nutzern normalerweise sehr gut dabei, ihr Risiko zu vermindern." Allerdings seien noch zu viele User Update-faul.

Quelle : http://www.heise.de/tr/

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )