PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 10 Oktober, 2005, 11:34
Titel: Trojaner 2.0 nutzen Web 2.0
Beitrag von: SiLæncer am 10 Oktober, 2005, 11:34
Die niederländischen Strafverfolgungsbehörden haben vergangene Woche drei mutmaßliche Botnetz-Betreiber festgenommen. Ihnen wird vorgeworfen, mit der Schadsoftware Backdoor.Win32.Codbot über 100.000 Rechner unter ihre Kontrolle gebracht zu haben. Es handelt sich dabei um einen so genannten IRC-Bot, der in einem Internet-Relay-Chat-Kanal auf die Befehle des Botnetz-Betreibers wartet.
Die Ermittler glauben, dass die 19-, 22- und 27-jährigen Verdächtigen Keylogger auf die Rechner installiert haben, um damit an Zugangsdaten von Kreditkarten, Paypal-Konten und E-Bay-Accounts zu kommen. Diese sollen die Verdächtigen weiterverkauft haben.
Weiterhin werfen die Ermittler ihnen die Erpressung eines US-amerikanischen Unternehmens vor. Sie sollen das Unternehmen mit einem Distributed-Denial-of-Service (DDoS) für den Fall bedroht haben, dass das Unternehmen die geforderte Summe nicht zahlt. Die Behörden rechnen mit weiteren Festnahmen in nächster Zeit.
Siehe dazu auch:
* Mitteilung des niederländischen Staatsanwaltschaft * Meldung von XS4ALL
Quelle und Links : http://www.heise.de/security/news/meldung/64742
Titel: Prozess in Holland: Cracker hackten 1,5 Millionen Rechner
Beitrag von: SiLæncer am 21 Oktober, 2005, 18:23
Dass kriminelle Cracker Viren, Trojaner und andere Tricks nutzen, um Rechner heimlich zu "Zombie-Netzen" zu verbinden, ist lang bekannt. In Holland stehen drei solche Cracks vor Gericht. Der Prozess zeigt, wo das Problem wirklich liegt.
Anfang Oktober ging bei der niederländischen Polizei ein Hinweis des bekannten Providers XS4All ein, auf seinen Servern liefen seltsame Dinge: Zahlreiche Rechner von Kunden schienen in koordinierter Weise parallel aktiv zu werden. Das roch nach einem "Zombie-" oder "Botnet". Hatten hier Hacker oder Cracker die Rechner von Privatleuten geknackt und missbrauchten sie nun für ihre Zwecke?
Genau das, entschieden die Fahnder der holländischen Polizei schnell - und fast noch schneller schafften sie den Zugriff. Keine zwei Wochen nach der ersten Aussendung des Virus, der das Botnetz geschaffen hatte, sehen sich zurzeit drei 19, 22 und 27 Jahre alte Niederländer mit einer Anklage konfrontiert.
Zunächst hatte es geheißen, ihnen werde die Manipulation von über 100.000 Rechnern vorgeworfen. Falsch war das nicht, aber auch nicht unbedingt präzise: Am Donnerstag erklärte die Staatsanwaltschaft in Breda, nun gehe es um 1,5 Millionen PCs, die die drei angeblich zu einem Zombie-Netzwerk verbunden haben sollen.
Und zwar mit kriminellen Intentionen. Anders als bei den "Spaß-Crackern" vergangener Jahre stecken hinter Viren- und Trojaneraussendungen, hinter Dateneinbrüchen und Denial-of-Service-Attacken und hinter Phishing immer öfter handfeste finanzielle Interessen.
Die niederländische Gruppe, die wahrscheinlich aus mehr als den drei bisher verhafteten Männern besteht, setzte auf ein sattsam bekanntes Rezept, zu Geld zu kommen: Sie versuchte, ein Zombien-Netz als Drohkulisse in einer Schutzgelderpressung zu nutzen.
Das Zombie-Netz von Rechnern, zu denen die Gruppe Zugang und über das sie zumindest teilweise Kontrolle hatte, hatten sich die Cracker per Virenaussendung geangelt: Mit einer Variante des Wurms W32.Toxbot gelang es ihnen, unfassbare 1,5 Millionen Rechner zu einem Netz für Denial-of-Service-Attacken zu verbinden.
Dort setzte das "Geschäftsmodell" an: Bald schon bekam eine US-Firma elektronische Post. Der Inhalt: Zahle, oder wir schießen deine Server ab. Nebenbei wurde noch versucht, Paypal- und eBay-Konteninformationen abzugreifen.
All das ist wenig überraschend und zugleich doch wieder. Das nun aufgedeckte Botnet sei zwar das bisher größte, das man habe identifizieren können, kommentierte Simon Hania von XS4All, aber letztlich sei es doch nur "ein Tropfen in einem Ozean".
Bedenklich stimmt, wie unspektakulär der ganze Vorgang tatsächlich ablief. Toxbot gilt als Wurm, der es zu keiner bemerkenswerten Verbreitung schaffte. Sein Schadenspotential wird als medioker eingeschätzt. Zudem hatten alle Anbieter von Virenschutz-Software binnen kürzester Zeit ein Update zu Toxbot angeboten: Wer seine Virenschutz-Software aktuell hielt, hatte seinen Rechner gegen Toxbot immunisiert, bevor der auch nur eine Chance hatte, sich richtig zu verbreiten.
Dass trotzdem 1,5 Millionen Rechner von dem Wurm "geöffnet" worden sein sollen, ist ein Armutszeugnis. Während Otto Normalverbraucher allabendlich sein Haus verrammelt, als stünde der Einfall der Hunnen bevor, ist der Umgang mit Computernetzen nach wie vor von zu großer Sorglosigkeit geprägt.
Zwar gehörte Toxbot nicht zur Klasse der per E-Mail verbreiteten Würmer, die eine aktive Mithilfe des Mailempfängers voraussetzen (beispielsweise durch Öffnen eines Virenverseuchten Dateianhanges). Toxbot verbreitete sich weitgehend "selbstständig" durch Ausnutzung dreier Sicherheitslücken im Betriebssystem Windows - auch das ist alles andere als selten.
Billig, aber leider wahr: Der Nutzer ist ein Mittäter
Solche auf System-Schwachstellen zielende Viren verbreiten sich über das Netz selbst: Bei manchen von ihnen reicht es, den Rechner schlicht mit dem Internet zu verbinden - das ist, als finge man sich eine Grippe bei der Fahrt in der U-Bahn. Andere schaffen die Infektion durch Ausnutzung von Sicherheitslücken in Browser-Software: Seit rund zwei Jahren gibt es Viren, denen als "Schnittstelle" zum Aufbrechen des Systems der Internet Explorer reichte.
Für reflexhaftes Microsoft-Bashing bietet dieser Fall jedoch keinerlei Anlass: Die Sicherheitslücken wurden von Microsoft im Oktober 2002, Juli 2003 respektive April 2004 geschlossen. Voraussetzung dafür, von Toxbot "abgeschossen" zu werden, war also ein Verzicht auf jede Pflege des Betriebssystems seit mindestens April 2004. Dass es überhaupt noch 1,5 Millionen Rechner gab, die die seitdem kursierenden Cyber-Krankheiten wie "Sasser" überhaupt überlebten, ist da vielleicht das eigentlich Ungewöhnliche an dem ganzen Fall.
Denn langsam sollte sich herumgesprochen haben, dass sich auch Rechner "impfen" lassen: Ihr Serum, um sie gegen die Tausenden von Viren und Würmer, die jedes Jahr programmiert werden, immun zu machen, heißt Update.
Sicherheitsexperten raten zu regelmäßigen Updates von Virenschutz-Software und Firewall, und auch die als "kritisch" bezeichneten Sicherheitslücken in Betriebssystemen sollte man regelmäßig flicken.
Hauptziel aller Hacker ist Microsofts Betriebssystem Windows, das diesen auch mächtig viel Gelegenheit zum Schindluder bietet. Microsoft reagiert auf die Akribie der Hacks und Cracks, die immer neue Sicherheitslücken finden, mit dem "Update-Tuesday": Jeweils am zweiten Dienstag eines Monats veröffentlicht Microsoft die aktuellen Updates. Das lohnt sich, denn auf mehrere Hundert Sicherheitslecks im Jahr bringt es Windows locker.
Wem diese Updaterei zu mühselig ist, kann sie von Windows automatisch erledigen lassen. Davon, dass das nötig ist, wird man sich in den nächsten Wochen beim Prozess in Breda überzeugen können.
Quelle : www.spiegel.de
Titel: Botnetze an Spammer vermietet
Beitrag von: SiLæncer am 04 November, 2005, 13:15
Im US-Bundesstaat Kalifornien ist am gestrigen Donnerstag ein 20-Jähriger verhaftet worden, der Botnetze für Spam-Zwecke aufgebaut und sie gegen Bezahlung anderen Personen zur Verfügung gestellt haben soll. Zudem installierte der Beschuldigte auf den infizierten Client-Rechnern Adware-Programme, wofür er von verschiedenen Firmen insgesamt rund 60.000 US-Dollar kassiert haben soll.
Nach Angaben der zuständigen Staatsanwaltschaft handelt es sich landesweit um den ersten aufgedeckten Fall, bei dem Botnetze vorrangig gewinnorientiert eingesetzt wurden. Sollte der 20-Jährige in allen 17 Anklagepunkten schuldig gesprochen werden, drohen ihm bis zu 50 Jahre Gefängnis. Vor Gericht muss er sich zudem wegen Angriffen auf Computersysteme des US-Verteidigungsministeriums verantworten.
Quelle : www.heise.de
Titel: Weihnachten ließ Botnetze schrumpfen
Beitrag von: SiLæncer am 28 Dezember, 2006, 12:25
Weihnachten scheint Betreibern sogenannter Botnetze einen Strich durch die Rechnung zu machen. Die Größe der weltweit gesichteten Botnetze ist nach Angaben mehrerer Beobachtungsstationen schlagartig zurück gegangen. Botnetze sind ein Zusammenschluss tausender bis hunderttausender infizierter PCs, in der Regel mit Windows als Betriebssystem, die ohne Wissen des Besitzers ferngesteuert werden. Kriminelle benutzen sie zum Versenden von Spam-Mails, Malware oder für großangelegte Angriffe (DDoS) auf andere Webserver oder Netze.
Die ShadowServer Foundation, ein Zusammenschluss mehrerer Sicherheitsspezialisten, die Botnetze, Malware und Phishing-Aktivitäten beobachten, bemerkten von Samstag auf Sonntag vergangener Woche einen Rückgang der von ihnen gezählten Zombie-PCs von circa 500.000 auf knapp 400.000. Auch der Meldeposten des Internet Strom Centers DShield verzeichnete einen Rückgang der Aktivitäten, allerdings nur um rund zehn Prozent. Eine Erklärung dafür ist der Austausch alter infizierter PCs gegen solche, die am Heiligabend verschenkt wurden. Damit würde eine große Zahl von Zombie-PCs auf einen Schlag vom Netz genommen. Zwar hinken die neuen Windows-PCs in der Regel mit dem Update-Stand hinterher und müssen ebenfalls aktualisiert werden, aber bereits die Firewall von Windows XP SP2 dürfte einen Mindestschutz beim ersten Gang ins Internet bieten, damit der Anwender das System in Ruhe aktualisieren kann.
Allerdings ist anzunehmen, dass im Laufe der nächsten Monate auch eine große Zahl der neuen PCs wieder mit Bots infiziert wird – spätestens, wenn Anwender den E-Mail-Client konfiguriert haben und erste Malware in den Posteingang spült. Einige Tipps zum Schutz des Weihnachts-Computers zeigt auch der heise-Security-Artikel "Sofortmaßnahmen für den Weihnachts-Computer".
Quelle : www.heise.de
Titel: Ein Viertel der Internet-PCs ist Mitglied eines Bot-Netzes
Beitrag von: SiLæncer am 26 Januar, 2007, 12:07
Ein Viertel aller Computer mit Internetzugang gehören einem Botnetz an, dessen ist sich Vint Cerf sicher. In einem Vortrag auf dem derzeit in Davos statt findenden World Economic Forum meinte der Mitentwickler von TCP/IP, "Internet-Vater" und "Chief Internet Evangelist" bei Google, die Verbeitung von Bot-Netzen komme einer Pandemie gleich. Nach Auffassung von Cerf seien von den 600 Millionen Internet-PCs 100 bis 150 Millionen mit Bots infiziert, berichtet die BBC. Das sei zwar eine erhebliche Bedrohung der Internet-Infrastruktur, dennoch arbeite das Internet weiterhin stabil und zuverlässig.
Bot-Netze sind Zusammenschlüsse mehrerer tausend bis hunderttausend infizierter PCs, die zentral von einem Command&Control-Server gesteuert werden. Bot-Netze werden unter anderem von ihren "Besitzern" für bestimmte Aufgaben vermietet, wie etwa dem Versand von Massen-Spams, der Verbreitung weiterer Trojaner oder großangelegten Angriffen auf Webserver oder Netze.
Dabei kommt es auch zu Seiteneffekten: Unter anderem hat nach Angaben von John Markoff, Redakteur der New York Times, ein einziges Bot-Netz 15 Prozent der Kapazität der Suchmaschinen von Yahoo belegt, als es für den Versand von Spam-Mails nach Zufallstexten für den Einbau in Mails suchte. Die meisten Anwender hätten indes nicht einmal die leiseste Ahnung, dass ihr PC mit einem Trojaner infiziert sei und als Bot an Angriffen teilnehme. Teilweise erreiche die Netzlast eines Bot-Netzes 10 bis 20 GBit/s.
Quelle : www.heise.de
Titel: Umfrage: Bots und Botnetze kaum bekannt
Beitrag von: SiLæncer am 15 Juni, 2007, 18:17
Die Sicherheitsfirma Symantec hat im Netz 1000 Teilnehmer zu den Begriffen Bots und Botnetze befragt. Einem Großteil der auf den Symantec-Seiten surfenden Nutzern sagten diese Begriffe nichts, resümiert Symantec. Die Umfrage ist dem Unternehmen zufolge "web-repräsentativ".
Unterschiede ließen sich zwischen den Altersgruppen und auch zwischen den Geschlechtern ausmachen. Insgesamt haben 62,4 Prozent der Befragten noch nie von Bots oder Botnetzen gehört. Während mehr als die Hälfte der 14- bis 19- und 20- bis 29-jährigen Teilnehmer die Begriffe kannten, schrumpfte der Anteil bei den über 50-jährigen auf 20 Prozent zusammen. Nicht einmal einem Drittel aller Frauen waren die Begriffe bekannt, während die männlichen Befragten auch nur zu 45,5 Prozent damit vertraut waren.
Besser steht es mit dem Wissen um die kriminellen Phänomene Phishing und Spionageprogramme. Rund 80 Prozent der Umfrageteilnehmer kennen diese Gefahren. Bei Spyware lässt sich jedoch wieder ein altersabhängiger Trend ausmachen: Etwa 90 Prozent der 14- bis 29-Jährigen wissen um diese Schädlinge, während der Anteil bei den über 50-Jährigen nur bei rund zwei Dritteln liegt.
Quelle : www.heise.de
Titel: Neuseeländer soll Botnetz mit 1,3 Millionen Computern gesteuert haben
Beitrag von: SiLæncer am 30 November, 2007, 10:52
Ein 18-Jähriger wird in Neuseeland verdächtigt, mehr als 1,3 Millionen Computer weltweit mit einem Wurm infiziert und damit ein Botnetz aufgebaut zu haben, über das die infizierten Computer ohne Wissen deren Anwender unter anderem zu DDoS-Angriffen benutzt wurden. Unter anderem soll das Botnetz für einen Angriff auf IRC-Server und Systeme von Sicherheitsfirmen eingesetzt worden sein, bei dem versehentlich auch einen Server der Universität von Philadelphia lahmgelegt wurde, berichten australische und neuseeländische Medien.
Der Neuseeländer, der unter dem Codenamen "AKILL" operiert haben und für seine Zwecke den Wurm AKBot eingesetzt haben soll, sei unter Mitarbeit des FBI festgenommen worden und werde verhört, berichtete die neuseeländische Polizei. "Er ist sehr clever", sagte der Chef der Abteilung für Computerkriminalität, Maarten Kleintjes, laut dpa, "er ist einer der Weltbesten bei der Entwicklung dieser Art von Software."
Der 18-Jährige soll weltweit eine ganze Bande dirigiert haben, die unter dem Namen "A-Team" mit Schwerpunkten in Neuseeland, den Niederlanden und den USA operierte. Der entstandene Schaden wird auf umgerechnet 13,5 Millionen Euro geschätzt. Im Zuge der Razzia seien Rechner beschlagnahmt worden, die nun untersucht würden.
Das FBI erklärte parallel zu der Aktion in Neuseeland, im Rahmen der seit Juni laufenden Operation "Bot Roast" seien acht Verdächtige angeklagt worden und hätten sich schuldig bekannt oder seien wegen Botnet-Aktivitäten verurteilt worden. Zusätzlich seien 13 Haftbefehle ausgestellt worden.
Quelle : www.heise.de
Titel: Trojaner 2.0 nutzen Web 2.0
Beitrag von: SiLæncer am 11 Dezember, 2007, 17:25
Die Betreiber von Botnetzen denken sich nach Angaben des Hersteller Finjan immer neue Maschen aus, um ihre Kontrollstrukturen zu verschleiern. Neuester Trend ist offenbar, die Kommunikation asymmetrisch zu gestalten und RSS-Feeds und öffentliche Blogs dafür zu benutzen. Anders als bei IRC-basierten Bots verteilt der Besitzer des Botnetzes seine Befehle über RSS-Feeds an seine Drohnen. Die RSS-Feeds stammen dabei aus einem Blog-System, auf das der Bot-Hirte Zugriff hat. Dies kann ein öffentliches, aber wenig frequentiertes Blog eines offiziellen Anbieters wie Blogspot sein. Ihre Antworten respektive gesammelte Daten liefern die Drohnen dann an ein anderes öffentliches Blog wieder ab oder schreiben sie in MySpace-Seiten und Googlepages.
In dem die Botnetzbetreiber ihre Kommunikation quasi in die des Web 2.0 einflechten, wird nicht nur die Entdeckung der Kontrollstrukturen schwerer. Die Wege lassen sich auch schwerer stören, wenn man nicht Gefahr laufen will, normale Dienste zu behindern. Das einfache Blockieren von Blogs und Webseiten funktioniert an dieser Stelle nicht so ohne weiteres. Vielmehr kommt Finjan in seinem Web Security Trends Report Q4/2007 zu dem Schluss, dass Inhalte nach verdächtigen Befehlen zu durchsuchen seien. Der komplette Report steht als PDF-Datei zum Download bereit.
Die beobachteten Tricks stellen jedoch keineswegs die Regel dar. Gerade drei Schädlinge will Finjan gesichtet haben, die auf diese Weise mit ihren Herrchen kommunizieren. Vielmehr dominieren weiterhin IRC-basierende Botnetze, wobei die Betreiber offenbar auch darauf achten, ihre Herde klein zu halten, um nicht aufzufallen. Zombie-Armeen mit bis zu 1,3 Millionen infizierter PCs stellen bislang die Ausnahme dar.
Siehe dazu auch:
* Web Security Trends Report Q4/2007, Bericht von Finjan -> http://finjan.com/GetObject.aspx?ObjId=545
Quelle : www.heise.de
Titel: 1&1 will gegen Bot-Netze vorgehen
Beitrag von: SiLæncer am 10 Februar, 2009, 11:52
Die 1&1 Internet AG hat nach eigenen Angaben zum heutigen Safer Internet Day eine Initiative gegen Botnetze gestartet. Anhand eigener Beobachtungen, Informationen von Behörden sowie Hinweisen Dritter will der Anbieter PCs ermitteln, die mit Viren oder Trojanern infiziert sind. 1&1 will anschließend betroffene Internet-Nutzer über die Bedrohung informieren und Hinweise zur Beseitigung der Schadsoftware geben.
Botnetze wie Srizbi, Rustock und Stormworm bilden mittlerweile für Internet-Kriminelle ein zuverlässiges Rückgrat, das für Phishing-Angriffe, Versand von Spam-Mails und DDoS-Angriffe benutzt wird. Dabei lenkt ein Command&Control-Server bis zu mehrere hunderttausend infizierter PCs, um sie für kriminelle Aktivitäten zu missbrauchen.
"Unsere Sicherheitsexperten beschäftigen sich täglich mit zahlreichen Bedrohungen aus dem Internet, etwa der Bekämpfung von Spam-Mails, die mittlerweile leider schon rund 80 Prozent aller E-Mail-Nachrichten ausmachen", meint 1&1 Vorstandssprecher Robert Hoffmann. "Die größere Gefahr stellt aber der Versand von Trojaner-Mails und damit verbunden der Aufbau von Bot-Netzen dar. Als großer Anbieter von Internet-Zugängen und E-Mail-Postfächern sehen wir uns in der Pflicht und wollen helfen, das Internet sicherer zu machen."
Bereits vor einigen Monaten habe man mit der Bekämpfung von Internet-Missbrauch begonnen und gezielt verschiedene Quellen nach Hinweisen auf infizierte PCs ausgewertet. Dazu nutze man eigene Honeypot-Systeme, die verseuchte PCs erkennen sollen. Daneben erhält 1&1 jeden Monat mehrere Tausend Hinweise von Behörden wie dem BKA, Landeskriminalämtern oder dem Referat CERT-Bund im Bundesamt für Sicherheit in der Informationstechnik (BSI), mit dem die 1&1-Abuse-Abteilung eng zusammen arbeitet. Diese Informationen werden geprüft und betroffene 1&1-Kunden anschließend mit einem entsprechenden Hinweis angeschrieben.
"Wir haben in einem ersten Testlauf gezielt einzelne Kunden zunächst per E-Mail informiert und waren von der Resonanz positiv überrascht", erläutert Robert Hoffmann. "Mehr als 90 Prozent der betroffenen Nutzer haben die Bedrohung in Folge abgestellt. Mit den übrigen Anwendern werden wir uns noch einmal gesondert in Verbindung setzen." Als Ergebnis dieses Testlaufs werden nun alle infizierten Nutzer regelmäßig gezielt informiert.
Quelle : www.heise.de
Titel: Einladung zum Einbruch: Viele Internet-Seiten sind schlampig gepflegt
Beitrag von: SiLæncer am 26 Februar, 2009, 15:56
Alarmanlagen, Überwachungskameras, Lichtschranken – der Online-Laden verkauft allerlei, um ein Haus zur Festung aufzurüsten. Doch in seiner eigenen digitalen Präsenz lässt das Unternehmen die Tür für unerbetene Gäste weit offen: Auf dem Server läuft das populäre Programmpaket Typo3, mit dem man Websites verwalten kann. Durch eine Lücke in der Software könnten Hacker problemlos eindringen und die Website manipulieren. Schutz bietet ein Update, das der Hersteller bereits seit mehr als zwei Wochen anbietet. Doch der Administrator hat geschlampt, die neue Version fehlt.
Damit ist er in schlechter Gesellschaft: Zahlreiche Websites und Unternehmensnetzwerke sind angreifbar, weil Software-Updates erst mit Verzögerungen eingespielt werden. Eine Studie des Gelsenkirchener Instituts für Internet-Sicherheit zeigt am Beispiel von Typo3, wie gravierend das Problem ist: Zwei Wochen nach Bekanntwerden der Lücke waren von 350 untersuchten Websites noch rund 20 Prozent nicht aktualisiert. Neben dem Laden für Sicherheitstechnik waren auch Universitäten und eine bekannte Hotelkette betroffen.
Auch die Websites von Wolfgang Schäuble und Schalke 04 hatte es kürzlich getroffen. Doch während die Hacker hier die Texte auf der Seite sichtbar manipulierten, sind die meisten Angriffe heimlich. So ermöglicht eine Sicherheitslücke, schädliche Software einzuschleusen. "Es kann passieren, dass jemand sich auf einer scheinbar vertrauenswürdigen Website einen Trojaner einfängt", sagt Frank Felzmann, Experte für IT-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn.
Einige Schädlinge legen ganze Unternehmensnetzwerke lahm. Der Computerwurm Conficker beispielsweise verbreitet sich über mehrere Wege, nutzt aber unter anderem eine Schwachstelle im Betriebssystem Windows aus. Einen Sicherheitsflicken hatte Microsoft bereits im Oktober veröffentlicht. Wer diesen noch nicht installiert habe, spiele "Russisches Roulette", sagte ein Manager des Software-Riesen kürzlich. Der Schädling hat weltweit Netzwerke befallen.
Vermeiden lassen sich Programmierfehler kaum, denn Bürosoftware, Browser und Betriebssysteme werden immer komplexer – so besteht zum Beispiel Windows Vista aus 50 Millionen Zeilen Programmcode. Ohne Updates geht es also nicht. Doch gerade in Unternehmen dauert es oft, bis die Lücken geschlossen sind, erklärt Felzmann. "Große Firmen testen erst die Auswirkungen des Updates auf andere Programme." Zudem sei es aufwendig, alle Rechner zu aktualisieren – zumal wenn mehrere Standorte betroffen und auch noch Notebooks im Umlauf sind.
"Angreifer wissen um die Zeitverzögerung und greifen gezielt die Schwachstelle an, die der Hersteller schließt", warnt Professor Norbert Pohlmann vom Institut für Internet-Sicherheit der Fachhochschule Gelsenkirchen. Damit sind die Rechner der Attacke schutzlos ausgeliefert – wie bei Schwachstellen, für die es noch kein Update gibt. "Wir leben in einer Informationsgesellschaft und müssen lernen, mit den Risiken umzugehen", betont Pohlmann. Neben einem Anti-Virus-Programm und einer Firewall seien Updates Pflicht. "Zu Hause lasse ich ja auch nicht die Haustür offen stehen."
Quelle : www.heise.de
Titel: Fünf Prozent aller Unternehmens-PCs mit Bots infiziert
Beitrag von: SiLæncer am 04 März, 2009, 13:17
Drei bis fünf Prozent aller Systeme in Unternehmen sind mit Bots infiziert, schreibt der Sicherheitsdienstleister Damballa in einer Studie (PDF-Dokument). Vor einer Infektion schützt nach seinen Erkenntnissen oft auch Antivirensoftware nicht, da die Erkennungsrate beim Auftauchen neuer Schädlinge nur bei rund 53 Prozent liege. Nach einiger Zeit steige die Erkennung durch neue Signaturen auf 85 Prozent an.
Die mittlere Dauer bis zur Erkennung eines Schädlings liege laut Studie bei 54 Tagen. 15 Prozent der Infektionen bleiben nach Beobachtungen von Damballa aber auch nach 180 Tagen noch unentdeckt. Die schlechte Erkennung sei einer der Gründe, warum insbesondere Unternehmen mit dem Botnet-Problem zu kämpfen hätten. Ein Kunde von Damballa soll sogar täglich hundert neue Infektionen von Systemen mit Bots beobachten. Als Abwehr sei ergänzend zur Antivirensoftware die Überwachung des Netzwerkverkehrs notwendig, um die Kommunikation der Bots mit ihrem Command&Control-Server zu verhindern.
Aufgrund des ausufernden Botnet-Problems hat Australiens Internet Industry Association Anfang der Woche die National Zombie Awareness Week gestartet. Sinn der Übung soll es sein, das Auge für mögliche Infektionen von PCs in Unternehmen und bei Privatanwendern zu schärfen und Vorsorgemaßnahmen zu ergreifen. Ein durch den Bot in einen sogenannten Zombie verwandelter PC sei nicht zu tolerieren, da durch ihn tausende Spam-Mails in Umlauf gelangen und er andere PCs angreife, so die Initiative auf seiner Webseite.
Quelle : www.heise.de
Titel: BBC übernimmt Botnetz
Beitrag von: SiLæncer am 12 März, 2009, 16:31
Die britische Rundfunkanstalt BBC hat im Zuge von Recherchearbeiten zur globalen Internetkriminalität die Kontrollsoftware für ein Botnetz erworben. Laut einem BBC-Bericht bestand das nach der BBC-Sendung "Click" benannte Netzwerk zum Zeitpunkt der Übernahme aus rund 22.000 Zombie-PCs. Den zugehörigen Click-Beitrag will die BBC am Samstag, den 14. März um 12:30 Uhr nach deutscher Zeit ausstrahlen. Auf der Website sind bereits Auszüge zu sehen.
(http://www.heise.de/bilder/134489/0/1)
Zu Demonstrationszwecken wurde laut der BBC nach Absprache mit dem Betreiber eine Website mit einem Distributed-Denial-of-Service-Angriff (DDoS) lahmgelegt. Dabei stellte sich heraus, dass dazu bereits die Netzwerkanfragen von 60 PCs ausgereicht hätten. Inzwischen seien die betroffenen Computer-Nutzer über die Vorgänge informiert worden. Dazu wurde der Desktop-Hintergrund infizierter Systeme mit einer entsprechenden Warnmeldung versehen. Persönliche Daten auf den PCs seien nicht abgerufen worden.
Ob die Aktion nach britischem Recht legal war, ist fraglich. Das britische Rechtssystem hat mit der Novellierung des Computer Misuse Act (CMA) ein dem deutschen Hackertool-Paragraphen § 202c ähnliches Instrumentarium erhalten, das bei dem Kontrollprogramm greifen könnte. Laut Graham Cluley vom AV-Spezialisten Sophos könnte auch die Modifikation des Desktop-Hintergrundes unter das Gesetz fallen. Seiner Ansicht nach liegt möglicherweise auch der Strafbestand des Zahlens von Geld an Kriminelle vor. Aus dem BBC-Bericht geht jedoch nicht hervor, ob für den Erwerb des Kontrollprogramms Geld geflossen ist oder nicht.
Nach deutschem Recht wäre der Erwerb des Kontrollprogramms vermutlich nicht strafbar. Zwar dürfte es sich bei der Software um ein "Hackertool" im Sinne des § 202c des Strafgesetzbuches (StGB) handeln. Der Erwerb der Software erfolgte jedoch offensichtlich nicht zu dem Zweck, damit eine Straftat vorzubereiten. So wurde etwa jüngst das Verfahren gegen iX-Chefredakteur Jürgen Seeger nach dessen Selbstanzeige eingestellt, da in seinem Fall die Verbreitung der fraglichen Software auf der iX-Heft-DVD nicht in der Absicht erfolgte, damit das Ausspähen oder Abfangen von Daten vorzubereiten.
Kriminelle nutzen Botnetze nicht nur zur massenhaften Versendung von unerwünschten Werbe-E-Mails (Spam), sondern auch zur Erpressung von Unternehmen und öffentlichen Stellen. Mit ausreichend großen Botnetzen lässt sich sogar die Kommunikation ganzer Länder stören oder lahmlegen wie zuletzt durch den vermutlich politisch motivierten DDoS-Angriff auf die Internet-Infrastruktur von Estland.
Quelle : www.heise.de
Titel: BBC will bei Botnetz-Übernahme legal vorgegangen sein
Beitrag von: SiLæncer am 14 März, 2009, 17:14
Die britische Rundfunkanstalt BBC hat auf die Vorwürfe reagiert, dass die Übernahme und Anwendung eines Botnetzes für einen Beitrag der BBC-Sendung "Click" über Internetsicherheit illegal sein könnte. In einem Interview mit unserem britischen Newsdienst The H antwortete ein BBC-Sprecher auf die Frage, ob bei der Übernahme Geld geflossen sei, dass man zwar über die Zahlungen nicht reden werde, dass aber die Demonstration im öffentlichen Interesse gewesen sei. Damit bezieht sich die BBC auf eine Klausel im Regelwerk der OFCOM (Office of Communications, die britische Medienaufsichtsbehörde) zum Umgang mit Kriminellen. Dort heißt es in Punkt 3.3, dass kein Geld an Kriminelle fließen darf, außer es besteht ein öffentliches Interesse.
"Die BBC ist der Ansicht, dass ein großes öffentliches Interesse danach besteht zu erfahren, wie leicht PCs durch bösartige Software verwundbar sind. In diesem Kontext sollte das Experiment betrachtet werden," sagte der BBC-Sprecher. Das öffentliche Interesse sah auch The H, bedauerte aber die mangelnde Transparenz in der Frage, welche Zahlungen geflossen sind.
In Übereinkuft mit den OFCOM-Regeln werde der Beitrag keine technischen Details enthalten, die ein Zuschauer als Anleitung zum Erwerb oder Betrieb eines Botnetzes nutzen könne, so der Sprecher weiter. Er betonte nochmals, dass die redaktionelle Zielsetzung war, die Anwender vor den Gefahren der organisierten Internetkriminalität zu warnen – besonders diejenigen, die nicht wissen, dass ihr Rechner schon infiziert ist.
Die BBC hat den Beitrag heute ausgestrahlt. Er steht auch inklusive mehrerer Videoclips und Sicherheitstipps online (http://news.bbc.co.uk/2/hi/programmes/click_online/default.stm).
Quelle : www.heise.de
Titel: BBC - Botnet-Sendung weiter Aufreger
Beitrag von: SiLæncer am 20 März, 2009, 10:14
Der Streit um die BBC-Sendung, in der Reporter des britischen TV- und Radiosenders live den Umgang mit einem Botnet zeigten, dauert offenbar an.
In der Sendung BBC Click kontrollierten Mitarbeiter des Senders kurzfristig rund 22.000 Zombies. Mit Hilfe des Botnets verschickten sie Spam an zuvor für diesen Zweck eingerichtete Email-Adressen und starteten einen DdoS-Angriff auf eine Dummy-Website der IT-Sicherheitsfirma PrevX, die die BBC auch bei der Sendung beriet.
Für das Botnet wurde angeblich Miete an russische und ukrainische Cyberkriminelle gezahlt. BBC-Mitarbeiter änderten den Desktop-Hintergrund auf den infizierten Rechnern, um deren Besitzer auf die Infektion aufmerksam zu machen. Der Sender gibt an, mit dieser Sendung das Informationsinteresse der Öffentlichkeit erfüllt zu haben. Die Reaktionen in Fachkreisen sind jedoch sehr kontrovers.
So sagte der bekannte Jurist mit Spezialisierung auf IT-Recht Struan Robertson, die Handlungsweise der BBC sei "kaum besser als Selbstjustiz". Er betonte, die BBC habe gegen britische Gesetze zur Computerkriminalität verstoßen und solle sich für die Sendung entschuldigen. Vor dem Hintergrund der IT-Gesetzgebung ließ er das von der BBC vorgebrachte Argument des öffentlichen Interesses nicht gelten; es sei in diesem Kontext irrelevant.
Die bekannten IT-Sicherheitsfirmen sind tief gespalten in ihrer Reaktion. Eine Gruppe, bestehend aus unter anderem Kaspersky, AVG, McAfee, FaceTime, Sophos, Sunbelt Software und F-Secure, ist der Ansicht, das Experiment hätte auch im Labor durchgeführt werden können, und bezeichnet das Vorgehen der BBC als "fehlgeleitet, unnötig und unethisch". Daneben gibt es allerdings auch eine zweite Gruppe, der neben der mitwirkenden Firma PrevX auch Comodo, MessageLabs und Marshal8e6 angehören. Diese Firmen unterstützen die BBC in ihrer Handlungsweise und loben die Sendung dafür, das Risiko der Cyberkriminalität so deutlich und praxisnah wie nie zuvor illustriert zu haben. Ähnlich gespalten sind auch die Reaktionen im Internet.
Quelle : www.gulli.com
Titel: Sicherheitsfirma entdeckt Botnetz aus 1,9 Mio. PCs
Beitrag von: SiLæncer am 22 April, 2009, 09:43
Das Sicherheitsunternehmen Finjan hat eines der größten derzeit aktiven Botnetze entdeckt. Wie man auf der RSA Security-Konferenz mitteilte, umfasst dieses etwa 1,9 Millionen Computer.
Nachforschungen hätten ergeben, dass das Botnetz von einer sechs Personen umfassenden Gruppe aus der Ukraine gesteuert wird. Hauptsächlich wird die Infrastruktur zum Versand von Spam genutzt. Die infizierten Rechner werden aber auch ausspioniert.
Gemessen an den Preisen, die derzeit auf dem Schwarzmarkt für das Vermieten von Rechnerkapazitäten gezahlt werden, können die Betreiber bis zu 190.000 Dollar am Tag mit ihrem Botnetz verdienen, erklärte Yuval Ben-Itzhak, Technikchef von Finjan.
Neue PCs werden dem Botnetz mit einem Trojaner hinzugefügt, das bisher nur von vier der getesteten 39 Antiviren-Produkte entdeckt wird, berichtete er weiter. Rund die Hälfte der befallenen Rechner steht in den USA. 77 von ihnen sogar in Behörden, wo durch den Schädling unter Umständen sensible Informationen ausgespäht werden können.
Quelle : http://winfuture.de
Titel: Botnetze: Bis zu 25.000 Spams pro PC und Stunde
Beitrag von: SiLæncer am 23 April, 2009, 17:53
Botnetze haben eine ungeheuer große Leistungsfähigkeit, wenn es um den Versand von Spam-Mails geht. Das beste derzeit aktive System kann bis zu 25.000 Nachrichten pro infiziertem System in einer Stunde verschicken.
Das haben Forscher des Sicherheits-Instituts TraceLabs aus den USA in einer Untersuchung herausgefunden. "Rustock" und "Xarvester" heißen die Spitzenreiter unter den Botnetzen, die es auf diesen Wert bringen. Dies entspricht maximal 600.000 E-Mails pro Tag oder 4,2 Millionen pro Woche.
Bedenkt man, dass solche Botnetze in der Regel aus einigen zehntausend bis hunderttausend Rechnern bestehen, erhält man eine Ahnung davon, auf welch leistungsfähige Infrastrukturen Spammer zugreifen können. Der Versand von Millionen Werbenachrichten ist binnen Minuten zu organisieren und durch die Verwendung gekaperter Rechner auch noch äußerst billig.
Das drittplatzierte Botnetz, "Mega-D" schafft immerhin 15.000 Spams pro Stunde und PC. 4.000 Nachrichten sind es bei "Grum", dem schlechtesten der zehn untersuchten Netze. Die Forscher hatten Test-PCs bewusst mit Trojanern infiziert, die Rechner für die jeweiligen Botnetze rekrutieren und die Leistungsfähigkeit der integrierten Mailserver getestet.
Quelle : http://winfuture.de
Titel: Kampf gegen Botnetze weitgehend ineffizient
Beitrag von: SiLæncer am 24 April, 2009, 12:55
Strafverfolger und IT-Industrie gehen momentan noch ineffizient gegen Botnetzbetreiber und andere Cyber-Kriminelle vor. Das erklärte Joe Stewart, Director of Malware Research bei Secureworks in seinem Vortrag "Demonetizing Botnets" im Rahmen der noch bis heute andauernden RSA Conference 2009. Laut Stewart konzentrieren sich die Gegenmaßnahmen zumeist auf technische Lösungen: Patchen von Lücken, Abschalten der Command-und-Control-Server (C&C) von Botnetzen, Installieren von Spamfiltern und so weiter.
Insbesondere die weltweite IT-Sicherheitsgemeinde hat eher die Abwehr der Attacke im Fokus als die Angreifer. Dabei sind es genau diese Experten, die Stewart zufolge den Strafverfolgern möglichst viele Informationen über die für die Angriffe Verantwortlichen zukommen lassen müssten. Die Aktivitäten der Forscher und der Behörden überschneiden sich laut Stewart kaum. Diese Tatsache sorgt in Kombination mit chronischer Knappheit an Geld und Mitarbeitern sowie der oft mangelhaften internationalen Zusammenarbeit für die niedrige Erfolgsquote der Strafverfolger und die stetig anschwellende Zahl neuer Angriffe. Stewart bemängelt auch, dass viele Maßnahmen nur kurzfristig Linderung bringen, die Angreifer nach kurzer Erholungsphase aber umso entschlossener zu Werke gehen.
Seiner Meinung nach hätte man den Hoster McColo nicht vollständig vom Netz nehmen dürfen. Denn das hat die Betreiber der Botnetze, deren C&C-Server von McColo gehostet wurden, auf den Plan gerufen. Sie haben sich anschließend höchstwahrscheinlich einen Hoster in einem Land gesucht, in dem ISPs nicht so schnell zur Zusammenarbeit mit den Strafverfolgungsbehörden gezwungen werden können. Die Chance wurde also vertan, mehr über die Cyber-Kriminellen in Erfahrung zu bringen.
Der Sicherheitsexperte Stewart schlägt daher vor, unauffälliger zu Werke zu gehen. Im Falle der C&C-Server würde es seiner Meinung nach genügen, deren Bandbreite zu drosseln und so den Wirkungsgrad für die Zeit zu senken, die Sicherheitsforscher und Polizei benötigen, um Hinweise auf die Identität der Betreiber zu sammeln. Gleichzeitig hätten die ISPs der Kunden, deren Rechner infiziert waren, diese per DNS-Zone isolieren können. Die Taktik der Jäger sollte keinesfalls so auffällig und leicht zu durchschauen sein, dass sie die Verfolgten aufschreckt und dazu anstachelt, ihr bösartiges Werk technisch noch weiter zu verfeinern. Laut Stewart ist die raffinierte dezentrale Peer-to-Peer-Struktur der Botnetze Whaledac und Conficker das Ergebnis des zuvor geräuschvoll abgewickelten Abschaltens einiger C&C-Server.
Um wirklich effizient gegen Cyber-Gangster vorgehen zu können, brauche man andere Strukturen und Kompetenzen, sagte Stewart. Ihm schwebe eine Reihe von spezialisierten Teams aus Fachleuten vor, die ganz gezielt gegen jeweils eine Gruppe von Kriminellen vorgeht. In den Teams sollen sich jeweils über den ganzen Globus verstreute Personen mit unterschiedlichen Fähigkeiten finden, wie zum Beispiel Fachleute für Reverse Engineering, Social Engineering oder Sprachwissenschaftler. Stewart ließ offen, ob hinter den Kulissen bereits am Zusammenstellen solcher Teams gearbeitet wird.
Idealer Partner für diese Expertengruppe wären nationale CERTs (Computer Emergency Respsonse Team) mit erweiterten Kompetenzen. Als Beispiel führte Stewart das CERT in Südkorea an: Alle ISPs des Landes schicken im Fünfminutentakt Statusmeldungen über Netzwerktraffic und eventuelle Auffälligkeiten an das CERT. Werden dort bösartige Vorgänge festgestellt, kann das CERT ohne zeitraubende Rücksprache mit Behörden oder Strafverfolgern IP-Adressen sperren, URLs filtern oder schädlichen Traffic blockieren. Die so gesammelten Informationen dienen aber nicht nur als Grundlage für sofortige technische Gegenmaßnahmen, sondern auch zur Identifikation der Täter.
Stewart räumte gleichzeitig aber ein, dass ein solches Konzept nur dann Erfolg verspricht, wenn möglichst viele Länder ein CERT mit solchen erweiterten Zuständigkeiten unterhalten. Außerdem dürfe das CERT keinesfalls zum Hilfssheriff beispielsweise für die Musik- und Filmindustrie werden, sondern sich ausschließlich auf den Kampf gegen Cyber-Kriminelle konzentrieren.
Quelle : www.heise.de
Titel: Trojaner-Verbreitung per Suchmaschine
Beitrag von: SiLæncer am 28 April, 2009, 21:25
Beim Versuch, schädliche Software zu verbreiten, gehen Cyberkriminelle jetzt verstärkt neue Wege: Statt Spam-Mails zu versenden, werden jetzt immer öfter Suchmaschinen manipuliert.
Um Viren, Würmer, Trojaner oder auch sogenannte Scareware (gefälschte Sicherheitsprogramme mit dem primären Ziel, nichtsahnenden Anwendern Geld aus der Tasche zu ziehen) zu verbreiten, verschickten Cyberkriminelle bisher oft massenhaft Spam-Mails, die die entsprechende Software enthielten oder auf diese verlinkten. Das jedoch blieb auch den Internetnutzern nicht verborgen, weswegen viele von ihnen unbekannten Mail-Anhängen gegenüber zunehmend sehr misstrauisch wurden. Dementsprechend sahen sich die Schadsoftware-Autoren gezwungen, erneut kreativ zu werden. Ihre neueste Methode ist nach Angaben der IT-Sicherheitsfirma Panda Security die Manipulation von Suchmaschinen-Ergebnissen durch massenhaftes Online-Stellen manipulierter, suchmaschinenoptimierter Websites, so dass die Suchmaschinen auf die Schadsoftware verweisen.
Besonders krass ist momentan der Fall der Firma Ford Motor Company. Zu diesem beliebten Suchbegriff sollen rund 1,2 Millionen gefälschte, der Verbreitung von Malware dienende Websites im Netz sein.
Fachleute prägten für die neue Methode der Malware-Verbreitung die Bezeichnung "Blackhat SEO-Attacke". Die Angreifer verschaffen sich mit Hilfe von Tools wie zum Beispiel "Google Trends" einen Überblick, welche Suchbegriffe gerade besonders gefragt sind. Mit diesen wird dann eine Website erstellt, die neben den Suchbegriffen auch manipulierte, thematisch passende Videos enthält, über die sich nichtsahnende Besucher den Schadcode auf ihren Rechner ziehen, wenn sie diese herunterladen.
Quelle : www.gulli.com
Titel: US-Forscher übernehmen Botnet "Torpig"
Beitrag von: SiLæncer am 05 Mai, 2009, 07:27
Rund 180.000 Rechner sollen infiziert sein
In Kalifornien haben Sicherheitsforscher der Universität von Santa Barbara für zehn Tage das Botnetz des Schadprogramms "Torpig" übernommen. In Kooperation mit Strafverfolgungsbehörden schnitten sie dabei die übermittelten Daten der infizierten Rechner mit und untersuchten, mit welchen ausgefeilten Techniken Torpig seit drei Jahren überleben konnte. Das Programm Torpig, bei manchen Antivirenherstellern auch als "Sinowal" bezeichnet, tauchte erstmals 2006 auf und ist immer noch im Umlauf. Es verbreitet sich inzwischen nicht mehr nur durch ausführbare Dateien, die per E-Mail versendet werden, sondern auch durch Skriptcode auf Webseiten.
Schon dabei geht Torpig laut der Analyse der Computer Security Group an der staatlichen Universität von Santa Barbara sowohl aggressiv wie auch vorsichtig vor. Die infizierten Rechner selbst generieren die Domainnamen, von denen sie Schadcode nachladen. Dabei beziehen sie als Zufallselement auch Suchergebnisse von Twitter ein, die in die Domainnamen einfließen.
Dadurch wird es schwer, die Domains im Vorfeld zu sperren - ähnlich arbeitet auch der Wurm Conficker, der seit Herbst 2008 sein Unwesen treibt. Kann Torpig einmal durch nicht gepatchte Sicherheitslücken in Browser oder Java-Engine seinen Code nachladen, führt das Programm eine Vielzahl von Attacken auf den Browser und Plugins wie Active-X durch. Wenn er so Code mit Administratorrechten ausführen kann, installiert er sich in ausführbaren Dateien und dem Master Boot Record der Festplatte.
Torpig wird dann bei jedem Start des Rechners noch vor einem eventuell vorhandenen Antivirusprogramm ausgeführt, die Scanner können ihn dann jedoch immer noch entdecken. Einige Aktionen kann er dann aber bereits ausgeführt haben.
Insbesondere trifft das für die Updatefunktion des Schädlings zu, bei der er ebenfalls wie Conficker arbeitet. Die US-Forscher haben dieses Verhalten der Generierung von Domainnamen in Anspielung auf Fast-Flux-Netze "domain flux" getauft. Durch die Vielzahl von Domains, welche jeder Client generiert, ist deren Sperrung im Vorfeld einer Aktualisierung nur schwer möglich.
Hat Torpig einen Rechner erst einmal infiziert, so schneidet er alle Eingaben des Benutzers mit und versucht dabei gezielt, Loginversuche über Webformulare, Kreditkartennummern und Accounts für Onlinebanking zu finden. Seine Daten übermittelt das Programm dann an einen der so genannten "Command & Control Server", die jedes Botnetz steuern.
Einen dieser Server konnten die Wissenschaftler aus Santa Barbara Anfang 2009 für zehn Tage übernehmen und somit Torpig untersuchen. Wie diese Übernahme gelang, und warum das Botnetz nicht weiter unter Kontrolle oder geschwächt wurde, geben sie nicht an. Die Forscher erklären jedoch in ihrem ausführlichen Bericht (PDF) zu der Aktion, dass sie mit dem US-Verteidigungsministerium und FBI zusammengearbeitet hätten. Das sei auch notwendig gewesen, um die Daten der Personen zu schützen, welche die infizierten Rechner benutzen.
Rund 70 GByte an Informationen übermittelten die Zombie-PCs an den Control-Server der Universität im Zeitraum von zehn Tagen. Dabei fanden sich tausende von Bankdaten, aber auch Accounts für E-Mail-Dienste, Foren und andere vertrauliche Daten. Auch aufgrund dieser Daten ergaben sich interessante Rückschlüsse auf die Zahl der Rechner, die im Torpig-Netz hängen.
Die reine Zahl der IP-Adressen, welche die Control-Server anrufen, erlaubt nämlich noch keinen Rückschluss auf die Zahl der infizierten Rechner. Diese können sich beispielsweise in einem Firmennetzwerk zu hunderten hinter der selben IP verbergen. Größere Netze sind offenbar auch Torpig zum Opfer gefallen, denn unter einer IP verzeichnete der Control-Server der Sicherheitsforscher Zugriffe auf 80 Accounts bei einem Mailserver einer Universität.
Insgesamt versuchten 1,2 Millionen IP-Adressen, mit dem Control-Server der Wissenschaftler Kontakt aufzunehmen. Da Torpig aber jedem Client eine Art Seriennummer zuordnet, entspricht das nicht der Zahl der Infektionen, zudem gibt es in Botnetzen stets mehrere Control-Server. Über 180.000 der Torpig-Seriennummern meldeten sich bei dem gekaperten Control-Server, sodass die Forscher von mindestens dieser Zahl an Torpig-Zombies ausgehen.
Dass Schädlinge wie Torpig sich über Jahre nur über Länder verbreiten können, in denen der Internetzugang für Privatleute samt dem nötigen Wissen um Sicherheitsrisiken noch nicht alltäglich ist, geht auf den Daten des Experiments nicht hervor. Die meisten Zugriffe auf den Control-Server kamen aus den USA, gefolgt von Italien und Deutschland.
Über 24.000 Torpig-Seriennummern kamen dabei aus Deutschland, von diesen Rechnern wurden in nur zehn Tagen 641 Datensätze für den Login bei 122 Finanzunternehmen übermittelt.
Rückschlüsse auf die Autoren und Betreiber von Torpig zieht die Universität nicht. Bereits seit dem ersten Auftauchen des Schädlings wird das Programm aber mit dem berüchtigten Russian Business Network in Verbindung gebracht.
Quelle : http://www.golem.de/0905/66878.html
Titel: Botnetze: 2009 bereits 12 Millionen PCs gekapert
Beitrag von: SiLæncer am 06 Mai, 2009, 13:29
Seit Jahresbeginn haben Betreiber von Botnetzen bereits 12 Millionen neue PCs in ihre Infrastrukturen integrieren können. Das geht aus einem neuen Bericht des Sicherheitsunternehmens McAfee hervor.
Obwohl die Hersteller von Betriebssystemen und Software intensiv an der Verbesserung der Sicherheit arbeiten, steigt die Zahl der Infektionen rasant an. Die Steigerungsrate ist derzeit 50 Prozent höher als im Vergleichszeitraum des Vorjahres, hieß es.
Die Ursache dafür liegt vor allem in einer Neuausrichtung der großen Spam-Versender. Diese nutzten bisher meist herkömmliche Mail-Server. Im letzten Jahr gelang es den Behörden allerdings einen Provider in den USA stillzulegen, über den ein Großteil der unerwünschten Werbenachrichten verschickt wurden. Das Spam-Aufkommen brach dadurch zwischenzeitlich um bis zu 60 Prozent ein.
Seitdem versuchen die Spammer über Botnetze eine größere Unabhängigkeit zu erreichen. Das ist ihnen in den letzten Monaten recht gut gelungen. Die Zahl der verschickten Werbe-E-Mails hat fast wieder das alte Niveau erreicht.
Laut McAfee stehen 18 Prozent der in Botnetze integrierten PCs in den USA. Das Land führt damit die Liste an. An zweiter Stelle folgt China mit 13 Prozent und Australien mit 5,3 Prozent. Deutschland liegt mit 4,7 Prozent auf Rang 4.
Quelle : http://winfuture.de
Titel: Botnet-Opfer benutzen meist den IE
Beitrag von: SiLæncer am 08 Mai, 2009, 17:23
Die Entdeckung eines Botnet aus 1,9 Millionen gekaperten Rechnern liefert einige Einblicke, die besonders Unternehmen zu denken geben sollten. Die meisten Zombies stehen in den USA, etliche jedoch auch in Deutschland.
Online-Kriminelle, die ihre Botnets weiter ausbauen wollen, machen erst einmal keinen Unterschied, ob ihre Trojanischen Pferde (Bots) private PCs oder Firmenrechner rekrutieren. Je nach Art und Aufgaben des Schädlings können die Schäden, die dadurch in Unternehmen entstehen, weitaus größer sein als für Privatleute. In Unternehmen werden auch seltener alternative Web-Browser wie Firefox eingesetzt. Meist herrschen hier ältere IE-Versionen vor, die besonders gefährdet sind.
Wie das israelische Sicherheitsunternehmen Finjan bei der Analyse eines Botnets aus 1,9 Millionen Zombies-PCs festgestellt hat, ist auf der überwiegenden Zahl (78 Prozent) der gekaperten Rechner der Internet Explorer als Standard-Browser eingerichtet. Firefox folgt mit immerhin 15 Prozent, Opera mit drei Prozent. Die Schädlinge gelangen über so genannte Drive-by Downloads auf die Rechner, oft beim Besuch gehackter Websites. Die meisten der gekaperten Computer stehen in den USA und machen etwa 45 Prozent des Botnet aus. Großbritannien (sechs Prozent) sowie Kanada und Deutschland mit je vier Prozent Anteil folgen auf den Plätzen, dahinter Frankreich mit drei Prozent. Unter diesen Rechnern sind etliche, die zu Regierungsbehörden, etwa Botschaften, in verschiedenen Ländern gehören. Insgesamt 77 Regierungs-Domains haben die Forscher im Botnet ausgemacht. Der auf diesen Rechnern laufende Bot wird über mehrere Kommando-Server gesteuert und liefert ausspionierte Daten an sein Mutterschiff. Dazu gehören Informationen aus Mails, Screenshots, aufgezeichnete Tastatureingaben und kopierte Dateien. Die Online-Kriminellen setzen auf diesem Weg Befehle an ihre Zombie-Armee ab, die dann zum Beispiel Spam versenden, als Web-Server dienen oder DoS-Angriffe auf Unternehmen starten. Botnets oder Teile davon werden oft zeitweise an Spammer oder andere Online-Kriminelle vermietet, die sie für ihre Zwecke nutzen. Aus verschiedenen Untergrundforen haben die Finjan-Forscher ermittelt, dass ein Botnet für Preise von 100 bis 200 US-Dollar pro Tag und 1000 Rechner vermietet wird. Bei einem 1,9 Millionen Computer umfassenden Botnet könnten die Botmaster also durchaus 200.000 US-Dollar am Tag verdienen.
Andere Sicherheitsfachleute kommen zu ähnlichen Erkenntnissen. Alex Lanstein vom Sicherheitsunternehmen FireEye gibt zu bedenken, dass die meisten Botnets kaum bekannt sind, wenig Erwähnung in den Medien finden. Das wäre auch nicht im Interesse der Botmaster, die lieber ungestört im Verborgenen operieren.
Paul Kocher von Cryptography Research ergänzt, die Täter benutzten inzwischen oft starke Verschlüsselung sowohl bei der Kommunikation zwischen Bots und Mutterschiff als auch beim Speichern der ausspionierten Daten. Werden diese Daten auf gekaperten Rechnern zwischengelagert und vom Benutzer eines Rechners entdeckt, erscheinen die Dateiinhalte wie sinnloser Datenmüll.
Unternehmen sollten sich besser schützen, indem sie mehrschichtige Sicherheitsmaßnahmen einsetzen. Firewall und Antivirus-Software allein genügen meist nicht mehr. Jede zusätzliche Schicht, etwa IDS/IPS-Systeme, erhöht die Chance, Eindringliche zu entdecken und fern zu halten. Der wichtigste Aspekt (und der immer noch am meisten vernachlässigte) bleibt jedoch die Unterweisung der Anwender. So raten viele Fachleute übereinstimmend, Anwendern sollten die Tricks der Angreifer (Stichwort: Social Engineering) demonstriert werden, damit sie nicht mehr (so oft) darauf herein fallen. Das sei der beste Schutz vor Malware-Angriffen.
Quelle : www.pcwelt.de
Titel: Und es hat Boom gemacht: Botnetz zerstört sich selbst
Beitrag von: SiLæncer am 11 Mai, 2009, 16:06
Wie erst jetzt bekannt wurde, soll sich ein vermutlich rund 100.000 PCs umfassendes Botnetz Anfang April selbst zerstört haben – indem der Steuerserver einen Befehl zum Unbrauchbarmachen von Windows aussendete. Das Botnetz beruhte auf ZeuS, einem nur mehrere hundert Dollar kostenden Botnet-Toolkit, mit dem Kriminelle die PCs von Anwender infizieren und sie später aus der Ferne kontrollieren können.
Sobald eine Drohne einen Kill-Befehl vom Server erhält, löscht sie nach Analysen der Spezialisten von S21sec die Windows-Registry-Pfade HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE\Software und HKEY_LOCAL_MACHINE\System. Anschließend überscheibt die Drohne den virtuellen Speicher von Windows mit Nullen. In der Folge wird das Betriebssystem unbrauchbar.
Neu sind solche Selbstzerstörungsfunktionen in Bots und insbesondere in Banking-Trojanern wohl nicht. Gerade bei Banking-Trojanern dient der Mechanismus dazu, das Opfer nach dem Diebstahl von Bankzugangsdaten und/oder PINs und TANs vom Internet abzuschneiden, damit es keine weiteren Kontobewegungen mehr online verfolgen kann. Zudem können Kriminelle die Spuren ihrer Aktivitäten zumindest teilweise verwischen – obwohl etwa die Binaries der Schädlinge oft auf dem Rechner verbleiben.
Über die Gründe für die nun vollständige Selbstzerstörung gibt es unterschiedliche Vermutungen. Möglicherweise wurde der ZeuS-Steuerserver von einer feindlichen Bande übernommen. Allerdings beruhen die Angaben zur Zerstörung bislang allein auf Beobachtungen des schweizerischen Anti-Spam-Aktivisten Roman Hüssy, der die Seite ZeusTracker zur Überwachung mehrerer ZeuS-Steuerserver verschiedener Banden betreibt. Nach seinen Angaben beobachtete er, wie ein vom ihm überwachter Zeus-Server am 8. April den Kill-Befehl an die 100.000 Bots aussendete. Gegenüber US-Medien äußerte Hüssy die Vermutung, dass die Betreiber das eigene Netz vielleicht aus Versehen zerstörten. Oftmals handele es sich bei den Betreibern nicht um besonders ausgebildete oder befähigte Personen.
Die US-Handelsaufsicht hat mit einer gerichtlichen Verfügung einen als Dienstleister für Online-Kriminelle bekannten Hosting-Provider vom Internet getrennt. Er soll Botnet-Betreiber aktiv unterstützt haben.
Die Ratten verlassen das sinkende Schiff. Sicherheitsunternehmen beobachten den Umzug etlicher Domains, die mit kriminellen Aktivitäten in Verbindung gebracht werden. Der Grund dafür ist, dass die US-Handelsaufsicht FTC (Federal Trade Commission) eine gerichtliche Verfügung gegen in Kalifornien ansässigen Hosting-Provider 3FN erwirkt hat. Seine Upstream-Provider haben daraufhin den Stecker gezogen und seine Verbindungen zum Internet gekappt.
Hinter 3FN (Triple Fiber Network) steckt die Firma Pricewert LLC, die auch unter Namen wie APS Telecom und APX Telecom firmiert. Ermittlungen der US-Bundespolizei FBI, der NASA sowie von Sicherheitsunternehmen haben ergeben, dass im Rechenzentrum von Pricewert unter anderen Kontroll-Server großer Botnets eine Heimstatt gefunden hatten. Auf den Web-Servern soll unter anderen Malware, Scareware und Kinderpornografie gefunden worden sein.
Pricewert werden Verstöße gegen US-Gesetze vorgeworfen, die noch in einem Gerichtsverfahren zu prüfen sein werden. Es soll ferner in den dunkelsten Ecken des Internet, etwa in Foren von Botnet-Betreibern, aktiv für seine Dienste geworben haben. Die Verantwortlichen sollen Online-Kriminelle sogar aktiv unterstützt haben. So sollen etwa Chat-Protokolle belegen, dass der Chefprogrammierer von Pricewert direkt am Aufbau und der Konfiguration eines Botnets teilgenommen hat.
Nach Angaben der FTC sollen sowohl die Unternehmensleitung als auch die Techniker des in Oregon registrierten Unternehmens Pricewert außerhalb der USA beheimatet sein, offenbar in der Ukraine. Sicherheitsunternehmen bestätigen, dass 3FN etliche Kommando-Server des "Cutwail"-Botnets unter seinem Dach hatte. Auch die Website "botmaster.net" lag auf Servern von 3FN, ein bei Online-Kriminellen äußerst beliebter Dienst, der Blogs massenhaft mit Kommentar-Spam verseucht hat.
Die Verantwortlichen von Pricewert haben gegen die Abschaltung protestiert. Ein aus der Ukraine stammender Sprecher des Providers hat sich beklagt, die FTC habe vor der Maßnahme keinen Kontakt mit dem Unternehmen aufgenommen, um die Angelegenheit zu klären. Er wirft den US-Behörden vor, sie hätten Pricewert ins Visier genommen, weil es Verbindungen in die Ukraine habe.
Seit dem Abklemmen des Spam-Providers McColo im Herbst 2008 ist dies die mit Abstand größte Maßnahme gegen einen Provider, der Server von Online-Kriminellen beherbergt. Es ist die erste Maßnahme überhaupt, die von der FTC mit Hilfe eines Gerichtsbeschlusses durch geführt worden ist. Das Gericht in Kalifornien hat nicht nur die Trennung der Internet-Anbindung angeordnet sondern auch die Beschlagnahme allen Eigentums des Unternehmens.
Quelle : www.pcwelt.de
Titel: Kaspersky veröffentlicht Details zur Botnetz-Schattenwirtschaft
Beitrag von: SiLæncer am 23 Juli, 2009, 16:30
Ein neuer Artikel des Virenanalysten Yuri Namestnikov von Kaspersky, russischer Anbieter von Virenschutzsoftware, fasst den derzeitigen Stand in Sachen Botnetze zusammen. Er erläutert (http://www.viruslist.com/de/analysis?pubid=200883656), wie Computer infiziert und zu Zombienetzen zusammengeschlossen werden und für welche Zwecke man die so entstandenen Botnetze einsetzt.
Im Detail sind es Denial-of-Service-Angriffe, Diebstahl von Bank- und Identitätsdaten, Phishing, Versand von Spam et cetera, mit denen der moderne Kriminelle Geld verdienen kann. Allein 780 Millionen Dollar wurden im vergangenen Jahr mit Spam umgesetzt. Mit der für diese Straftaten erforderlichen Infrastruktur lässt sich ebenfalls Geld verdienen, etwa mit der Vermietung der Botnetze.
Laut einer Meldung der ComputerWeekly veröffentlichte Kaspersky auch eine genaue Preisliste, allerdings ohne Angabe des Fundortes. Nach dieser Liste kostet beispielsweise die Miete für ein Botnetz zu DDoS-Zwecken zwischen 50 und mehreren Tausend Dollar für einen 24-stündigen Angriff. Eine Liste mit einer Million E-Mail-Adressen ist schon ab 20 Dollar zu haben. Beim Schleuderpreis von 30 Cent aufwärts für jedes auf einem fremden Rechner installierte Schadprogramm muss ein Cyberkrimineller schon viele installieren, um reich zu werden - es steht zu befürchten, dass das ohne Weiteres gelingt.
Wie man dem Treiben Einhalt gebietet, beschreibt Namestnikov in seinem Artikel. Allerdings ist dazu eine Zusammenarbeit von Malware-Experten, Strafverfolgern und Providern erforderlich. Außerdem sind Internetanwender in der Pflicht, zumindest die wichtigsten Sicherheitsregeln zu befolgen.
Quelle : www.heise.de (http://www.heise.de)
Titel: Botnetz-Analyse: Mini-Internet im Supercomputer
Beitrag von: SiLæncer am 29 Juli, 2009, 12:53
Forscher in den kalifornischen Sandia National Laboratories haben eine neue Testumgebung geschaffen, mit der das Verhalten von Botnetzen besser analysiert werden soll.
Dafür schufen man eine Art Mini-Internet. Dieses ist in einem einzigen Supercomputer von Dell angesiedelt. Der Rechner namens MegaTux ist mit 4.480 Intel-Prozessoren ausgestattet. Über Virtualisierungs-Software laufen auf diesen rund 1 Million separater Rechner, die untereinander vernetzt sind, berichtete die 'New York Times'.
Die virtuellen Linux-Maschinen werden jeweils mit Wine ausgestattet, um Trojaner verwenden zu können, die eigentlich für Windows-PCs entwickelt wurden. Auf echte Windows-Umgebungen mussten die Forscher verzichten, da sie keine Lizenzgebühren für die zahlreichen Umgebungen aufbringen konnten.
"Wir haben damit eine Testumgebung, in der wir verschiedene Sachen im Maßstab des Internets ausprobieren können", sagte Keith Vanderveen, Leiter des Bereichs Scalable Computing Research in der Forschungseinrichtung. Im Oktober sollen die ersten Versuche mit Botnetz-Malware starten.
Dies soll neue Erkenntnisse für die Bekämpfung solcher Infrastrukturen bringen, die bisher nicht in einer solchen Genauigkeit möglich waren. "Wenn ein Wald brennt, kann man darüber hinweg fliegen, aber bei Attacken im Internet hat man oft keine klare Vorstellung vom Gesamtbild", erläuterte Sicherheits-Forscher Ron Minnich die bisherigen Schwierigkeiten.
Quelle : http://winfuture.de (http://winfuture.de)
Titel: Botnet-Hoster vom Netz getrennt
Beitrag von: SiLæncer am 05 August, 2009, 23:15
Der dubiose Hosting-Provider aus Lettland "Real Host" hat seit Montag keine Verbindung zum Internet mehr.
Real Host ist in Kreisen der Sicherheitsexperten als einer der größten Botnet-Hoster in Europa bekannt. Unter anderem soll er dem Zeus-Botnetz geraume Zeit ein Zuhause gegeben haben. Seit dem gestrigen Montag scheint sich dies jedoch erledigt zu haben. Der Internetdienstleister steht ohne Internetanbindung da. Obendrein sollen auch die "Command and Control"-Server der Zombie-Netzwerke nicht mehr erreichbar sein.
Nachdem vor fast zwei Jahren der US-amerikanische Webhoster McColo vom Netz getrennt wurde, reihte sich vor einigen Monaten der ebenfalls in den USA ansässige Provider 3FN/Pricewert ein. Und auch auf europäischem Boden scheint sich nun etwas in diese Richtung getan zu haben.
Verantwortlich für diesen Schritt ist der schwedische Netzdienstleister Telia Sonera. Offenbar fühlte man sich durch die Machenschaften von Real Host stark gestört und sah einen triftigen Handlungsgrund. Glaubt man den bisherigen Ankündigungen, so besteht sogar zwischen dem in der lettischen Hauptstadt Riga ansässigen Hosting-Anbieter und dem berüchtigten Russian Business Network eine Verbindung.
In den Reiehn der Cyberkriminellen hatte Real Host den Ruf als "Bullet Proof"-Hoster tätig zu sein. Besonders für die Köpfe hinter illegalen Machenschaften wie Botnetze, Malware- oder Phishing-Webseiten war dieser Schutz interessant. Immerhin sei der lettische Hoster dafür bekannt gewesen, internationalen Ermittlern stets den Zugriff auf die Server verwehrt zu haben. Doch dieses Treiben scheint nun zu einem Ende gekommen zu sein. Nachdem Telia Sonera den Upstream-Provider Junik am Montag aufgefordert hatte, den Link von Real Host zu kappen, wurde dies kurzerhand vollzogen. Im Allgemeinen wird dieser Schlag gegen die organisierten Cyberkriminellen als einer der Erfolgreichsten in Europa angesehen.
Quelle : www.gulli.com (http://www.gulli.com)
Titel: Botnet aus Linux-Servern entdeckt
Beitrag von: SiLæncer am 12 September, 2009, 18:58
IT-Sicherheitsforscher entdeckten kürzlich ein Botnet, das nicht aus infizierten PCs, sondern aus Linux-Webservern besteht.
Die meisten Botnets bestehen aus Heim-PCs, die (meist über Trojaner) infiziert werden und anschließend dem Botnet-Master zur Verfügung stehen. Per Fernsteuerung können diese Bots (oft auch "Zombies" genannt) beispielsweise für DDoS-Angriffe und den Versand von Spam-Mails verwendet werden. Viele Botnet-Master vermieten ihre Netze auch, beispielsweise an Firmen, die Konkurrenten aus dem Netz bomben oder ihre Potenzmittel per Massen-Mailing vermarkten wollen, und verdienen damit Geld. Das neu entdeckte Botnet allerdings ist etwas anders.
Das Netz erhielt von Sicherheitsforschern schon den Spitznamen "Special Operations Botnet" und scheint primär der Malware-Verbreitung zu dienen. Jeder der Bots ist ein Linux-Webserver, auf dem legitime Websites gehostet werden. Wie Denis Sinegubko, ein selbständiger IT-Sicherheits-Experte aus Russland, berichtet, läuft auf den betroffenen Servern neben der Webserver-Software Apache noch ein zweiter Webserver mit Namen nginx. Auf diesem wird Malware gehostet.
"Was wir hier sehen ist ein lang erwartetes Botnet aus Zombie-Webservern. Eine Gruppe miteinander vernetzter infizierter Webserver mit einem gemeinsamen Kontrollserver, die dazu dienen, Malware zu verbreiten," schreibt Sinegubko in seinem Blog. Eine weitere Besonderheit: Nach Angaben des Sicherheitsforschers ist das Webserver-Botnet zusätzlich mit einem Botnet infizierter PCs vernetzt.
Der Schadcode wird auf dem nginx-Webserver auf Port 8080 angeboten. Anschließend wird er mit Hilfe dynamischer DNS-Server in legitime Websites injiziert. "Es ist besser, gleichzeitig Zombie-Clients und -Server zu haben. Dieses heterogene System bietet viel mehr Möglichkeiten und macht das ganze System flexibler," schreibt Sinegubko.
Wie die Server infiziert wurden, kann der Sicherheits-Experte noch nicht mit Bestimmtheit sagen. Er vermutet allerdings, dass sie von unvorsichtigen Administratoren betreut werden, deren Root-Passwörter mitgesnifft werden konnten.
Mit rund 100 Zombies scheint das Botnet bisher eher klein zu sein. Alle kompromittierten Server laufen unter verschiedenen Linux-Distributionen und verwenden die Webserver-Software Apache. Sinegubko vermutet, dass es sich bei dem Botnet entweder um einen reinen Proof of Concept handelt oder dass noch weitere infizierte Maschinen existieren, die bisher nicht entdeckt wurden.
Quelle : www.gulli.com
Titel: Google als C&C Struktur von Botnetz genutzt
Beitrag von: SiLæncer am 14 September, 2009, 10:06
Soziale Netzwerke kommen als Kommunikationsstruktur für Botnetze immer stärker in Mode. Eine von Symantec entdeckte Variante bedient sich Google Groups.
Der Fokus von Sicherheitsunternehmen bei der Bekämpfung von Botnetzen richtet sich primär auf die so genannte „Command and Control“ (C&C) Struktur, über die Bots Informationen austauschen. Um unentdeckt zu bleiben, unterziehen die Entwickler von Botnetzen diese Struktur einem ständigen Wandel: Ursprünglich auf IRC basierend, wurden in den letzten Jahren immer häufiger unabhängige Peer-to-Peer (P2P) Strukturen aufgebaut. Neuster Trend: Die Nutzung von sozialen Netzwerken, wie Twitter oder – und das ist neu – Google Groups.
Die Forscher von Symantec entdeckten einen Trojaner, der als DLL verteilt wird und mit den Login Daten eines Google Benutzerkontos ausgestattet ist. Dieser Account greift auf eine private Newsgroup namens „escape2sun“ zurück. Diese Newsgroup dient einen Botnetz als C&C Struktur. Wie eine Analyse der Newsgroup ergab, liegen seit Dezember 2008 Zugriffe vor. Die Anzahl der einmaligen TCP/IP-Sockel (einmalige Systemzugriffe) lag laut Logfiles im Dezember 2008 bei unter 50, wuchs zwischenzeitlich auf über 400 an und liegt momentan bei circa 300. Die Forscher vermuten, dass es sich hierbei um einen Prototypen für eine neue Form von Botnetz handelt, der Google Groups als aktives C&C verwendet.
Quelle : www.tecchannel.de
Titel: Botnetz-Kontrollserver tarnt Befehle als JPEG-Bild
Beitrag von: SiLæncer am 01 Oktober, 2009, 10:44
Offenbar in dem Versuch, die Kommunikation ihrer Bots über das Netzwerk zu verschleiern, tarnt der Command&Control-Server des Monkif-Botnetzes seine Befehle an die Drohnen rudimentär als JPEG-Bild. Laut Beobachtungen von Websense antwortet der als Webserver arbeitende C&C-Server auf Anfragen der Bots mit einem HTTP-Paket, in dessen Header als Content-Type "image/jpeg" eingetragen ist. Zusätzlich enthält das Paket einen gefälschten, jedoch gültigen JPEG-Header. Der Rest des Pakets enthält statt eines Bildes nur noch einen codierten Befehl (XOR mit 0x4).
Die Kriminellen wollen damit vermutlich in Firmennetzen installierte Netzwerküberwachungssysteme oder spezielle Bot-Detection-Software austricksen. Je nach Art der Erkennung könnte die Botkommunikation auf den ersten Blick für ein solches System wie eine normale Websession zwischen Browser und Server aussehen, bei dem der Anwender einige Bilder abruft. Um der Botnetzverbindung auf die Schliche zu kommen, müssten die Systeme tiefer in das Paket hineinschauen, was zusätzlich Aufwand bedeutet und gerade in sehr großen Netzwerken mitunter Probleme mit sich bringt.
Quelle : www.heise.de
Titel: Drive-by-Botnetz von Innen
Beitrag von: SiLæncer am 05 Oktober, 2009, 08:55
Wissenschaftlern der University of California in Santa Barbara (UCSB) ist es gelungen, in ein Malware-Netzwerk einzudringen, das es auf Besucher legitimer Websites abgesehen hat. Den Forschern gelang es dabei, neue Einblicke in den Bereich so genannter "Drive-by"-Angriffe zu gewinnen. Sie fanden dabei mehr als 6500 Websites, auf denen sich Schadcode verbarg. Betroffen waren bis zu 340.000 Surfer.
Damit ihre Methode funktioniert, hacken die Online-Gauner zunächst seriöse Angebote, von denen aus Nutzer dann auf Websites mit Schadcode umgeleitet werden. In der bislang noch unveröffentlichten Studie zeigen die Forscher, wie sie vier Monate lang das "Mebroot"-Botnetz infiltrieren konnten. Dabei fanden sie unter anderem heraus, dass längst nicht mehr nur zwielichtige Angebote von "Drive-by"-Attacken heimgesucht werden. Zwar waren insbesondere Pornoangebote besonders erfolgreich beim Verteilen der Malware, doch gewöhnliche Geschäfts-Websites waren insgesamt in der Mehrzahl.
"Es gab eine Zeit, da konnte man denken, es würde ausreichen, sich einfach nicht auf ominösen Sex-Websites herumzutreiben, um nicht zum Opfer zu werden", sagt Giovanni Vigna, Professor für Computerwissenschaften an der UCSB und einer der Autoren der Studie. Das reiche inzwischen nicht mehr aus. "Auch wer sich nicht auf Rotlichtseiten herumtreibt, kann angegriffen werden."
Das Mebroot-Botnetz wurde erstmals 2007 entdeckt. Es verwendet kompromittierte Websites, um die Besucher auf zentrale Download-Server umzuleiten, die dann wiederum versuchen, ihre Rechner zu infizieren. Die Malware, benannt nach einer Infektionsart bei Windows-Rechnern (MBR steht für Master Boot Record), erwies sich bei der Untersuchung als durchaus professionell. So scheinen die Programmierer durch diverse Debugging-Zyklen zu gehen. "Das ist definitiv eines der modernsten Botnetze, die es gibt", meint Kimmo Kasslin von der finnischen Anti-Viren-Software-Firma F-Secure.
Mebroot nutzt eine Reihe von Methoden, um legitime Web-Angebote nach eigenen Wünschen zu verändern. Dazu gehört spezieller JavaScript-Code, der Nutzer automatisch auf eine andere Adresse umleitet und die sich regelmäßig ändert. Dort versucht dann ein von den Online-Gangstern beherrschter Server, den Rechner des Benutzers mit Malware zu infizieren, die es ihnen erlaubt, diesen später fernzusteuern.
Die eigens für Mebroot entwickelte Generierung neuer Schadcode-Domains sei ein relativ cleverer Weg, Versuche zu unterbinden, das Malware-Netzwerk abzuschalten, schreiben Vigna und sein Team. Ältere "Drive-by"-Angriffe hätten die Opfer dagegen auf stets gleiche Adressen umgeleitet. Statt statisch zu bleiben, erzeugt das von Mebroot verwendete JavaScript jeden Tag eine neue Adresse. Der Domain-Algorithmus erinnert dabei stark an einen anderen Datenschädling, der die Welt bis vor kurzem in Atem hielt: "Conficker". Doch Mebroot ist schlauer. Während die bei Conficker verwendete Technik inzwischen bekannt ist und dazu führte, dass zahlreiche Steuerserver ihren Betrieb erst gar nicht aufnehmen konnten, nutzt das Botnetz zusätzliche Methoden zur Verschleierung.
In den vier Monaten, in denen die UCSB-Forscher Mebroot untersuchten, wurden drei verschiedene Domain-Algorithmen ermittelt. Zwei davon, die relativ einfach zu beherrschen waren, nutzten nur das jeweilige Tagesdatum. Die letzte Variante war jedoch erstaunlich schlau gewählt und ließ sich nicht einfach von Sicherheitsexperten vorhersagen: Sie nutze als zusätzliche Variable Buchstaben aus dem am jeweiligen Tag populärsten Suchbegriff beim Kurznachrichtendienst Twitter. "Die Mebroot-Hintermänner nutzen eine Variable, die niemand kontrollieren kann", sagt Marco Cova, UCSB-Student und Co-Autor der Studie.
Nachdem sie die Domain-Generierung entschlüsselt hatten, gelang es den Forschern, Mebroot immerhin kurzzeitig zu kompromittieren. Sie ermittelten die Steuerdomain und registrierten diese kurzerhand selbst. Allerdings reagierten die Online-Gauner darauf schnell: Nachdem sie mitbekamen, dass ein "Konkurrent" Adressen registrierten, reservierten sie gleich Dutzende im Voraus.
Den Forschern gelang es auch, die Systeme der potenziellen Mebroot-Opfer zu erkennen. Fast 64 Prozent der Benutzer nutzten Windows XP, 23 Prozent Windows Vista. Danach folgten Mac OS 10.4 und 10.5 mit 6,4 Prozent aller Besucher. (Allerdings bedeutet das nicht, dass alle dieser Nutzer auch wirklich infiziert wurden, Mebroot ist auf Windows-Sicherheitslücken abgestimmt.)
Zwar übernahmen die Forscher nicht auch Endbenutzersysteme, doch konnten sie anhand mehrerer Merkmale feststellen, ob diese bereits infiziert waren oder nicht. Demnach waren zwischen 6,5 und 13,3 Prozent aller Nutzer Mebroot-Opfer. Mehr als die Hälfte der angegriffenen Systeme verwendete zwar Antiviren-Programme, doch 12 Prozent der Rechner dieser Benutzer waren bereits von anderer Malware befallen.
Die Forscher entdeckten außerdem, dass fast 70 Prozent der potenziellen Mebroot-Opfer klassifiziert nach Internet-Adressen stark gefährdet waren. Mindestens eine von 40 Sicherheitslücken, die von Online-Gaunern besonders gerne ausgenutzt werden, stand bei ihnen offen. Von Mebroot selbst hätte immerhin die Hälfte angegriffen werden können; insgesamt sechs verschiedene Lücken nutzt das Botnetz aus, wissen die Forscher.
Die Studie zeige vor allem, wie wichtig es sei, sein System auf dem neuesten Stand zu halten, meint IT-Wissenschaftler Vigna. "Solche Aktualisierungen helfen den Nutzern normalerweise sehr gut dabei, ihr Risiko zu vermindern." Allerdings seien noch zu viele User Update-faul.
Quelle : http://www.heise.de/tr/
Titel: Neues von der Botnet-Front
Beitrag von: SiLæncer am 10 November, 2009, 12:25
Die Betreiber von Botnetzen haben neue Wege gefunden, um die Kommunikation ihrer Drohnen mit dem zentralen Steuerserver (Command&Control-Server) zu verschleiern. Berichten zufolge haben sie dazu Googles App Engine missbraucht, mit der Anwender eigene Webanwendungen in Googles Infrastruktur verlagern können. Bei diesem Cloud-Service steht der Anwendung kein dedizierter Server zu Verfügung, ihr werden in der Cloud nur CPU-Zeit, Speicher und 500 MByte Plattenplatz zugeordnet. Immerhin steht der Dienst bis 5 Millionen Page Views pro Monat kostenlos zur Verfügung.
Diese Infrastruktur spielt leider auch Kriminellen in die Hände. Bots können mit dem in Googles Cloud verlagerten C&C-Server Kontakt auf- und neue Befehle entgegennehmen. Die vom DDoS-Abwehrspezialisten Arbor Networks aufgedeckten C&C-Server sind allerdings von Google mittlerweile entfernt worden.
Einen Erfolg im Kampf gegen Botnetze konnte nach eigenen Angaben kürzlich auch der Sicherheisdienstleister FireEye verbuchen . In einer konzertierten Aktion gelang es ihm, die C&C-Infrastruktur des Ozdok/Mega-D-Botnetzes lahmzulegen respektive schweren Schaden zuzufügen. Dazu waren allerdings sorgfältige Vorbereitungen notwendig, um die mittlerweile in vielen Bots implementierten Fallback- beziehungsweise Backup-Maßnahmen auszuhebeln und Gegenmaßnahmen der Botnetzbetreiber ind Leere laufen zu lassen.
Verliert ein Ozdok-Bot den Kontakt zu einem seiner fest eincodierten C&C-Server, so beginnt er ein Notfallprogramm, bei dem er ähnlich wie der Conficker-Wurm anhand eines vorgegebenen Algorithmus neue Domainnamen (C&C-Domains) generiert und diese versucht zu kontaktieren. Da der Algorithmus den Bot-Herdern bekannt ist, können diese unter den Domainnamen neue C&C-Server platzieren. FireEye konnte jedoch den Algorithmus entschlüsseln und Teile der Fallback-Domains selbst registrieren.
Zusätzlich nahm FireEye Kontakt mit verschiedenen Registraren und bat sie, bereits belegte C&C-Domains zu sperren – was die meisten auch taten. Schließlich bat der Sicherheitsdienstleister mehrere Provider, in deren Netzen aktive Steuerserver standen, die Server der Botherder vom Netz zu nehmen. Das ganze Zusammenspiel mt Registraren und Providern funktionierte offenbar so gut, dass Beobachtungen zufolge das Spamaufkommen des Ozdok-Botnetzes sofort nachließ und gegen Null tendierte – wobei der Bericht aber offenlässt, warum ein Bot aufhört, Spams zu versenden, nur weil der C&C-Server unerreichbar ist. Üblicherweise sind Drohnen in der Lage, in weiten Teile autonom zu agieren.
FireEye ist sich jedoch nicht sicher, wie lange sie das Botnetz noch in Schach halten können, da das Registrieren künftiger C&C-Domains sehr aufwändig sei.
Quelle : www.heise.de
Titel: BKA geht mit Großrazzia gegen Botnetz-Betreiber vor
Beitrag von: SiLæncer am 25 November, 2009, 13:14
Das Bundeskriminalamt (BKA) hat zu einem großangelegten Schlag gegen die Kriminalität im Internet ausgeholt. Mehr als 200 Polizisten durchsuchten am Dienstag 46 Wohnungen im gesamten Bundesgebiet, wie das BKA und die Staatsanwaltschaft Bonn am Mittwoch mitteilten. "Mit dieser Durchsuchungsaktion gelang dem Bundeskriminalamt und den Polizeidienststellen der Länder erstmalig ein bedeutsamer Schlag gegen die deutschsprachige kriminelle 'Underground Economy'", betonte BKA-Chef Jörg Ziercke.
Die Beamten nahmen drei Verdächtige vorläufig fest und stellten zahlreiche Computer sowie Datenträger sicher. Auch in Österreich durchsuchte die Polizei Wohnungen und nahm einen Mann fest. Die Vorwürfe richten sich gegen Mitglieder und Verantwortliche eines Internetforums, die sich selbst "Elite Crew" nannten. Sie sollen illegal in fremde Computer eingedrungen sein und Internet-Betrügereien begangen haben.
Das Internetforum diente laut BKA als eine Plattform, über die unter anderem illegal Daten von Konten, Kreditkarten und Schadsoftware gehandelt wurden. Außerdem seien auch Anleitungen für Dokumentenfälschungen und Internetbetrügereien getauscht worden. Den Polizisten sei es bei ihren mehr als einjährigen Ermittlungen gelungen, tief in die Szene vorzudringen und zahlreiche der 15- bis 26-jährigen Straftäter zu identifizieren. Diese hätten unter Pseudonym sehr professionell agiert.
Der Administrator des Forums in Österreich habe ein Botnetz mit mehr als 100.000 infizierten Rechnern betrieben. Ziercke betonte, diese Art der Internetkriminalität habe sich nach Beobachtung des BKA zu einem "lukrativen und vermeintlich sicheren Geschäft für Straftäter entwickelt". Die Durchsuchungsaktion zeige vor allem eines: "Das Internet ist kein verfolgungsfreier Raum."
Quelle : www.heise.de
Titel: Deutschland-Zentrale gegen Botnetze geplant
Beitrag von: SiLæncer am 08 Dezember, 2009, 14:18
Die Bundesregierung will im kommenden Jahr den Kampf gegen infizierte Computer von Heimanwender aufnehmen. Dazu will man schon in der ersten Jahreshälfte 2010 eine Beratungsstelle einrichten, die Anwender dabei unterstützen soll, ihren Rechner von Viren und Bots zu befreien. Dem gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Verband der deutschen Internetwirtschaft (eco) entwickelten Konzept zufolge hätten Internetzugangsanbieter (ISPs) längst die technische Möglichkeit, vireninfizierte Rechner bei ihren Kunden durch Analyse des Netzwerkverkehrs auszumachen. Das BSI und eco stellen das Projekt beim heutigen vierten nationalen IT-Gipfel in Stuttgart vor.
Laut dem Plan sollen die Provider ihre Kunden auf die Bot-Infektion ihres PCs hinweisen – etwa per Post oder Telefon. Angedacht ist auch eine Internetseite, die sich bei jeder Einwahl ins Netz automatisch aufbaut, falls auf dem Rechner Schädlinge lauern. Vor der Umsetzung des Vorhabens soll jedoch noch geklärt werden, mit welchen Sanktionen Kunden rechnen müssen, die eine Zusammenarbeit mit den jeweiligen Internetdienstleistern verweigern. "Wer im Netz ohne Virenschutz unterwegs ist, gefährdet andere Nutzer in etwa so, wie ein Autofahrer, der mit kaputten Bremsen unterwegs ist und so andere fahrlässig gefährdet.", meinte ein eco-Projektleiter gegenüber dpa.
Deutschland soll bei der Anzahl der infizierten Rechner international auf Platz 3 rangieren. Ziel des laut BSI in Europa einzigartigen Projektes sei es, Deutschland aus den Top-Ten der Länder zu bekommen, von dessen PCs Netzkriminalität ausgeht. DSL-Anbieter sollen ihre Kunden zur Nutzung des Angebots bewegen, der kostenlos sein soll. Das Angebot stehe den Kunden allerdings nur frei, wenn ihnen ihr Internetanbieter eine Nutzung reserviert hat. Nach Angaben der Projektorganisatoren läuft die Abstimmung mit den DSL-Dienstleistern bereits "auf Hochtouren". Schätzungen der Projektplaner zufolge sind in Deutschland bis zu einem Viertel aller Rechner mit Viren infiziert. Es gebe allein 60.000 Neuinfektionen jeden Monat.
Herzstück der bundesweiten Beratungsstelle soll ein rund 40 Mitarbeiter starkes Call-Center sein. Zunächst jedoch sollen die Besitzer infizierter Rechner im Internet eine Seite ansteuern, auf der hinterlegte Reinigungsprogramme die Viren vom Rechner entfernen. Schlägt der erste Versuch fehl, kann in einem zweiten Schritt der Provider dem Kunden einen Zugangscode für die telefonische Unterstützung mitteilen. Dort sollen Anti-Viren-Spezialisten mit dem Kunden den Schädling aufspüren und entfernen. Zu den möglichen Kosten des Vorhabens gibt es keine offiziellen Angaben.
Fraglich ist auch die rechtliche Grundlage, auf der ein Provider den Netzwerkverkehr des Kunden inspizieren darf. Nach Paragraf 202b StGB ist das Abfangen von Informationen verboten. Paragraf 88 TKG legt zudem fest, dass übermittelte Inhalte dem Fernmeldegeheimnis unterliegen. Allerdings sagt derselbe Paragraf im dritten Absatz auch, dass Betreiber eines Telekommunikationsdienstes sich Kenntnis vom Inhalt verschaffen dürfen, wenn dies zum Schutz ihrer technischen Systeme erforderlich ist. Eine hohe Netzwerklast etwa aufgrund einer von Bots verursachten Spam-Welle könnte also ein erlaubter Anlass sein, in den Verkehr hineinzuschauen.
Schnell dürfte jedoch der Vorwurf der Spionage und Zensur im Raum stehen – zumal, wenn etwa angedacht sein sollte, die Rechner der Provider-Kunden auf einen installierten Virenschutz zu überprüfen. Besser wäre es also, Anwender, die bislang an der Umsetzung von Sicherungsmaßnahmen auf ihrem PC gescheitert sind, vom Sinn der Aktion zu überzeugen und die Filtermaßnahmen von ihnen explizit gestatten zu lassen.
Neu ist das Provider-Konzept jedoch nicht. 1&1 hatte bereits Anfang des Jahres ein ähnliches Projekt gestartet, bei dem Anwender über eine Infektion ihres PCs informiert werden sollten. Laut Thomas Plünnecke, Sprecher von 1&1, beschäftige man in in drei Teams mehr als 40 Mitarbeiter, die sich um den Kampf gegen Internet-Missbrauch kümmern. Die Abuse-Abteilung werte Monat für Monat rund 2,5 Millionen E-Mails mit Hinweisen zu möglichen Missbrauchsfällen aus. Seit dem Start der Initiative im Februar habe man fast 50.000 Kunden darüber informiert, dass ihr Rechner mit einem Virus oder Trojaner infiziert sei.
Als Beleg für den Erfolg des Projektes diene nicht zuletzt auch die von der Bundesregierung geplante und heute vorgestellte Zentralstelle gegen Computerviren. Man habe die Gründung einer solchen Institution maßgeblich angeregt, so Plünnecke weiter.
Der australische Providerverband Internet Industry Association (IIA) hat vor einigen Monaten ebenfalls einen Entwurf einer Leitlinie veröffentlicht, der Provider zur Sperrung von infizierten Zombie-Rechnern auffordert. Mehr als 60 Provider sollen der Leitlinie bereits folgen. Da bleibt nur zu hoffen, dass das BSI-eco-Projekt nicht dazu führt, dass 2010 ein Viertel der Deutschen plötzlich offline ist.
Damit es gar nicht erst zu einer Infektion des eigenen Windows-PCs kommt, hilft neben der Installation eines Virenscanners die regelmäßige Aktualisierung installierter Anwendungen, um bekannte Lücken zu schließen.
Erneut haben Kriminelle die Cloud-Infrastruktur zum Betreiben eines Botnets genutzt. Dahinter steckten die Betreiber des Zeus-Botnets, das für einen Großteil des weltweiten Spam-Traffics verantwortlich ist.
Wie die Sicherheitsforscher von CA herausfanden, nutzt das Zeus-Botnet die Amazon Cloud-Dienstleistung EC2 als Command- and Control-Center. Die Zeus-Hintermänner nutzen EC2 vor allem zur Verteilung der Malware und um den infizierten Zombie-PCs neue Anweisungen zu erteilen. Die Amazon-Lösung ist nicht die erste Cloud-Plattform, die von Kriminellen als Kommandozentrale genutzt wird. Zuvor hatte es bereits die App Engine von Google getroffen. Die Forscher bezeichnen diese Art der Malware-Kontrolle und -Verbreitung als Malware as a Service.
Die Zeus-Familie, auch Zbot genannt, gehört mit zu den aktivsten Malware-Familien. Regelmäßig senden die Botnets neue E-Mail-Wellen aus, mit denen Zeus neue Opfer anlocken will. Die infizierten PCs werden anschließend dem bestehenden Botnet angegliedert und vor allem für den Versand von unerwünschten Werbe-Mails genutzt.
Quelle : www.tecchannel.de
Titel: Bundesweite Zentrale zur Botnetz-Bekämpfung wirft Fragen auf
Beitrag von: SiLæncer am 10 Dezember, 2009, 18:59
Große Provider und FDP-Politiker beäugen den Plan des Verband der deutschen Internetwirtschaft (eco) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Bekämpfung von Botnetzen skeptisch. "Natürlich ist es richtig und notwendig, die IT-Sicherheit zu verbessern, Spam zu bekämpfen und Malware aufzuspüren", erklärte die stellvertretende Vorsitzende der FDP-Bundestagsfraktion, Gisela Piltz, am heutigen Donnerstag gegenüber heise online. "Allerdings muss man sich schon einmal fragen dürfen, ob es eine staatliche Aufgabe ist, Steuergelder für ein Call-Center zum IT-Support bereitzustellen." Es gebe ja auch keine staatsfinanzierte Hotline für Probleme mit Autos.
Die Innenpolitikerin machte zudem deutlich, dass auch im Kampf gegen infizierte Computer von Heimanwender der Datenschutz gewahrt bleiben müsse. "Eine generelle Überwachung des Internet-Datenverkehrs darf es nicht geben, dies ist auch im Koalitionsvertrag vereinbart", betonte Piltz. Das mögliche Kappen von Netzzugängen oder eine Beschränkung des Internetzugangs allein auf eine Warnseite sei ein gravierender Grundrechtseingriff, der für die Liberalen nicht denkbar sei. Es sei rechtlich auch höchst fragwürdig, ob derartige Eingriffe über die Allgemeinen Geschäftsbedingungen verhältnismäßig wären. Eine potenzielle Pflicht zum Schutz gegen PC-Viren hält Piltz zudem genauso für unmöglich wie ein Kino- und Theater-Verbot für Menschen mit Erkältung.
Zuvor waren auf Blogs und in Mailinglisten Befürchtungen laut geworden, dass das überraschend auf dem 4. IT-Gipfel bekanntgegebene Vorhaben mit der Einführung von Internetsperren und umstrittenen Überwachungsmethoden wie der Durchfilterung des gesamten Netzverkehrs durch die Zugangsanbieter per "Deep Packet Inspection" verknüpft sein könnte. Der Vorstandsvorsitzende von Freenet, Christoph Vilanek, sagte dem Hamburger Abendblatt, dass er von den Plänen vorab nichts gehört habe. Er könne sich nicht vorstellen, "wie das funktionieren soll". Es kämen keine Verpflichtungen auf die Nutzer zu, versicherte zugleich ein Sprecher der Deutschen Telekom. Kunden würden nicht vom Netz genommen. Bei HanseNet hieß es, dass entsprechende Vorschläge schwer umsetzbar sein dürfen. Zudem sei noch gar nicht über die Übernahme der Kosten gesprochen worden.
Der eco fühlte sich unterdessen zu einer Klarstellung gedrängt. Demnach handelt es sich bei dem präsentierten Anti-Botnet-Projekt um eine rein privatwirtschaftliche Initiative zur Unterstützung der Bürger bei der Sicherung ihrer IT-Systeme. Ziel sei es, Kunden, deren PC ohne ihr Wissen Teil eines Schädlingsnetzes geworden sei, darüber in Kenntnis zu setzen und ihnen bei der Beseitigung der Schadsoftware unter die Arme zu greifen. Zunächst könne der betroffene Kunde eine Webseite besuchen, auf der er Informationen und Hilfsmittel zur Selbsthilfe zur Verfügung gestellt bekomme.
Die zweite Stufe des Unterstützungsangebots stellt laut der Branchenvereinigung ein "anbieterübergreifendes Beratungszentrum" dar, das Kunden mit weitergehendem Beratungsbedarf telefonisch durch die erforderlichen Schritte zur Beseitigung des Schadprogramms sowie zur nachhaltigen Absicherung des PCs führe. Die allgemeine Benachrichtigung der betroffenen Nutzer solle zudem "nach Möglichkeit" auf mehreren Kanälen erfolgen, etwa durch eine Vorschaltwebsite beim Öffnen des Browsers sowie zusätzlich per Post. Dies sei wichtig, um einen zuverlässigen Eingang der Information beim Empfänger sicherzustellen. Die Bundesregierung begrüße den Vorstoß als "gelungenes Beispiel privatwirtschaftlicher Verantwortungsübernahme für die Gesamtgesellschaft".
Die 1&1 Internet AG hat ein vergleichbares Projekt im Alleingang bereits Anfang des Jahres gestartet. Einem Sprecher des Providers zufolge informiert das Unternehmen betroffene Kunden etwa per E-Mail gezielt über eine Infektion und gibt ihnen "Schritt-für-Schritt-Anleitungen" zum Entfernen von Schädlingen an die Hand. "Sperren von Serviceleistungen" seien dadurch "nur in einigen wenigen Ausnahmefällen nötig, um unsere eigene Infrastruktur zu schützen". Zur Erkennung eines Befalls setze man auf verschiedene Mechanismen wie Honeypot-Systeme, die Computersysteme ohne aktuelle Sicherheitsupdates simulieren, Spamfallen, die Auswertung von Denial-of-Service-Attacken oder externe Beschwerden. Botnetze bezeichnete der Sprecher als "volkswirtschaftliches Risiko". Deswegen sei die nun beschlossene enge Zusammenarbeit von Providern mit dem Bund und Branchenverbänden wichtig.
Quelle : www.heise.de
Titel: Zeus: Botnet-Bausatz auf Erfolgskurs
Beitrag von: SiLæncer am 05 Januar, 2010, 23:31
Sicherheitsexperten der Firma Damballa berichten, dass rund zehn Prozent aller Botnets durch Varianten der Zeus-Malware kontrolliert werden. Diese Malware wird als "Bausatz" an Cyberkriminelle verkauft, damit diese ihr eigenes Botnet daraus bauen können.
Ein Zeus-Bausatz kostet auf dem Schwarzmarkt rund 400 bis 700 US-Dollar (umgerechnet etwa 280 bis 500 Euro). Mit Hilfe dieser Bausätze kann jeder Benutzer mit einem Mindestmaß an technischen Kenntnissen seine individuelle Botnet-Software basteln. Entsprechend erfreut sich die auch als Prg und Zbot bezeichnete Software großer Beliebtheit in der Szene und wurde von zahlreichen Entwicklern um Plug-ins erweitert.
"Zeus hat stark an Dynamik gewonnen. Wenn Sie Anfänger sind, haben Sie vielleicht in der Presse von Zeus gehört. Und wenn Sie jemand sind, der nach spezifischen Funktionen sucht, ermöglichen Ihnen die Plugins das," erklärt Gunter Ollmann, Vizechef von Damballa.
Zeus wird beispielsweise von Cyberkriminellen genutzt, die mit Hilfe von Phishing-Techniken die persönlichen Daten nichtsahnender Computer-Nutzer zu stehlen versuchen. Verbreitet wird die Schadsoftware oft mit Hilfe verseuchter E-Mails - offenbar mit Erfolg, betrachtet man die immense Verbreitung von Zeus. So war es beispielsweise ein Command and Control-Server eines auf Zeus basierten Botnets, der kürzlich in Amazons Cloud-Service auftauchte.
"Zeus ist dabei, die Kontrolle über das unterste Markt-Segment zu übernehmen," erklärt Ollman, "Die Newbies, die in den Markt einsteigen, wollen ihre Botnets selbst bauen. Es gibt bessere Bausätze, aber die kosten mehr Geld." Die Marketing-Strategie von Zeus scheint also aufzugehen - wahrscheinlich wird man auch in Zukunft noch von diesem Schädling hören.
Quelle : www.gulli.com
Titel: Sicherheitsexperten nehmen Lethic-Botnet vom Netz
Beitrag von: SiLæncer am 13 Januar, 2010, 21:04
Einem Zusammenschluss von IT-Sicherheitsexperten gelang es offenbar, das Lethic-Botnet auszuschalten, indem sie die Command-and-Control-Server des Netzes eliminierten.
Der Erfolg gelang den Spam-Bekämpfern der Firma Neustar in Kooperation mit mehreren Providern. Die Server, die die kompromittierten Rechner (sogenannte "Zombies") fernsteuerten, wurden vom Netz genommen, woraufhin das Botnet, das erst im vergangenen Dezember von Sicherheitsforschern entdeckt und analysiert wurde (http://asert.arbornetworks.com/2009/12/lethic-spambot-analysis-pills-watches-and-diplomas/), keine neuen Anweisungen mehr erhalten konnte.
Das Lethic-Botnet war vor allem durch den Versand von Spam, in dem für Medikamente, Bildungsprogramme und gefälschte Markenartikel geworben wurde, aufgefallen. Insgesamt soll es zeitweilig für jede zehnte Spam-Mail verantwortlich gewesen sein. Die Mails trugen Betreffzeilen wie "0nline Pharmacy, Save on Medications from a safe and reliable canadian 0nline Pharmacy", "Great Popular Soft At Prices You Will Like" oder "Extenze Ma1eEnhancement. PenisEn1argement Pills that work! Try it Risk Free.. 100% Guaranteeed" - typische Werbemails, wie sie täglich zu Hunderttausenden in den Spamfiltern landen.
Momentan versuchen die "Zombies", neue Server in Hong Kong und China zu kontaktieren. Dies berichteten Forscher von M86 Labs, die Lethic beobachten. Die Sicherheitsexperten arbeiten momentan daran, die von Lethic verwendeten, momentan inaktiven Domains permanent zu deaktivieren.
Ob es Lethic trotzdem gelingen wird, noch einmal zurückzukehren, wird sich zeigen. Offenbar ist das Botnet eines der primitiveren Sorte. Neue, höher entwickelte Exemplare arbeiten mit besseren Schutzmechanismen gegen Takedowns, teilweise auch mit Peer-to-Peer-Technologien, und machen so den Experten das Leben weitaus schwerer.
Quelle : www.gulli.com
Titel: Spy Eye: Malware mit Potential
Beitrag von: SiLæncer am 10 Februar, 2010, 20:45
Einen cleveren Verbreitungsweg wählten die Entwickler eines neuen russischen Botnet-Trojaners. Das Spy Eye-Toolkit stiehlt Daten eines wesentlich größeren rivalisierenden Botnets - und entfernt die entsprechende Malware von infizierten Rechnern.
Spy Eye erhielt vor einigen Tagen per Update die Fähigkeit, sich aktiv gegen seinen Rivalen "Zeus" zur Wehr zu setzen. Das Feature namens "Kill Zeus" entfernt die Zeus-Malware vom PC, so dass Spy Eye exklusiv auf die dort gespeicherten Benutzernamen und Passwörter zugreifen kann. Sowohl Zeus als auch Spy Eye sind unter anderem auf den Diebstahl von Account-Daten für's Online-Banking spezialisiert. Zudem kann Spy Eye auch Daten des Rivalen stehlen, wenn diese an den Command and Control-Server verschickt werden. Spy Eye gilt damit als die wohl aggressivste derzeit aktive Schadsoftware.
Zeus gilt als "Anfänger-Malware" und kann als Bausatz auch von unerfahrenen Cyberkriminellen modifiziert und benutzt werden (gulli:News berichtete). Die Malware ist mittlerweile äußert beliebt und Infektionen damit beunruhigend weit verbreitet. Solche Erfolge kann Spy Eye, das momentan für 500 US-Dollar (rund 360 Euro) auf dem Schwarzmarkt verkauft wird, bisher noch nicht aufweisen. Die Malware tauchte erst im vergangenen Dezember in russischen Cybercrime-Foren auf, berichtet Sicherheitsforscher Ben Greenbaum von der Firma Symantec. Trotzdem könnte sie sich durch ihre aggressive und innovative Verbreitungsstrategie schnell einen größeren "Marktanteil" verschaffen. "Der Malware-Autor weiß, dass Zeus einen ziemlich guten Markt hat, und versucht, dort hereinzukommen," vermutet Greenbaum.
Spy Eye wird momentan rasant weiterentwickelt. Schon jetzt sind Features wie eine automatische Backup-Funktion per E-Mail und das Stehlen von automatisch auszufüllenden Passwörtern aus dem Browsercache eingebaut. Greenbaum bestätigt dem bisher noch recht unbekannten Trojaner ein "interessantes Potential".
Quelle : www.gulli.com
Titel: Botnet Zeus infiziert mehr als 2500 Firmen
Beitrag von: SiLæncer am 19 Februar, 2010, 13:13
Das Zeus-Botnet stellt weiterhin eine starke Spam-Macht dar. Laut einem aktuellen Bericht soll sich Zeus mit der Waledac-Malware verbunden haben und nun mehr als 74 000 PCs kontrollieren, einige davon in Regierungseinrichtungen.
Zeus bezeichnet neben einem Bausatz für Malware auch ein komplett eigenes Botnet. Laut einem Bericht (http://www.netwitness.com/resources/pressreleases/feb182010.aspx) der Sicherheitsfirma NetWitness, hat das Netzwerk mehr als 74 000 PCs in mehr als 2500 Firmennetzwerken infiltriert. Zeus nutzt diese Bots nicht, um Spam oder Viren zu verschicken, sondern hat sie vielmehr in Lauschposten umgewandelt. Damit versucht die Malware beispielsweise an Firmengeheimnisse und andere sensible Daten zu gelangen. Zeus interessiert sich dazu außerdem für SSL-Zertifikate sowie Zugänge für soziale Netzwerke wie Facebook oder E-Mail-Dienste wie Yahoo.
Zudem sieht es so aus, als würden die Zeus-Hintermänner mit den Machern des Waledac-Netzwerks zusammenarbeiten. Waledac ist ein multifunktionaler Spambot, also ein Schädling zum Versand von Spam-Mails. Waledac kann zum Beispiel beliebige Dateien aus dem Web herunterladen und starten, Mail-Adressen auf dem infizierten PC einsammeln, DoS-Angriffe starten sowie Datenverkehr und Passwörter ausspionieren. Die Verbreitung von Waledac erfolgt zum Teil über eigene Spam-Kampagnen. Die aktuelle Waledac-Kampagne läuft schon einige Wochen und hat eine angebliche Agenturmeldung zu Terrorangriffen zum Thema. Die Waledac-Malware wird von einer Reihe von Websites geladen und mehrmals täglich ein wenig verändert, um Antivirusprogramme zu umgehen - teilweise mit Erfolg.
Quelle : www.tecchannel.de
Titel: Kneber-Botnet nur eines unter vielen
Beitrag von: SiLæncer am 20 Februar, 2010, 21:04
Das von der Firma NetWitness entdeckte "Kneber"-Botnet macht momentan Schlagzeilen. Zu Unrecht? Andere Sicherheitsfirmen erklären, es gebe zahlreiche weitere Botnets dieser Art - an Kneber sei nichts Besonderes.
Die Firma NetWitness hatte kürzlich von zahlreichen Einbrüchen in Firmenrechner und Datendiebstählen mit Hilfe einer modifizierten Version des "ZeuS"-Trojaners berichtet. Das zuständige, im Januar entdeckte Botnet erhielt von den Forschern den Spitznamen "Kneber". Kneber soll rund 75.000 Rechner, verteilt auf etwa 2500 verschiedene Unternehmen und Behörden, kompromittiert haben.
Sicherheitsexperten drückten ihre Anerkennung dafür aus, dass es NetWitness gelang, das Botnet und auch den Server mit den von Kneber gestohlenen Login-Daten zu entdecken. Allerdings betonen viele Szenekenner, dass Kneber keineswegs einzigartig ist. Würde man danach suchen, so schätzen einige Sicherheitsexperten, ließen sich bis zu 100 ähnliche, auf ZeuS basierende Botnets entdecken. Womöglich würden diese sogar noch mehr destruktive Möglichkeiten bieten - bei Kneber nämlich, so heißt es, wurde eine veraltete, mittlerweile kostenlos erhältliche Version der ZeuS-Malware verwendet. Die Experten stufen das Botnet als nicht besonders professionell ein. ZeuS gilt von jeher als "Anfänger"-Trojaner, mit dem auch Einsteiger ohne großen Arbeits- und Kostenaufwand ein eigenes Botnet basteln können.
"In der Welt der IT-Sicherheit ist das 'Kneber'-Botnet leider nur ein weiteres Botnet unter vielen. Mit 75.000 infizierten Maschinen ist Kneber noch nicht einmal besonders groß, es gibt viel größere Botnets", erklärte das Sicherheitssoftware-Unternehmen McAfee am heutigen Freitag in einer Stellungnahme.
Für die Betroffenen ist das natürlich ein schwacher Trost. Kneber, das zeigen die großen Mengen gestohlener Daten, hat ein erhebliches destruktives Potential und dürfte einen hohen finanziellen Schaden angerichtet haben. Insgesamt gesehen aber ist auch dieses Botnet nur die Spitze des sprichwörtlichen Eisbergs.
Quelle : www.gulli.com
Titel: Microsoft geht juristisch gegen Botnet vor
Beitrag von: SiLæncer am 25 Februar, 2010, 12:39
Der US-amerikanische Softwarehersteller Microsoft hat von einem US-Bundesgericht im Bundesstaat Virginia die Erlaubnis erhalten, gegen das Botnet Waledac vorzugehen. Dafür sollen 277 Internet-Adressen vom Netz genommen werden, teilte Microsoft mit. Microsoft hatte dazu am Montag eine Klageschrift (PDF-Datei (http://www.microsoft.com/presspass/events/rsa/docs/complaint.pdf)) gegen 27 Unbekannte eingereicht.
Laut Anordnung des Richters muss VeriSign, Betreiber der Top Level Domain .com, von Microsoft ermittelte verdächtige Internetadressen vorübergehend vom Netz nehmen. Diese würden vermutlich von Kriminellen genutzt, um den Datenverkehr des Botnetzes zu lenken. Microsoft habe die Besitzer der Domains seit Dienstag über die Anordnung informiert, berichtet das Wall Street Journal. Hinter allen betroffenen Domains würden Kontaktadressen in China stehen.
Waldemac besteht laut Microsoft aus einem Netz von schätzungsweise Hunderttausenden infizierten Computern weltweit. Es sei in der Lage, täglich 1,5 Milliarden Spam-Mails täglich zu verschicken. Der Softwarekonzern hat herausgefunden, dass im Zeitraum 3. bis 21. Dezember rund 651 Millionen Spam-Mails über Waledac allein an Hotmail-Accounts geschickt wurden.
Siehe dazu auch:
* Aus dem Alltag eines Bots (http://www.heise.de/meldung/Aus-dem-Alltag-eines-Bots-6103.html)
Quelle : www.heise.de
Titel: Ein Botnetz geht, der Spam bleibt
Beitrag von: SiLæncer am 01 März, 2010, 19:31
Das in der vergangenen Woche von Microsoft nach eigenen Angaben mit juristischen Mitteln stillgelegte Waledac-Botnet hatte offenbar wenig mit dem Versenden unerwünschter E-Mails zu tun. Microsoft hatte dem Verbund verseuchter PCs einen Ausstoß von bis zu 1,5 Milliarden Müll-Mails pro Tag zugetraut. Doch die Blacklist-Statistiken des iX-Antispam-Projekts, die den Mail-Eingang auf Tausenden von Mailservern weltweit widerspiegeln, zeigen in den vergangenen Tagen und Wochen keine besonderen Vorkommnisse (siehe Bilderstrecke (http://www.heise.de/newsticker/bilderstrecke/bilderstrecke_943236.html?back=943084)).
Waledac dürfte folglich in letzter Zeit entweder gar nicht zum Spammen im Einsatz gewesen sein – oder die Spam-Versender haben inzwischen wirksame Umgehungsmechanismen für derartige Gegenmaßnahmen entwickelt und einfach auf andere Botnetze umgeschaltet.
Ganz erhebliche Auswirkungen auf das weltweite Spam-Aufkommen hatte im November 2008 die Zwangstrennung des Hosters McColo vom Internet gehabt, wie eine der abgebildeten Statistiken ebenfalls zeigt. Zeitweise war die Zahl der Spam-Zustellversuche um drei Viertel eingebrochen. Mittlerweile hat sich die Lage längst wieder "normalisiert", und je nach Quelle ist von 95 oder gar 99 Prozent Spam-Anteil am Mail-Verkehr die Rede.
Quelle : www.heise.de
Titel: Betreiber von Mariposa-Botnetz verhaftet
Beitrag von: SiLæncer am 03 März, 2010, 16:11
Die spanische Polizeieinheit Guardia Civil hat am Mittwoch Einzelheiten zur Festnahme von drei mutmaßlichen Hauptverantwortlichen eines unter dem Namen "Mariposa" bekannten Botnetzes (PDF-Datei (http://defintel.com/docs/Mariposa_Analysis.pdf)) mitgeteilt. Festgenommen wurden in den vergangenen Wochen demnach drei Spanier, denen vorgeworfen wird, seit Ende 2008 über 13 Millionen Computer unter ihre Kontrolle gebracht und damit eines der größten Botnetze weltweit betrieben zu haben. Bei Hausdurchsuchungen in Valmaseda, Santiago de Compostela und Molina de Segura beschlagnahmten die Behörden den Angaben zufolge umfangreiches Beweismaterial, darunter Zugangsdaten zu Unternehmensnetzen, Online-Banking-Accounts und E-Mail-Konten von mehr als 800.000 Nutzern.
Unterstützt wurde die "Grupo de Delitos Telemáticos" der Guardia Civil vom amerikanischen FBI, dem Georgia Tech Information Security Center, dem spanischen Hersteller von Sicherheitssoftware Panda Security und dem Defense Intelligence Team, das im Mai 2009 auf "Mariposa" aufmerksam wurde und anschließend zahlreiche Master-Server identifizierte, von denen die gekaperten Windows-Rechner Befehle zum Herunterladen von weiteren Schadprogrammen wie Key-Loggern erhielten. Aufgebaut wurde das Netz offenbar vor allem über das Versenden von Links auf präparierte Webseiten in Instant Messages. Rief der Empfänger eine der Seiten auf, wurde eine nicht näher spezifizierte Sicherheitslücke im Internet Explorer zur Infizierung des Rechners ausgenutzt.
Zum Mariposa-Botnetz, dessen "Command and Control Server" bereits am 23. Dezember vergangenen Jahres vom Netz genommen worden sein sollen, gehörten den Angaben zufolge PCs in 190 Ländern, darunter Rechner in Schulen, Regierungsinstitutionen und hunderten Großunternehmen. Den entstandenen Schaden vermag die Guardia Civil derzeit nicht zu beziffern. Offenbar wurde das Botnetz aber auch an andere Interessengruppen vermietet: So verzeichnete das Defense Intelligence Team (dessen Name selbst für Master-Server-Domains wie "defintelsucks.com" missbraucht wurde) Anfang November massive DOS-Attacken auf mehrere arabische Websites. Die Mariposa-Hauptverantwortlichen erwarten bei einer Verurteilung in Spanien mehrjährige Haftstrafen wegen Computersabotage und Betrugs.
Quelle : www.heise.de
Titel: Zahlreiche ZeuS-Botnets offline, Ursache unklar
Beitrag von: SiLæncer am 10 März, 2010, 20:34
Eine Vielzahl von Botnets, die auf der ZeuS-Malware basierten, gingen in den vergangenen Tagen vom Netz. Sicherheitsexperten spekulieren über die Ursachen: Gab es einen heimlichen Takedown?
Die ZeuS-Malware erfreut sich insbesondere bei unerfahrenen Cyberkriminellen großer Beliebtheit, da sie nach dem Baukasten-Prinzip funktioniert, günstig, leicht zu bekommen und einfach zu bedienen ist . Am Abend des gestrigen Dienstag jedoch sank die Anzahl von im Netz befindlichen Zombies schlagartig. Am 27. Februar fiel bereits die Anzahl der durch ZeuS-Botnets verbreiteten Spam-Mails schlagartig ab.
Der Schweizer Sicherheitsexperte Roman Hüssy erklärt, dass in vielen Fällen wahrscheinlich die Malware nach wie vor auf den Rechnern der Opfer zu finden ist. Die verantwortlichen Kriminellen könnten die Zombies aber nicht mehr fernsteuern. Hüssy bezweifelt, dass es ihnen gelingen wird, die Kontrolle zurückzuerlangen.
Nach Hüssys Angaben wurden mehrere für kriminelle Zwecke benutzte Internet-Provider vom Netz genommen. Wer genau in dieser Form die Infrastruktur zahlreicher ZeuS-Botnets angreift, ist unklar. Entweder handelt es sich um Ermittlungsbehörden, um private Sicherheitsexperten oder um eine Kooperation beider Gruppen.
Quelle: www.gulli.com
Titel: Zahlreiche ZeuS-Botnets offline, Ursache unklar [Update]
Beitrag von: SiLæncer am 12 März, 2010, 00:06
Entgegen ersten Prognosen scheinen viele der Zombies nach einiger Zeit doch wieder Kontakt aufnehmen zu können. Wie das IT-Newsportal The Register berichtet, hatte 48 Stunden nach dem Takedown bereits ein Drittel der infizierten Rechner wieder Kontakt zu den Command and Control-Servern aufgenommen. Sicherheitsexperten rechnen damit, dass diese Zahl in den nächsten Stunden noch ansteigen wird. Offenbar war es einem der vom Netz genommenen Internet-Provider gelungen, einen neuen Upstream-Provider zu finden und somit wieder online zu gehen. Nun, so beklagen Sicherheitsforscher, können die Cyberkriminellen die Bots mit Updates versorgen und so die Infrastruktur gegen erneute Takedown-Versuche effektiver absichern.
Quelle: www.gulli.com
Titel: Trojaner mit Kopierschutz - Von Microsoft gelernt
Beitrag von: SiLæncer am 15 März, 2010, 12:52
Der weit verbreitete Trojaner Zeus wird von den Programmierern gegen gutes Geld verkauft und besitzt nun auch noch einen Kopierschutz.
Die Grundversion von Zeus soll laut The Register (http://www.theregister.co.uk/2010/03/12/new_zeus_features/) 4.000 US-Dollar kosten, mit Extra-Fähigkeiten kann der Preis auf 10.000 Dollar steigen. Damit der Trojaner von Interessenten nicht einfach kopiert wird, besitzt die neueste Version ein Feature, das ähnlich funktioniert wie der Kopierschutz des Betriebssystems Windows.
Nachdem die Trojaner-Software auf dem Kontroll-Server installiert wird, der infizierte Rechner steuern soll, wird ein Lizenzschlüssel benötigt, der unter anderem durch die Server-Hardware bestimmt wird und nur auf diesem Rechner funktioniert. Die neue Ausgabe des Trojaners, die über diese Funktion verfügt, trägt ausgerechnet die Versionsnummer 1.3.3.7. Die nächste Version 1.4 soll besonders gefährlich sein, da sie sich selbst verschlüsseln kann und so durch Viren-Signaturen extrem schlecht erkennbar sein soll.
Die beim Waledac-Takedown angewendete Kombination von technischen und juristischen Maßnahmen scheint erfolgreich gewesen zu sein: nach Angaben eines Microsoft-Sprechers wurde das Botnet "effektiv dezimiert".
Wie Microsoft-Sicherheitsexperte Jeff Williams berichtete, wurden durch den Takedown 70.000 bis 90.000 infizierte Rechner - sogenannte "Zombies" - von ihren Kontrollservern getrennt. So können sie nicht mehr mit Befehlen und Software-Updates versorgt werden.
Um von einem dauerhaften Erfolg zu sprechen, sei es noch zu früh, warnte Williams am heutigen Dienstag. Er berichtete aber, man habe durch den anfänglichen Erfolg wertvolle Lektionen gelernt, wie man in Zukunft mit Botnets umgehen werde. Die Kommunikation der Bots sei allem Anschein nach "effektiv dezimiert" worden. Diesen Eindruck bestätigte die Shadowserver Foundation, die mit Hilfe sogenannter Honeypots die Aktivitäten bekannter Botnets überwacht.
Zudem schafft es Waledac auch offenbar kaum noch, neue Rechner zu infizieren. Die Anzahl der neu hinzukommenden Zombies soll massiv abgenommen haben, wie die Sicherheitsfirma Sudosecure berichtet. Auch im Spam-Versand ist Waledac offenbar nicht mehr aktiv. Ein Rückgang im gesamten Spam-Volumen konnte allerdings in den drei Wochen seit dem Takedown nicht beobachtet werden - Sicherheitsexperten vermuten, dass viele Rechner neben Waledac auch mit anderer Malware infiziert sind. Waledac war in seiner Blütezeit eines der zehn größten bekannten Botnets mit hunderttausenden von Zombies.
Der Waledac-Takedown ist teil von Microsofts neuer MARS-Strategie: Microsoft Active Response for Security. Diese setzt auf die Koordination rechtlicher Schritte mit verschiedenen technischen Maßnahmen, die die Peer-to-Peer-Kommunikation der Zombies stören sollen. Diese soll nun nach dem Anfangs-Erfolg bei Waledac fortgesetzt werden.
Quelle: www.gulli.com
Titel: Vietnamesisches Botnet ist politisch motiviert
Beitrag von: ritschibie am 31 März, 2010, 18:56
Ein in Vietnam angesiedeltes Botnet dient offenbar primär politischen, "hacktivistischen" Zwecken und soll nach Angaben von Experten eine lose Verbindung zu den "Aurora"-Angriffen auf, unter anderem, Suchmaschinen-Gigant Google aufweisen.
Die offenbar politisch motivierten Cyber-Kriminellen verbreiteten in Vietnam im großen Stil Malware. Das ergeben Untersuchungen von Google in Kooperation mit dem bekannten IT-Sicherheitsunternehmen McAfee. Die Malware wurde als Software-Paket für die Unterstützung der vietnamesischen Sprache beziehungsweise entsprechender Tastaturen getarnt, ein Trick, der offenbar eine recht erfolgreiche Verbreitung ermöglichte. In vielen der Unternehmen, die Ziel des "Aurora"-Angriffs wurden, wurde entsprechende Malware gefunden.
Google berichtet in einem Blog-Eintrag, die auf diese Weise kompromittierten Maschinen seien für politisch motivierte Angriffe genutzt worden. So wurde das Benutzerverhalten an den verseuchten Computern umfassend ausspioniert. Daneben nahmen die Maschinen aber auch an DDoS-Angriffen teil. Besonders Blogs, die politisch missliebige Texte beinhalteten, wurden Ziel der Angriffe. Unter anderem soll es dabei um den Abbau von Bauxit in Vietnam gegangen sein, ein unter den Vietnamesen sehr emotionales Thema. Wer sich gegen diese Minenoperationen aussprach, konnte leicht Ziel von DDoS-Angriffen werden. Die Sicherheitsexperten vermuten daher, dass die politisch motivierten Cyberkriminellen Sympathien für die vietnamesische Regierung hegen.
McAfee vermutet, dass der Aufbau des Botnets Ende 2009 begann - zu der Zeit, in der auch die Aurora-Angriffe stattfanden. An einen direkten Zusammenhang glaubt man allerdings nicht. "Obwohl McAfee Labs die Malware während der Untersuchung von Operation Aurora identifiziert hat, glauben wir, dass die Angriffe nicht zusammenhängen. Der Bot-Code ist viel weniger hochentwickelt als die Angriffe der Operation Aurora," berichtet ein Firmensprecher. Das Unternehmen taufte den Trojaner auf den Namen Vulcanbot.
Infizierte Systeme melden sich bei einer Reihe von Domains, die zunächst mit Operation Aurora in Verbindung gebracht wurden. Diese Theorie wurde allerdings später widerlegt. Nun glaubt man, dass die Malware völlig andere Command and Control-Server als Operation Aurora verwendet.
Das Botnet ist nach wie vor aktiv und führt Angriffe durch.
Quelle: www.gulli.com
Titel: Ghostnet 2.0: Spionagenetz nutzt Dienste in der Cloud
Beitrag von: SiLæncer am 06 April, 2010, 11:55
Das vor rund einem Jahr aufgedeckte Spionagenetzwerk Ghostnet ist einer weiter gehenden Untersuchung zufolge noch viel größer und ausgefeilter als bislang angenommen. Das berichten das Munk Centre for International Studies, der Information Warfare Monitor, die SecDevGroup und die Shadowserver Foundation in einer am heutigen Dienstag veröffentlichten Studie "Shadows in the Cloud". Im Wesentlichen handelt es sich bei Ghostnet um ein Botnetz, über das Malware zur Spionage verteilt und gesteuert wird.
Wissenschafter des in Toronto ansässigen Munk Centre for International Studies hatten Ende März 2009 bei einer Überprüfung des Rechnersystems der in Indien residierenden tibetischen Exil-Regierung des Dalai Lama das bislang größte computergesteuerte Spionage-Netzwerk entdeckt. Das von ihnen als Ghostnet bezeichnete Netzwerk wurde von fast ausschließlich in China stationierten Rechnern kontrolliert und hatte in zwei Jahren 1295 Rechner in 103 Ländern infiltriert.
Den neuen Analysen zufolge zielten die Spionageangriffe hauptsächlich auf Indien, die tibetische Exilregierung und die Vereinten Nationen. Bei der Verfolgung der Spuren sei man auf als geheim und vertraulich eingestufte Dokumente der indischen Regierung gestoßen, in denen es unter anderem um die Sicherheitslage in indischen Bundesstaaten oder Beziehungen Indiens zu anderen Ländern gegangen sei. Aus dem Büro des Dalai Lama seien 1500 E-Mails aus der Zeit zwischen Januar und November 2009 ausgekundschaftet worden.
Die Angreifer nutzen laut Bericht zur Kontrolle des Botnetzes mittlerweile Cloud-Techniken wie Googles AppEngine, um die Spionagedrohnen zu steuern und ihre Infrastruktur so zuverlässig wie möglich zu machen. Zudem setzen sie zur Kommunikation auch Plattformen für soziale Netze, wie Twitter, Google Groups und Blogs. Die Spuren der Angreifer sollen in die Provinz Chengdu in Südwestchina führen. Die chinesische Regierung wies den Vorwurf einer möglichen Verwicklung unterdessen umgehend zurück. Die Sprecherin des Außenministeriums, Jiang Yu, sagte vor der Presse in Peking, China lehne Cyber-Verbrechen entschieden ab und gehe gegen Hacker vor. Solche Attacken seien ein internationales Problem.
Quelle : www.heise.de
Titel: Auch Google machtlos gegen Überzahl der Botnetze
Beitrag von: SiLæncer am 18 April, 2010, 12:19
Auch Internetgigant Google wird der Botnets und ihrer kriminellen Aktivitäten nicht Herr. Wo eines offline geht, werden drei neue installiert.
Google veröffentlichte seine jüngsten Übersichten zu Spamattacken über seine E-Mail-Dienste. Bislang gibt es keine langanhaltend positiven Effekte durch die Auflösung großer Botnetze wie Mariposa oder Mega-D. Zwar konnten die kontrollierenden Server des Mega-D-Botnetzes Ende 2009 isoliert und damit eine der zehn größten Spam-Quellen ausgeschaltet werden, doch trat dadurch im ersten Quartal dieses Jahres keine nennenswerte Veränderung ein.
Anfang des Jahres hatten sich mehrere Behörden und Sicherheitsfirmen zusammengetan, um gleich mehrere Botnetze wie etwa Waledac, Mariposa und Zeus ins Visier zu nehmen. Dabei konnten sowohl Mariposa als auch Zeus in ihrem Aktionsradius eingeschränkt werden. An der Gesamtsituation hat diese koordinierte Aktion jedoch nichts geändert, das Spam- und Virenaufkommen bleibt weiterhin konstant.
Für Google ist klar, dass dies nur bedeuten kann, dass weiterhin genügend Botnetze vorhanden sind, auf die Spammer zurückgreifen können. In einem Blogeintrag des Google-Sicherheitsservice Postini heißt es: "Wenn ein Botnetz offline geht, kaufen, mieten oder nutzen Spammer einfach ein anderes. Das macht es für die Anti-Spam Community schwierig, im Kampf gegen Spam einzelne Botnetze durch gezielte Angriffe lahmzulegen." Auch der Filterriese Google hat kaum eine Handhabe gegen die Betrugsmaschinerie.
Googles akutelle Analyse zeigt für Ende März eine Zunahme des individualisierten Spams von 30%. Beliebte Aufhänger sind dabei nach wie vor Naturkatastrophen und Prominententratsch, aber auch Betrugsversuche über finanzielle Transaktionen, die ihre Empfänger dazu bringen sollen, sich mit der E-Mail zu beschäftigen. Lediglich die Verbreitung von Schadsoftware durch Spammails ist von 3,7% im vergangenen Jahr auf bislang 1,1% gesunken. Allerdings ist dabei nicht klar, ob diese Verringerung tatsächlich durch Maßnahmen zur Spam- und Malwarebekämpfung entstanden ist.
Quelle: www.gulli.com
Titel: Bank-Trojaner Zeus startet neue Angriffswelle
Beitrag von: SiLæncer am 21 April, 2010, 21:20
Die Banking-Malware Zeus startet neue Angriffe mit einer neuen Programmversion. Die Hintermänner haben neue Routinen eingebaut, die eine Infektion von IE- und Firefox-Nutzern vorsehen.
Die Sicherheitsfirma Trusteer warnt vor einer erhöhten Aktivität des Zeus Trojaners. Die Malware wurde laut den Forschern von Trusteer überarbeitet und nutzt nun neue Schwachstellen in den populären Browsern Firefox und Internet Explorer.
Hat sich der Trojaner erst einmal auf einem attackierten System eingenistet, versucht Zeus, auch bekannt als Zbot, sich unerkannt im Hintergrund zu halten. Abgesehen hat es die Malware auf Bank-Informationen, etwa Zugangsdaten oder TANs. Trusteer warnt davor, dass Anti-Viren-Systeme die Malware nur schlecht erkennen. In einer Studie hat die Firma festgestellt, dass 55 Prozent der infizierten Systeme über eine aktuelle Anti-Viren-Sicherheitslösung verfügten.
Die Forscher der Firma Secureworks haben ein detailliertes Dossier zu Zeus erstellt. Als Schutzmaßnahme empfehlen die Experten dort, für den Zugriff auf Konten eine separate Workstation zu nutzen, die noch dazu möglichst gut gesichert ist. Vor allem E-Mail und Web-Browsing sollte man auf diesen Systemen einschränken.
Quelle : www.tecchannel.de
Titel: Botnet-Angriffe werden immer einfacher und billiger
Beitrag von: SiLæncer am 26 Mai, 2010, 07:35
Eine aktuelle Studie der IT-Sicherheits-Abteilung der Zertifizierungsstelle VeriSign befasst sich mit Botnets und deren Betreibern. Das Fazit: Zum Betreiben eines Botnets werden nur wenig Startkapital und technisches Know-How benötigt.
Im Februar untersuchte VeriSign die Aktivitäten von 25 Botnet-Betreibern. Sie konzentrierten sich dabei auf Botnets, die in drei einschlägigen Foren beworben wurden. Sie fanden heraus, dass die Miete für eine Stunde Botnet-Nutzung schon bei rund 9 US-Dollar (7,30 Euro) anfängt. Wer gleich 24 Stunden lang willige Zombies für Spam, DDoS und ähnliche Aktivitäten mieten will, zahlt im Durchschnitt 67,20 US-Dollar, also knapp 55 Euro.
Die angebotenen Botnets wurden damit beworben, dass sie für die verschiedensten Angriffsarten - darunter ICMP, SYN, UDP, HTTP und HTTPS - nutzbar sind. Beworben wurden diese illegalen Dienste auf ähnlichem Wege wie legale Dienstleistungen, darunter Foren-Einträge und Werbebanner. Einer der untersuchten Botnet-Betreiber bot als Sonder-Service auch an, Seiten mit installierten Schutzmaßnahmen vom Netz zu nehmen.
Die VeriSign-Experten erklären, dass in der Vergangenheit viele Botnets von technisch sehr kompetenten Kriminellen betrieben wurden. Mittlerweile geht der Trend aber hin zu Malware-Bausätzen, dem Delegieren der Malware-Programmierung an Spezialisten und ähnlichen Phänomenen, die es auch Personen ohne Fachkenntnisse ermöglichen, ein Botnet zu betreiben. Auch die Personen, die Botnets mieten, verfügen oft über keinerlei Fachkenntnisse. Entsprechend kann mittlerweile fast jeder kostengünstig und ohne Vorkenntnisse Angriffe durchführen, die Systeme unliebsamer Konkurrenten lahmlegen, Spam-Mails verschicken oder Malware verbreiten.
Quelle: www.gulli.com
Titel: Zugangsdaten von 44 Millionen Online-Spielern gestohlen
Beitrag von: SiLæncer am 29 Mai, 2010, 11:16
Einem eigenen Blog-Eintrag (http://www.symantec.com/connect/blogs/44-million-stolen-gaming-credentials-uncovered) zufolge hat die Sicherheitsfirma Symantec auf einem Server 44 Millionen Benutzernamen und Passwörter für Online-Spiele und Websites gefunden. Insgesamt handele es sich um 17 GByte Daten, die von 18 Spiele-Websites stammen. Gesammelt habe sie ein Botnetz, das in erster Linie chinesische Online-Spiele angreife.
Es handele sich jedoch nicht nur um Rohdaten, sondern um geprüfte Accounts mit zusätzlichen Informationen, etwa zu den Leveln, welche die Spieler jeweils erreicht haben. Diese Informationen habe der Trojaner Loginck (http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-052013-2257-99) gesammelt und kontrolliert, der ebenfalls über das Botnetz installiert worden sei. Das Programm melde sich mit den Zugangsdaten an und trage in eine zentrale Datenbank die anschließend ermittelten Spielerdaten ein.
Die Datensätze könnten nach Angaben von Symantec auf Auktionsplattformen wie playerauctions.com versteigert werden. Dort bringen solche Daten je nach erreichtem Spielstand und verfügbaren Spielfiguren zwischen 6 und 28.000 US-Dollar.
Die IT-Sicherheitsfirma Trend Micro entdeckte kürzlich eine Serie von Phishing-Angriffen insbesondere auf spanische Internet-Nutzer. In der Folge gelang es den Experten sogar, das verantwortliche, in Mexiko beheimatete Botnet auszuschalten.
Die Angriffswelle der Online-Betrüger fiel den Sicherheitsexperten in der ersten Juniwoche auf. Die Phishing-Mails benutzten den brutalen Tod eines vermissten Mädchens als Aufmacher, um die Nutzer zum Öffnen der Mails und eines angehängten Videos zu bewegen. Das angebliche Video enthielt in Wirklichkeit einen Trojaner. Dieser machte die betroffenen Rechner zu Teilen des besagten mexikanischen Botnets, das von den Sicherheitsforschern, wohl aufgrund seiner mexikanischen Ursprünge, den Spitznamen "Tequila" erhielt.
In der Folge gelang es den Sicherheitsexperten, Zugriff auf die Command and Control-Struktur des Botnets zu erlangen. Sie sammelten umfassende Informationen über die Struktur und Funktionsweise des Netzes. Sie fanden außerdem heraus, dass das Netz für umfassende Betrugsaktionen - insbesondere auf PayPal-Kunden und Kunden von Mexikos größter Bank - benutzt wurde. Zudem verbreiteten die Zombies Malware und sogenannte Scareware, also gefälschte Sicherheitssoftware.
Die Forscher von Trend Micro vermuten, dass die Betrüger außerdem ein weiteres Botnet - Spitzname Mariachi - betrieben. Mariachi scheint allerdings kleiner gewesen zu sein und über weniger Features verfügt zu haben als Tequila. Nach den Takedown-Bemühungen von Seiten Trend Micros durch Übernahme der Kontroll-Server gingen beide Botnets am 7. Juni offline. Bislang zeigen sich keine Anzeichen für eine Reaktivierung.
In den vergangenen Monaten gelangen Sicherheitsexperten mehrere Takedowns verschiedener Botnets. Einige Beobachter nehmen dies bereits zum Anlass, um eine Trendwende im Bereich IT-Sicherheit zu prophezeihen. Andere gehen davon aus, dass trotz der Takedowns das grundsätzliche Problem unverändert besteht.
Die IT-Sicherheitsfirma Sophos warnt vor einer neuen Spam-Welle mit Betreffzeilen, die angebliche Aktivitäten von Terrorgruppen zum Thema haben. Diese geht offenbar von Zeus-Bots aus, die damit ihre Rückkehr in die Cybercrime-Szene signalisieren.
In den Mails befinden sich angeblich offizielle Informationen über Terrorismus, so Sophos in seiner Warnung am vergangenen Freitag. Die Mails sehen so aus, als kämen sie vom US-Heimatschutzministerium, dem Pentagon oder der Transportation Security Administration (TSA). Das berichtet Savio Lau, ein Forscher von SophosLabs Kanada, in einem Blogeintrag. Zu den verwendeten Betreffzeilen gehören "For Official Use Only" und "RE: Al-Qaeda in the Arabian Peninsula". Die Mails enthalten angeblich Informationen über verschiedene terroristische Vorgehensweisen oder über eine Studie der US Air Force über die Verteidigung des Cyberspace.
Die Betroffenen werden ermutigt, auf zwei in der Mail enthaltene Links zu klicken. Diese führen angeblich zu den ausführlichen Berichten. In Wirklichkeit sind ZIP-Dateien, die den Zeus-Trojaner enthalten, verlinkt.
Nach Angaben der Sicherheitsforscher ist die Angriffswelle bisher noch nicht besonders groß. Bislang sind nur relativ wenige der entsprechend manipulierten Mails aufgetaucht. Lau bemerkt, dass sich dieser vergleichsweise überschaubare Umfang deutlich von anderen Zeus-Angriffen unterscheidet.
Der Sicherheitsforscher erklärt, dass es für aufmerksame Benutzer keine große Herausforderung ist, sich vor dieser Malware-Welle zu schützen. Wie üblich reiche es aus, nicht auf fragwürdige E-Mail-Anhänge und Links zu klicken. "Selbst wenn man wirklich für eine dieser Behörden arbeitet, gibt es keinen Grund, wieso man in dieser Form Weblinks zu berichten geschickt bekommen würde," so Lau, "Internet-Nutzer sollten keine Probleme haben, diese Spam-Kampagnen zu meiden, solange sie wachsam bleiben."
Quelle: www.gulli.com
Titel: Kraken-Botnet startet Comeback
Beitrag von: SiLæncer am 29 Juni, 2010, 15:48
Das Kraken-Botnet war zwischenzeitlich eines der größten Botnets der Welt, bis es im vergangenen Jahr inaktiv wurde. Nun sieht es so als, als sei Kraken wieder auf dem Vormarsch. Das Botnet soll schon wieder rund 320.000 Zombies umfassen, sagen Sicherheitsforscher.
Mit dieser großen Zahl infizierter Rechner hat Kraken schon wieder die Hälfte der Größe erreicht, die das Original-Botnet zu seiner Glanzzeit Mitte 2008 aufwies. Das berichtet Paul Royal, Sicherheitsforscher am Georgia Tech Information Security Center. Das neue Kraken-Botnet ist, wie sein Vorgänger auch, sehr aktiv beim Spam-Versand. Ein einzelner Zombie mit "durchschnittlicher Anbindung" ist angeblich in der Lage, über 600.000 Spam-Mails pro Stunde zu verschicken.
Interessanterweise wird die Malware für das Kraken-Botnet nicht durch Kraken selbst verbreitet. Diese Funktion übernimmt vielmehr ein separates, auf dem "Butterfly"-Malware-Baukasten aufbauendes Botnet. Butterfly wurde auch zum Aufbau des großen "Mariposa"-Botnets verwendet, das im März dieses Jahres durch Behörden und Sicherheitsexperten medienwirksam vom Netz genommen wurde (gulli:News berichtete).
Für die Sicherheitsforscher ist die Kooperation der Betreiber zweier verschiedener Botnets ein neues Phänomen. Royal erklärte, er wisse nicht, in welchem Verhältnis die Betreiber von Kraken und dem zur Verbreitung der Installations-Malware verwendeten Botnet zueinander stehen. Er erklärte, wenn es sich nicht um die selbe Gruppe handle, sei die Verwendung der Butterfly-Malware interessant, da sie zeige, dass "selbst professionelle kriminelle Banden bereit sind, diese Bausätze zu benutzen, vorausgesetzt sie erfüllen ihren Zweck."
Die Eigenschaften des neuen Kraken-Botnets sind noch nicht ganz klar. Der Vorgänger verfügte über eine raffinierte Command-and-Control-Infrastruktur, die einen Takedown erheblich erschwerte. Es ist nicht unwahrscheinlich, dass auch die Neuauflage des berüchtigten Botnets über derartige Features verfügt.
Quelle: www.gulli.com
Titel: Neue Version der Zeus-Malware veröffentlicht
Beitrag von: SiLæncer am 13 Juli, 2010, 15:44
Der berüchtigte Zeus-Malware-Baukasten geht in die nächste Generation. Kürzlich wurde die dritte Version des auf den Diebstahl von Bankdaten spezialisierten Schädlings veröffentlicht. Diese ist deutlich selektiver in der Wahl ihrer Ziele als der Vorgänger.
Zeus 3 ist wesentlich selektiver in der Anzahl der Banken, die er angreift. Es gibt sogar mindestens zwei verschiedene Versionen. Die eine ist auf Banken in Spanien und Deutschland spezialisiert, die andere auf Geldinstitute in den USA und Großbritannien.
Zudem enhält die neue Zeus-Malware verbesserte Sicherheitsfunktionen. Diese sollen es für Sicherheitsforscher schwer machen, die Arbeitsweise von Zeus herauszufinden. Angeblich kommunizieren Zeus-Zombies nach dem "need to know"-Prinzip: es werden nur solche Informationen weitergegeben, die für den Betrieb dringend erforderlich sind. Auch Benutzerrechte werden nach dem Prinzip vergeben, dass jedem Bot nur die wirklich benötigten Zugriffe gestattet werden. Durch diese Features werden Reverse Engineering und die Untersuchung der Botnet-Struktur für Sicherheitsforscher weitaus schwieriger.
Die Command and Control-Server der diversen Zeus-Botnets sollen sich größtenteils in Russland befinden. Die unbekannten Hintermänner reagieren mit der neuen Version ihrer Malware offenbar auf Kundenwünsche - die Zeus-Malware wird stets gewinnbringend an alle verkauft, die mit wenig Aufwand ein eigenes Botnet betreiben wollen. Als Schritt in diese Richtung könnte auch die beginnende "Lokalisierung" von Zeus verstanden werden.
Quelle: www.gulli.com
Titel: Mariposa: Mutmaßliche Programmierer der Botnet-Software verhaftet
Beitrag von: SiLæncer am 22 Juli, 2010, 20:17
Das Mariposa-Botnet sorgte seit seinem Erscheinen Ende 2008 für einiges negative Aufsehen im Netz. Nun jedoch ist den Ermittlungsbehörden ein weiterer Schlag gegen die Verantwortlichen gelungen. Nachdem die Botnet-Betreiber bereits im März dieses Jahres verhaftet wurden, wurden nun die mutmaßlichen Programmierer der Mariposa-Malware verhaftet.
Das Botnet, dessen Name auf Deutsch "Schmetterling" bedeutet, war auf den Diebstahl von Kreditkarten-Daten und Accountdaten für Online-Banking-Anwendungen spezialisiert und umfasste zwischenzeitlich rund 12,7 Millionen Rechner. Anfang März dieses Jahres jedoch wurde das Botnet durch die Ermittlungsbehörden vom Netz genommen (gulli:News berichtete). Drei der mutmaßlichen Betreiber wurden von der spanischen Polizei verhaftet. Damals hieß es, die Betreiber hätten keine sehr ausgeprägten Computer-Kenntnisse gehabt, sondern lediglich von ihren guten Kontakten zur Cybercrime-Unterwelt profitiert.
Nun sind die Behörden offenbar einen Schritt weiter gekommen. Die slowenische Polizei nahm vier Menschen fest, die sie verdächtigt, die Mariposa-Software entwickelt und den spanischen Cyberkriminellen zur Verfügung gestellt zu haben. Angeblich kam die Verhaftung durch eine Kooperation mit der US-Bundespolizei FBI zustande. Einzelheiten zu den Verdächtigen und den Umständen der Verhaftung sind bisher nicht bekannt.
Quelle: www.gulli.com
Titel: "Offen kommerzielles" Botnet wird für DDoS vermietet
Beitrag von: SiLæncer am 14 September, 2010, 23:26
Ein großes, schnell wachsendes Botnet dient offenbar primär der Vermietung zur Durchführung von DDoS-Angriffen. Sicherheitsforscher, die Botnet und Geschätsmodell analysierten, gaben dem Botnet daher den Spitznamen "IMDDOS". Betrieben wird das Netz offenbar von China aus.
IMDDOS erlebte in letzter Zeit ein rasantes Wachstum. In den letzten Monaten soll das Netz um durchschnittlich rund 10.000 infizierte Rechner pro Tag angewachsen sein. Somit ist es laut Sicherheitsexperten eines der größten derzeit aktiven Botnets.
IMDDOS hat eine "offen kommerzielle Natur", berichtet Sicherheitsexperte Gunter Ollman. Auf einer offen zugänglichen Website können sich potenzielle Kunden anmelden und die Dienste der Cyberkriminellen in Anspruch nehmen. Dabei stehen verschiedene Tarife und unterschiedliche Angriffsmethoden zur Verfügung. Auch Tipps zur Durchführung effektiver DDoS-Angriffe geben die Cyberkriminellen ihren Kunden. Je nach Tarif werden dann unterschiedlich viele Bots auf das Opfer losgelassen. Mieten kann die Dienste offenbar jeder, der über das nötige Kleingeld verfügt und genug Chinesisch spricht, um sich auf der Website zurechtzufinden.
Die Kommerzialisierung in der Cybercrime-Szene ist nicht neu. Vielmehr handelt es sich dabei um einen bereits seit Jahren anhaltenden Trend. Der Anteil der Cyberkriminellen, denen es nicht um Zerstörung und technische Herausforderungen, sondern um handfeste finanzielle Gewinne geht, wird stetig größer. Mittlerweile ist ein regelrechter Markt mit zahlreichen Spezialisierungen und einer ausgeklügelten Infrastruktur entstanden. Allerdings tritt diese Tendenz selten so offen zu Tage wie im Falle von IMDDOS. Es wird sich zeigen, ob dieses Botnet ein Extremfall bleibt - oder womöglich nur Vorreiter eines Trends ist.
Quelle: www.gulli.com
Titel: botfrei.de - Deutsches Zentrum gegen Botnetze gestartet
Beitrag von: SiLæncer am 15 September, 2010, 15:26
Für Internetnutzer gibt es ab heute einen Helpdesk gegen Botnetze. Mit dabei sind der Eco, das BSI, Antivirenhersteller, das Innenministerium und verschiedene Internetprovider. Thomas de Maizière forderte eine flächendeckende Beteiligung aller relevanten Internet-Service-Provider in Deutschland.
Der Verband der deutschen Internetwirtschaft Eco startet heute das Anti-Botnet-Beratungszentrum. Der Helpdesk gegen Botnetze erhielt eine Anschubfinanzierung von 2 Millionen Euro vom Bundesinnenministerium und technische Unterstützung vom Bundesamt für Sicherheit in der Informationstechnik. Partner sind Symantec für den DE-Cleaner sowie Avira für die Rettungssystem-CD des Beratungszentrums.
Die teilnehmenden Internetprovider informieren Kunden, auf deren Computer mit hoher Wahrscheinlichkeit eine Botnetz-Infektion vorliegt. Die Internetnutzer können dann auf der Plattform botfrei.de Programme finden, um sich von der Malware zu befreien. Zudem gibt es eine telefonische Hotline. Botnetze dienen beispielsweise dem Spamversand, dem Identitätsdiebstahl oder zu Spionageangriffen.
"Betroffene Internetnutzer wissen meist nicht, dass ihr Computer gekapert wurde", sagt Bernd Becker, Geschäftsführer der Eco IT Service und Beratung. "Das Anti-Botnet-Beratungszentrum hilft, die Zahl der infizierten Computer zu verringern und so die illegalen Netzwerke zu verkleinern. Damit entziehen wir den Cyberkriminellen die Grundlage."
Bundesinnenminister Thomas de Maizière (CDU) sagte: "Das Anti-Botnet-Beratungszentrum ist ein bedeutsames Instrument zur Erhöhung der Sicherheit im Internet." Für den dauerhaften Erfolg und einen nachhaltigen Rückgang der Botnet-infizierten Rechner in Deutschland wäre eine möglichst flächendeckende Beteiligung aller relevanten Internet-Service-Provider in Deutschland wünschenswert, erklärte de Maizière.
Botfrei.de wird auf den Servern der Mailprovider Web.de und Gmx betrieben. Ziel sei es, Deutschland aus der Top Ten der Botnetz-Länder herauszuholen, so die Unternehmen, die zu United Internet gehören.
Quelle : www.golem.de
Titel: Banking-Trojaner ZeuS nimmt SMS-TAN-Verfahren ins Visier
Beitrag von: SiLæncer am 27 September, 2010, 15:19
Neue Varianten des Banking-Trojaners ZeuS nehmen jetzt das SMS-TAN-Verfahren (beziehungsweise mobile TAN, mTAN) ins Visier, berichtet der Sicherheitsdienstleister S21sec in seinem Blog. Beim SMS-TAN-Verfahren werden Transaktionsnummern (TANs) für Online-Bankgeschäfte auf das Handy des Kunden geschickt, mit denen dieser über einen Webbrowser dann etwa eine Online-Überweisung legitimiert. Dieser zweite Übertragungskanal soll übliche Phishing- und Trojanerangriffe ins Leere laufen lassen. Das Verfahren lässt sich nämlich nur dann aushebeln, wenn der Anwender die in der SMS angegebenen Daten nicht sorgfältig prüft, sein Handy gestohlen wird oder das Gerät mit einem Trojaner infiziert ist, der die SMS an den Phisher weiterleitet.
Den letzten Weg haben nun die Entwickler von ZeuS implementiert, wobei sie mehrstufig vorgehen, um den Trojaner auf ein Gerät zu bekommen. Wichtigster Schritt bleibt weiterhin die Infektion eines Windows-PCs. Anschließend wird dem Opfer beim Aufruf einer Bankenseite eine nachgemachte Seite im Browser untergeschoben, die vorgibt, eine Sicherheitsaktualisierung für das Handy sei notwendig.
Dazu soll das Opfer seine Handynummer eingeben, um per SMS den Link zum Download zugesendet zu bekommen. Prompt verschickt der Trojaner über den infizierten PC eine SMS mit einem Link zu einem vermeintlich neuen Sicherheitszertifikat. Das soll der Anwender mit seinem Mobiltelefon herunterladen und installieren – eine Internetverbindung des Handys vorausgesetzt.
In der heruntergeladenen Datei steckt jedoch die Mobilversion von ZeuS, die alle eingehenden SMS analysiert und weiterleitet. Daneben führt es auch per SMS übermittelte Befehle aus. Laut S21sec gibt es eine Trojaner-Version für Symbian (.sis) und BlackBerry (.jad). Mit den zuvor bereits auf dem PC abgegriffenen Zugangsdaten zum Konto und der weitergeleiteten TAN ist der Betrüger schließlich in der Lage, Überweisungen auf dem Konto vorzunehmen. Bislang hat sich diese Variante von ZeuS aber offenbar noch nicht besonders weit verbreitet. Unabhängig davon zeigt es aber einen Weg, das SMS-TAN-Verfahren bei mehr oder minder unvorsichtigen Anwendern auszuhebeln. Vermutlich dürften weitere Trojaner-Entwickler bald auf diesen Zug aufspringen.
Derweil hat McAfee eine Analyse des Trojanerbaukastens "ZeuS Builder" in seinem Blog veröffentlicht, mit dem sich Kriminelle mit wenigen Klicks ihre maßgeschneiderte ZeuS-Version zusammenstellen können. Demnach ist ZeuS auch in der Lage, die Eingaben auf virtuellen Tastaturen mitzulesen, bei der man PINs und TANs nicht per Tastatur sondern per Mausklick eingibt.
Quelle : www.heise.de
Titel: Lücke in ZeuS-Botnetzen ermöglicht Übernahme
Beitrag von: SiLæncer am 27 September, 2010, 17:25
Eine Schwachstelle im Webfrontend des Steuerservers (C&C-Server) für ZeuS-Botnetze ermöglicht es, die Kontrolle über ein System zu erlangen. Angreifer könnten damit die dazugehörigen Bots steuern, den C&C-Server unbrauchbar machen oder bereits abgelegte, gestohlene Daten auslesen (und/oder löschen). Das ab 500 US-Dollar erhältliche ZeuS-Toolkit ermöglicht es Kriminellen, individuelle Botnetze aufzubauen.
Der Fehler soll in den vor Januar dieses Jahres erschienenen Versionen des ZeuS-Toolkits zu finden sein. Der Sicherheitsspezialist Billy Rios hatte ihn während eine Analyse des Toolkits gefunden. Er beruht auf der unzureichenden Prüfung verbotener Dateiendungen beim Hochladen. So war es Rios möglich, über die Funktion zum Hochladen von Log-Dateien (BOTLOG) einzelner Bots ein eigenes PHP-Skript hochzuladen und später durch Angabe des richtigen Pfades im Webbrowsers mit den Rechten des Servers auszuführen.
Vor dem Hochladen des Skripts musste er jedoch den für jeden Bot einzeln vergebenen RC4-Schlüssel zum Verschlüsseln der Kommunikation finden – beispielsweise zur Laufzeit aus dem Speicher eines infizierten PCs. Rios hat ein Proof-of-Concept veröffentlicht, das einem C&C-Server einen Bot vorgaukelt und eine Backdoor auf einen verwundbaren Server lädt. Da der ZeuS-Code als Grundlage für andere Botnetze dient, dürfte der Fehler auch in deren C&C-Servern zu finden sein.
Witzigerweise hat Rios versucht, den Hersteller im Rahmen der verantwortungsvollen Offenlegung zu informieren – mit der Folge, dass er haufenweise Viagra-Spam-Mails erhielt.
Quelle : www.heise.de
Titel: Bugat-Malware macht ZeuS Konkurrenz
Beitrag von: SiLæncer am 14 Oktober, 2010, 11:36
In den letzten Jahren erfreute sich die nach dem Baukasten-System aufgebaute ZeuS-Malware enormer Beliebtheit bei Online-Kriminellen. Dieser Trend kehrt sich jedoch langsam um: immer mehr Online-Betrüger setzen statt auf ZeuS auf eine neuere Malware namens Bugat, berichten Experten.
Lange Zeit war ZeuS einer der beliebtesten Malware-Typen der Cybercrime-Szene. Die Malware funktioniert nach dem Baukasten-System und wird mit einer umfassenden Dokumentation auf dem Schwarzmarkt angeboten. Somit konnte jeder Nutzer die benötigten Features auswählen und hinzufügen.
Nun jedoch scheinen immer mehr Cyberkriminelle umzusteigen auf eine andere Malware namens Bugat. Noch hat Bugat nicht die Popularität von ZeuS, aber es tauchte bei aktuellen Attacken bereits mehrfach auf.
IT-Sicherheitsexperten sehen den Trend mit einiger Sorge. Sie berichten, durch spektakuläre Fälle seien viele Admins für die Gefahren von ZeuS sensibilisiert gewesen und hätten nach solchen Angriffen Ausschau gehalten. Bei einem neuen Malware-Typ würde dies vermutlich nicht mehr so gut funktionieren. Da ZeuS und Bugat häufig durch verseuchte E-Mails verbreitet werden, ist die Vorsicht der Benutzer häufig der beste Schutz.
Dies könnte natürlich einer der Gründe sein, wieso die Szene momentan zunehmend Alternativen zu ZeuS sucht. Die Internet-Sicherheitsfirma Trusteer bezeichnete das Verhältnis zwischen Online-Kriminellen und IT-Sicherheitsexperten als "Wettrüsten" - dazu gehöre es unter anderem, bekannte Malware häufig zu verändern oder nach einer Weile auf neue Malware-Typen umzusteigen.
Technisch gesehen bietet Bugat keine radikalen Neuerungen gegenüber anderen beliebten Malware-Typen. Der Schädling injiziert bösartigen Code in den Browser - offenbar funktioniert er momentan nur mit Internet Explorer und Firefox -, über den er dann Online-Banking-Daten stiehlt. Diese werden dann von den Cyberkriminellen für ihre betrügerischen Aktivitäten benutzt.
Anfang des Jahres rivalisierten die vermutlich russischen Entwickler der Trojaner-Baukasten ZeuS (aka ZBot) und SpyEye noch miteinander, nun scheint der eine den anderen geschluckt zu haben. Laut Recherchen von Brian Krebs soll der ZeuS-Entwickler "Slavik" seinen gesamten Sourcecode an den SpyEye-Entwickler "Harderman" übergeben und sich aus der weiteren Entwicklung zurückgezogen haben.
Für Support-Anfragen, für die er ZeuS-Baukastenkäufern bislang zu Verfügung stand, soll er nicht mehr erreichbar sein. Laut Angaben des SpyEye-Entwickler soll die Übergabe des ZeuS-Codes jedoch an die Bedingung geknüpft gewesen sein, dass Hardermann den Support für bezahlte Baukästen übernimmt.
Über die Gründe für den Rückzug gibt es keine genauen Angaben, angeblich soll sich der ehemalige ZeuS-Entwickler komplett aus dem Internet zurückgezogen haben. Möglicherweise wurde ihm der Boden zu heiß, weil ihm aufgrund des Erfolgs von ZeuS einige Ermittler auf der Spur sein dürften und ZeuS immer mehr ins Rampenlicht gerät. ZeuS ist unter anderem für die steigenden Schadenszahlen beim Online-Banking verantwortlich. Kürzlich hatte Microsoft ZeuS-Signaturen in sein Malicous Software Removal Tool aufgenommen.
Ob der ZeuS-Code in weitere Entwicklungen von SpyEye einfließt, bleibt abzuwarten. Bislang verkaufte der SpyEye-Entwickler sein Produkt als ZeuS-Killer, der nicht nur bessere Funktionen aufweise, sondern ZeuS auf bereits infizierten PCs auch löschen könne.
Unterdessen scheint ein weiteres Botnetz das Zeitliche gesegnet zu haben. Niederländische Ermittlungsbehörden haben nach eigenen Angaben das Bredolab-Botnetz zu Fall gebracht, indem sie 143 Comand&Control-Server vom Netz genommen haben. Schätzungsweise 30 Millionen Windows-PCs sollen weltweit mit dem Trojaner Bredolab infiziert sein.
Nach Beobachtungen des "Dutch High Tech Crime Team" habe das Botnetz durch den Versand infizierter E-Mails monatlich 3 Millionen neue PCs befallen können. Interessanterweise wollen die Behörden offenbar die Struktur des Botnetzes nutzen, um betroffene Anwender über die Infektion ihres PCs zu informieren. Dazu sollen Anwender beim nächsten Login eine Nachricht mit Informationen über den Grad der Infektion sowie Tipps zur Desinfektion erhalten.
Quelle : www.heise.de
Titel: Ausgeschaltetes Bredolab-Botnet zeigt Rest-Aktivität
Beitrag von: SiLæncer am 29 Oktober, 2010, 18:47
Das Bredolab-Botnet ist eigentlich ein gutes Beispiel für einen erfolgreichen Takedown. Die meisten der "Command and Control"-Server des Botnets wurden erfolgreich an der Kommunikation mit den infizierten "Zombies" gehindert, die Opfer informiert und die mutmaßlichen Betreiber des Botnets in Armenien verhaftet. Eigentlich eine Erfolgsgeschichte. Allerdings zeigt Bredolab trotzdem noch Aktivität.
Im Zusammenhang mit Bredolab - einem Botnet, das vor allem dem Spamversand und der Verbreitung von Scareware diente - nahm die niederländische Polizei insgesamt 143 Server vom Netz. Insgesamt soll das Botnet 30 Millionen Rechner umfasst haben. Die niederländische IT-Sicherheitsfirma Fox-IT nutzte die Kommunikationskanäle des Botnets selbst, um betroffene Nutzer auf die Infektion ihres Rechners aufmerksam zu machen. Die Opfer wurden auf eine im Netz bereitgestellte Warn- und Informationsseite verlinkt.
Allerdings bleiben weiterhin zwei Kontrollserver des Botnets aktiv. Ein dritter zeigte eine kurzfristige Reaktivierung, scheint mittlerweile aber wieder offline zu sein. Da sich die Server in Kasachstan und Russland befinden, könnte sich ein Takedown schwierig gestalten.
Die IT-Sicherheitsfirma FireEye, die sich ebenfalls mit Bredolab befasst, vermutet, dass ein Teil des Botnets noch immer aktiv ist. Sie vermuten, dass die verbliebenen Zombies von einer zweiten Gruppe von Cyber-Kriminellen mit neuen Anweisungen versorgt werden. Ob es sich bei diesen Kriminellen jedoch um Menschen handelt, die den Quellcode des Botnets aus irgendwelchen Leaks entnommen und das Rest-Netz nun "gehijackt" haben oder ob womöglich Mieter eines Teils des Netzes dieses nun einfach weiterbenutzen, ist bisher unklar.
Die niederländische Polizei untersucht nach eigenen Angaben den Fall weiterhin und betrachtet auch den Takedown noch nicht als abgeschlossen.
Kriminelle haben ihre Botnetz-Kontrollserver offenbar mit Funktionen ausgestattet, um Neugierige in die Irre zu führen und zu beobachten sowie Analysen zu erschweren. Das schreibt der Sicherheitsdienstleister Tllod (The Last Line of Defense) in seinem Blog. Demnach gaukelte der Server bei der Eingabe vermeintlich leicht zu erratender Zugangsdaten einen erfolgreichen Login in eine rudimentäre Weboberfläche vor.
Zum Login genügte etwa die Kombination admin/admin. Der untersuchte Server war sogar auf SQL-Injection-Angriffsversuche auf das Passwortfeld vorbereitet und täuschte vor, auf Eingaben wie 'or 1=1--" hereinzufallen. Nach dem Login protokollierte der Server sämtliche Aktivitäten mit. Nach Meinung von Tllod sei ein möglicher Zweck der Täuschung, die Vorgehensweise potenzieller Eindringlinge zu analysieren. Bislang kennt man solche Honeypots eigentlich nur mit dem umgedrehten Ansatz: Sicherheitsforscher wollen die Arbeitsweise von Kriminellen unter die Lupe nehmen.
Tllod hatte während der Analysen des Sourcecodes eines von Kriminellen installierten Kontrollservers zudem festgestellt, dass in der Statistik zur Anzahl der infizierten PCs (Bots) und der verwendeten Exploits der Server zufällige Zahlen anzeigte. Die Zahlen war also nicht zu gebrauchen – Botnetz-Forscher sollten bei Kontrollservern anderer Netze die Zahlen ebenfalls misstrauisch betrachten. In der Vergangenheit hatten Sicherheitsdienstleister des Öfteren die internen Statistiken übernommener Kontrollserver veröffentlicht.
Darüber hinaus täuschte die Weboberfläche des untersuchten Servers eine Funktion zum Hochladen einer ausführbaren Datei auf die Bots vor. Die Datei wurde jedoch nur gespeichert – vermutlich für spätere Analysen.
Quelle : www.heise.de
Titel: Koobface-Server vom Netz genommen
Beitrag von: SiLæncer am 14 November, 2010, 18:46
Ein britischer Internetprovider hat den Command-and-Control-Server des Social-Networking-Botnetzes Koobface vom Netz genommen, nachdem Fachleute der SecDev Group britische Ermittlungsbehörden über den Server informiert hatten. Das wird das Botnetz zwar vorübergehend behindern, aus dem Spiel sind die Hintermänner von Koobface damit aber nicht. Es ist vermutlich nur eine Frage der Zeit, bis die infizierten Rechner auf einen neuen Server umgeleitet werden.
Koobface (ein Anagramm von Facebook) verbreitet sich einer Analyse (PDF (http://www.infowar-monitor.net/reports/iwm-koobface.pdf)) der kanadischen SecDev Group zufolge vor allem über soziale Netzwerke. Dort verschickt es Links auf Webseiten, die den Computer mit Schadsoftware infizieren. Geld verdienen die Botnetz-Betreiber, indem sie die übernommenen PCs Klicks auf Online-Anzeigen oder Downloads von Scareware ausführen lassen. Obwohl jeder Klick nur einen minimalen Schaden verursacht, verdienen
Die Protagonisten von Koobface versuchen, sich bewusst von den "bösen Trojanern" wie Zeus zu distanzieren: "Unsere Software hat niemals Kreditkarteniformationen, Bankzugangsdaten, Passwörter oder andere vertrauliche Daten gestohlen. Und wird das auch nie tun" versicherten sie. Später sammelten sie dann aber doch Passwörter für E-Mail-, Facebook- und IM-Accounts ein.
Das Geschäftsmodell von Koobface mit unzähligen winzigen Transaktionen schützt die Hintermänner vor allzu zielstrebiger Verfolgung. Die Schäden belaufen sich im Einzelfall auf nur winzige Beträge, auch wenn letztendlich durch die Vielzahl der Fälle große Summen zusammenkommen. Die Protagonisten verdienen nach einer Analyse von SecDev rund 2 Millionen US-Dollar pro Jahr.
Die Polizei und Staatsanwaltschaften tun sich jedoch schwer, konkrete Straftaten oder Schadensfälle auszumachen, die den erforderlichen Ermittlungsaufwand für eine gezielte Verfolgung der Hintermänner rechtfertigen. Zudem läuft das Geschäft über Ländergrenzen hinweg, was zeitraubende Amtshilfeersuchen erforderlich macht. "Daher war es für uns nicht überraschend, dass es [im Falle von Koobface] keine Strafverfolgung oder Festnahme gab", resümiert die SecDev Group.
Der Schlag gegen Koobface läuft bereits seit zwei Wochen auf mehreren Ebenen: Das SecDev-Team unter Nart Villeneuve informierte ISPs über kompromittierte FTP-Accounts und benannte gegenüber Facebook und Google insgesamt mehrere hunderttausend Accounts, die von Koobface betrieben werden. Das Ende des Botnetzes wird das aber nicht sein. "Solange die Hintermänner frei herumlaufen, wird Koobface weiter arbeiten", vermutet Villeneuve.
Eine aktuelle Version des Zeus-Trojaners infiziert keine Rechner mit einer Taktfrequenz von weniger als 2 GHz, berichtet der AV-Hersteller F-Secure . Um einer vorzeitigen Entdeckung zu entgehen und die Arbeit von Viren-Analysten zu erschweren, testen viele Schädlinge beim Start zunächst, ob sie gerade analysiert werden. Entdecken sie dabei, dass der Prozess etwa unter der Kontrolle eines Debuggers abläuft, beenden sie sich ohne den Rechner zu infizieren.
Eine Standardmethode die Anwesenheit eines Debuggers zu entdecken, sind Timing-Analysen über den Befehl Read Time-Stamp Counter (RDTSC). Bei der Analyse eines aktuellen ZBots entdeckte ein Viren-Analyst von F-Secure jedoch eine seltsame Variante. Produziert dabei eine Programmpause von 2 Sekunden weniger als 2^32 Updates des Timers, nimmt der Trojaner an, dass die Rechnergeschwindigkeit durch einen Debugger verlangsamt wird und beendet sich sofort. Diese Anforderung erfüllen aber schon in ungebremsten Zustand nur Systeme mit einer Taktfrequenz von mindestens 2 GHz; lahme Enten mit weniger verschmäht der wählerische Bot also. In einer Probe auf's Exempel ließ F-Secure den Schädling auf einem IBM T42 Laptop mit 1.86 GHz los, das auch prompt verschont wurde. Ob das jedoch wirklich so beabsichtigt war oder vielleicht doch nur die Rechenschwäche des Trojaner-Autors demonstriert, bleibt unklar.
Es sieht so aus, als war die Analyse des F-Secure-Analysten etwas schlampig und die Schlussfolgerungen voreilig. Wie eine genauere Betrachtung des Assembler-Codes zeigt, ist es keineswegs so, dass Systeme mit weniger als 2 GHz gar nicht mehr infiziert werden. Es wird nur immer unwahrscheinlicher, je kleiner die Taktfrequenz und Rückgabewert im Register eax beim ersten Aufruf von RDTSC sind.
Quelle : www.heise.de
Titel: ZeuS-Trojaner wird zunehmend gegen Payment-Dienste eingesetzt
Beitrag von: SiLæncer am 20 Januar, 2011, 16:40
Der populäre ZeuS-Trojaner, ein nach dem Baukastenprinzip aufgebauter Computerschädling, wird offenbar zunehmend gegen eine neue Art von Zielen eingesetzt. Bisher wurde ZeuS im wesentlichen für den Diebstahl von Online-Banking-Informationen verwendet. Nun kommen zunehmend Payment-Dienste wie PayPal unter Beschuss.
Der Trojaner "ZeuS" gehörte zu den verbreitetsten Malware-Typen im vergangenen Jahr. Der Schädling wird auf dem Untergrund-Markt an jeden interessierten und zahlungsfähigen Online-Kriminellen verkauft. Programmierkenntnisse sind zur Nutzung von ZeuS nicht erforderlich, was sehr zur Popularität des Trojaners beitrug. ZeuS funktioniert nach dem Baukastenprinzip; es stehen zahlreiche Konfigurationsmöglichkeiten und Plug-Ins zur Verfügung. So kann die Malware dem jeweiligen Verwendungszweck angepasst werden. Außerdem wird durch die unterschiedlichen Charakteristika der verschiedenen ZeuS-Typen eine Entdeckung erschwert.
Nun erobern die mit Hilfe von ZeuS agierenden Cyberkriminellen offenbar neues Territorium. Wie das Internet-Sicherheits-Unternehmen Trusteer berichtet, sind zunehmend Online-Bezahldienste das Ziel von ZeuS-Angriffen. Unter anderem sollen bereits die Dienste Money Bookers, Web Money und Nochex betroffen gewesen sein. ZeuS stiehlt dabei Login-Daten und andere sensible Informationen. Anschließend werden vom Account der Opfer Zahlungen an sogenannte "Money Mules" durchgeführt. Dabei handelt es sich um Accounts, die der Weiterleitung gestohlener Gelder dienen. Money Mules werden meist per Job-Anzeige als "Sachbearbeiter für Online-Zahlungen" oder ähnliches rekrutiert. Im Falle einer Entdeckung der kriminellen Aktivitäten drohen ihnen Strafen - obwohl sie oft gar nichts von den illegalen Handlungen wissen.
Die neben den Login-Daten gestohlenen Informationen können von den Betrügern auch auf weitere Arten missbraucht werden. So könnten beispielsweise Kreditkarten-Daten aus dem Account gestohlen werden. Diese könnten die Kriminellen dann entweder selbst missbrauchen oder auf dem Schwarzmarkt weiterverkaufen.
Trusteer vermutet, dass Angriffe auf derartige Dienste in nächster Zeit weiter zunehmen werden. Die steigende Popularität von Online-Payment-Diensten mache diese zunehmend zu einem attraktiven Ziel.
Quelle: www.gulli.com
Titel: Jnanabot: Cross-Platfom-Trojaner mit Sicherheitslücken
Beitrag von: SiLæncer am 20 Januar, 2011, 18:03
Das Stehlen von Daten und Kommandieren fremder PCs für Denial-Of-Service-Angriffe oder Email-Spam ist nach wie vor ein lukratives Geschäft, vor allem, wenn man Macs und Pinguin-PCs mit einbeziehen kann. Nur: Leicht ist das Geschäft nicht, wie man am Beispiel Jnanabot sehen kann.
Die Virenforscherabteilung von Symantec hat wieder einen Grund zum Warnen gefunden: Diesmal vor dem Trojan.Jnanabot, auch bekannt als OSX/Koobface.A oder trojan.osx.boonana.a. Das tückische an diesem Trojaner: Er macht sich auch über vermeintlich sichere Linux- und Mac-OSX-Rechner her.
Wie das geht? Mit Java. Dessen Sicherheitslücken benutzt die Malware, um sich verschlüsselt im System zu platzieren und anschließend weitere unerwünschte Daten aus dem Web zu laden. Dabei trifft es Windows- (XP, Vista und 7) und OSX-Systeme härter: Hier ist die Einnistung von Dauer, während ein Linux-Betriebssystem nach dem nächsten Reboot oder Aus-und-Einschalten wieder fit ist. Daher sind etwa 16 % der infizierten Maschinen Macs, was angesichts des geringeren Nutzeranteils der Apfelrechner eine Besorgnis erregend hohe Zahl ist und ein weiteres Mal darauf hinweist, dass es zwar keine eigentlichen "Apple-Viren", sehr wohl aber zahlreiche andere Bedrohungen für Macs gibt. Jnanabot verbreitet sich zeitgeistorientiert vor allem über ge-fake-te Facebooknachrichten in englischer Sprache.
Ironischerweise leidet dieser Trojaner aber seinerseits an Sicherheitsproblemen, die es den Security-Forschern möglich machten, den Schädling "umzudrehen" und für eigene, hoffentlich weniger finstere, Zwecke einzusetzen. Die Entwickler dieser Malware dürften also wenig Freude an ihrem Produkt haben, wobei man es als eine Frage der Zeit ansehen sollte, bis ein verbesserter Java-Trojaner in Umlauf kommt und dann im großen Stil Schaden anrichtet. Auch und vor allem auf dem mitunter ungeschützten und schlimmstenfalls nachlässig aktualisierten Mac.
Quelle: www.gulli.com
Titel: Trojaner hebelt cloud-basierte Virenscanner aus
Beitrag von: SiLæncer am 21 Januar, 2011, 12:03
Der vorwiegend in China verbreitete Trojaner Bohu hebelt Antivirenlösungen aus, die zur Einschätzung des Risikos einer Datei einen Server in der Cloud befragen. Das berichtet Microsofts Malware Protection Center. Bohu geht dabei auf verschiedenen Wegen vor, um einer Erkennung zu entgehen.
Laut Bericht hängt Bohu an seine eigenen Dateien zufällige Daten, um einer Erkennung auf Basis von Hash-Werten zu entgehen. Cloud-Scanner senden den eindeutigen Hash-Wert einer Datei an den Server, um zu ermitteln, ob für diese Datei bereits Informationen vorliegen. Die zufälligen Daten führen aber zu einem neuen Hash-Wert, sodass die Datei vom Server in der Regel als bislang unbekannt eingestuft wird.
Zusätzlich versucht Bohu den Datenstrom zwischen Scanner und der Cloud zu stören. Dazu installiert er über das "Windows Sockets Service Provider Interface" (Winsock SPI) einen Filter. Zudem installiert er einen NDIS-Treiber, der laut Microsoft im Netzwerkstrom beziehungsweise in HTTP-Requests nach bestimmten Schlüsselwörter und Serveradressen sucht und bei einem Treffer das Hochladen der Daten an den Server blockiert.
Bohu versucht aber offensichtlich nur Verbindungen von Cloud-Scannern der populären chinesischen Hersteller Kingsoft, Rising und Qihoo zu stören. Bohu kommt als Videocodec getarnt auf den Rechner und installiert weitere Dateien. Allerdings ist Microsofts Bericht und den Beschreibungen des Schädlings nicht zu entnehmen, ob der Trojaner neben der Blockadefunktion noch Spionagefunktionen oder ähnliches in sich trägt.
Quelle : http://www.heise.de/newsticker/meldung/Trojaner-hebelt-cloud-basierte-Virenscanner-aus-1173233.html
Titel: Waledac-Botnet nutzt gestohlene Mail- und FTP-Konten
Beitrag von: SiLæncer am 02 Februar, 2011, 08:33
Sicherheitsforschern des Unternehmens Last Line gelang es, sich einen detaillierten Einblick in das kürzlich upgedatete Waledac-Botnet zu verschaffen. Dabei stellten sie fest, dass das Botnet über die Daten von rund einer halben Million E-Mail-Konten verfügt. Die Experten gehen davon aus, dass diese Accounts für den Spamversand genutzt werden.
Das Waledac-Botnet gilt als Nachfolger des berüchtigten "Storm Worm". Es war zeitweise eines der zehn größten Botnets überhaupt, war nach einem Takedown Anfang vergangenen Jahres für längere Zeit weitgehend inaktiv. Momentan jedoch scheint sich ein Comeback von Waledac abzuzeichnen. Dabei greift man offenbar unter anderem auf zahlreiche gestohlene Mailkonten zurück. Laut Last Line hat Waledac die Passwörter für knapp 500.000 legitime POP3-Mailaccounts. Über legitime SMTP-Server, die nicht auf einschlägigen Blacklists zu finden sind, können so Spam-Mails versendet werden.
Daneben verfügt Waledac auch über Login-Daten für rund 124.000 FTP-Accounts. Über diese lädt das Botnet automatisiert Malware auf den Webserver, die diesen in eine Viren- und Werbeschleuder verwandelt. Die Besucher derart verseuchter Seiten werden auf Seiten weitergeleitet, auf denen Malware oder Werbung für gefälschte Arzneimittel zu finden sind. Nach Angaben der Sicherheitsforscher entdeckten sie im vergangenen Monat über 200 verschiedene Websites, die von Waledac platzierte bösartige Links aufwiesen.
Wie genau die Mail- und FTP-Konten entwendet wurden, wissen die Sicherheitsexperten bislang nicht. Sicher ist jedoch, dass sie den Cyberkriminellen nicht zu unterschätzende Dienste leisten werden. "Das Waledac-Botnet ist momentan noch ein Schatten seines früheren selbst, aber das wird sich vermutlich ändern, wenn man sich anschaut, wie viele kompromittierte Accounts die Waledac-Crew besitzt," vermuten die Sicherheitsforscher. Ein Takedown des Botnets könnte sich dabei äußerst schwierig gestalten: bei den Ende letzten Jahres installierten Updates des Waledac-Botnets wurde unter anderem auch die Command-and-Control-Struktur überarbeitet und verbessert.
Innerhalb von einem Jahr hat sich die Zahl der mit Bots infizierten PCs weltweit versiebenfacht. Das schreibt der Antibotnet-Spezialist Damballa in einem aktuellen Bericht (PDF), ohne jedoch konkrete absolute Zahlen zu nennen. Die Ursache für das rasante Wachstum im Jahr 2010 sieht Damballa in der wachsenden Verbreitung sogenannter Exploit-Packs und Trojaner-Baukästen. Mit diesen Baukästen können sich Kriminelle ihre Angriffswerkzeuge und Schädlinge ohne Programmierkenntnisse auf einfache Weise zusammenklicken. Die Preise der Baukästen variieren zwischen 100 und 1000 US-Dollar.
Zu den populärsten Baukästen gehört, gemessen an der Zahl der Verbreitung, der mit Rootkit-Fähigkeiten ausgestattete Bot Alureon alias TDL. Alureon ist sogar in der Lage, die besonderen Sicherheitsmaßnahmen der 64-Bit-Versionen von Windows 7 und Vista auszuhebeln und sich im System einzunisten.
Ein von einer Cybergang namens RudeWarlockMob betriebenes Botnetz auf Basis von Alureon brachte es bei den insgesamt von Damballa beobachteten Infektionen auf einen Anteil von fast 15 Prozent. Auch Microsoft hatte im ersten Halbjahr 2010 ähnliche Beobachtungen gemacht, wobei Alureon in Deutschland sogar für ein Drittel der Infektionen verantwortlich gewesen sein soll.
Platz zwei der Damaballa-Statistik nimmt das Botnetz RogueAVBotnet ein, das offenbar der Verbreitung von Scareware dient. Auf Platz drei liegt der Online-Banking-Trojaner ZeuS, gefolgt von Monkif und Kobbface. Ein ZeuS-Botnetz der Cybergang FourLakeRiders soll es Mitte 2010 auf rund 1,2 Millionen Zombie-PCs gebracht haben. Insgesamt waren die 10 größten Botnetze für fast die Hälfte aller registrierten Infektionen verantwortlich.
Quelle : www.heise.de
Titel: Botnet-Studie: Größe ist nicht alles
Beitrag von: SiLæncer am 10 März, 2011, 12:09
Die Europäische Agentur für Internetsicherheit (European Network and Information Security Agency, ENISA) hat einen Bericht zur Erkennung, Messung und Bekämpfung von Botnetzen veröffentlicht. Der Bericht "Botnets: Measurement, Detection, Disinfection and Defence" (PDF-Datei (http://www.enisa.europa.eu/act/res/botnets/botnets-measurement-detection-disinfection-and-defence)) zeigt verschiedene Methoden in den einzelnen Disziplinen auf und kommt unter anderem zu dem Schluss, dass die Größe eines Botnetzes nicht aussagekräftig hinsichtlich seiner Bedrohung sei.
Vielmehr müssten die einzelnen Risiken für unterschiedliche Interessengruppen bewertet werden und wie groß etwa drohende Schäden für einzelne Gruppen seien, heißt es. Ohnehin sei die Erfassung von Botnetzen schwierig, weil etwa hinter einem Gateway liegende Bots in einem Firmennetz nur unter einer IP-Adresse erscheinen.
Die ENISA macht in ihrem Bericht auch Vorschläge, was sich über die technisch größtenteils bereits gelösten Probleme hinaus noch auf organisatorischer und politischer Ebene tun muss, um Botnetze künftig besser bekämpfen zu können. Beispielsweise müsste es für ISPs finanzielle Anreize geben, damit diese ihre Kunden bei der Malware-Bekämpfung unterstützen. Zudem müsse die Wertschöpfungskette der Botnetz-Betreiber angegriffen werden, um den Betrieb unprofitabel zu machen.
Hinderlich bei der Bekämpfung und Verfolgung von Botnetzen sei auch die unklare oder unterschiedliche Gesetzgebung in Europa. So sei etwa nicht einheitlich geregelt, ob eine IP-Adresse bereits zu personenbezogenen Daten gehört oder nicht. Darüberhinaus müsse der Informationsaustausch in den EU-Ländern verbessert werden.
Der Computerschädling SpyEye erfreut sich in der Cybercrime-Szene zunehmender Beliebtheit. Nun erhielt SpyEye eine neue Funktionalität: künftig sollen mit dem Tool auch DDoS-Angriffe durchgeführt werden können. Primäres Ziel dieser Funktionalität sind offenbar Sicherheitsexperten, die sich der Bekämpfung von SpyEye verschrieben haben.
Die modular aufgebaute SpyEye-Malware - die mittlerweile auch Elemente des früheren Konkurrenten ZeuS enthält, nachdem dessen Quellcode an den SpyEye-Entwickler verkauft wurde - erhielt in einer relativ aktuellen Version ein neues DDoS-Plugin. Das primäre Ziel sind offenbar SpyEye- und ZeuS-Tracker, wie sie einige Sicherheitsexperten betreiben. Diese Seiten informieren über aktuelle Kampagnen der Cyberkriminellen und versuchen so, die Nutzer davor zu warnen. Zudem helfen diese Seiten auch Internet-Providern, infizierte Rechner auf entsprechende Blacklists zu setzen und so an der Kommunikation mit den Kontrollservern des Botnets zu hindern.
Sicherheitsexperten vermuten nun, dass diese Seiten den Kriminellen wirklich empfindlichen Schaden zufügen - anderenfalls hätten diese sich kaum die Mühe gemacht, extra ein DDoS-Tool zu programmieren. Und bereits vor diesem Schritt waren diese Seiten Opfer zahlreicher DDoS-Angriffe und auch anderer Angriffsformen wie Social-Engineering-Kampagnen. In Cybercrime-Foren wird sogar über die Ermordung führender Botnet-Jäger diskutiert - ob diese Pläne allerdings einen realen Hintergrund haben oder doch eher lediglich der Frustration der Botnet-Herder entspringen, ist sehr fraglich.
Das DDoS-Plugin bietet momentan die drei Modi SYN Flood, UDP Flood und Slowloris Flood an. Dabei handelt es sich um drei bekannte DDoS-Taktiken. Es wird sich zeigen, ob diese Funktionalität zukünftig noch ausgebaut wird und in welchem Kontext sie Verwendung finden wird.
Microsofts Digital Crimes Unit hat nach eigenen Angaben das berüchtigte Rustock-Botnet infiltiriert, das aus etwa einer Million verseuchter, zu kriminellen Zwecken fernsteuerbarer PCs bestanden haben soll. Mit aufwendiger Forschungsarbeit und rechtlichen Mitteln habe sich das Unternehmen unter anderem Zugang zu den Steuer-Rechnern ("Command and Control Server") bei fünf Hosting-Providern in sieben US-Städten verschafft, sie analysiert und schließlich abschalten lassen. Die Vorgehensweise war ähnlich wie vor gut einem Jahr, als Microsoft das Waledac-Botnetz außer Betrieb gehen ließ.
Microsoft will weitere Schläge gegen kriminelle Infrastrukturen folgen lassen und legt Wert auf die Feststellung, dass dies kein einzelnes Unternehmen leisten könne, sondern dass international koordiniertes Vorgehen erforderlich sei. Im aktuellen Fall hätten unter anderem der Pharmahersteller Pfizer, die Sicherheitsfirma FireEye, Fachleute von der Uni Washington und die niederländische Polizei ihren Teil dazu beigetragen, das Botnetz lahmzulegen. Auch zum Entfernen der Rustock-Malware, die ja immer noch auf den Anwender-PCs lauert und auf neue Kommandos wartet, sei nun ein koordiniertes Vorgehen mithilfe von Internet-Providern nötig.
Rustock soll vor allem dazu gedient haben, Spam-Mails zu verbreiten. Ein spürbarer, nachhaltiger Rückgang des weltweiten Spam-Aufkommens könnte nun die Folge sein. IT-Sicherheitsfachmann und Journalist Brian Krebs beschreibt einen vollkommenen Zusammenbruch des von Rustock ausgehenden Spams. Auch die Statistiken des Anti-Spam-Projekts "NiX Spam", die nicht nur den Rustock-Ausstoß aufzeichnen, zeigen seit zwei Tagen einen Rückgang der als Ausgangspunkt von Spam registrierten IP-Adressen.
Quelle : www.heise.de
Titel: Online-Banking-Trojaner nimmt Chrome und Opera ins Visier
Beitrag von: SiLæncer am 27 April, 2011, 16:26
Der Online-Banking-Trojaner SpyEye kann nun auch gezielt Zugangsdaten von Chrome- und Opera-Nutzern ausspähen, wie Sicherheitsexperte Brian Krebs berichtet. Bislang haben sich SpyEye und seine kriminellen Verwandten in erster Linie an die Fersen von Internet Explorer und Firefox geheftet.
Zwar war das Keylogger-Modul des Spionageprogramms schon zuvor in der Lage, Tastatureingaben des Opfers systemweit mitzuschneiden,das hat jedoch dazu geführt, dass viel Datenmüll produziert wurde, den die Angreifer mühevoll nach lukrativer Beute durchwühlen mussten. Die neuen Formgrabber-Module hängen sich nun in den Webbrowser und sammeln gezielt Daten, die das Opfer in Web-Formulare einträgt – etwa Kreditkarteninformationen oder die Zugangsdaten für das Online-Banking – und die dazugehören URLs.
SpyEye basiert auf dem Baukasten-Prinzip. Um den Schädling an die aktuelle Kampagne anzupassen, muss der Kriminelle nur ein paar Buttons im SpyEye-Builder anklicken, Programmierkenntnisse sind nicht notwendig. Das Programm spuckt anschließend den fertig konfigurierten Schädling aus. Auch um das Formgrabber-Modul hinzuzufügen genügt ein Häkchen an der richtigen Stelle. Für den Sicherheitsexperten ist der Angriff auf Chrome und Opera eine besorgniserregende Entwicklung, da sich viele Nutzer durch den geringen Marktanteil der beiden Browser in Sicherheit wiegen.
(http://www.heise.de/imgs/18/6/5/8/9/1/7/915442a3f78f7df0.jpeg) Da ist was faul: Google wirbt auf seinen Seiten vermeintlich für ein Investmentprogramm
Auch der ehemalige Konkurrent ZeuS, der vor einem halben Jahr vom SpyEye-Entwickler "Harderman" übernommen worden sein soll, wird nicht müde, den Nutzern infizierter Rechner das Geld aus der Tasche zu ziehen: Kriminelle nutzen den Schädling, um seriös wirkende Werbebanner in Suchmaschinen wie Google und Bing sowie namhaften Webseiten wie AOL, Amazon, Apple, CNN, Citibank, Forbes, und ESPN einzuschleusen. Dies meldet Truster. Die Banner sind an das Design der jeweiligen Seite angepasst und werben für ein Investmentprogramm – von dem jedoch nur die Kriminellen profitieren.
Quelle : www.heise.de
Titel: Quellcode des ZeuS-Trojaners frei im Netz
Beitrag von: SiLæncer am 11 Mai, 2011, 13:13
An mehreren Stellen im Internet ist ein Archiv aufgetaucht, dessen Inhalt sich als der Quellcode von ZeuS (Version 2.0.8.9) entpuppt. Dies hat der Malware-Experte Thorsten Holz im Gespräch mit heise security bestätigt. Er weiß nach eigenen Angaben schon seit mehr als zwei Wochen von dem Archiv. Inzwischen hat auch das IT-Sicherheitsunternehmen CSIS in einem Blogbeitrag (http://www.csis.dk/en/csis/blog/3229) die Entdeckung dokumentiert. Holz hält die heise security vorliegende RAR-Datei für authentisch und auch CSIS bestätigt, dass sich der Sourcecode für Trojaner und dazu gehörendes PHP-Panel kompilieren lässt. Im Archiv enthalten ist auch der Builder, der zum Erzeugen der ausführbaren Malware benötigt wird.
Unklar ist, wer den Quellcode in Umlauf gebracht hat und warum. Eines der kursierenden Archive ist mit einem Passwort geschützt, das üblicherweise AV-Hersteller zum Austausch von Viren in Archiven verwenden. Ob ein AV-Hersteller den Quellcode versehentlich preisgegeben hat, ist unklar. Andere Archive haben das Passwort zeus. Das Auftauchen des Codes erstaunt auch deshalb, da er erst vor knapp zwei Monaten erstmals in einem Untergrundforum zum Verkauf angeboten wurde. Nachdem der ZeuS-Autor ein Komplettpaket zuvor für zirka 10.000 Dollar verkauft hat, hielt der Sicherheitsfachmann Aviv Raff einen Preis von 100.000 US-Dollar für den Code für realistisch. Wahrscheinlicher dürften aber deutlich niedrigere Summen bis in den vierstelligen Bereich gewesen sein.
Mit Auftauchen des Sourcecodes wird ZeuS möglicherweise einen zweiten Frühling erleben, nachdem es zuvor vergleichsweise still wurde um die Malware. Berichten zufolge übergab im vergangenen Jahr der ZeuS-Entwickler "Slavik" seinen gesamten Sourcecode an den SpyEye-Entwickler "Harderman" und zog sich aus der weiteren Entwicklung zurück. RSA hat bestätigt, dass in SpyEye 1.3 Quellcodeteile von ZeuS enthalten sind. Laut Kaspersky ist im März aber noch eine neue, bislang nicht bekannte ZeuS-Version aufgetaucht. Dies spräche laut Kaspersky-Blog dafür, dass ein Entwickler aus Gründen der Kundenpflege neue Funktionen in den Trojaner integriert hat.
Des kursierenden ZeuS-Programmcodes werden sich jetzt mit großer Wahrscheinlichkeit verschiedene Programmierer annehmen. Sie können auf Basis des Quellcodes leicht neue Versionen erzeugen und in Umlauf bringen. Da die Codebasis aber auch den Antivirenherstellern seit längerem bekannt ist, dürfte eine neue Generation jedoch leichte Beute für AV-Scanner werden.
Quelle : www.heise.de
Titel: Professionelle Exploit-Packs frei im Internet verfügbar
Beitrag von: SiLæncer am 24 Mai, 2011, 14:01
Zwei Wochen nachdem der Quellcode des ZeuS-Bots seinen Weg ins Internet gefunden hat, sinkt die Einstiegshürde für Cyberkriminelle weiter: Unbekannte haben nun die Exploit-Packs BlackHole und Impassioned Framework in Umlauf gebracht, die unter Ausnutzung diverser Sicherheitslücken Windows-Systeme mit der eigentlichen Malware wie etwa ZeuS infizieren.
BlackHole zählt zu den professionellsten illegalen Angriffswerkzeugen, die man derzeit auf dem Schwarzmarkt erwerben kann, wie Threatpost berichtet. Normalerweise schlägt es mit 1500 US-Dollar jährlich zu Buche, weitere Angriffsmodule sind gegen Aufpreis erhältlich. Die Entwickler des Impassioned Frameworks verlangen 4000 Euro für die Jahreslizenz, wie heise Security in einem Untergrundforum in Erfahrung bringen konnte.
Zwar handelt es sich zumindest bei der veröffentlichten BlackHole-Version nicht um die aktuellste Ausgabe mit den neuesten Exploits. Da ein großer Teil der Windows-Nutzer die auf ihrem System installierten Anwendungen jedoch nicht regelmäßig aktualisieren, könnte ein Angreifer auch mit dem älteren Toolkit noch größeren Schaden anrichten.
BlackHole ist zwar erst seit kurzer Zeit auf dem Markt, wurde aber von Kriminellen schon für großflächige Angriffe eingesetzt. Das Framework besteht nach ersten Erkenntnissen von heise Security hauptsächlich aus PHP-Dateien, deren Quelltext mit dem Encoder ionCube geschützt ist. Eine Besonderheit von BlackHole ist laut Threatpost das Traffic Direction Script, mit dem man die Opfer in spe abhängig vom eingesetzten Browser und Betriebssystem auf verschiedene Landingpages umleiten kann.
heise Security warnt ausdrücklich vor dem Download der genannten Programme. Es handelt sich bei den Exploit-Packs um Schadsoftware, deren Besitz und Verbreitung im Sinne des Hackerparagraphen illegal ist. Außerdem kann die Software Hintertüren enthalten und unter Umständen auch das System befallen, auf dem sie ausgeführt wird.
Sicherheits-Experten haben ein Botnetz entdeckt, das durch sein spezielles Design nahezu unzerstörbar ist. Die Betreiber haben sich offenbar intensiv Gedanken gemacht, wie die es verhindern können, dass ihnen die Infrastruktur weggenommen werden kann, indem ihnen die Kontrolle über die Command-and-Controll (C&C)-Server entzogen wird.
Das Botnetz wird unter dem Namen TDL-4 geführt. Es basiert auf einem Trojaner, der sich im Master Boot Record von infizierten Systemen festsetzt und dann für Sicherheits-Tools nur sehr schwer zu entdecken ist. Rund 4 Millionen Computer sollen inzwischen in die Botnetz-Infrastruktur integriert sein.
Die Verteilung von Aufgaben, die das Botnetz im Dienste seiner Betreiber ausführen soll, erfolgt über Peer-to-Peer-Technologien. Es ist also nicht mehr zwingend notwendig, einige zentrale C&C-Server zu betreiben, bei denen sich die einzelnen Zombie-Rechner ihre Instruktionen abholen. Allerdings gibt es auch bei TDL-4 noch C&C-Server als zweiten Kommunikations-Kanal, über den vermutlich schnelle Operationen durchgeführt werden sollen.
Um Fremden nicht die Gelegenheit zu geben, Instruktionen an das Botnetz zu senden, haben die Betreiber moderne Kryptographie-Verfahren in den TDL-4-Trojaner integriert. "TDL-4 ist praktisch unzerstörbar" schlussfolgerte (http://www.securelist.com/en/analysis/204792180/TDL4_Top_Bot) Sergey Golovanov, Security-Forscher beim russischen Sicherheits-Dienstleister Kaspersky Labs. Dem stimmen auch andere Botnetz-Experten weitgehend zu.
TDL-4 belegt damit - auf seine zweifelhafte Weise - eindrucksvoll, dass der Wettbewerb zwischen Online-Kriminellen und Sicherheits-Experten zu einer neuen Entwicklungsstufe bei Malware geführt hat. "Die TDL-Leute tun ihr Bestes, um nicht die Nächsten zu sein, die ihr Botnetz verlieren", so Roel Schouwenberg, Malware-Forscher bei Kaspersky.
Um sich möglichst gut zu tarnen greift der TDL-4-Trojaner auch andere Malware an, die sich möglicherweise auf dem System befindet. So soll offenbar verhindert werden, dass andere Schadprogramme den Besitzer eines PCs auf sich aufmerksam machen und dafür sorgen, dass dieser bessere Security-Programme installiert.
Das Spektrum an Aufgaben, die das Botnetz ausführen kann, ist relativ breit angelegt. So können DDoS-Angriffe gegen bestimmte Systeme gefahren sowie Spam- und Phishing-Kampagnen durchgeführt werden.
Die Verbreitung des Trojaners erfolgt über "Geschäftspartner" der Betreiber. Diese betten die Malware unter anderem die von ihnen betriebenen Webseiten ein, auf denen Pornographie, Bootlegs oder Streaming-Dienste angeboten werden. Für jeweils tausend Installationen, die sie den Botnetz-Betreibern so bringen, erhalten sie im Rahmen einer Art Affiliate-Programms zwischen 20 und 200 Dollar.
Quelle : http://winfuture.de
Titel: BSI warnt vor neuem ZeuS-Trojaner
Beitrag von: SiLæncer am 01 Juli, 2011, 16:07
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor einer neuen Variante des Online-Banking-Trojaners "ZeuS" gewarnt. Kriminelle versuchen derzeit, die Variante über Spam-Mails mit Download-Links zu verbreiten. Die laut BSI in nahezu fehlerfreiem Deutsch verfassten E-Mails sollen den Empfänger dazu verleiten, den in der E-Mail enthaltenen Link anzuklicken.
Über den Link wird eine Zip-Datei heruntergeladen, die den Trojaner enthält. Der versucht sich als DOC-Datei zu tarnen, obwohl es sich um eine ausführbare EXE-Datei handelt ("UploadDocIndex30.Doc_______________.exe"). Die Namen des ZIP-Archivs können etwa "Konto055.zip" oder "UploadDocIndex30.zip" tragen.
Die Betreffzeilen der Spam-Mails lauten unter anderem "Werkzeuge 425-736", "Die Zahlung 785-774" oder einfach nur "Antwort". Der Mailtext beginnt mit Formulierungen wie "Die Antwort auf Ihre Frage uber das Profil finden Sie auf unserer Webseite", "Der Gesetzentwurf muss bis zur nachsten Woche bezahlt werden" oder "Anbei senden wir Ihnen die Lizenzschlussel und die entsprechenden Downloadlinks fur folgende Produkte".
Die neue Schädlingsvariante wird auf Virustotal bislang nur von wenigen Virenscannern als ZBot (ZeuS) erkannt. Das BSI empfiehlt daher, derartige E-Mails umgehend zu löschen und keinesfalls den darin angegeben Link anzuklicken oder die heruntergeladene Datei zu öffnen.
Quelle : www.heise.de
Titel: Microsoft zu TDL-4: "Kein Botnetz ist unzerstörbar"
Beitrag von: SiLæncer am 08 Juli, 2011, 16:10
Der Microsoft-Anwalt Richard Boscovich hat Äußerungen des russischen Security-Unternehmens kritisiert, wonach dessen Spezialisten mit TDL-4 ein Botnetz entdeckt hätten, das nahezu unzerstörbar ist. Boscovich war selbst direkt mit an der Abschaltung des Rustock-Botnetzes beteiligt.
Die Einschätzung Kasperskys basiert darauf, dass TDL-4 keine zentrale Command-and-Controll (CnC)-Infrastruktur voraussetzt. Statt dessen verbreiten die Zombie-Rechner Aufgaben über verschlüsselte P2P-Kommunikationswege. Damit kann das Botnetz nicht mehr ausgeschaltet werden, indem man die Standorte der CnC-Server herausfindet und diese unter eigene Kontrolle bringt, wie es bei den meisten bisherigen Aktionen der Fall war.
Laut Boscovich müsse man sich im Falle von TDl-4 eben andere Wege einfallen lassen. "Wenn jemand sagt, dass ein Botnetz unzerstörbar ist, ist derjenige technisch oder juristisch nicht besonders kreativ", sagte der Chef-Anwalt der Digital Crime Unit gegenüber dem US-Magazin 'ComputerWorld'. "Nichts ist unmöglich."
Er geht davon aus, dass Microsoft auch einen wichtigen Beitrag zur Ausschaltung von TDL-4 beitragen kann. Immerhin habe der Konzern in den letzten beiden Jahren umfangreiche Erfahrungen in der Stillegung der Botnetze Waledac, Coreflood und Rustock gemacht. "Zu sagen, dass es nicht geschafft werden kann, unterschätzt die Fähigkeiten der guten Seite", so Boscovich weiter. "Die Leute neigen dazu, zu sagen, die schlechten Jungs seien intelligenter und besser. Aber die Antwort darauf ist ein Nein."
Auch bei Waledac seien seinerzeit P2P-Kommunikationskanäle vorhanden gewesen. Es sei aber gelungen, erfolgreich Code in diese einzuschleusen und das Botnetz damit für seine eigentlichen Betreiber zu verschließen. Jede Botnetzabschaltung sei zwar anders und auf ihre Art kompliziert, woraus aber keinesfalls geschlossen werden könne, dass es nicht möglich ist, erklärte der Anwalt.
Quelle : http://winfuture.de
Titel: Microsoft setzt Kopfgeld auf Botnetz-Betreiber aus
Beitrag von: SiLæncer am 19 Juli, 2011, 18:54
Microsoft hat ein Kopfgeld in Höhe von 250.000 US-Dollar für Hinweise ausgeschrieben, die zur Ergreifung der ehemaligen Betreiber des Rustock-Botnets führen. Der Konzern hatte bereits mit Anzeigen in russischen Tageszeitungen um Hinweise gebeten, die jedoch offensichtlich nicht zum erwünschten Erfolg führten. Rustock wurde im März dieses Jahres mit einem juristischen Trick von Microsofts Digital Crimes Unit (DCU) außer Gefecht gesetzt.
Das Botnetz war für einen erheblichen Anteil des weltweiten Spam-Aufkommens verantwortlich und konnte auf rund 1,6 Millionen infizierte Rechner zurückgreifen – die Hälfte davon soll nach wie vor mit der Schadsoftware infiziert sein. Laut Microsoft war das Botnetz zu Spitzenzeiten in der Lage, 30 Millionen Spam-Nachrichten täglich zu versenden. Detaillierte Informationen über den laufenden Prozess gegen die Kriminellen liefert eine eigens eingerichtete Website. Hinweise auf die Täter nimmt Microsoft unter der Mailadresse avreward@microsoft.com entgegen.
Quelle : www.heise.de
Titel: Trojaner deaktiviert AntiVirus-Software und Updates
Beitrag von: SiLæncer am 26 Juli, 2011, 17:27
Die Sicherheitsexperten aus dem Hause BitDefender haben einen neuen Trojaner identifiziert, der sich über bekannte Plattformen wie Facebook und YouTube verbreitet, getarnt als Update für den Flash-Player auf den Rechner gelangt und dann AntiViren-Software sowie die automatischen Windows-Updates deaktiviert.
Im Falle des als Trojan.FakeAV.LVT bezeichneten Schädlings erhält das Facebook-Mitglied einen Link von einem Bekannten, der zu einem Video führt, in dem der angeschriebene User angeblich auftritt. Klickt der Nutzer die URL an, wird er auf das Videoportal YouTube weitergeleitet und sieht zunächst den Titel des Clips, der seinen vollständigen Namen enthält. Außerdem sind gefakte Kommentare von Facebook-Freunden zum Video aufgeführt. Um die Aufzeichnung sehen zu können, muss der User ein Update seines Flash Player durchführen – und lädt sich damit den Trojaner auf seinen Rechner.
Nach dem Download schaltet der Trojaner sämtliche vorhandenen Antivirus-Programme ab. Dabei geht er besonders listig vor. Denn der Threat erkennt die eingesetzte Sicherheitssoftware und imitiert daraufhin eine gefälschte Informationsmeldung im Design des Programms mitsamt der verwendeten Spracheinstellung.
In dem Info-Pop-Up wird der User dazu aufgefordert, seinen Rechner neu zu starten, damit das Programm angebliche Desinfizierungen vornehmen kann. Danach startet das System automatisch im gesicherten Modus, da der Schädling die Boot Configuration Data (BCD)-Dateien infiltriert und nach seinen Zwecken manipuliert.
Zusätzlich erstellt der Schädling einen Registrierungsschlüssel in "%SYSTEM%" und fügt sich entweder eigenständig als erlaubte Applikation in den Windows Firewall-Regeln hinzu oder deaktiviert gleich die komplette Firewall. Des Weiteren schaltet Trojan.FakeAV.LVT die Benachrichtigungsfunktion der Firewall sowie die Systemupdates ab.
Nicht zuletzt bringt der Übeltäter noch eine Download-Komponente mit sich, die in Abhängigkeit vom Betriebssystem Dateien von verschiedenen URLs abruft. Diese enthalten eine Liste verseuchter IP-Adressen, die unter %windir%\front_ip_list.txt abgespeichert werden. Zwischen dem Rechner und den anderen kompromittierten Systemen erfolgt daraufhin ein permanenter Austausch von Schadsoftware.
Das so genannte Miner-Botnetz hat nachgeladen: Zusätzlich zu den Komponenten zur Bitcoin-Erzeugung verfügt es nun über ein Modul, um gezielt Web-Seiten lahmzulegen. Im Visier sind vor allem deutsche Pizza-Dienste und Immobilien-Portale.
Das Bot-Netz hat es in sich. Zunächst kommuniziert es nicht über einen zentralen Server sondern über ein verteiltes Peer-to-Peer-Netz. Primärers Einsatzszenario war zunächst das Erschaffen von Bitcoins, einer Art vituelle Web-Währung. Doch Kaspersky-Experte Tillmann Werner hat entdeckt, dass die infizierten Rechner kürzlich eine neue Datei namens "ddhttp.exe" nachgeladen haben. Diese Datei entpuppte sich bei näherer Analyse als eine Variante des Bots für HTTP-Flooding-Angriffe, die Web-Server durch massenhafte Abfragen lahmlegen.
Die Liste der Opfer wird von dem Programm regelmäßig aus dem Botnetz bezogen. Wie Tillmann Werner gegenüber heise Security erklärte, beschränken sich die Angriffe auf 31 deutsche und 2 österreichische Sites und da offenbar auch nur auf bestimmte Branchen: Alle Zielsysteme hosten entweder Immobilienportale oder Portale aus der Lebensmittelbranche, etwa Pizza-Bestelldienste.
Nur kurze Zeit später wurde noch ein weiteres Modul für Distributed Denial of Service Angriffe (DDoS) nachgeladen, diesmal für UDP-Flooding-Attacken. Die Opferliste dafür ist kürzer, aber nicht weniger interessant: Sie enthält IP-Adressen von Dienstleistern mit Lösungen zur DDoS-Abwehr. Möglicherweise handelt es sich hier um eine Reaktion der Botnetz-Betreiber auf Gegenmaßnahmen ihrer Opfer, um diese doch noch effektiv zu schädigen.
Einige der Firmen auf der Liste haben Kaspersky gegenüber den DDoS-Angriff bestätigt und zählen mehrere Hunderttausend angreifende Systeme. Eines der bekanntesten Opfer ist das Portal pizza.de. Die Firma registrierte während eines Angriff über 3 Stunden Zugriffe von rund 50.000 IP-Adressen, die etwa 20-30.000 Anfragen pro Sekunde erzeugten.
Die Frage nach der Motivation für die Angriffe ist noch ungeklärt. Glücklicherweise werden seit gestern alle Attacken ausgesetzt. Das Botnetz existiert jedoch unverändert fort, da sich ein Peer-to-Peer-Netz nicht ohne weiteres stilllegen lässt. Im schlimmsten Fall ist nach einem ersten Warnschuss nun mit Angriffen von längerer Dauer zu rechnen.
Wie bereits berichtet hat sich das Bot-Netz Miner mittlerweile auf DDoS-Attacken auf deutsche Web-Sites spezialisiert. Betroffen sind vor allem Pizza-Dienste wie pizza.de und Seiten aus der Immobilien-Branche. Nachdem das Bot-Netz eine kurze Pause eingelegt hatte, berichten nun Leser, dass die Angriffe am Donnerstagabend um 20 Uhr erneut begonnen hätten.
Die über 100.000 Bot-Netz-Clients rufen dabei massenhaft Seiten ab und versuchen so dafür zu sorgen, dass der Server wegen Überlastung nicht zu erreichen ist. Die Anfragen lassen sich in den Log-Dateien leicht an ihren charakteristischen User-Agent-Strings erkennen. Viele haben etwa als Sprache "ru" gesetzt.
Tillmann Werner von Kaspersky bestätigt die neue Angriffswelle. Die Liste der Ziele für das HTTP-Flooding ist dabei gleich geblieben; nur ein neues Opfer für UDP-Flooding ist hinzugekommen. Ein Teil der Betroffenen greift jetzt zu harten Maßnahmen, um die Server erreichbar zu halten. So filtern sie etwa auf vorgelagerten Routern Zugriffe von allen IP-Adressen, die nicht aus Deutschland stammen. Das sperrt zwar unter Umständen auch legitime Nutzer aus, hält den Dienst aber für die Mehrzahl der Anwender erreichbar. Eine Denial-of-Service-Attacke aus der Sicht eines Betroffenen beschreibt übrigens der Artikel Tatort Internet: Nach uns die SYN-Flut (http://www.heise.de/security/artikel/Tatort-Internet-Nach-uns-die-SYN-Flut-1285780.html).
Quelle : www.heise.de
Titel: Malware für alle: Aldi Bot zum Discount-Preis
Beitrag von: SiLæncer am 20 September, 2011, 16:14
In einschlägigen Untergrundforen wird ein funktionierender Botnet-Baukasten "Aldi Bot" für 10 Euro angeboten. Das berichtet (http://blog.gdatasoftware.com/blog/article/botnets-on-discount.html) der AV-Hersteller G DATA in seinem Blog. Demnach beruht der "Aldi Bot Builder" vermutlich auf dem vor einigen Wochen im Netz aufgetauchten Quellcode des ZeuS-Bots. Mit der Lebensmittelkette hat der Schädling jedoch nichts zu tun. Warum die Namenswahl des Malware-Autoren ausgerechnet auf Aldi fiel, ist unklar. Vermutlich liegt es am vergleichsweise geringen Discount-Preis.
Aldi Bot kann (gespeicherte) Passwörter aus dem Firefox-Browser, dem Messenger Pidgin und dem Download-Tool JDownloader auslesen und an einen im Lieferumfang enthaltenen Comand&Control-Server senden. Daneben kann Aldi Bot "Distributed Denial of Service"-Attacken durchführen, was der "Aldi Bot"-Autor in einem Video (http://www.youtube.com/watch?v=UskKFTFVLyI) auf YouTube anhand der Webseite des Bundeskriminalamts demonstriert. Der Bot lässt sich zudem als SOCKS-Proxy einrichten, um infizierte Rechner als Proxy für beliebige Protokolle zu missbrauchen. Um ein System mit dem Discount-Schädling zu infizieren, sind allerdings zusätzliche Maßnahmen erforderlich, etwa Exploit-Packs auf infizierten Webseiten.
Aldi Bot wird laut G DATA in seiner Reinform von aktuellen Virenscannern erkannt. Um dies zu umgehen, präparieren Maware-Autoren ihre Software in der Regel mit speziellen Packern oder Crypt-Tools. Der niedrige Preis des Volks-Bot erklärt der Autor laut G DATA mit dem Desinteresse an Geld. Er sei am Programmieren interessiert. Trotz des niedrigen Preises soll sogar Support per Chat zum Bot-Paket gehören. Dabei soll der Autor auch Laien, Skript Kiddies und anderen Noobs die Installation und Bedienung erklären. Die Spezialisten von G DATA befürchten nun, dass sich Botnetze zum Massenmarkt entwickeln könnte – dabei sei es egal, ob zum Geld machen oder nur zum Spaß.
Quelle : www.heise.de
Titel: Kelihos: Microsoft nimmt weiteres Botnet vom Netz
Beitrag von: SiLæncer am 28 September, 2011, 13:53
Der IT-Gigant Microsoft beteiligte sich offenbar an einer weiteren erfolgreichen Aktion gegen ein Botnet. Auf juristischem Wege gelang es Microsoft eigenen Angaben zufolge, das Botnet "Kelihos", das auf das Abgreifen sensibler Daten von infizierten Rechnern sowie auf den Versand von Spam-Mails spezialisiert war, auszuschalten.
Kelihos war angeblich in der Lage, bis zu vier Milliarden Spam-Mails am Tag zu versenden, und umfasste zuletzt rund 42.000 infizierte Rechner. Dagegen ging Microsoft auf juristischem Wege vor. Das Software-Unternehmen erlangte einen geheimen Richterbeschluss, der 21 Domains - darunter cz.cc, einen freien Domain-Registrierungs-Service in der tschechischen Republik - vom Netz nahm. Dadurch wurden die Command-and-Control-Server von Kelihos ausgeschaltet und das Botnet somit unbrauchbar, da die Bots keine Befehle oder Updates mehr empfangen konnten. Erst hinterher wurde der zugrunde liegende gerichtliche Prozess öffentlich gemacht.
Auf ähnlichem Wege gelang es Microsoft zuvor, die Botnets Rustock und Waledac auszuschalten. Wie Experten anmerken, waren Waledac und Kelihos sich im Hinblick auf ihren Quellcode äußerst ähnlich. Womöglich handelte es sich bei Kelihos sogar um einen Versuch der Waledac-Betreiber, ihr Botnet wieder aufzubauen. Dementsprechend schrieb Richard Domingues Boscovich, einer der leitenden Juristen in Microsofts "Digital Crimes Unit", am gestrigen Dienstag in einem Blog-Eintrag: "Der Kelihos-Takedown soll eine starke Botschaft an diejenigen hinter den Botnets schicken, dass es nicht klug von ihnen ist, einfach zu versuchen, ihren Code zu aktualisieren und ein Botnet wieder aufzubauen, sobald wir es auseinander genommen haben. Wenn Microsoft ein Botnet vom Netz nimmt, beabsichtigen wir, dass es auch inaktiv bleibt - und wir werden weiterhin aktiv werden, um unsere Kunden und Plattformen zu schützen und Bot-Herder für ihre Aktionen zur Verantwortung zu ziehen".
Der Betreiber von cz.cc, Alexander Piatti, soll nicht nur bei Kelihos eine maßgebliche Rolle durch das Ausstellen von Domains gespielt haben. Er soll auch bei anderen Online-Betrügereien, darunter der "Mac Defender"-Scareware, eine ähnliche Rolle gespielt haben. Auf ihn könnten nun rechtliche Konsequenzen zukommen.
Mit der populären Malware "ZeuS" kontrollierte Botnets werden künftig schwerer auszuschalten sein. Dafür sorgt ein Update, das ZeuS eine Peer-to-Peer-Funktionalität spendiert. So können die Bots beim Wegfall der Kommando-Server Befehle und Updates untereinander weitergeben und so handlungsfähig bleiben. Andere Botnets arbeiten teilweise schon seit Jahren mit derartigen Techniken.
Das Update steht allerdings bislang nur für eine speziell angepasste ZeuS-Variante namens "Murofet" zur Verfügung. Es dürfte Regierungen und Sicherheitsexperten das Ausschalten von Murofet-Botnets durch Ausschalten oder Infiltrieren der Command-and-Control-Server erheblich erschweren, wie die Experten vom "Zeus Tracker" erklären. Ein Mitarbeiter des Zeus Tracker, der ungenannt bleiben will, berichtete, man habe bereits 100.000 mit der neuen, robusteren Malware-Variante infizierte Systeme ausfindig gemacht.
Murofet-Rechner verfügen bei Installation offenbar über eine Liste von IP-Adressen, zu denen sie dann per P2P Kontakt aufnehmen. Von diesen Rechnern erhalten sie dann die Adressen weiterer mit dem Netzwerk verbundener Bots. Falls die kontaktierten Maschinen über eine aktuellere Software-Version verfügen, verschicken sie diese zusätzlich als Update.
Andere Botnets wie TDL-4 oder Waledac verfügen schon seit Jahren über eine P2P-Funktionalität. So ist es keine Überraschung, dass die äußerst populäre ZeuS-Malware nun nachzuziehen beginnt.
Sicherheitsexperten sehen aber noch immer Angriffsvektoren, über die sich auch Murofet-Botnets ausschließen ließen. Dies sei zwar schwieriger als bisher, aber "der neue Super-Trojaner" sei ZeuS auch in der neuen Variante nicht, erklärte der anonyme Zeus Tracker-Mitarbeiter.
Quelle: www.gulli.com
Titel: Botnetz-Betreiber soll bei Antivirus-Firma gearbeitet haben
Beitrag von: SiLæncer am 24 Januar, 2012, 13:58
Nach Ermittlungen von Microsofts Digital Crime Unit hat der mutmaßliche Betreiber des Kelihos-Botnets in der Vergangenheit bei einem Hersteller von "Firewalls, Virenscannern und Sicherheitssoftware" als Projektmanager und Entwickler gearbeitet. Dies geht aus einer Klageänderung hervor, die Microsoft am gestrigen Montag dem US-Bezirksgericht Ost-Virginia vorgelegt hat.
Um welches Unternehmen es sich dabei genau handelt, ließ Microsoft jedoch offen. Recherchen des Sicherheitsexperten Brian Krebs zufolge soll es sich dabei um Agnitum aus dem russischen St. Petersburg handeln. Agnitum hat sich vor allem mit der Personal Firewall Outpost einen Namen gemacht.
Krebs bezieht sich auf Angaben, die der mutmaßliche Botnet-Betreiber auf seinem Profil bei dem Business-Netzwerk Xing gemacht hat. Demnach war der 31-jährige Verdächtige angeblich von 2005 bis 2007 für das Unternehmen tätig. Derzeit arbeitet er laut Microsoft als Freelancer bei einer Firma für Software-Beratung und -Entwicklung.
Das Botnet Kelihos hatte Microsoft im September in Zusammenarbeit mit den Sicherheitsfirmen Kyrus Inc. und Kaspersky Labs erfolgreich stillgelegt. Zu diesem Zeitpunkt hatte der Botnetz-Betreiber über 40.000 infizierte Rechner unter seiner Kontrolle. Laut Microsoft hätte man mit dieser Infrastruktur bis zu 3,8 Milliarden Spam-Mails täglich versenden können.
Quelle : www.heise.de
Titel: Botnetz Kelihos ist wieder aktiv
Beitrag von: ritschibie am 03 Februar, 2012, 12:36
(http://www.golem.de/1202/sp_89542-29582-i.jpg) Experte untersucht Schadcode in einem US-Malware-Lab: Kelihos-Infrastruktur blieb bestehen (Bild: Jim Urquhart / Reuters)
Das Botnetz Kelihos ist wieder aktiv - über das Netz werden wieder Spammails verschickt. Möglicherweise wird es sogar von zwei verschiedenen Betreibern kontrolliert.
Das im September vergangenen Jahres ausgeschaltete Botnetz Kelihos ist wieder aktiv. Die rund 41.000 Rechner, die zu dem Netz gehörten, seien mit einer neuen Variante der Malware infizierten worden und versendeten wieder Spam-Mails, schreibt Maria Garnaeva vom Antivirensoftware-Hersteller Kaspersky Lab im Unternehmensblog Securelist.
Botnetz übernommen
Mit einem Trick hatten Microsoft und Kaspersky das Botnetz deaktiviert: Sie brachten die infizierten Rechner dazu, nicht mehr auf die Steuerungsrechner des Botnetzes, die sogenannten Command-And-Control-Server, zu hören. Auf diese Weise übernahmen Microsoft und Kaspersky selbst die Kontrolle.
Diese Sinkholing (von Sinkhole, Doline oder Karsttrichter) genannte Methode habe den Vorteil, dass ein Botnetz schnell und einfach ausgeschaltet werden könne, ohne die ganze Infrastruktur übernehmen zu müssen, schreibt Garnaeva. Nachteil sei aber, dass die Infrastruktur bestehen bleibe und die Betreiber unangetastet blieben. Sie könnten ihr Netz wie im vorliegenden Fall reaktivieren. Die ersten Versuche dazu hatten die Experten bei Kaspersky laut Garnaeva schon wenige Tage nach der Übernahme festgestellt.
Zwei Schlüssel
Die in das Botnetz eingebundenen Rechner seien mit einer neuen Variante der Malware infiziert worden. Die nutze neue Verschlüsselungsmethoden, um den Spamversand zu verschleiern. Sie hätten zwei verschiedene Schlüssel gefunden, die dafür genutzt würden, erklärt Garnaeva. Das lege den Schluss nahe, dass zwei verschiedene Gruppe das Botnetz kontrollierten.
Kelihos bestand bei seiner Deaktivierung 2011 aus rund 41.000 Computern, die am Tag etwa 3,8 Milliarden Spammails verschicken konnten. Verantwortlich für die Programmierung der Malware und den Aufbau des Botnetzes soll ein Programmierer aus St. Petersburg sein. Microsoft hat gegen den Mann geklagt.
Quelle: www.golem.de
Titel: Verwirrung um Kelihos-Botnet
Beitrag von: SiLæncer am 06 Februar, 2012, 16:00
Das vor vier Monaten vom Netz genommene Kelihos-Botnet, das zu seiner Blütezeit bis zu vier Milliarden Spam-Mails am Tag verschickte, wurde nicht reaktiviert. Entsprechende Medienberichte erwiesen sich als Missverständnis. Zutreffend ist allerdings, dass die Kelihos-Malware von anderen Internet-Kriminellen teilweise weiterhin verwendet wird.
Ein Blog-Posting eines Forschers des IT-Sicherheits-Unternehmens Kaspersky Lab hatte für Spekulationen gesorgt. Einige Fachmedien berichteten, Kelihos sei reaktiviert worden. Dies ist allerdings nicht korrekt, wie Kaspersky und Microsoft, die am Takedown von Kelihos beteiligt waren, am vergangenen Freitag erklärten.
Kaspersky betonte in seiner Stellungnahme, man wolle "den Unterschied zwischen dem Botnet, das wir mit Microsoft zusammen ausgeschaltet haben, und neuen, auf dem originalen Kelihos-Code basierenden Malware-Samples klarstellen". Das originale Kelihos-Botnet befände sich nach wie vor unter der Kontrolle der Sicherheitsforscher; die Bots erhielten keine Befehle und seien daher auch nicht aktiv. Man habe es vielmehr mit einem neu aufgebauten Botnet zu tun, das sich aber der Kelihos-Malware bediene.
Dies bestätigte auch Richard Domingues Boscovich, Jurist bei der "Microsoft Digital Crimes Unit". Er erklärte, das neue Botnet verwende "eine leicht aktualisierte Variante der Malware, auf der das originale Kelihos-Botnet aufgebaut war".
Es ist in der Malware-Branche - ebenso wie bei der Programmierung anderer Software - nicht ungewöhnlich, Teile des Quellcodes von früheren Programmen zu übernehmen. In der Tat baut die Kelihos-Software Berichten von Microsoft zufolge ihrerseits auf der bei dem bereits 2010 ausgeschalteten "Waledac"-Botnet verwendeten Malware auf.
Die neue Kelihos-Variante erhielt die Bezeichnung "Win32/Kelihos B" und wurde zügig in die Signaturlisten gängiger Sicherheits-Software-Lösungen übernommen.
Quelle: www.gulli.com
Titel: Cutwail-Botnet für HTML-Malware-Spam reaktiviert
Beitrag von: SiLæncer am 17 Februar, 2012, 23:00
Das tot geglaubte Cutwail-Botnet ist offenbar wieder aktiv und versendet massenhaft Spam-Mails mit bösartigen HTML-Anhängen. Diese Mails lassen sich drei verschiedenen Spam-Kampagnen mit den Betreffzeilen "Suspended bank account", "End of August Statement" und "Xerox Scan" zuordnen.
Wird der Anhang der betreffenden E-Mails heruntergeladen und geöffnet, wird er per JavaScript auf eine Website der Internet-Kriminellen umgeleitet, auf der dann die eigentliche Malware verteilt wird. Derzeit wird Schadsoftware auf Basis des auf dem Schwarzmarkt verkauften "Phoenix"-Malware-Bausatzes eingesetzt.
Sicherheitsforscher raten Internet-Nutzern, auf keinen Fall E-Mails mit entsprechenden Betreffzeilen zu öffnen. Außerdem solle auf die Aktualität eingesetzter Software und insbesondere Browser-Plugins geachtet werden, da Schwachstellen an diesen Stellen sonst von den Angreifern ausgenutzt werden können.
Quelle: www.gulli.com
Titel: Kelihos-Betreiber arbeiten an einem neuen Botnetz
Beitrag von: SiLæncer am 31 März, 2012, 11:35
Die Sicherheitsforscher von 'Seculert' wurden darauf aufmerksam, dass die Köpfe hinter dem kürzlich abgeschalteten Kelihos-Botnetz bereits an einem neuen Netzwerk arbeiten. Hierbei wird auf einen Facebook-Wurm gesetzt.
Nach der Erfolgsmeldung im Hinblick auf die Abschaltung des Kelihos-Botnetzes in dieser Woche durch den Sicherheitsdienstleister Kaspersky Lab in Kooperation mit dem CrowdStrike Intelligence Team, Dell SecureWorks und Mitgliedern des Honeynet Projects, gibt es nun neue Informationen über die nächsten Pläne der Botnetz-Betreiber.
Nähere Informationen zu diesem Thema gehen aus einem zugehörigen Blogbeitrag von Seculert hervor. Angeblich wird für die Verbreitung des eingesetzten Schädlings auf einen Trojaner gesetzt, der über das weltgrößte Social Network in Umlauf gebracht wird und bisher über 70.000 Facebook-Nutzer infiziert haben soll. Es handelt sich dabei um eine neue Version des Kelihos-Trojaners, die als Kelihos.B bekannt ist.
Möglicherweise könnten die Köpfe hinter dem Botnetz zahlreiche Drohnen, die nach wie vor mit der ursprünglichen Malware infiziert sind, wieder für die eigenen Zwecke einsetzen und ein neues Netzwerk aufbauen. Zu diesem Zweck müssen die Systeme lediglich mit der neuen Trojaner-Version infiziert werden. Einen möglichen Weg dafür hat man offenbar schon gefunden.
Es gilt im Allgemeinen als äußert schwieriges Vorhaben, wenn ein Botnetz, bei dem auf P2P-Technologien gesetzt wird, komplett abgeschaltet werden soll. Sicherheitsexperten sind der Meinung, dass dafür die Betreiber verhaftet werden müssen. Die Sicherheitsexperten haben im Hinblick auf das erwähnte Kelihos-Netz auf eine Sinkhole-Operation gesetzt und das Netz auf diese Weise untergraben.
Grundsätzlich bestand die Schwierigkeit darin, dass es sich um ein Peer-to-Peer-Botnetz handelte und jeder Bestandteil des Netzes sowohl als Client oder auch als Server agieren kann. Aus diesem Grund wurde ein globales Netzwerk auf den Weg gebracht und in die bestehende Struktur des Botnetzes eingeschleust. Dieses Sinkhole wurde schließlich immer mächtiger und die Experten konnten immer mehr infizierte Maschinen kontrollieren.
Quelle : http://winfuture.de
Titel: Botnetz kartographiert das gesamte Internet
Beitrag von: SiLæncer am 08 Oktober, 2012, 17:00
Das Sality-Botnetz hat im Februar 2011 offenbar den gesamten IPv4-Adressraum auf zu korrumpierende Voice-over-IP-Endpunkte (VoIP) durchsucht. Forscher der University of California, San Diego (USCD) und der Universität von Neapel, Italien, haben diese Aktivitäten des Botnetzes beobachtet und ausgewertet.
Der Scan dauerte insgesamt 12 Tage und zeichnete sich durch eine besonders behutsame Vorgehensweise aus, die normalerweise kaum Alarm auslösen würde. Die Forscher registrierten die Aktivitäten mit dem UCSD Network Telescope, auch das "UCSD darknet" genannt. Für dieses Darknet hat die Universität einen kompletten /8-IP-Bereich reserviert; also alle IP-Adressen aus einem Netz, bei dem wie bei 10.0.0.0 nur das erste Byte die Netzwerkadresse festlegt. Von diesen Adressen geht regulär keinerlei Netzwerkaktivität aus. Damit steht fest, dass jeglicher an dieses Netz gerichtete Netzwerkverkehr von externen Quellen verursacht wurde. Im Februar 2011 registrierte das UCSD Telescope den besagten systematischen Scan seines kompletten Adressraums. Indem die Forscher dies mit öffentlich zugänglichen Daten über weltweiten Netzwerkverkehr korrelierten, kamen sie zu dem Schluss, dass nicht nur ihr eigenes Netz, sondern anscheinend das komplette Internet gescannt wurde.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Botnetz-kartographiert-das-gesamte-Internet-1725111.html)
Quelle : www.heise.de
Titel: Schädling versteckt sich hinter der Maus
Beitrag von: SiLæncer am 29 Oktober, 2012, 13:08
Schädlinge nutzen immer raffiniertere Tricks, um sich vor der automatisierten Erkennung durch spezielle Analyse-Systeme zu verstecken. Der Antiviren-Hersteller Symantec berichtet von einem Trojaner, der seinen bösartigen Code an die Behandlung von Maus-Aktivitäten koppelt. Und da an den automatisierten Analyse-Systemen niemand die Maus schubst, wird der Code nicht aktiv und der Schädling nicht erkannt.
Angesichts der explosionsartig wachsenden Zahl neuer Schädlingsvarianten – Symantec spricht von circa 1 Million pro Tag – müssen vollständig automatisierte Systeme einen Großteil der Arbeit zur Erstellung von Viren-Signaturen vorab erledigen. Dazu gehören auch Systeme, auf denen ein potentieller Schädling ausgeführt und genau beobachtet wird, was der alles so anstellt. Diese Ergebnisse werden dann ebenfalls weitgehend automatisiert ausgewertet; nur in auffälligen Spezialfällen sieht sich ein Mensch das noch einmal genauer an.
Die einfachste Methode diese Form der Erkennung auszutricksen ist, sich einfach Zeit zu lassen. Denn typischerweise wird die Analyse nach einem bestimmten Zeitraum abgebrochen. Wenn ein verdächtiges Programm jedoch wie von Symantec beobachtet den Schadcode erst nach 5 Minuten entpackt, sich dann nochmal 20 Minuten Zeit lässt, um sich in die Registry einzuklinken und dann erst nach weiteren 20 Minuten die ersten Netzwerkaktivitäten entfaltet, hat es gute Chancen, einer Entdeckung zu entgehen.
In einer noch raffinierteren Version klinkt sich ein Schädling über die Windows-API-Funktion SetWindowsHookExA in die Message-Handling-Funktionen ein, die dafür zuständig sind, Maus-Events zu verarbeiten. Auf einem normalen Windows-System klickt der Anwender früher oder später etwas an und aktiviert damit unwissentlich den Schadcode; auf einem Analysesystem hat der Trojaner gute Chancen, der Entdeckung zu entgehen. Die AV-Hersteller werden jetzt wohl virtualisierte Mausschubser nachrüsten müssen.
Quelle : www.heise.de
Titel: Re: Schädling versteckt sich hinter der Maus
Beitrag von: Jürgen am 29 Oktober, 2012, 21:58
Sie werden, sofern noch nicht geschehen, auf jeden Fall auch in ihre Produkte Verhaltensüberwachungskomponenten nachrüsten müssen, die solche unberechtigten Software-Zugriffe auf die Maus, die Tastatur oder jedes andere HID erkennen und ggf. verhindern können. Eigentlich müssten ähnliche Verfahren längst existieren, z.B. um virtuelle oder anderweitig gefälschte Klicks zu verhindern.
Jürgen
Titel: Botnetz versteckt sich im Tor-Netzwerk
Beitrag von: SiLæncer am 10 Dezember, 2012, 17:00
Das Security-Street-Blog hat einen Botnetz-Client gefunden, dessen Betreiber sich mit Hilfe des Tor-Netzwerks versteckt. Die Arbeit von Sicherheitsexperten und Strafverfolgern wird durch diese Vorgehensweise deutlich erschwert.
Wie Claudio Giarnieri schreibt, sind sind er und seine Kollegen in den letzten Wochen über ein außergewöhnliches Botnetz gestolpert, dessen Ursprung sie zunächst kaum ausmachen konnten. Allerdings fielen ihnen Parallelen zwischen dem gefundenen Botnetz und den Ausführungen von GData auf, die ein ähnliches Tor-Botnetz schon im September beschrieben.
Der ganze Artikel (http://www.heise.de/security/meldung/Botnetz-versteckt-sich-im-Tor-Netzwerk-1764791.html)
Quelle : www.heise.de
Titel: Trojaner tarnen sich mit Chat-Protokollen
Beitrag von: SiLæncer am 21 Januar, 2013, 13:29
Trend Micro hat neue Trojaner entdeckt, die ihre Kommunikation mit der Nachahmung von gängigen Chat-Protokollen tarnen, beispielsweise von Microsofts oder Yahoos Messenger. Das Sicherheitsunternehmen gibt diesen Trojanern den Beinamen „Fakem“; insgesamt spricht das Unternehmen von Fakem-RATs (Remote Access Trojans). Mit ihnen können Angreifer aus der Ferne auf den PCs der Opfer Ordner durchsuchen, Screenshots tätigen, Webcams und Mikrofone steuern und Daten abgreifen.
Der ganze Artikel (http://www.heise.de/security/meldung/Trojaner-tarnen-sich-mit-Chat-Protokollen-1787747.html)
Quelle : www.heise.de
Titel: Kelihos-Botnet ausgeknipst – Live on stage
Beitrag von: ritschibie am 28 Februar, 2013, 10:52
(http://www.heise.de/imgs/18/9/8/9/6/9/3/e05694bed7a5c662.jpeg) Die Teilnehmer der Veranstaltung konnten das Sterben des Botnets live auf einer Weltkarte mitverfolgen. Das Foto zeigt die Situation rund drei Minuten nach dem Start des Takedown. Bild: Uli Ries
Tillmann Werner von Crowdstrike hat während seines Vortrags auf der RSA Conference dem Kelihos-Botnetz vor Publikum den Todesstoß versetzt. Diese inzwischen dritte Generation des Schädlingsnetzes verschickt – wie üblich – Viagra-Spam, klaut Bitcoin-Wallets und Logindaten. Die gleiche Gang, die auch Kelihos betreibt, stand laut Werner zuvor bereits hinter den Botnetzen Waledac und Sturm.
Der Forscher schleuste einen PC in die Gemeinde der Zombie-PCs ein, der sich über das legitime Kommunikationsprotokoll der Bots mit den infizierten Rechnern verständigen kann. Auf diesem Weg verbreitete dieser PC innerhalb des Peer-to-Peer-Netzes der Schadsoftware eine Liste mit 500 IP-Adressen von vermeintlichen benachbarten Nodes im Botnet. Mehr als 500 Adressen können die Bots lokal nicht speichern. Die Bots teilen sich mittels dieser Listen gegenseitig die Netzwerkroute zu den Command&Control-Servern mit, die die Arbeitsaufträge an die Bots verschicken.
Im Fall des "Angriffs" durch Tillmann Werner zeigten die 500 Einträge alle auf den gleichen Server: Einen von Werner und anderen Experten, darunter Vertreter der aufs Bekämpfen von Malware-Netzen spezialisierten Shadowserver Foundation, betriebener Sinkhole-Server.
Durch Analyse des Kommunikationsprotokolls des Malware-Netzes entdeckte Werner, dass dieser Teil des Datenaustauschs nicht digital signiert und somit anfällig für gefälschte Nachrichten ist. Zudem lässt sich der Doubletten-Check der Bots, der doppelte IP-Adressen ausfiltern soll, aufgrund einer Schwäche austricksen: Die Malware-Macher sehen für das Festlegen des TCP-Ports vier Bytes vor, obwohl zwei Bytes genügten. Die Forscher können also durch Zuhilfenahme der beiden oberen Bytes auf den ersten Blick variierende Port-Einträge für die gleiche IP-Adresse in der Liste erzeugen. De facto zeigen die Einträge aber alle auf Port 80, der innerhalb des Botnetzes zum Datenaustausch dient.
(http://www.heise.de/imgs/18/9/8/9/6/9/3/57abd46bd13ac7ec.jpeg) Botnet-Experte Tillmann Werner auf der RSA Conference in San Francisco. Bild: Uli Ries
Haben die infizierten PCs einmal Kontakt zum Sinkhole gehabt, versorgt sie der Server mit unsinnigen Arbeitsaufträgen, die keinen Schaden anrichten, die Bots aber beschäftigen. Gleichzeitig mit den 500 IP-Adressen wurden den Zombie-PCs von den Forschern auch neue Einträge für die Blacklist übermittelt. Die neuen Einträge gehören den sechs derzeit bekannten Command & Control-Proxyservern des Kelihos-Netzes. Somit können die Betreiber des Netzes den infizierten PCs keine neue Konfiguration zukommen lassen.
Laut Tillmann Werner hat er die Aktion mit internationalen Behörden wie dem FBI abgesprochen und sich zuvor auch grünes Licht von Juristen geholt. Die Forscher wollen die Liste der IP-Adressen der infizierten Rechner, die sich mit dem Sinkhole verbanden, baldmöglichst an die Behörden und die Shadowserver Foundation geben, damit diese sich dann mit den Internetprovidern der betroffenen Opfer in Verbindung setzen können.
Wie lange dieser Schlag gegen die Botmaster diese von ihrem Treiben abhält, steht auf einem ganz anderen Blatt: Als die Vorgängerversion Kelihos.b abgeschaltet wude, dauerte es laut Werner lediglich 20 Minuten, bis der jetzt abgeschaltete Nachfolger Kelihos.c wieder auf 40.000 Zombie-PCs angewachsen war. Wie groß Kelihos.c zum Zeitpunkt seines Abschaltens ist, wollen die Forscher in den nächsten Tagen in einem Blogbeitrag bekannt geben.
Werner ist in der Security-Szene kein Unbekannter: Unter anderem hat er zusammen mit anderen Forschern ähnliche Schwachstellen in der Infrastruktur des Sturmwurms ausgemacht.
Quelle: www.heise.de
Titel: P2P-Botnetz ZeroAccess kaum tot zu kriegen
Beitrag von: SiLæncer am 16 Dezember, 2013, 16:55
Der gemeinsame Schlag von Microsofts Digital Crimes Unit, dem FBI und Interpol gegen das Klickbetrug-Botnetz ZeroAccess scheint nur von wenig Erfolg gekrönt gewesen zu sein. Wie die Sicherheitsfirma Damballa berichtet, hat die Aktion weniger als die Hälfte der Kontrollinfrastruktur des Botnetzes außer Gefecht gesetzt. Außerdem blieb der Peer-to-Peer-Kontrollkanal des Netzes bestehen, was es den Kriminellen ermöglicht, die infizierten Computer weiterhin mit Instruktionen zu versorgen. Die Geldquelle der Ganoven sei von dem Eingriff kaum beinflusst worden.
Laut Microsoft soll das ZeroAccess-Botnetz monatlich 2,7 Millionen US-Dollar erwirtschaften. Beim Klickbetrug nutzen die kriminellen Drahtzieher infizierte Computer dazu, ohne das Wissen ihrer Besitzer auf Werbebanner zu klicken. Die Besitzer des Botnetzes nehmen dann Geld von den Werbetreibenden ein, ohne dass ein Nutzer je die entsprechenden Werbebanner gesehen hat.
Um das Botnetz auszuschalten, hatte Microsoft eine zivilrechtliche Klage vor einem Gericht in Texas gegen die Betreiber angestrengt und zusammen mit FBI und Interpol 49 IP-Adressen lahmgelegt, die der Kontrollinfrastruktur von ZeroAccess zugerechnet werden. Diese Kontrollserver versorgen die Bots mit Instruktionen, welche Werbebanner verdeckt anzuklicken sind. Damballa kritisiert die Aktion als ineffizient und gibt an, das Botnetz werde nun über ein Peer-to-Peer-Netz weiterhin mit Anweisungen versorgt. Den Schätzungen der Firma zufolge sind noch 62 Prozent der Kontrollserver aktiv. Also wäre die Aktion auch fehlgeschlagen, wenn das Botnetz kein Peer-to-Peer-Protokoll eingesetzt hätte.
Bereits vor einigen Monaten hatte Symantec versucht, ZeroAccess zu zerschlagen – eine Aktion, die nur begrenzt gelang. Schon zu diesem Zeitpunkt war in der Gemeinde der Sicherheitsforscher bekannt, dass die Entwickler des Botnetz-Codes an einer Peer-to-Peer-Variante arbeiteten und dass den Ganoven nicht durch die einfache Übernahme von Kontrollservern beizukommen ist.
Quelle : www.heise.de
Titel: Firefox-Botnetz geht auf Exploit-Safari
Beitrag von: SiLæncer am 17 Dezember, 2013, 12:30
Ein seit mindestens Mai agierendes Botnetz hat über 1800 Webseiten entdeckt, die anfällig für SQL-Injection-Angriffe sind. Zum Mitglied in dem Botnetz wird man durch Installation eines Add-Ons für Firefox. Nach der Infektion testet der Schadcode verdeckt besuchte Webseiten und meldet Schwachstellen an die Drahtzieher des von seinen Betreibern "Advanced Power" genannten Botnetzes.
SQL-Injection-Angriffe nutzen Lücken in Web-Applikationen, um Befehle direkt an die Datenbank der Webseite zu senden und so wichtige Daten auszulesen, welche die Ganoven verkaufen oder für weitere Angriffe nutzen können.
Der von dem Add-On installierte Schadcode enthält außerdem ein Modul, das auf den infizierten Computern Passwörter und persönliche Daten stehlen kann. Untersuchungen des Sicherheitsexperten Brian Krebs zu Folge (http://krebsonsecurity.com/2013/12/botnet-enlists-firefox-users-to-hack-web-sites/) wurde diese Komponente aber bisher nicht aktiviert. Weltweit sollen mehr als 12.500 PCs mit der Malware infiziert sein. Das Firefox Add-On gibt vor, einen "Microsoft .NET Framework Assistant" installieren zu wollen – allerdings wird in Wirklichkeit nur der Schadcode installiert und der Rechner des Opfers reiht sich in das Botnetz ein.
Mozilla hat das schädliche Add-On mittlerweile aus seinem Add-ons-Manager entfernt.
Quelle : www.heise.de
Titel: Re: Firefox-Botnetz geht auf Exploit-Safari
Beitrag von: Jürgen am 18 Dezember, 2013, 03:23
Das ist ja interessant. Einen "Microsoft .NET Framework Assistant" habe ich nämlich jüngst auch entfernt, als ich das Notebook eines Bekannten durchzuputzen hatte.
Der hatte sich diverse nervige Toolbars und Browser-Hijacker eingefangen, zu deren völliger Beseitigung ich allerdings den Firefox am Ende komplett deinstalliert hatte, Registry und alle relevanten Ordner grob gereinigt und FF neu installiert. Nur die Bookmarks habe ich vorher gesichert, Passworte oder andere Formulardaten waren eh' nicht gespeichert.
Unter Win8 läuft Spybot Search & Destroy offenbar nicht, und beliebig viel Zeit zur Suche nach allen erdenklichen anderen Tools hatten wir beide da auch nicht.
Jürgen
Titel: Nach BKA-Einsatz: ZeroAccess-Botnetz streicht die Segel
Beitrag von: SiLæncer am 20 Dezember, 2013, 13:30
Nachdem es kurzzeitig so schien, als hätte sich das ZeroAccess-Botnetz gut von der koordinierten Aktion gegen seine Steuer-Infrastruktur erholt, haben die Drahtzieher nun wohl die Kontrolle über die Bots aufgegeben, wie Microsoft berichtet. Sie deaktivierten die Klickbetrug-Komponente des Schadcodes und übermittelten als eine virtuelle weiße Fahne.
Microsofts Digital Crimes Unit, das FBI und Interpol hatten am Anfang des Monats in Texas einen Gerichtsbeschluss erwirkt, mit dem eine Reihe von Domains zur Kontrolle des Bot-Netzes aus dem Verkehr zu ziehen. Allerdings blieb die Peer-to-Peer-Kommunikation der Botnetz-Drohnen untereinander intakt und die Ganoven konnten weiterhin mit dem Botnetz ihr Unwesen treiben, wie die Sicherheitsfirma Damballa kritisierte.
Jetzt vermeldet Microsoft eine Kapitulation der Botnetz-Betreiber. Microsoft hatte offenbar die Aktivitäten des Botnetzes weiterhin beobachtet und dabei neue IP-Adressen registriert, von denen kriminelle Aktivitäten ausgingen. Diese wurden daraufhin von der European Cybercrime Centre bei Europol unter Leitung der Cybercrime Intelligence Unit des BKA zurückverfolgt. Daraufhin folgte eine Phase der Inaktivität und schließlich ein letztes Update, das an die infizierten Rechner geschickt wurde. In diesem entdeckten die Microsoft-Experten die Text "WHITE FLAG". Seither wurde keine Aktivität des Bot-Netzes mehr beobachtet. Das interpretiert Microsoft als Kapitulation, feiert die Arbeit als Erfolg und lobt die "effektive Zusammenarbeit im Kampf gegen Cybercrime".
Microsoft erklärt jedoch nicht, was dieses letzte Update auf den infizierten Rechnern tatsächlich bewirkt hat. Insbesondere ist keine Rede davon, dass sich die Schad-Software selbst gelöscht hätte oder zumindest die P2P-Kommunikation deaktiviert wäre. Man kann also nicht ohne weiteres davon ausgehen, dass das Bot-Netz tatsächlich lahm gelegt und nun kein weiterer Missbrauch der infizierten Rechner mehr möglich ist. Manos Antonakakis von Damballa erklärte gegenüber heise Security jedenfalls, dass so weit er das sehen kann, die Peer-to-Peer-Kommunikation noch immer intakt sei. Er hält ZeroAccess für eine Bedrohung, so lange dieses P2P-Netz funktioniert.
Quelle : www.heise.de
Titel: BKA ermittelt gegen deutsche Cyber-Bande
Beitrag von: SiLæncer am 30 Dezember, 2014, 17:47
Das Bundeskriminalamt (BKA) ermittelt gegen Cyberkriminelle, die mit einer Software bis zu 11.000 Computersysteme in über 90 Staaten infiziert haben sollen. Mehr als die Hälfte der betroffenen Systeme habe sich in Deutschland befunden, sagte ein BKA-Sprecher am Dienstag in Wiesbaden. Es gebe Hinweise auf Täter in Deutschland. Die Ermittlungen der Generalstaatsanwaltschaft Frankfurt dauerten noch an, Details könnten daher nicht bekanntgegeben werden.
Botnetz aus Zombie-Rechnern zerschlagen
Experten sei es gelungen, das sogenannte Botnetz zu identifizieren und zu zerschlagen, erklärte der Sprecher. Dabei handelte es sich laut BKA um einen Zusammenschluss einer Vielzahl von Computern, die mit einer Schadsoftware infiziert wurden. E-Mail-Anhänge oder Downloads würden dazu in der Regel benutzt, sagte der Sprecher. Die Täter könnten auf diesem Weg auf die Computer zugreifen und Datendiebstahl begehen.
In Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Fraunhofer-Institut (FKIE) sowie zwei deutschen Antivirenherstellern wurde die Benachrichtigung der vom Botnetz betroffenen Computerinhaber über ihre Provider veranlasst. Weitere Informationen über den Umgang mit solchen Fällen und Hilfen für die Erstattung von Anzeigen gibt es beim Anti-Botnet Beratungszentrum sowie den Seiten des Bundeskriminalamtes und des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Quelle: www.onlinekosten.de/
Titel: Drei Millionen US-Dollar Kopfgeld für Ergreifung des Zeus-Entwicklers
Beitrag von: SiLæncer am 02 Juli, 2015, 19:12
Das FBI hat seine Liste der meistgesuchten Cyber-Verbrecher aktualisiert. Ein Großteil das ausgeschriebenen Kopfgelds geht auf die Ergreifung des angeblichen Entwicklers des Zeus-Trojaners zurück.
Evgeniy Mikhailovich Bogachev, der mutmaßliche Drahtzieher hinter Zeus, einem der prominentesten Trojaner-Baukästen, gehört nun offiziell zu den meistgesuchten Cyber-Kriminellen. Das FBI hat ihn in die entsprechende Liste aufgenommen und ein Kopfgeld von drei Millionen US-Dollar ausgesetzt.
Mit dem Kopfgeld führt Bogachev die Liste mit Abstand an. Insgesamt beläuft sich die Höhe des Kopfgelds für die Ergreifung aller vom FBI gesuchten Cyber-Verbrecher auf 4,2 Millionen US-Dollar. Dem FBI zufolge wurde Bogachev zuletzt in Anapa in Russland gesehen und soll sich aktuell auf seinem Boot irgendwo im Schwarzen Meer befinden.
Der Schwerpunkt von Zeus liegt im Bereich des Online-Bankings-Betrugs. Der Trojaner treibt schon seit 2007 sein Unwesen und ist auch heute noch weltweit aktiv.
Von einem Botnetz aus Linux-Rechnern werden derzeit täglich rund zwanzig Webseiten mit DDoS-Attacken überzogen, wobei teilweise bis zu 150 Gbps an Verkehr erzeugt werden.
Das Xor.DDoS getaufte Botnetz, das von Akamais Security Intelligence Response Team (SIRT) erforscht wurde, benutzt den Trojaner XOR DDoS um Linux-Rechner in das Botnetz einzubinden. XOR DDoS zählt dabei zur Kategorie der ELF-Malware, der Name XOR rührt von der intensiven Nutzung der XOR-Verschlüsselung sowohl in der Malware als auch beim Netzwerkverkehr mit den Command and Control Servern (C&C). Die Angriffe auf Webseiten betreffen zu 90 Prozent den asiatischen Raum, wo auch die C&C-Server lokalisiert wurden. Dabei sind hauptsächlich Gaming-Seiten das Angriffsziel, gefolgt von Seiten aus dem Bildungssektor.
XOR DDoS dringt über SSH per Brute-Force-Attacken gegen schwache Passwörter in Linux-Rechner ein. Einmal eingeloggt, wird mit Rootprivilegien ein Script gestartet, dass eine infektiöse Binärdatei herunterlädt und ausführt. Nichts weist jedoch darauf hin, dass XOR DDoS Schwachstellen in Linux oder den Distributionen selbst ausnutzt. Das Botnetz wird bereits seit rund einem Jahr zusammengezurrt und hat jetzt eine Größe erreicht, um sehr potente Attacken gegen Webseiten dirigieren zu können.
»XOR DDoS ist ein Beispiel für das Umschwenken der Angreifer auf das Kompromittieren von Linux-Rechnern anstelle der früher fast ausschließlich per DDoS-Malware rekrutierten Windows-Maschinen«, so Stuart Scholly, Vize-Präsident von Akamais Abteilung für Unternehmenssicherheit. Eine Möglichkeit zum Schutz vor solchen Malware-Angriffen ist das Blockieren des Root-Zugangs per SSH und das Ausweichen auf das Pubkey-Verfahren als alleinigen Zugang aus der Ferne.
Quelle : www.pro-linux.de
Titel: Exploit-Kit Angler macht Millionen mit Erpressungs-Trojanern
Beitrag von: SiLæncer am 07 Oktober, 2015, 13:20
Cisco hat das Explit Kit Angler in freier Wildbahn studiert und einen Gutteil der Hosts offline nehmen lassen. Wie sich zeigt, haben die Täter ein professionelles System hochgezogen und scheffeln damit richtig Geld.
Talos, eine Abteilung von Cisco, konnte das Angler Exploit Kit im Juli bei der Arbeit beobachten. Anschließend wurden zahlreiche Angler-Server offline genommen. Das dürfte die Einnahmen der Mafiabande um einige Millionen reduzieren, denn Angler ist erschreckend profitabel. Damit Webhoster Angler-Server in ihrem Rechenzentren aufspüren können, hat Talos passende Snort-Regeln veröffentlicht.
Auf einer Presseveranstaltung in der Cisco-Zentrale in Kalifornien gab der Konzern weitere Informationen zu Angler preis. Fast 75 Prozent des Angler-Traffics hatten demnach im Juli ihren Ursprung bei zwei Webhostern: Limestone Networks und Hetzner. Die kriminellen Hacker buchen die Server in der Regel mit gestohlenen Kreditkartendaten, so dass der Webhoster am Ende gar keinen Umsatz macht.
Kooperativer Hoster
Beim texanischen Cloud-Hoster Limestone Networks, der mit Talos zusammenarbeitete, fanden die Security-Forscher rund 150 Angler-Server. Die meisten davon waren Proxys, die einen einfachen, unverdächtigen nginx-Webserver laufen hatten. Sie hielten keine Malware vor und zeigten bei normalen HTTP-Aufrufen eine Platzhalter-Seite. Damit blieben sie unverdächtig.
Nur wenn beim Aufruf spezielle Referral-Parameter mitgeliefert wurden, kam manchmal Bewegung in die Sache. Denn dann holte sich der Proxy-Server eventuell von einem Zentralserver Malware und versuchte, damit den Browser zu attackieren. So bleibt der eigentliche Malware-Lieferant unauffällig: Er hat relativ geringen Traffic und tritt mit keinem Opfer direkt in Kontakt.
Der Zentralserver informiert außerdem einen dritten Server, der sich dann vom Proxy-Server statistische Daten abholt. So wird verifiziert, dass der Proxy unbeeinträchtigt arbeitet. Die Logfiles werden schließlich an einen vierten Server geschickt. Angler ist also ein hoch entwickeltes, arbeitsteiliges System und funktioniert ähnlich wie das Exploit-Kit, das c't kürzlich en Detail analysiert und vorgestellt hat: Einbrecher zu vermieten - Ein Blick ins Innenleben des RIG-Exploit-Kits
Rasante Eintagsfliegen
Die Proxys haben eine kurze Lebensdauer von durchschnittlich einem Tag. Einer den Talos konkret untersuchte, war 13 Stunden online. Dabei wurde er von etwa 90.000 IP-Adressen kontaktiert, 60.000 davon in einer einzigen Stunde. An rund ein Zehntel, also zirka 9.000, wurden tatsächlich Exploits ausgeliefert. Bei früheren Untersuchungen hatte Talos festgestellt, das 40 Prozent der ausgelieferten Exploits Erfolg haben. Das ergäbe in den 13 Stunden also ungefähr infizierte 3.600 Opfer.
Im Juli nutzte Angler ausschließlich Schwachstellen in Adobe Flash, Internet Explorer und, zu einem geringen Grad, Microsoft Silverlight aus. Java wurde interessanter Weise nicht angegriffen. Während sich in den Logdaten sogar der historische Browser Netscape 4.0 fand, hatte es Angler vor allem auf Internet Explorer 11 unter Windows 7 sowie Windows 8.1 abgesehen.
62 Prozent der Exploits sind Ransomware, also Erpressungs-Trojaner die Dateien auf dem Zielsystem verschlüsseln. Wer seine Daten zurück haben möchte, muss zahlen, in der Regel über Krypto-Währungen. Laut Symantec zahlen knapp 3 Prozent der Ransomware-Opfer tatsächlich und sind dann im Schnitt 300 US-Dollar ärmer. Bei den in den 13 Stunden geschätzten 3.600 Opfern, hochgerechnet auf die 147 Proxys bei Limestone, ergäbe das mehr als 31.000 US-Dollar (rund 28.000 Euro) an einem einzigen Tag. Talos hat einen Bericht mit interaktivem Schätzungsmodell online gestellt.
Das Millionen-Geschäft
Alleine die Ransomware dürfte der Angler-Bande also jährlich einen hohen zweistelligen Millionenbetrag einbringen, schätzen die Experten von Talos. "Das sind Profis, keine Frage", kommentierte Jason Brevnik von Ciscos Security Business Group, "Ich stelle mir vor, dass sie in einem Office Business Park arbeiten und Happy Hours haben."
Zu weiterer Schadsoftware, die der Angler-Kit ausliefert, gehören Downloader für weitere Malware, Programme für Click-Betrug, Keylogger, Trojaner und dergleichen mehr. Wahrscheinlich besorgen sich die Kriminellen auf diesem Weg auch Kreditkartendaten ihrer Opfer. Bei Hetzner und Limestone Networks fand Talos aber ausschließlich Hinweise auf Ransomware. Für die übrigen Straftaten wurden kleinere Servergruppen bei anderen Hostern eingesetzt.
Massenseiten und Todesanzeigen
Doch wie kommen die Opfer überhaupt in Kontakt mit den Angler-Servern? Meistens arbeiten die Täter mit iFrames oder Werbeschaltungen. Talos fand die bösartige Werbung auf großen Nachrichten-, Immobilien- und Popkultur-Webseiten.
Außerdem wird eine Vielzahl kleiner Webseiten als Umleitungsquelle missbraucht. Darunter sind sogar einzelne Todesanzeigen, die keineswegs Prominente sondern irgendwelche "Normalpersonen" betreffen. Das lässt die Vermutung zu, dass sich die Kriminellen bei älteren Nutzern mehr Erfolg versprechen.
Insgesamt beobachtete Talos im Juli mehr als 15.000 Seiten, die User zu einem Angler-Proxy umleiteten. 99,8 Prozent wurden weniger als zehn Mal verwendet. Das macht es praktisch unmöglich, die kompromittierten Seiten zu finden und zu säubern. User müssen ihre Systeme schon selbst laufend updaten.
Quelle : www.heise.de
Titel: Linux.Encoder.1: Verschlüsselungstrojaner unter Linux
Beitrag von: SiLæncer am 09 November, 2015, 13:19
Einem Bericht von Dr.Web zur Folge sorgt ein Verschlüsselungstrojaner unter Linux für Ärger. Der Schädling verschlüsselt Dateien und fordert von dem Inhaber ein Lösegeld. Grund zur Panik gibt es aber nicht, denn die Funktionsweise ist sehr begrenzt.
Dr. Web hat einen Hinweis für Linux-Nutzer ausgegeben und vor einem Schädling gewarnt (http://vms.drweb.com/virus/?i=7703983), der unter dem freien Betriebssystem die Anwender zu erpressen versucht. »Linux.Encoder.1«, so der Name, ist laut Aussage der Sicherheitsfirma ein Verschlüsselungstrojaner, dessen Funktionsweise an »CryptoLocker« unter Windows erinnert. Der Schädling lädt nach dem Start fehlende Komponenten aus dem Internet und startet sein Treiben, indem er zunächst Dateien in Home-Verzeichnissen verschlüsselt, gefolgt von Dateien innerhalb von »/root«, »/var« und »/etc«. In jedem Verzeichnis mit verschlüsselten Dateien hinterlegt der Trojaner außerdem einen Hinweis mit der Forderung der Erpresser.
Wie sich der Schädling verbreitet, gab Dr. Web nicht bekannt. Aus der Beschreibung geht hervor, dass er allerdings dediziert heruntergeladen und als »root« gestartet werden muss. Damit dürfte allerdings auch das Gefährdungspotenzial massiv relativiert werden. Denn Software, die nach einem Start als »root« Schaden anrichten kann, ist unter Linux nicht unbedingt selten – sie dient oftmals sogar friedlichen Zwecken. Zudem dürfte sich die Zahl der Anwender, die eine solche Software installieren, in Grenzen halten. Die meisten Anwender werden es kaum nötig haben, denn die meisten Distributionen beinhalten die meisten Werkzeuge.
Linux.Encoder.1 führt allerdings erneut vor Augen, dass auch unter Linux unvorsichtige Anwender nicht vor Gefahren gefeilt sind und die grundlegenden Sicherheitskonzepte der Computertechnologie auch unter freien Betriebssystemen ihren Bestand haben. Dazu gehört nun mal, Software nicht aus dubiosen Fremdquellen herunterzuladen – und erst recht nicht als »root« auszuführen.
Quelle : http://www.pro-linux.de
Titel: Malware-Cocktail spioniert, infiziert und erpresst
Beitrag von: SiLæncer am 07 Dezember, 2015, 17:50
Das Angler Exploit-Kit soll Hand in Hand mit der Malware Pony arbeiten. Diese ist auf der Suche nach Log-in-Daten von Webservern, um das Exploit-Kit zu installieren.
Aktuell sollen unbekannte Angreifer die Malware Pony nutzen, um Log-in-Daten von CMS-Systemen und Webservern abzuziehen. Die erbeuteten Daten missbrauchen sie dann dazu, um Schadcode in die Webseiten zu injizieren. Der leitet Besucher weiter und schlussendlich kommt das Angler Exploit-Kit zum Einsatz, warnen die Sicherheitsforscher von Heimdal Security.
Das Exploit-Kit scanne infizierte Systeme auf Sicherheitslücken und installiert, wenn möglich, die Ransomware CryptoWall. Anschließend codiert der Verschlüsselungstrojaner die Festplatten und fordert ein Lösegeld ein.
Vor allem Europa betroffen
Eine Auswahl der betroffenen Webseiten nennt Heimdal Security in ihrem Bericht. Dabei sprechen sie von einer großflächigen Kampagne, deren Ursprung in der Ukraine zu suchen ist. Aktuell seien vor allem Webseiten aus Dänemark betroffen.
Heimdal Security zufolge sollen Antiviren-Anwendungen derzeit nur bedingt auf den Malware-Cocktail anspringen.
Quelle : www.heise.de
Titel: Verschlüsselungstrojaner: Neue TeslaCrypt-Version grassiert
Beitrag von: SiLæncer am 09 Dezember, 2015, 12:43
Ransomware ist der absolute Renner in der Crimeware-Szene. Seit einigen Tagen gibt es vermehrt Hinweise auf Infektionen durch eine neue Version des Verschlüsselungstrojaners TeslaCrypt, der Dateien verschlüsselt und mit der Endung .vvv versieht.
Erpressungs-Trojaner sind vergleichsweise einfach zu bauen und werfen offenbar viel Gewinn ab. Anders ist die rasant wachsende Zahl der Versionen dieser Schadsoftware kaum zu erklären. Seit einigen Tagen macht Windows-Nutzern eine neue Version von TeslaCrypt zu schaffen.
Der Verschlüsselungstrojaner gelangt vorrangig als ZIP-Datei getarnter Mail-Anhang mit JavaScript-Inhalt auf die Rechner der Opfer, berichtet beispielsweise die Schweizer Melde- und Analysestelle MELANI. TeslaCrypt verschlüsselt im Hintergrund Dokumente und Bilder des Anwenders und ergänzt sie um die Endung .vvv.
Beim Neustart wird ein Lösegeld in Form von Bitcoins gefordert, um wieder Zugriff auf die Dateien zu erhalten. Antivirensoftware kann die neue TeslaCrypt-Variante zwar entfernen, die verschlüsselten Dateien aber momentan nicht wieder herstellen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Verschluesselungstrojaner-Neue-TeslaCrypt-Version-grassiert-3037099.html)
Quelle : www.heise.de
Titel: Erpressungstrojaner Ransom32 aufgrund JavaScript noch bedrohlicher
Beitrag von: SiLæncer am 04 Januar, 2016, 18:09
Sicherheitsforscher warnen vor der Ransomware Ransom32, die sich als JavaScript-Applikation auf Windows-Computer schleicht. Auch Linux und OS X sind potenziell gefährdet. Kriminelle können sich eine individuelle Version des Schädlings generieren lassen.
Der Verschlüsselungstrojaner Ransom32 ist der erste Schädling seiner Art, der als JavaScript-Applikation daherkommt, warnen Kryptologen von BleepingComputer und Emsisoft. Aktuell seien nur Windows-Computer bedroht.
Ransom32 soll auf dem NW.js-Framework aufbauen, über das Entwickler Desktop-Applikationen, auf JavaScript-Basis, mit Cross-Plattform-Ausrichtung erstellen können. Somit könnten Angreifer die Ransomware mit wenigen Handgriffen auch mit Linux und OS X kompatibel machen, erläuterten die Sicherheitsforscher.
Die mit dem NW.js-Framework erstellten Desktop-Applikationen sollen wesentlich tiefer in das Betriebssystem eingreifen können, als eine JavaScript-Anwendung, die in einer Sandbox abgeschottet in einem Webbrowser läuft.
Viele Viren-Scanner schlagen derzeit keinen Alarm
Da es sich bei NW.js um ein legitimes Framework handelt, soll aktuell kaum ein Viren-Scanner anschlagen. Denn ein Großteil der Scanner stufen die Signaturen der mit dem Framework erzeugten Anwendungen nicht als bösartig ein.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Erste-Sichtung-Erpressungstrojaner-Ransom32-aufgrund-JavaScript-noch-bedrohlicher-3060409.html)
Statt eines Online-Banking-Trojaners installiert der Dridex-Bot aktuell den Virenscanner Avira auf den Rechnern seiner Opfer.
Das Botnet Dridex verteil derzeit das Virenschutzprogramm Avira Free statt der üblichen Ausspäh-Software, wie Avira in seinem Blog berichtet. Die Hintergründe sind derzeit noch unklar.
Eigentlich ist Dridex darauf spezialisiert, Online-Banking zu manipulieren und Tastatureingaben mitzuschneiden. Der dazugehörige Bot wird über Makro-Viren verteilt. Kurioserweise wird über das Botnet jedoch aktuell die Gratis-Version von Avira installiert. Wer hinter der Aktion steckt, darüber kann man nur spekulieren. Avira vermutet, dass es sich um einen White-Hat-Hacker handeln könnte, der die Kontrolle über das Dridex-Netwerk übernommen hat und nun versucht, die Besitzer verseuchter Rechner über die Avira-Installation zu schützen.
Dridex hat nach Einschätzung des FBI allein in den USA einen finanziellen Schaden in Höhe von mindestens 10 Millionen US-Dollar angerichtet. Die Betreiber hatten es offenbar nicht auf Peanuts abgesehen: Die Täter überwiesen von den Konten Ihrer Opfer mitunter Millionenbeträge – etwa 2.158.600 US-Dollar vom Konto einer amerikanischen Ölfirma auf ein Konto in Russland.
Das FBI konnte im August vergangenen Jahres einen der Botnet-Administratoren dingfest machen, woraufhin das Malware-Netzwerk stillgelegt wurde. Im Oktober nahm es allerdings schon wieder den Betrieb auf.
Quelle : www.heise.de
Titel: Verschlüsselungs-Trojaner: mp3-Variante von TeslaCrypt
Beitrag von: SiLæncer am 13 Februar, 2016, 16:39
Seit gestern gehen Leser-Hinweise auf verschlüsselte Dateien mit der Endung .mp3 in der Redaktion ein. Die scheint eine neue Variante des Verschlüsselungs-Trojaners TeslaCrypt zu erzeugen.
Der Trojaner befällt nicht etwa Audiodateien, sondern versieht verschlüsselte Dateien nur mit der Dateiendung; aus Tagebuch.doc wird so Tagebuch.doc.mp3. Leser berichten, dass das alle Dateien betrifft, für welche ein Benutzer Schreibrechte besitzt, also sowohl Dateien in seinem Benutzerprofil als auch solche, die auf einer Freigabe im Netz liegen. Wie auch bei den Vorgängern fordern die Erpresser Lösegeld für den Zugang zu den verschlüsselten Dateien: "All of your files were protected by a strong encryption".
Häufig kommt der Schädling per Mail auf den Rechner, das kann sich aber jederzeit ändern. Manche Viren-Scanner springen auf die infizierende Datei bereits an und melden etwas wie "Win32.TeslaCrypt3". Das deutet darauf hin, dass es sich um eine modifizierte Version von TeslaCrypt3 handelt, die bislang Dateien mit den Endungen .xxx, .ttt, oder .micro produzierte.
Wie bei den anderen TeslaCrypt-3-Dateien gibt es bislang keine Möglichkeit, die gekaperten Daten zu entschlüsseln. Der kürzlich veröffentlichte TeslaDecoder funktioniert lediglich mit Dateien mit der Endung .aaa, .abc, .ccc, .ecc, .exx, .vvv, .xyz oder .zzz wie sie TeslaCrypt 2 und seine Vorgänger erzeugt haben. Mit dem TeslaDecoder gelang es heise Security erst kürzlich, die Dateien eines TeslaCrypt-Opfers wiederherzustellen (http://www.heise.de/security/artikel/TeslaCrypt-2-0-entschluesselt-3094987.html).
Quelle : www.heise.de
Titel: Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde
Beitrag von: SiLæncer am 19 Februar, 2016, 16:20
Die neue Ransomware Locky findet hierzulande offenbar massenhaft Opfer, darunter auch ein Fraunhofer-Institut. Inzwischen haben die Täter ihrem Schädling sogar Deutsch beigebracht.
Der Erpressungs-Trojaner Locky verbreitet sich insbesondere in Deutschland rasend schnell: Über 5000 Neuinfektionen pro Stunde zählt der Sicherheitsforscher Kevin Beaumont. Erst mit etwas Abstand folgen die Niederlande und die USA in der Liste der am stärksten betroffenen Länder. Es gelang Beaumont, sich in den Datenverkehr der Ransomware einzuklinken, indem er eine der Domains registrierte, unter welcher Locky seinen Command-and-Control-Server zu kontaktieren versucht.
Locky spricht Deutsch
Unterdessen haben die Locky-Entwickler ihrem Schädling auch die deutsche Sprache beigebracht. Wer sich hierzulande infiziert, dem zeigt der Krypto-Trojaner nun einen deutschsprachigen Erpresserbrief. Der Windows-Schädling ändert nach dem Verschlüsseln der Dateien inzwischen auch das Desktop-Hintergrundbild, um seine Forderung deutlich zu machen.
Fraunhofer-Institut infiziert
Zu den Opfern zählt hierzulande laut dpa-Informationen auch ein Fraunhofer-Institut in Bayreuth. Dort hat Locky am Mittwochnachmittag die Dateien eines zentralen Servers verschlüsselt und unbrauchbar gemacht. Von dem Ausfall waren ungefähr 60 PC-Arbeitsplätze betroffen. Eine IT-Expertin des Instituts vermutet, dass der Schädling über einen der Arbeitsplätze ins Netzwerk gelangt ist.
Der ganze Artikel (http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-wuetet-in-Deutschland-Ueber-5000-Infektionen-pro-Stunde-3111774.html)
Quelle : www.heise.de
Titel: Krypto-Trojaner Locky: Was tun gegen den Windows-Schädling
Beitrag von: SiLæncer am 19 Februar, 2016, 16:39
Gegen den Verschlüsselungs-Trojaner Locky ist noch kein Kraut gewachsen. Umso wichtiger ist eine hinreichende Vorsorge, damit bei einer Infektion keine Dateien unrettbar verloren gehen. Deswegen sollten Computernutzer einiges beachten.
Seit Anfang der Woche verbreitet sich der Erpressungs-Trojaner Locky rasend schnell, vor allem in Deutschland. Der Schädling verschlüsselt nicht nur Dateien auf dem infizierten Rechner, sondern auch alles, was er über das Netzwerk erreicht und macht auch vor Cloud-Speichern nicht halt. Gegenwärtig gibt es offenbar keine Möglichkeit, die verschlüsselten Daten zu retten, ohne dass man das geforderte Lösegeld an die Entwickler zahlt. Deswegen heißt es, Vorsorge betreiben, damit ein Angriff durch Locky & Co. keine allzu schlimmen Folgen.
Vorsorge gegen Krypto-Trojaner Locky
Legen Sie regelmäßig Backups Ihrer wichtigen Dateien an. Der Backup-Datenträger darf nicht dauerhaft mit dem Rechner verbunden sein, da er sonst ebenfalls verschlüsselt wird. Halten Sie Ihre System (insbesondere Betriebssystem, Office, Browser und Plug-ins) auf dem aktuellen und somit sichersten Stand. Stellen Sie sicher, dass Ihr System von einem Virenscanner geschützt wird, der auf aktuelle Signaturen zurückgreift. Ab Windows 8 ist das Schutzprogramm Defender vorinstalliert. Konfigurieren Sie Microsoft Office so, dass Makro-Code gar nicht oder erst nach einer Rückfrage ausgeführt wird (siehe Bilderstrecke). Lassen Sie Makro-Code nur bei Dokumenten aus vertrauenswürdigen Quellen zu – und auch nur dann, wenn es unbedingt notwendig ist. Öffnen Sie keine Dateianhänge von Mails, an deren Vertrauenswürdigkeit auch nur der geringste Zweifel besteht. Nehmen Sie sich insbesondere vor Rechnungs-Mails in Acht, die Sie nicht zuordnen können. Starten Sie keine ausführbaren Dateien, an deren Vertrauenswürdigkeit Sie zweifeln.
Datenrettung nach der Infektion
Ist Locky bereits aktiv, dann kann man nur noch versuchen, zu retten, was noch zu retten ist. Ertappt man den Schädling auf frischer Tat, sollte man Windows umgehend herunterfahren oder notfalls den Stecker ziehen, um die Verschlüsselung zu stoppen. Anschließend startet man den Rechner mit einer Antiviren-DVD wie Desinfec't und versucht den Schädling zu eliminieren.
Windows legt automatisch Schattenkopien diverser Dateien an, aus denen man die bereits verschlüsselten Dateien mit etwas Glück wiederherstellen kann. Sie können versuchen, die Schattenkopien von einem sauberen System mit Tools wie ShadowExplorer zu retten. Allzu große Hoffnungen sollte man sich allerdings nicht machen, da Locky sämtliche Schattenkopien routinemäßig löscht. Allerdings sind heise Security einige Fälle bekannt, in denen dieser perfide Mechanismus nicht ausgelöst wurde. Ferner können Sie versuchen, die gelöschten Originale mit Forensik-Tools wie Recuva, Autopsy oder photorec zu rekonstruieren.
Hilft das alles nichts, sollten Sie die verschlüsselten Dateien unbedingt aufheben. Oftmals wird nach einiger Zeit ein Weg bekannt, die Verschlüsselung der Erpressungs-Trojaner zu knacken – wie etwa im Fall von TeslaCrypt 2.
Quelle : www.heise.de
Titel: Neue Masche: Krypto-Trojaner Locky über Javascript-Dateien verbreitet
Beitrag von: SiLæncer am 22 Februar, 2016, 15:53
Nachdem der Verschlüsselungs-Trojaner zunächst vor allem über Office-Dateien verbreitet wurde, verschicken die Täter jetzt Skripte. Dadurch ist ein Ludwigsluster Wursthersteller unfreiwillig zur Anlaufstelle der Locky-Opfer geworden.
Der auf Windows-Rechner zielende Verschlüsselungs-Trojaner Locky wird inzwischen auch über Skript-Dateien verbreitet, die täuschend echt aussehenden Rechungs-Mails anhängen. Zuvor nutzten die Täter vor allem Office-Dateien mit Makro-Code und Exploit-Kits, um den Schädling unter die Leute zu bringen. Durch den neuen Verbreitungsweg waren die Online-Ganoven den Virenscannern wieder einen Schritt voraus. Ein Ludwigsluster Wursthersteller hat sich unterdessen unfreiwillig zur zentralen Anlaufstelle der Locky-Opfer entwickelt.
Der ganze Artikel (http://www.heise.de/security/meldung/Neue-Masche-Krypto-Trojaner-Locky-ueber-Javascript-Dateien-verbreitet-3113689.html)
Auch wer seine Mails sorgfältig filtert, läuft Gefahr, sich den Erpressungs-Trojaner TeslaCrypt einzufangen. Auf scheinbar harmlosen Web-Seiten lauern Exploits, die deren Besucher infizieren.
Bislang sah es so aus, als würde TeslaCrypt vor allem via E-Mail verteilt. Versehentlich geöffnete Word-Dateien mit bösartigen Makros waren ein übliches Infektionsszenario. So konzentrierten sich viele zu ihrem Schutz auf den Mail-Eingang. Das könnte fatale Folgen haben; denn mittlerweile kann man sich den Erpressungs-Trojaner auch beim Surfen einfangen.
Der Schädling lauert dabei auf scheinbar harmlosen Seiten und nutzt Sicherheitslücken in Windows beziehungsweise der installierten Software aus, um aktiv zu werden. Kurze Zeit später erscheint dann die Nachricht, dass die Dateien verschlüsselt wurden und nur gegen Zahlung von Bitcoins wieder zu entschlüsseln sind. Die Opfer können auf Dokumente, PDFs, Bilder und anderen Daten nicht mehr zugreifen, denn TeslaCrypt hat daraus verschlüsselte Dateien etwa mit der Endung .mp3 gemacht.
Auf den Spuren der Täter
Experten einer Spezialeinheit Cybercrime des LKA Niedersachsen sind bei ihren Ermittlungen in mehreren, voneinander unabhängigen Fällen auf infizierte Joomla-Server gestoßen, die TeslaCrypt verteilten. Das seltsame daran: Es stellte sich heraus, dass die Joomla-Installationen auf dem aktuellen Stand waren und keine offenkundigen Sicherheitslücken aufwiesen, über die die Kriminellen eindringen konnten.
Des Rätsels Lösung: Der letzte große Joomla-Sicherheits-Patch vom 14. Dezember vorigen Jahres stopfte ein Loch, das bereits seit einigen Tagen ausgenutzt wurde, bevor man sich schützen konnte. Noch dazu musste das Joomla-Team ein weiteres Update nachlegen. In dem 0day-Fenster wurden viele Systeme kompromittiert. Eine dabei eingebaute Hintertür wurde durch das Einspielen des Udpates nicht geschlossen; über sie können die Einbrecher dann später noch Schad-Code in das scheinbar sichere System einschleusen. Aller Wahrscheinlichkeit nach handelt es sich bei dem Joomla-Servern mit TeslaCrypt um solche Fälle.
In den bekannten Fällen lag der Schad-Code in den Dateien
und enthielt neben offensichtlich verschwurbeltem PHP-Code auch Funktionsaufrufe wie decrypt_url. Admins von Joomla-Servern tun gut daran, ihre Systeme auf Anzeichen solcher Infektionen zu überprüfen. Darüber hinaus ist natürlich davon auszugehen, dass das Problem keineswegs auf Joomla begrenzt ist; vielmehr attackieren die Angreifer auch Wordpress, Drupal und andere CMS. Generell muss man damit rechnen, dass die Kriminellen jeden gangbaren Weg nutzen, ihren für sie so lukrativen Unrat zu verteilen.
Quelle : www.heise.de
Titel: Neue Virenwelle: Krypto-Trojaner Locky tarnt sich als Fax
Beitrag von: SiLæncer am 24 Februar, 2016, 19:07
Der gefährliche Erpressungs-Trojaner wird seit kurzem über Mails verbreitet, die vorgeben, dass der Empfänger ein Fax erhalten hat. Die Virenscanner können mit der aktuellen Locky-Fassung noch nicht viel anfangen.
Nach einer kurzen Pause verbreiten Online-Ganoven den Verschlüsselungs-Trojaner Locky nun mit einer weiteren neuen Masche: Sie verschicken Mails, die vorgeben, dass der Empfänger ein Fax erhalten hat. heise Security liegen verschiedene Versionen der aktuellen Locky-Kampagne vor. Eine Mail stammt vermeintlich von dem VoIP-Provider sipgate. Die Erpresser haben als Vorlage offenbar eine legitime Benachrichtigungs-Mail des Anbieters im HTML-Format missbraucht. Ihr Betreff lautet "Neues Fax von 034205-99***".
Die in unserer Mail vollständig angegebene Faxnummer gehört offenbar zu einer Baufirma aus Leipzig. Der Empfänger wird mit dem Teil seiner Mail-Adresse angesprochen, der sich vor dem @ befindet. In der Mail wird der Empfänger aufgefordert, den Anhang zu öffnen: "Sie haben ein neues Fax in Ihrer Ereignisliste! Um das Fax zu lesen, bitte den Anhang öffnen". Abgesehen davon, dass die eingebetteten Bilder zum Zeitpunkt unserer Analyse nicht nachgeladen werden konnten, ist sie täuschend echt. Dass die Mail gar nicht von einem sipgate-Server verschickt wurde, erfährt man erst durch eine Auswertung des Headers. Sipgate warnt auf seiner Homepage inzwischen vor den Virenmails.
Virenpost vom Scanner
Eine weitere Mail ist deutlich einfacher aufgebaut. Ihr Betreff lautet "Scanned image", in der Mail heißt es "Image data in PDF format has been attached to this email". Die Mail ist simpel, aber vermutlich effektiv: Einige Multifunktionsgeräte und Kopierer mit Mail-Funktion verschicken durchaus ähnlich formulierte Nachrichten. Bei der Absenderadresse wird in diesem Fall die Domain der Mail-Adresse genutzt, an welche die Mail geschickt wurde, also etwa southlands501@heise.de. Als Absendername ist "admin" angegeben.
Im Anhang der Mails befindet sich ein ZIP-Archiv, das eine Skript-Datei mit der Endung .js enthält. Wer das Skript ausführt, fängt sich binnen weniger Sekunden den Verschlüsselungs-Trojaner Locky ein, der auch umgehend damit beginnt, alle möglichen Dateien zu verschlüsseln. Bei einer Analyse mit dem Virenscan-Dienst VirusTotal erkannten nur 3 von 55 Virenscannern das Locky-Binary. Bei dem Dienst kommen allerdings nicht alle Schutzfunktionen der Antivirenprogramme zum Einsatz. Es ist zum Beispiel möglich, dass ein Virenscanner, der bei VirusTotal durchgefallen ist, den Schädling auf einem echten System über die Verhaltsüberwachung identifizieren und stoppen kann.
Wer eine solche Mail erhält, sollte sie am besten sofort löschen. Öffnen Sie keinesfalls den Anhang. Wie Sie Ihr System vor Locky schützen und was nach einer Infektion noch zu retten ist, haben wir in folgendem Artikel zusammengefasst:
Krypto-Trojaner Locky: Was tun gegen den Windows-Schädling (http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-Was-tun-gegen-den-Windows-Schaedling-3112408.html)
Sicherheitsforscher warnen vor einer neuen Version der Ransomware TeslaCrypt, die Computer infiziert und Daten chiffriert. Für Opfer ist es nun noch schwerer herauszufinden, was mit ihren Dateien passiert ist.
Der Erpressungs-Trojaner TeslaCrypt ist in Version 4.0 angekommen und aktuell im Umlauf, warnt die IT-Seite und Informationsquelle für Ransomware-Opfer Bleepingcomputer.com. Auch die Sicherheitsforscher von Heimdal Security bestätigen die neue Version. Eine tiefgehende Analyse steht noch aus.
Schwerer zu identifizieren
Einige Fakten sind aber schon bekannt: TeslaCrypt 4.0 soll jetzt auch Dateien die größer als vier GByte sind korrekt verschlüsseln können; die Vorgänger haben derartige Dateien zerstört. Als erster Erpressungs-Trojaner hängt TeslaCrypt 4.0 keine Namenszusätze mehr an verschlüsselte Dateien. Das macht es für Opfer schwerer zu verstehen, was mit ihren Dateien passiert ist. In der Vergangenheit konnte man eine Infektion durch einen Erpressungs-Trojaner über die weitere Endung, etwa "Urlaub.jpg.vvv", auf den ersten Blick erkennen.
Darüber hinaus soll der Trojaner mehr Informationen (DigitalProductID, MachineGuid und SystemBiosDate) über den infizierten Computer auslesen können, um daraus den individuellen Schlüssel zu erzeugen. Dieser verbleibt außer Reichweite der Opfer auf den Command-and-Control-Servern der Kriminellen.
Heimdal Security zufolge soll TeslaCrypt 4.0 derzeit größtenteils via Drive-by-Downloads über das Angler Exploit Kit verteilt werden.
Kein Entschlüsselungs-Tool
Opfer von TeslaCrypt 2.0 hatten Glück im Unglück, denn aufgrund eines Fauxpas der Gauner lies sich der Schlüssel mit dem kostenlosen Tool TeslaDecoder rekonstruieren. TeslaCrypt 3.0 bügelte diesen Fehler aus; die Version tauchte Anfang dieses Jahres erstmals auf. Das Tool hilft auch bei einer Infektion mit der aktuellen TeslaCrypt-Version nicht weiter.
Dem Thema Erpressungs-Trojaner: Schutz und Erste Hilfe widmet sich auch die aktuelle Ausgabe 7/2016 des c't magazins, die ab sofort am Kiosk erhältlich ist. Insgesamt vier Artikel erklären nicht nur die Ursachen der aktuellen Trojaner-Flut, sondern auch, wie Nutzer sich und ihre Daten richtig schützen. Ein eigener Artikel untersucht und berät, was man noch tun kann, wenn die eigenen Daten bereits verschlüsselt wurden.
Quelle : www.heise.de
Titel: Erpressungs-Trojaner Surprise verbreitet sich anscheinend über TeamViewer
Beitrag von: SiLæncer am 23 März, 2016, 11:46
Die neu gesichtete Ransomware Surprise soll Windows-Computer nicht per Drive-by-Download oder E-Mail-Anhang infizieren, sondern über die Fernwartungssoftware TeamViewer. Dafür missbrauchen die Kriminellen offensichtlich gekaperte Accounts.
Opfer des Verschlüsselungs-Trojaners Surprise diskutieren im Forum von Bleepingcomputer.com unter anderem über den Infektionsweg und gehen davon aus, dass der Schädling via Team-Viewer auf ihre Computer geschoben wurde. Über die Fernwartungssoftware kann man Dateien an Kontakte schicken. Das machen sich die Erpresser im Fall von Surprise anscheinend zunutze und infizieren so Windows-Computer.
Keine Sicherheitslücke
Um das zu erreichen, missbrauchen die Kriminellen aber keine Sicherheitslücke, versicherte ein Sprecher von TeamViewer gegenüber heise Security. Vielmehr kapern sie Accounts und verteilen Surprise dann an mit dem Konto verknüpfte Computer. TeamViewer empfiehlt allen Nutzern, die Zwei-Faktor-Authentifizierung zu nutzen, um ihre Accounts zusätzlich abzusichern.
Wie die Angreifer an die Log-in-Daten kommen, ist unklar. TeamViewer schließt aufgrund der gegen Brute-Force-Angriffe abgesicherten Infrastruktur direkte Attacken aus. Auch ein Man-in-the-Middle-Angriff sei aufgrund der Ende-zu-Ende-Verschlüsselung unwahrscheinlich.
Der Hersteller geht davon aus, dass Gauner Account-Daten aus einer unbekannten Quelle kopiert haben und auf gut Glück versuchen, ob die Daten auch einem TeamViewer-Account zugehörig sind. Auf der Webseite haveibeenpwned.com kann man prüfen, ob eigene Account-Daten kompromittiert wurden.
Kruder Infektionsweg
Ist das der Fall, müssen für eine erfolgreiche Infektion aber noch mehrere Voraussetzungen erfüllt sein: Zum einen muss der Computer eingeschaltet sein. Des weiteren fällt es einem potentiellen Opfer natürlich auf, wenn plötzlich eine Fernwartungs-Session startet. Letztlich muss der Angreifer für einen gewissen Zeitraum die Kontrolle über den zu infizieren Computer übernehmen, um den Erpressungs-Trojaner herüberzuschieben und zu installieren.
Verschlüsselte Dateien versieht die Ransomware mit der Namenserweiterung .surprise. Aktuell gibt es kein Tool, mit dem man die Daten ohne das Lösegeld zu zahlen entschlüsseln kann.
Quelle : www.heise.de
Titel: Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab
Beitrag von: SiLæncer am 24 März, 2016, 13:04
Eine neue Ransomware hat es aktuell auf deutschsprachige Windows-Nutzer abgesehen. Petya wird über Dropbox verteilt und manipuliert die Festplatte, wodurch das Betriebssystem nicht mehr ausgeführt werden kann.
Der Erpressungs-Trojaner Petya schlägt seit einigen Stunden auch in Deutschland zu und geht dabei einen ungewöhnlichen Weg: Statt nur bestimmte Datei-Typen zu verschlüsseln, manipuliert er den Master-Boot-Record (MBR) der Festplatte, wodurch der gesamte Rechner blockiert wird. Die installierten Betriebssysteme werden nicht mehr ausgeführt.
Petya klemmt Betriebssystem ab
Nach der Manipulation erzeugt der Schädling einen Bluescreen, um den Rechner zu einem Neustart zu zwingen. Statt mit dem Windows-Logo wird das Opfer dann mit einem Totenschädel in ASCII-Art begrüßt. Die Erpresser behaupten, sämtliche Festplatten verschlüsselt zu haben und fordern das Opfer auf, Lösegeld auf einer Seite im Tor-Netz zu bezahlen.
Petya hat es derzeit auf Windows-Nutzer abgesehen. Um die MBR-Manipulation durchführen zu können, fordert die Ransomware erhöhte Rechte an, was in der Windows-Standardkonfiguration zu einer Abfrage der Benutzerkontensteuerung (UAC) führt. Offenbar damit sich das Opfer in spe nicht darüber wundert, enthält das Symbol der Trojaner-Datei das UAC-Logo (Schutzschild).
Der ganze Artikel (http://www.heise.de/security/meldung/Erpressungs-Trojaner-Petya-riegelt-den-gesamten-Rechner-ab-3150917.html)
Quelle : www.heise.de
Titel: Neue Infektions-Masche: Erpressungs-Trojaner missbraucht Windows PowerShell
Beitrag von: SiLæncer am 26 März, 2016, 18:36
Die neu entdeckte Ransomware PowerWare bemächtigt sich der Windows PowerShell, um Computer zu infizieren und Daten zu verschlüsseln.
Der Verschlüsselungs-Trojaner PowerWare infiziert Computer nicht etwa über Schadcode in Form einer .exe-Datei, sondern missbraucht die Windows PowerShell, um die Daten eines Opfers als Geisel zu nehmen. Davor warnen die Sicherheitsforscher von Carbon Black, nachdem eine nicht näher beschriebene Gesundheitsorganisation Opfer der Ransomware wurde.
Um die Infektion einzuleiten, setzen die Erpresser auf eine bekannte Methode: Der Ausgangspunkt ist eine gefälschte E-Mail, die im Anhang eine vermeintliche Rechnung in Form einer manipulierten Word-Datei mitbringt.
Der ganze Artikel (http://www.heise.de/security/meldung/Neue-Infektions-Masche-Erpressungs-Trojaner-missbraucht-Windows-PowerShell-3151892.html)
Quelle : www.heise.de
Titel: Erpressungs-Trojaner mit neuer Taktik: Erst schauen, dann verschlüsseln
Beitrag von: SiLæncer am 30 März, 2016, 13:21
Nach einem Einbruch in ein Netz verschaffen sich die Erpresser hinter Samsa zunächst Zugriff auf so viele Systeme wie möglich. Erst dann kommt die Verschlüsselung zum Einsatz – und die Opfer bekommen gesalzene Lösegeld-Forderungen.
Das offenbar lukrative Geschäft mit der Lösegelderpressung nach Datenverschlüsselung hat eine neue Spielart: Nach einem Einbruch in ein Netz erkunden die Macher von Samsa zunächst die Infrastruktur und verbreitern ihre Operationsbasis. Erst danach starten sie dann manuell den Verschlüsselungsvorgang mit den vorgefundenen Daten auf allen kompromittierten Systemen. Palo Alto, Microsoft, Cisco Talos, und Intel Security berichten je nach Gusto über Samsa, Samsam, Samas oder Mokoponi und meinen das gleiche; auch das FBI warnt vor der neuen Erpresser-Masche.
Herkömmliche Erpressungs-Trojaner fängt man sich üblicherweise über Mails mit Dateianhängen oder Drive-by-Downloads ein; sie verrichten ihr Werk vollautomatisch und verschlüsseln alle wichtigen Daten, die sie erreichen können. Bei Samsa-Infektionen gehen die Angreifer anders vor. Sie brechen gezielt in verwundbare Netze ein – die dafür eingesetzten Methoden variieren. Ein beliebtes Angriffsziel sind laut Ciscos Bericht zu SamSam Lücken in verwundbaren JBoss-Installationen, die sie mit dem Open-Source-Tool JexBoss aufspüren und ausnutzen
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-mit-neuer-Taktik-Erst-schauen-dann-verschluesseln-3153767.html)
Quelle : www.heise.de
Titel: Erpressungs-Trojaner Petya geknackt, Passwort-Generator veröffentlicht
Beitrag von: SiLæncer am 11 April, 2016, 16:18
Ein kostenloses Tool soll das zum Entschlüsseln nötige Passwort innerhalb weniger Sekunden generieren können, verspricht der Macher des Werkzeugs. Erste Erfolgsberichte von Petya-Opfern liegen bereits vor.
Die Verschlüsselung des Schädlings Petya ist geknackt. Das behauptet ein Unbekannter mit dem Pesudonym leostone auf Twitter. Mit seinem auf Github veröffentlichten kostenlosen Tool hack-petya soll sich das zum Entschlüsseln nötige Passwort in sekundenschnelle generieren lassen. Alternativ können Opfer den Prozess auch auf einer von leostone aufgesetzten Webseite anstoßen.
Ein Leser von heise Security hat das erfolgreich ausprobiert und eigenen Angaben zufolge wieder Zugriff auf seine Daten. Zudem bestätigen die Ransomware-Experten von Bleepingcomputer die geknackte Verschlüsselung.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-geknackt-Passwort-Generator-veroeffentlicht-3167064.html)
Quelle : www.heise.de
Titel: Erpressungs-Trojaner RAA kommt mit Passwort-Dieb im Huckepack daher
Beitrag von: SiLæncer am 20 Juni, 2016, 17:30
Der Computer-Schädling RAA soll nicht nur Daten als Geisel nehmen und ein Lösegeld verlangen, sondern auch einen Trojaner mitbringen, der Passwörter abgreift.
Die Sicherheitsforscher mit den Pseudonymen JAMESWT_MHT und benkow_ haben den Verschlüsselungs-Trojaner RAA entdeckt und herausgefunden, dass der Schädling zusätzlich einen Trojaner zum Stehlen von Passwörtern auf infizierte Rechner installiert. Davor warnen die Ransomware-Experten von Bleepingcomputer.com.
RAA soll zudem der erste Erpressungs-Trojaner sein, der komplett auf JavaScript basiert. Dabei tarnt sich der Schädling als Word-Datei, die die unbekannten Angreifer per Mail-Anhang verbreiten, berichten die Kryptologen. Öffnet man die Datei, taucht auf den ersten Blick nur ein Word-Dokument auf dem Bildschirm auf, welches beschädigt aussieht.
Doch im Hintergrund beginnt bereits das Zerstörungswerk und RAA verschlüsselt Daten mithilfe der CryptoJS-Bibliothek. Chiffrierte Dateien weisen die Namenserweiterung .locked auf. Zusätzlich löscht der Schädling noch die Schattenkopien von Windows. Anschließend haben Opfer keine Möglichkeit mehr, unverschlüsselte Versionen von Dateien wiederherzustellen. Damit Opfer wieder Zugriff auf ihre Daten erhalten, fordern die Kriminellen ein Lösegeld von 0.39 Bitcoin (rund 260 Euro) ein.
Passwort-Dieb mit an Bord
Nutzerdaten als Geisel zu nehmen reicht den Kriminellen aber nicht aus: Der Erpressungs-Trojaner bringt den Sicherheitsforschern zufolge noch die Malware Pony mit, die Passwörter abgreifen kann. Der zweite Schädling soll sich als Base64-String in der JavaScript-Datei verstecken. Wird diese ausgeführt, findet eine Konvertierung in eine ausführbare Datei statt, die sich anschließend im Auto-Start von Windows einnistet, erläutern die Kryptologen.
Quelle : www.heise.de
Titel: Gratis Entschlüsselungs-Tools nehmen es mit elf Erpressungs-Trojanern auf
Beitrag von: SiLæncer am 22 Juli, 2016, 20:32
AVG und Trend Micro haben ihre kostenlosen Tools aktualisiert, mit denen Opfer von diversen Verschlüsselungs-Trojanern unter Umständen wieder Zugriff auf ihre Daten bekommen können.
Wer sich die Ransomware Bart eingefangen hat, kann seine als Geisel genommen Daten unter gewissen Voraussetzungen ab sofort mit dem gratis Tool Bart decryptor von AVG entschlüsseln. Somit bietet AVG nun mehrere Tools an, die insgesamt sieben Erpressungs-Trojaner bekämpfen. Auch Trend Micro hat seinen kostenlosen Ransomware File Decryptor aktualisiert, der es nun mit zehn Verschlüsselungs-Trojanern aufnimmt.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Gratis-Entschluesselungs-Tools-nehmen-es-mit-elf-Erpressungs-Trojanern-auf-3277015.html)
Quelle : www.heise.de
Titel: Erpressungstrojaner Popcorn Time: Infiziere 2 andere und du bekommst deine Daten
Beitrag von: SiLæncer am 12 Dezember, 2016, 15:50
Die neueste Masche bei Erpressungstrojanern scheinen Referrer zu sein. Beim Trojaner Popcorn Time kann man sich angeblich frei kaufen, in dem man andere Nutzer infiziert.
Sicherheitsforscher haben einen neuen Erpressungstrojaner namens Popcorn Time entdeckt, der ein Referral-System hat. Anstatt ihre Daten frei zu kaufen, können Opfer zwei weitere Anwender infizieren, um ihre Daten zurück zu bekommen. Das jedenfalls versprechen die Drahtzieher – ob sie dieses Versprechen auch wirklich halten steht auf einem anderen Blatt. Infizierte Rechner zeigen eine Erpressungsmeldung an, die eine Bitcoin-Adresse und eine Forderung nach umgerechnet 740 Euro enthält, sowie eine personalisierte URL mit Schadcode für das Referral-System.
Momentan scheinen diese Links nicht zu funktionieren, so dass Opfer wenigstens nicht in Versuchung geführt werden, andere zu infizieren und sich so unter Umständen strafbar zu machen. Laut den Ransomware-Experten von Bleeping Computer verschlüsselt der Schädling auf Windows-Systemen eine große Anzahl von Dokumenten und Dateien in verschiedenen persönlichen Ordnern. Außerdem scheint sich der Schadcode noch in der Entwicklung zu befinden. Die Forscher fanden Hinweise, dass die Drahtzieher in Zukunft eine Funktion einbauen wollen, welche die verschlüsselten Daten löscht, wenn das Opfer mehrmals einen falschen Entschlüsselungscode eingibt. Momentan droht die Malware, dass die Daten nach sieben Tagen unwiederbringlich verloren sind.
Die Drahtzieher hinter der Malware sind nach eigenen Angaben IT-Studenten aus Syrien, die mit dem Lösegeld ihre Grundversorgung in dem vom Krieg zerstörten Land sichern wollen. Wie glaubhaft das ist, sei dahingestellt. Der Name des Erpressungstrojaner scheint übrigens nichts mit dem Streaming-Dienst gleichen Namens zu tun, der vor allem dafür bekannt ist, urheberrechtsverletzende Inhalte anzubieten.
Quelle : www.heise.de
Titel: Erpressungstrojaner GandCrab 4 lauert hinter Software-Cracks
Beitrag von: SiLæncer am 30 August, 2018, 11:23
Bei der Verbreitung der Ransomware GandCrab 4 setzen die Hintermänner nicht auf die gängige Verbreitung über gefälschte Mails mit Dateianhang.
Der Verschlüsselungstrojaner GandCrab ist in der Version 4.4 aufgetaucht und setzt auf eine alternative Form der Verbreitung. Der Trojaner infiziert Windows-Computer nicht wie bislang von dieser Schädlingsart gewohnt über präparierte Word-Dokumente, die als Rechnung getarnt an Betrüger-Mails hängen. GandCrab 4 verbirgt sich schon seit einiger Zeit hinter Software-Cracks, wie Sicherheitsforscher von Sensors Techforum nun in einem Blog-Eintrag schildern.
Mit Cracks kann man den Kopierschutz von kostenpflichtiger Software umgehen und diese so illegal nutzen. Wer sich einen mit der Ransomware präparierten Crack auf den Computer holt und ausführt, infiziert seinen eigenen Computer.
Fake-Seiten mit gefährlichen Cracks
Für die Verbreitung sollen die Drahtzieher Wordpress-Webseiten aufsetzen, die mit Cracks für Software wie SysTools PST Merge locken. Auf diese Seiten gelangen potenzielle Opfer meist über eine Internetsuche nach einem Crack. Wer darauf reinfällt und die Datei ausführt, startet die Verschlüsselungsroutine mit dem Salsa20-Algorithmus. Den Schlüssel für die Dateien wollen die Kriminellen erst gegen eine Lösegeldzahlung rausrücken. Ein kostenloses Entschlüsselungstool gibt es derzeit nicht.
Neben lokalen Dateien soll sich GandCrab 4 auch über Netzwerkfreigaben hermachen. Um die Verschlüsselung zu starten, muss die aktuelle Version keinen Kontakt mit den Command-and-Control-Servern der Angreifer aufnehmen. Somit sind auch Computer die offline sind nicht vor einer Infektion geschützt.
Das Cracks Malware beinhalten ist nicht neu. In der Vergangenheit haben sich über diesen Weg etwa Bankingtrojaner oder Keylogger verbreitet. GandCrab 4 ist die erste dokumentierte Ransomware, die diese Methode nutzt.