Dienstag, 22. Oktober 2013
Freitag, 4. Oktober 2013
Symantec gelingt Schlag gegen das Botnet ZeroAccess
Symantec gelang es über eine Schwachstelle die Kontrolle von über 500.000 Dronen des Botnets ZeroAccess zu übernehmen.
ZeroAccess basiertauf einer Peer-to-Peer-Architektur und wird in erster Linie für Klick-Betrug und die Generierung von Bitcoins verwendet.
Nach Angaben von Computerworld, fand Symantec Anfang des Jahres eine Möglichkeit, Dronen mittels eines bekannten Fehlers im Peer-to-Peer-Mechanismus herauszulösen.Was für eine Schwachstelle ausgenutzt wurde, erklärte Symantec nicht,erläutert aber dass das Abschalten eines Bots durchschnittlich fünf Minuten gedauert hätte.Die ganze Aktion habe nur wenige Tage gedauert. Man arbeite nun mit anderen Firmen und Organsiationen gemeinsam daran, die
infizierten Computer zu ermitteln und zu bereinigen
Der Energieverbrauch des Botnet soll pro Tag rund 560.887 US-Dollar kosten. Mit dieser Rechenpower sollen die Botnetzbetreiber pro Tag mehrere Tausend US-Dollar errechnet haben. Symantec hat zudem ISPs außerdem Traffic-Signaturen zur Verfügung gestellt, damit sie die verbliebenen ZeroAccess-Bots in ihren Netzen aufspüren und Maßnahmen gegen sie einleiten können.
mfg Bl4ck r47
04.10.2013 16:18 Uhr
infizierten Computer zu ermitteln und zu bereinigen
Der Energieverbrauch des Botnet soll pro Tag rund 560.887 US-Dollar kosten. Mit dieser Rechenpower sollen die Botnetzbetreiber pro Tag mehrere Tausend US-Dollar errechnet haben. Symantec hat zudem ISPs außerdem Traffic-Signaturen zur Verfügung gestellt, damit sie die verbliebenen ZeroAccess-Bots in ihren Netzen aufspüren und Maßnahmen gegen sie einleiten können.
mfg Bl4ck r47
04.10.2013 16:18 Uhr
Silk Road abgeschaltet
Dem FBI ist es offenbar gelungen, den Betreiber Ross William Ulbricht aka Dread Pirate Roberts der Handelsplattform Silk Road ausfindig zu machen und festzunehmen.Die Platform wurde als sogenannter Hidden Service im Tor-Netzwerk betrieben und hatte angeblich rund eine Million registrierte Mitglieder.
Bildquelle: Wikipedia
Das FBI geht davon aus, dass auf der Platform illegale Güter in einem Umfang von 9,5 Millionen Bitcoin gehandelt wurden, dies entspricht ungefähr einer Milliarde Euro.Nach dem ein Nutzer von Silk Road damit gedroht haben soll, die Identität von Händlern aufzudecken habe Ross W. U.eine Person mit einen Mord beauftragt und dafür 1,670 Bitcoins (etwa 100.000 Euro) bezahlt.
Nach Angaben des Auftragsmörders wurde die Zielperson in Kanada getötet,allerdings konnte nach Angaben des FBI noch keine Leiche gefunden werden,somit ist noch unklar ob der Mord stattgefunden hat.
Den Betreiber konnte das FBI ausfindig machen nachdem Kanadische Grenzbehörden ein Paket mit gefälschten Ausweisdokumenten fanden, das an Ross W. U. adressiert war.Die Ermittlungsakten enthalten keine Hinweise darauf, dass das FBI die Sicherheit von Tor selbst kompromittieren konnte.
Bei der Suche nach einer Alternativen werden es die Kunden von Silk Road etwas schwer haben da die ähnlich ausgerichtete Seite Atlantis Marketplace vor zwei Wochen ebenfalls geschlossen wurde. Die Gründe hierfür sind noch unbekannt.
mfg Bl4ck r47
04.10.2013 12:31 Uhr
Bildquelle: Wikipedia
Das FBI geht davon aus, dass auf der Platform illegale Güter in einem Umfang von 9,5 Millionen Bitcoin gehandelt wurden, dies entspricht ungefähr einer Milliarde Euro.Nach dem ein Nutzer von Silk Road damit gedroht haben soll, die Identität von Händlern aufzudecken habe Ross W. U.eine Person mit einen Mord beauftragt und dafür 1,670 Bitcoins (etwa 100.000 Euro) bezahlt.
Nach Angaben des Auftragsmörders wurde die Zielperson in Kanada getötet,allerdings konnte nach Angaben des FBI noch keine Leiche gefunden werden,somit ist noch unklar ob der Mord stattgefunden hat.
Den Betreiber konnte das FBI ausfindig machen nachdem Kanadische Grenzbehörden ein Paket mit gefälschten Ausweisdokumenten fanden, das an Ross W. U. adressiert war.Die Ermittlungsakten enthalten keine Hinweise darauf, dass das FBI die Sicherheit von Tor selbst kompromittieren konnte.
Bei der Suche nach einer Alternativen werden es die Kunden von Silk Road etwas schwer haben da die ähnlich ausgerichtete Seite Atlantis Marketplace vor zwei Wochen ebenfalls geschlossen wurde. Die Gründe hierfür sind noch unbekannt.
mfg Bl4ck r47
04.10.2013 12:31 Uhr
Freitag, 27. September 2013
Beta Bot the New Underground toys
Cyberkriminelle haben unter dem Namen "Beta Bot" einen neuen Schädling entwickelt, der für den Aufbau eines Botnetzes eine raffinierte Methode anwendet: Nach dem Download der Malware überprüft der Bot ob einer von 30 AVs auf dem Zielsystem Installiert ist um sich dann per Social Engineering Admin rechte zu erschleichen und seinen Schadecode im System zu platzieren.
[Bildquelle: http://blog.gdatasoftware.com ]
Schauen wir uns aber die Details dieses UAC-Dialogs an, stellen wir fest, dass cmd.exe den eigentlichen Beta Bot starten soll und sich Beta Bot im System verstecken möchte
[Bildquelle: http://blog.gdatasoftware.com ]
Viele Benutzer werden misstrauisch wenn eine UAC-Meldung aus heiterem Himmel auf ihrem Bildschirm auftaucht,um dieses Problem‘ zu lösen, ist der Beta Bot jedoch vorbereitet und präsentiert dem Benutzer noch vor dem UAC-Dialog eine gefälschte Fehlermeldung über angeblich beschädigte Dateien im Ordner Eigene Dokumente des aktuellen Benutzers und einen kritischen Festplattenfehler.
[Bildquelle: http://blog.gdatasoftware.com ]
Der Bot ist mit einem Verkaufspreis von unter 500€ relativ günstig und mit einer vielzahl von Funktionen ausgestattet wie DoS-Attacken, Möglichkeiten für Fernversteuerung, Eingabefelder auslesen und andere Möglichkeiten zum Informationsdiebstahl.
Nachdem sich der Beta Bot auf dem Rechner eingenistet hat, beginnt seine eigentliche Arbeit: Neben DDoS-Attacken erlaubt er seinen Autoren auch den Fernzugriff auf den PC des Opfers.
Beta Bot entfernen
mfg Bl4ck r47
27.09.2013 12:54 Uhr
[Bildquelle: http://blog.gdatasoftware.com ]
Schauen wir uns aber die Details dieses UAC-Dialogs an, stellen wir fest, dass cmd.exe den eigentlichen Beta Bot starten soll und sich Beta Bot im System verstecken möchte
[Bildquelle: http://blog.gdatasoftware.com ]
Viele Benutzer werden misstrauisch wenn eine UAC-Meldung aus heiterem Himmel auf ihrem Bildschirm auftaucht,um dieses Problem‘ zu lösen, ist der Beta Bot jedoch vorbereitet und präsentiert dem Benutzer noch vor dem UAC-Dialog eine gefälschte Fehlermeldung über angeblich beschädigte Dateien im Ordner Eigene Dokumente des aktuellen Benutzers und einen kritischen Festplattenfehler.
[Bildquelle: http://blog.gdatasoftware.com ]
Der Bot ist mit einem Verkaufspreis von unter 500€ relativ günstig und mit einer vielzahl von Funktionen ausgestattet wie DoS-Attacken, Möglichkeiten für Fernversteuerung, Eingabefelder auslesen und andere Möglichkeiten zum Informationsdiebstahl.
Nachdem sich der Beta Bot auf dem Rechner eingenistet hat, beginnt seine eigentliche Arbeit: Neben DDoS-Attacken erlaubt er seinen Autoren auch den Fernzugriff auf den PC des Opfers.
Beta Bot entfernen
mfg Bl4ck r47
27.09.2013 12:54 Uhr
Donnerstag, 27. Juni 2013
Carberp "Der Olymp ist gefallen"
Zeus wurde besiegt und jetzt auch das mächtige Reich der Götter,der wohl Fortschrittlichste aller Banking-Trojaner Carberp wurde der Quellcode der Öffentlichkeit frei zugänglich gemacht.Eine Gigantische Zip File von 1,9GB steht auf der Plattform von KimDotCom zum Download frei zugänglich für jeden kleinen Cyberkriminellen und dem Organisiertem verbrechen bereit.Mit diesem Leak steht der Cybercrime eine mächtige Waffe frei zur Verfügung um die Konten anderer Menschen zu erleichtern und das eigene zu füllen.
Ende 2012 verlangten die Entwickler von Carberp noch 40.000 US-Dollar für einen Vollzugriff auf ihre Schöpfung.Wollte man den Schädling mieten, betrug die Summen zwischen 2000 und 10.000 US-Dollar pro Monat.
Das Archiv enthält einen schon Fertig Kompillierten BotBuilder so wie eine Vielzahl von Plugins wie RDP,DDoS,VNC uvm.
BotBuilder:
Plugins:
Das wohl gefährlichste aller Module ist das Bootkit (W32/Rovnix).Dieses infiziert den Master Boot Record (MBR) von Windows XP, Windows 7, Windows 8 und unterläuft damit jede gängige Antivirensoftware.
Malware-Experten gehen davon aus, dass durch den Leak des Sourcecodes neue Varianten auftauchen werden wie es bei Zeus schon der Fall war mit ICE IX,Aldi Bot und Game Over.
mfg Bl4ck r47
27.06.2013 13:07Uhr
Ende 2012 verlangten die Entwickler von Carberp noch 40.000 US-Dollar für einen Vollzugriff auf ihre Schöpfung.Wollte man den Schädling mieten, betrug die Summen zwischen 2000 und 10.000 US-Dollar pro Monat.
Das Archiv enthält einen schon Fertig Kompillierten BotBuilder so wie eine Vielzahl von Plugins wie RDP,DDoS,VNC uvm.
BotBuilder:
Plugins:
Das wohl gefährlichste aller Module ist das Bootkit (W32/Rovnix).Dieses infiziert den Master Boot Record (MBR) von Windows XP, Windows 7, Windows 8 und unterläuft damit jede gängige Antivirensoftware.
Malware-Experten gehen davon aus, dass durch den Leak des Sourcecodes neue Varianten auftauchen werden wie es bei Zeus schon der Fall war mit ICE IX,Aldi Bot und Game Over.
mfg Bl4ck r47
27.06.2013 13:07Uhr
Freitag, 29. März 2013
Der Bunker im Bunker und eine Mega DDoS
Nahezu unbemerkt von der Öffentlichkeit wurde Spamhaus.org opfer einer der grösten Distributed-DoS-Attacke in der Geschichte des Internet.
Spamhaus hatte IP-Adressblöcke des sehr Spammer-freundlich bekannten Hosters Cyberbunker.com auf seine Blacklist gesetzt.Was dazu führte das Cyberbunker-Kunden plötzlich kaum noch Mails absetzen konnten.
Nur wenig später startete eine zunächst gemäßigte, dann stark ansteigende DDoS-Attacke auf die Server von Spamhaus.Nach Angaben von Akamai erreichte die Attacke eine Stärke von bis zu 300 GBit/s.Nur wenige Stunden später hat Spamhaus das Security-Unternehmen Cloudflare mit der Abwehr beauftragt.Ein großteils des Traffic´s erzeugten die Angreifer mit einer "DNS Amplification Attack" was zu gleich zeigt dass es tausende offene DNS-Server gibt,die auf jede Anfrage ungeprüft reagieren.
Jede Anfrage etwa 36 Byte lang,angefragt wurde aber nur ein DNS-Zonen-File von rund 3000 Zeichen Länge,was jede Anfrage von den DNS-Serverm um den Faktor 100 verstärkt.Cloudflare habe mindestens 30.000 anfragende DNS-Server registriert, erläutert Matthew Prince Chef von Cloudflare in einem Blog Eintrag.
Demzufolge haben die Angreifer nur 750 MBit/s abgehende Bandbreite benötigt, um einen durchschnittlichen Traffic von 75 GBit/s bei Spamhaus zu erzeugen.
Bildquelle: http://securitytnt.com
Akamai habe erhebliche Auswirkungen auf die weltweite Netzauslastung durch den Angriff beobachtet.
Cyberbunker.com ist ein Hoster der von Kriminellen jeglicher art genutzt wird,hier finden sich child pornography,Foren verschiedener Terrorister Vereinigungen wie auch Malware.Dem Namen nacht der Hoster sich alle ehere darin das er seine Server so wie Büro´s wirklich in einem Bunker aus dem Kaltenkrieg angesiedelt hat.
Bildquelle: Wikipedia
mfg Bl4ck r47
29.03.2013 09:52 Uhr
Dienstag, 12. Februar 2013
Brian Krebs on the login page
Der Author von Honeypots (exposedbotnets.com) hat einen Interessanten Fund gemacht.
mfg Bl4ck r47
12.02.2013 21:28 Uhr
hfgfr56745fg.com (Betabot http botnet hosted by ecatel.net)
Resolved hfgfr56745fg.com to 80.82.66.204
Server: hfgfr56745fg.com
Gate file: /rem/order.php
Server: hfgfr56745fg.com
Gate file: /rem/order.php
mfg Bl4ck r47
12.02.2013 21:28 Uhr
Abonnieren
Posts (Atom)
