ratNetw0rk Statistik

Freitag, 4. Oktober 2013

Symantec gelingt Schlag gegen das Botnet ZeroAccess

Symantec gelang es über eine Schwachstelle die Kontrolle von über 500.000 Dronen des Botnets ZeroAccess zu übernehmen. ZeroAccess basiertauf einer Peer-to-Peer-Architektur und wird in erster Linie für Klick-Betrug und die Generierung von Bitcoins verwendet. Nach Angaben von Computerworld, fand Symantec Anfang des Jahres eine Möglichkeit, Dronen mittels eines bekannten Fehlers im Peer-to-Peer-Mechanismus herauszulösen.Was für eine Schwachstelle ausgenutzt wurde, erklärte Symantec nicht,erläutert aber dass das Abschalten eines Bots durchschnittlich fünf Minuten gedauert hätte.Die ganze Aktion habe nur wenige Tage gedauert. Man arbeite nun mit anderen Firmen und Organsiationen gemeinsam daran, die
infizierten Computer zu ermitteln und zu bereinigen



Der Energieverbrauch des Botnet soll pro Tag rund 560.887 US-Dollar kosten. Mit dieser Rechenpower sollen die Botnetzbetreiber pro Tag mehrere Tausend US-Dollar errechnet haben. Symantec hat zudem ISPs außerdem Traffic-Signaturen zur Verfügung gestellt, damit sie die verbliebenen ZeroAccess-Bots in ihren Netzen aufspüren und Maßnahmen gegen sie einleiten können.

mfg Bl4ck r47
04.10.2013 16:18 Uhr

Silk Road abgeschaltet

Dem FBI ist es offenbar gelungen, den Betreiber Ross William Ulbricht aka Dread Pirate Roberts der Handelsplattform Silk Road ausfindig zu machen und festzunehmen.Die Platform wurde als sogenannter Hidden Service im Tor-Netzwerk betrieben und hatte angeblich rund eine Million registrierte Mitglieder.


Bildquelle: Wikipedia

 Das FBI geht davon aus, dass auf der Platform illegale Güter in einem Umfang von 9,5 Millionen Bitcoin gehandelt wurden, dies entspricht ungefähr einer Milliarde Euro.Nach dem ein Nutzer von Silk Road damit gedroht haben soll, die Identität von Händlern aufzudecken habe Ross W. U.eine Person mit einen Mord beauftragt und dafür 1,670 Bitcoins (etwa 100.000 Euro) bezahlt.
Nach Angaben des Auftragsmörders wurde die Zielperson in Kanada getötet,allerdings konnte nach Angaben des FBI noch keine Leiche gefunden werden,somit ist noch unklar ob der Mord stattgefunden hat.




Den Betreiber konnte das FBI ausfindig machen nachdem Kanadische Grenzbehörden ein Paket mit gefälschten Ausweisdokumenten fanden, das an Ross W. U. adressiert war.Die Ermittlungsakten enthalten keine Hinweise darauf, dass das FBI die Sicherheit von Tor selbst kompromittieren konnte.

Bei der Suche nach einer Alternativen werden es die Kunden von Silk Road etwas schwer haben da die ähnlich ausgerichtete Seite Atlantis Marketplace vor zwei Wochen ebenfalls geschlossen wurde. Die Gründe hierfür sind noch unbekannt.

mfg Bl4ck r47
04.10.2013 12:31 Uhr

Freitag, 27. September 2013

Beta Bot the New Underground toys

Cyberkriminelle haben unter dem Namen "Beta Bot" einen neuen Schädling entwickelt, der für den Aufbau eines Botnetzes eine raffinierte Methode anwendet: Nach dem Download der Malware überprüft der Bot ob einer von 30 AVs auf dem Zielsystem Installiert ist um sich dann per Social Engineering Admin rechte zu erschleichen und seinen Schadecode im System zu platzieren.



[Bildquelle: http://blog.gdatasoftware.com ]

Schauen wir uns aber die Details dieses UAC-Dialogs an, stellen wir fest, dass cmd.exe den eigentlichen Beta Bot starten soll und sich Beta Bot im System verstecken möchte


[Bildquelle: http://blog.gdatasoftware.com ]

Viele Benutzer werden misstrauisch wenn eine UAC-Meldung aus heiterem Himmel auf ihrem Bildschirm auftaucht,um dieses Problem‘ zu lösen, ist der Beta Bot jedoch vorbereitet und präsentiert dem Benutzer noch vor dem UAC-Dialog eine gefälschte Fehlermeldung über angeblich beschädigte Dateien im Ordner Eigene Dokumente des aktuellen Benutzers und einen kritischen Festplattenfehler.


[Bildquelle: http://blog.gdatasoftware.com ]

Der Bot ist mit einem Verkaufspreis von unter 500€ relativ günstig und mit einer vielzahl von Funktionen ausgestattet wie DoS-Attacken, Möglichkeiten für Fernversteuerung, Eingabefelder auslesen und andere Möglichkeiten zum Informationsdiebstahl.

[Untouched] Beta Bot HTTP Bot (Latest Version)



Nachdem sich der Beta Bot auf dem Rechner eingenistet hat, beginnt seine eigentliche Arbeit: Neben DDoS-Attacken erlaubt er seinen Autoren auch den Fernzugriff auf den PC des Opfers.

Beta Bot entfernen 





mfg Bl4ck r47
27.09.2013 12:54 Uhr


Donnerstag, 27. Juni 2013

Carberp "Der Olymp ist gefallen"

Zeus wurde besiegt und jetzt auch das mächtige Reich der Götter,der wohl Fortschrittlichste aller Banking-Trojaner Carberp wurde der Quellcode der Öffentlichkeit frei zugänglich gemacht.Eine Gigantische Zip File von 1,9GB steht auf der Plattform von KimDotCom zum Download frei zugänglich für jeden kleinen Cyberkriminellen und dem Organisiertem verbrechen bereit.Mit diesem Leak steht der Cybercrime eine mächtige Waffe frei zur Verfügung um die Konten anderer Menschen zu erleichtern und das eigene zu füllen.



Ende 2012 verlangten die Entwickler von Carberp noch 40.000 US-Dollar für einen Vollzugriff auf ihre Schöpfung.Wollte man den Schädling mieten, betrug die Summen zwischen 2000 und 10.000 US-Dollar pro Monat.

Das Archiv enthält einen schon Fertig Kompillierten BotBuilder so wie eine Vielzahl von Plugins wie RDP,DDoS,VNC uvm.

BotBuilder:


Plugins:


Das wohl gefährlichste aller Module ist das Bootkit  (W32/Rovnix).Dieses infiziert den Master Boot Record (MBR) von Windows XP, Windows 7, Windows 8 und unterläuft damit jede gängige Antivirensoftware.


Malware-Experten gehen davon aus, dass  durch den Leak des Sourcecodes neue Varianten auftauchen werden wie es bei Zeus schon der Fall war mit ICE IX,Aldi Bot und Game Over.

mfg Bl4ck r47
27.06.2013 13:07Uhr

Freitag, 29. März 2013

Der Bunker im Bunker und eine Mega DDoS


Nahezu unbemerkt von der Öffentlichkeit wurde Spamhaus.org opfer einer der grösten Distributed-DoS-Attacke in der Geschichte des Internet.

Spamhaus hatte IP-Adressblöcke des sehr Spammer-freundlich bekannten Hosters Cyberbunker.com auf seine Blacklist gesetzt.Was dazu führte das Cyberbunker-Kunden plötzlich kaum noch Mails absetzen konnten.

Nur wenig später startete eine zunächst gemäßigte, dann stark ansteigende DDoS-Attacke auf die Server von Spamhaus.Nach Angaben von Akamai erreichte die Attacke eine Stärke von bis zu 300 GBit/s.Nur wenige Stunden später hat Spamhaus das Security-Unternehmen Cloudflare mit der Abwehr beauftragt.Ein großteils des Traffic´s erzeugten die Angreifer mit einer "DNS Amplification Attack" was zu gleich zeigt dass es tausende offene DNS-Server gibt,die auf jede Anfrage ungeprüft reagieren.

Jede Anfrage etwa 36 Byte lang,angefragt wurde aber nur ein DNS-Zonen-File von rund 3000 Zeichen Länge,was jede Anfrage von den DNS-Serverm um den Faktor 100 verstärkt.Cloudflare habe mindestens 30.000 anfragende DNS-Server registriert, erläutert Matthew Prince Chef von Cloudflare in einem Blog Eintrag.

Demzufolge haben die Angreifer nur 750 MBit/s abgehende Bandbreite benötigt, um einen durchschnittlichen Traffic von 75 GBit/s bei Spamhaus zu erzeugen.


Bildquelle: http://securitytnt.com

Akamai habe erhebliche Auswirkungen auf die weltweite Netzauslastung durch den Angriff beobachtet.

Cyberbunker.com ist ein Hoster der von Kriminellen jeglicher art genutzt wird,hier finden sich child pornography,Foren verschiedener Terrorister Vereinigungen wie auch Malware.Dem Namen nacht der Hoster sich alle ehere darin das er seine Server so wie Büro´s wirklich in einem Bunker aus dem Kaltenkrieg angesiedelt hat.


Bildquelle: Wikipedia

mfg Bl4ck r47
29.03.2013 09:52 Uhr





Dienstag, 12. Februar 2013

Brian Krebs on the login page

Der Author von Honeypots (exposedbotnets.com) hat einen Interessanten Fund gemacht.

hfgfr56745fg.com (Betabot http botnet hosted by ecatel.net)

Resolved hfgfr56745fg.com to 80.82.66.204

Server:   hfgfr56745fg.com
Gate file:  /rem/order.php



mfg Bl4ck r47
12.02.2013 21:28 Uhr