Der Bunker im Bunker und eine Mega DDoS

Nahezu unbemerkt von der Öffentlichkeit wurde Spamhaus.org opfer einer der grösten Distributed-DoS-Attacke in der Geschichte des Internet.

Spamhaus hatte IP-Adressblöcke des sehr Spammer-freundlich bekannten Hosters Cyberbunker.com auf seine Blacklist gesetzt.Was dazu führte das Cyberbunker-Kunden plötzlich kaum noch Mails absetzen konnten.

Nur wenig später startete eine zunächst gemäßigte, dann stark ansteigende DDoS-Attacke auf die Server von Spamhaus.Nach Angaben von Akamai erreichte die Attacke eine Stärke von bis zu 300 GBit/s.Nur wenige Stunden später hat Spamhaus das Security-Unternehmen Cloudflare mit der Abwehr beauftragt.Ein großteils des Traffic´s erzeugten die Angreifer mit einer "DNS Amplification Attack" was zu gleich zeigt dass es tausende offene DNS-Server gibt,die auf jede Anfrage ungeprüft reagieren.

Jede Anfrage etwa 36 Byte lang,angefragt wurde aber nur ein DNS-Zonen-File von rund 3000 Zeichen Länge,was jede Anfrage von den DNS-Serverm um den Faktor 100 verstärkt.Cloudflare habe mindestens 30.000 anfragende DNS-Server registriert, erläutert Matthew Prince Chef von Cloudflare in einem Blog Eintrag.

Demzufolge haben die Angreifer nur 750 MBit/s abgehende Bandbreite benötigt, um einen durchschnittlichen Traffic von 75 GBit/s bei Spamhaus zu erzeugen.


Bildquelle: http://securitytnt.com

Akamai habe erhebliche Auswirkungen auf die weltweite Netzauslastung durch den Angriff beobachtet.

Cyberbunker.com ist ein Hoster der von Kriminellen jeglicher art genutzt wird,hier finden sich child pornography,Foren verschiedener Terrorister Vereinigungen wie auch Malware.Dem Namen nacht der Hoster sich alle ehere darin das er seine Server so wie Büro´s wirklich in einem Bunker aus dem Kaltenkrieg angesiedelt hat.


Bildquelle: Wikipedia

mfg Bl4ck r47
29.03.2013 09:52 Uhr

Brian Krebs on the login page

Der Author von Honeypots (exposedbotnets.com) hat einen Interessanten Fund gemacht.

hfgfr56745fg.com (Betabot http botnet hosted by ecatel.net)

Resolved hfgfr56745fg.com to 80.82.66.204

Server:   hfgfr56745fg.com
Gate file:  /rem/order.php

mfg Bl4ck r47
12.02.2013 21:28 Uhr

Der Wilde Wilde Westen

Eine schöne Liste von Exploit Kits,erstellt von kahusecurity.com




mfg Bl4ck r47
08.02.2013 08:00 Uhr

Bye bye Bamital

Microsoft und Symantec haben gemeinsam die Schließung eines weiteren Botnetzes erreicht.Nach zwei Jahren Arbeit konnten Microsoft und Symantec in einer gemeinsamen Aktion das Botnetz Bamital übernommen und abschalten lassen.18 Personen weltweit sollen Bamital aufgebaut und an deren Betrieb beteiligt gewesen sein.

Bamital leitete Benutzer unter anderem nach Suchanfragen auf Webseiten um, die sie gar nicht besuchen wollten.Bamital ist das Sechste Botnet, gegen das Microsoft seit 2010 per Gerichtsbeschluss vorgegangen ist und das zweite Mal, dass der Konzern dabei mit Symantec zusammengearbeitet hat.



Sobald über einen Suchdienst wie die von Google, Microsoft und Yahoo angebotenen Webseiten eine Anfrage gestellt wird,lies Bamital nicht die richtigen Suchergebnisse angezeigen,

Die Anfragen werden auf einen Command & Control Server des Botnetzes umgeleitet, der dann Werbung und gefälschte Suchergebnisse anzeigt.Klickt der mit bamital Infizierte Anwender auf dieser Seite dann auf einen Link, landet er bei einer Webseite, die der Suchanfrage in etwa entspricht,aber auch von Bamital verbreitete Werbung enthält.

Microsoft und SymantecSchätzungen,das die Betreiber durch die Werbung mindestens eine Million US-Dollar pro Jahr zu erzielen konnten,vielleicht sogar das Dreifache.Bamital leitete jeden Tag Drei Millionen Besucher allein auf einen einzigen ihrer Server um.In den letzten zwei Jahren sollen rund 8 Millionen Computer unter der Kontrolle der herder gestnden haben.


Bessere Gesetze und die Zusammenarbeit von Firmen macht es den Botnet Herdern schwerer, ihrer Ziele zu erreichen.

Je häufiger solche Operationen durchführen werden, desto offensichtlicher wird es den Kriminellen, dass man hinter ihnen her ist, sagte Richard Boscovich, Assistant General Counsel von Microsofts Digital Crimes Unit in einer Telefonkonferenz mit Itespresso.

Betroffen sind nur Anwender, die keinen oder veraltete Virenscanner einsetzen. Die Engines aller namhaften Antiviren Hersteller erkennen Bamital seit Jahren.

Trojan.Bamital

Risk Level 1: Very Low

Discovered: July 1, 2010

Updated:

February 6, 2013 9:24:55 PM

Also Known As:

Troj/Mdrop-CSK [Sophos], Troj/Agent-OCF [Sophos]

Type:

Trojan

Infection Length:

Varies

Systems Affected:

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Quelle: Symantec

mfg Bl4ck r47

07.02.2013 11:11

Programmiere des Gozi Trojaners Angeklagt

Der Gozi-Trojaner aka Snatch 2 soll weltweit mehr als eine Million Computer infiziert und Schäden in Höhe von mehreren zehn Millionen US-Dollar verursacht haben. 2007 tauchte der Trojaner auf und besorgte den Verantwortlichen Rumänen Mihai P,Denis C. aus Lettland und dem seid Mai 2011 inhaftiertem Russen Nikita K. mehreren zehn Millionen US-Dollar von Hunderttausende private Computer so wie NASA und Regierungsbehörden.

 Der Händer Gozi bot den Trojaner in Foren und IRC Channels zum Kauf an.

Looking for sources (Quelle: secureworks.com)

 Verkauft wurde der Trojaner zwischen $1000 und $2000 (USD).
Snatch is advertised on the author's home page (Quelle: secureworks.com)

Der fertige Trojaner wurde dann gegen eine wöchentliche Gebühr auf der Online Plattform 76Service.com zur Verfügung gestellt.
 
(Quelle: secureworks.com)

 Die Kunden konnten selbst bestimmen, welche Ziele angegriffen werden und die gestohlenen Daten wurden für sie gespeichert. Über BulletProof Hoster sei nicht nur Gozi, sondern auch Zeus und SpyEye von Mihai P. verbreitet worden sein.Sollten die Angeklagten schuldig gesprochen werden, drohen ihnen Höchststrafen von 60 und 95 Jahren Gefängnis. mfg Bl4ck r47 24.01.2013 20:05 Uhr

Virut belebt Waledac wieder

Nach Angaben von Symantec sollen mit W32.Virut infizierte Systeme den aus dem verkehrgezogenen Bot  W32.Waledac.D oder auch Kelihos bekannt gewordene Botnet nachladen.Waledac galt nach Gegenmaßnahmen von Microsoft als tot, wird aber wohl auf diese Weise offenbar zurück ins Leben gerufen
.

Bild: Symantec


Nach Angaben von Symantec soll ein beobachtetes System 2000 Spambotschaften pro Stunde verschicken.
Der Sicherheitsbotschafter rechnet nun mit mehreren Milliarden unerwünschten Werbemails pro Tag,von etwa 308.000 mit Virut infizierten Systemen von dennen ein Viertel Waledac nachläd.Das von Symantec vorgelegten Modellgehen geht von 1,2 bis 3,6 Milliarden Spambotschaften pro Tag aus.



Bild: Symantec

Der bisherige versand von unerwünschten Emails über das wiederauferstandene Waledac Botznet versand den großteil seines Spams an die USA. In Europa ist Frankreich am stärksten betroffen. Es handelte sich größtenteils soll es sich um bekannte Werbebotschaften handeln wie eine Online-Apotheke aus Kanada und  leistungssteigernde Medikamente.

Der Fall zeige dass sich solche Botnetze nicht gegenseitig behindern müssen und es ein Zeichen für verstärkter Zusammenarbeit unter  Cyberkriminellen währe.

Microsoft hatte großen Anteil an der Schließung von Waledac im Jahre 2010 so wie dem Nachfolger Kelihos 2011.Außerdem beantragte Microsoft eine richterliche Verfügungen, um die Command & Control-Server von Waledac abschalten abschalten zu lassen und so zu verhindern, dass neue Module auf den Dronen nachinstalliert werden können.

mfg Black r47
19.01.2013 20:29

Kim.com/Mega

Die Uhr macht TickTackTickTack und ich selber bin gespannt darauf was passieren wird.

Bigger,Better,Faster,Stronger and Safer,das ist der neue Werbeslogan von Kimdotcom seinem neuen Filehoster.


Aber wird er auch genau so Erfolgreich sein wie Megaupload und ob der Filehoster morgen an den Start geht bleibt abzuwarten.Eines ist klar,ein zweites mal werden dem FBI keine Fehler unterlaufen.

18.01.2013 07:54 Uhr
mfg Bl4ck r47