ratNetw0rk Statistik

Donnerstag, 25. November 2010

Früher gab es noch Pistolen,Heute gibt es Botnetze

Immer wieder sorgen Botnetze für viel Aufsehen. Diese Netzwerke aus Zombie-Computern werden von ihren Herdern als Geldquelle errichtetet. Recherchen des Virenschutz Anbieters Symantec ergaben, dass die Betreiber dieser Netzwerke Millionen von US-Dollar verdienen.

Die Botnetze werden von Cybercriminellen errichtet und an interessierte Internet-Betrüger zwischen 9 und bis zu 65 US-Dollar pro Stunde vermietet. Das Experten-Team von MessageLabs Intelligence, der Analyseabteilung von Symantec Hosted Services hat nun ermittelt womit die Mieter dieser Botnetze ihre Gewinne erzielen.

Eine der wohl grösten Einnahmequellen ist der Spam-Versand.Selbst wenn nur ein bedeutungsloser Bruchteil der nervenden Werbebotschaften zum Erfolg führt, ist dieses ein Erfolg für ihre Urheber. Die Betreiber fragwürdiger Onlineapotheken können dank Spam-Mails einen Jahresumsatz von bis zu 3,5 Millionen US-Dollar erzielen.

Die 3 anderen kriminellen Erwerbszweige, welche mittels Botnetze Internet-Nutzer attackieren könnte man als die digitale Varianten von Bankraub, Diebstahl und Schutzgelderpressung bezeichnen. Via Botnetz verbreitete Malware kann für den Internet-Betrügern mehr Einnahmen bedeuten als jeder reale Bankraub mit Pistole.

2010 konnte das FBI eine Gruppe von Cyberkriminellen festnehmen, welche mit Hilfe des Zeus Trojaners rund 70 Millionen US-Dollar von fremden Bankkonten ergaunert hatten. Zeus ist auch als Kneber, Zbot, PRG, wsnpoem oder Gorhax bekannt.

Mit der Androhung Webseiten mit so genannten DDoS Attacken lahmzulegen versuchen Internet-Kriminelle Schutzgeld von ihren Opfern zu erpressen. Verweigert der Betreiber der Webseite die Zahlung werden dessen Server solange von gemieteten Botnetzen mit Unmengen an Daten bombardiert bis diese den Dienst verweigert.

Eine weitere Art der digitalen Kriminalität hat sich darauf spezialisiert auf illegalen Netzwerken Nutzerkonten bekannter Onlinespiele wie World of Warcraft zu knacken. Auf diesen Plattformen können sich Spieler digitale Gegenstände erspielen, welche ihnen einen Vorteil in ihrem Spiel verschaffen. Jeh seltener und schwieriger die zu erspielenden Gegenstände sind umso wertvoller sind diese dann auch.

Internet-Betrüger übertragen derartige Items von den gehackten Konten auf eigens dafür angelegte Konten um diese von dort aus zu verkaufen. Es wird berichtet, dass eine asiatische Bande auf diese Weise 140.000 US-Dollar ergaunert habe.

25.11.2010 15:17 uhr

Montag, 22. November 2010

Banking Trojans

Banbra (Dadobra, Nabload)
* Static process
* Process injected into other process
* Encrypted / packed file


Bancos

* Static process
* Process injected into other process
* Encrypted / packed file

Bankdiv (Banker.BWB)
* Static process
* Process injected into other process
* Encrypted / packed file
* Modification of Operating System files
* Substitution of Operating System files

Bankolimb (NetHell, Limbo)
* Static process
* Process injected into other process
* Encrypted / packed file

Banpatch
* Static process
* Process injected into other process
* Encrypted / packed file
* Modification of Operating System files

Briz
* Static process
* Process injected into other process
* Encrypted / packed file

Cimuz (Bzud, Metafisher, Abwiz, Agent DQ)
* Static process
* Process injected into other process
* Encrypted / packed file

Dumador (Dumarin, Dumaru)
* Static process
* Process injected into other process
* Encrypted / packed file

Goldun (Haxdoor, Nuclear grabber)
* Static process
* Process injected into other process
* Process hidden by rootkit
* Encrypted / packed file
* File hidden by rootkit

Nuklus (Apophis)
* Static process
* Process injected into other process
* Encrypted / packed file

PowerGrabber
* Static process
* Process injected into other process
* Encrypted / packed file

SilentBanker
* Static process
* Process injected into other process
* Encrypted / packed file

Sinowal (Wsnpoem, Anserin)
* Polymorphic process
* Process injected into other process
* Process hidden by rootkit
* Polymorphic file
* Encrypted / packed file
* File hidden by rootkit

Snatch (Gozi)
* Static process
* Process injected into other process
* Encrypted / packed file

Spyforms
* Static process
* Process injected into other process
* Encrypted / packed file

Torpig (Xorpix, Mebroot)
* Static process
* Polymorphic process
* Process injected into other process
* Process hidden by rootkit
* Encrypted / packed file
* File hidden by rootkit
* MBR rootkit

Goldun, Haxdoor, Nuclear Grabber
It usually drops a DLL and a SYS file with rootkit functionality.
It creates a registry entry in order to load the DLL:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

Cimuz, Bzud, Metafisher, Abwiz, Agent DQ
It usually drops a DLL as a Browser Helper Object (BHO) with these names:
%SystemRoot%\appwiz.dll
%SystemRoot%\ipv6mmo??.dll

We have seen also other names for these files.

Bankolimb, Nethell, Limbo
It usually drops a DLL as a Browser Helper Object (BHO) and an encrypted XML which acts as a configuration file for the Trojan.
Some variants create the following registry entry:
HKEY_LOCAL_MACHINE\Software\Helper
Others create the following one:
HKEY_LOCAL_MACHINE\Software\MRSoft


Briz, VisualBreez
Programmed in Visual Basic, it creates the following files:
%SystemRoot%\ieschedule.exe
%SystemRoot%\dsrss.exe
%SystemRoot%\ieserver.exe
%SystemRoot%\websvr.exe
%SystemRoot%\ieredir.exe
%SystemRoot%\smss.exe
%SystemRoot%\ib?.dll

Folders:
%SystemRoot%\drv32dta
%WindowsRoot%\websvr

Registry entry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\InitRegKey
And usually modifies the hosts file.

Nuklus, Apophis
It usually downloads the following files:
%SystemRoot%\IEGrabber.dll
%SystemRoot%\CertGrabber.dll
%SystemRoot%\FFGrabber.dll
%SystemRoot%\IECookieKiller.dll
%SystemRoot%\IEFaker.dll
%SystemRoot%\IEMod.dll
%SystemRoot%\IEScrGrabber.dll
%SystemRoot%\IETanGrabber.dll
%SystemRoot%\NetLocker.dll
%SystemRoot%\ProxyMod.dll
%SystemRoot%\PSGrabber.dll




BankDiv, Banker.BWB
Creates the following files:
%SystemRoot%\xvid.dll
%SystemRoot%\xvid.ini
%SystemRoot%\divx.ini
%System%\drivers\ip.sys




Snatch, Gozi
It usually installs a driver with rootkit functionalities:
%WindowsRoot%\driver new_drv.sys

Spyforms
Creates the following registry entries:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“ttool” = %WindowsRoot%\svcs.exe
HKEY_CURRENT_USER\Software\Microsoft\InetData


BankPatch
It modifies the following system files:
wininet.dll
kernel32.dll

And creates the files:
%SystemRoot%\ldshfr.old
%SystemRoot%\mentid.dmp
%SystemRoot%\nwkr.ini
%SystemRoot%\nwwnt.ini

Usually targets banks from the Netherlands.

Silentbanker
Drops file in %SystemRoot% with random names, for example:
%SystemRoot%\appmgmt14.dll
%SystemRoot%\dbgen47.dll
%SystemRoot%\drmsto34.dll
%SystemRoot%\faultre66.dll
%SystemRoot%\kbddiv55.dll
%SystemRoot%\kbddiv79.dll
%SystemRoot%\msisi83.dll
%SystemRoot%\msvcp793.dll
%SystemRoot%\msvcr25.dll
%SystemRoot%\nweven2.dll
%SystemRoot%\pngfil51.dll
%SystemRoot%\pschdpr89.dll
%SystemRoot%\versio40.dll
%SystemRoot%\wifema85.dll
%SystemRoot%\winstr21.dll
%SystemRoot%\wzcsv64.dll

Creates a registry entry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Drivers32 “midi1”


Banbra, Dadobra, Nabload, Banload
Programmed in Delphi, usually packed using Yoda Protector or Telock.
They are usually big (more than 1MB in size), but the Trojan Downloaders which installs it are smaller.
It usually sends out the stolen information via e-mail or ftp to a remote server.
It contains Portuguese strings and usually targets banks from Brazil and Portugal.

Bancos
Programmed in Visual Basic.
Similar to the Banbra family but in VBasic, they are usually big (more than 1MB).
It usually sends out the stolen information via e-mail or ftp to a remote server.
It contains Portuguese strings and usually targets banks from Brazil and Portugal.

Dumador, Dumarin, Dumaru
Programmed in Delphi, usually packed using FSG.
It creates the following files:
%SystemRoot%\winldra.exe
%WindowsRoot%\netdx.dat
%WindowsRoot%\dvpd.dll
%Temp%\fe43e701.htm

It also creates the following registry entries:
HKEY_CURRENT_USER\Software\SARS
Some variants also modify the hosts file.

Sinowal, Wspoem, Anserin, AudioVideo
It creates the following files:
%SystemRoot%\ntos.exe. (usually loaded by svchost.exe to avoid being listed as an active processes).
It creates the folder %SystemRoot%\wsnpoem, where it saves the files audio.dll and video.dll.
They are not really DLL files. In one of these files the Trojan saves an encrypted list of targeted banks. In the other file it saves the stolen data.
It also modifies the the following registry entry in order to run every boot:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Old value = "%SystemRoot%\userinit.exe"
Modified = "%SystemRoot%\userinit.exe", "%SystemRoot%\ntos.exe"

It downloads the file cfg.bin that usually contains the encrypted text strings for the banks.

Torpig, Xorpig, Mebroot
It creates the following files:
%CommonFilesRoot%\Microsoft Shared\Web Folders\ibm0000?.exe
%CommonFilesRoot%\Microsoft Shared\Web Folders\ibm0000?.dll
%WindowsRoot%\Temp\$_2341234.TMP
%WindowsRoot%\Temp\$_2341233.TMP

The "?" is normally replaced by a digit (ex. ibm00001.exe).
And the following registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“Shell” = "%CommonFilesRoot%\Microsoft Shared\Web Folders\ibm0000?.exe"

It usually creates a service in order to load the file ibm0000?.dll through svchost.exe.


Recent variants of Torpig, Xorpig and Mebroot:
The latest trend is that it modifies the computer's Master Boot Record (MBR) to run rootkit code and which is used to hide the Trojan. Sometime later it forces a computer reboot and creates the following files:
%WindowsRoot%\temp\fa56d7ec.$$$
%WindowsRoot%\temp\bca4e2da.$$$


22.11.2010 15:26 Uhr

Montag, 15. November 2010

Koobface-Server abgeschaltet

Ein britischer Internetprovider hat den Command-and-Control-Server des Social-Networking-Botnetzes Koobface vom Netz genommen, nachdem die Sicherheitsexperten der SecDev Group britische Ermittlungsbehörden über den Server informiert hatten. Die Abschaltung des Servers wird das Botnetz nur vorübergehend behindern, aus dem Spiel sind die Hintermänner von Koobface damit aber noch lange nicht und es ist nur eine Frage der Zeit, bis die Dronen auf einen neuen C&C umgeleitet werden.

Koobface (ein Anagramm von Facebook) ist dafür bekannt sich über soziale Netzwerke zu verbreiten.Dort verschickt er Links auf Webseiten, die den Computer mit Schadsoftware infizierensollen.

Worm:Win32/Koobface.gen!F
Net-Worm.Win32.Koobface.a, which attacks MySpace
Net-Worm.Win32.Koobface.b, which attacks Facebook
WORM_KOOBFACE.DC, which attacks Twitter
W32/Koobfa-Gen, which attacks Facebook, MySpace, hi5, Bebo, Friendster, myYearbook, Tagged, Netlog, Badoo and fubar
W32.Koobface.D

>>>allBots Inc.<<<



Geld verdienen die Botnetz-Betreiber, indem sie die übernommenen PCs Klicks auf Online-Anzeigen oder Downloads von Scareware ausführen lassen. Obwohl jeder Klick nur einen minimalen Schaden verursacht, verdienen die Botnet Herder rund 2 Millionen US-Dollar pro Jahr.



Die Botnet Herder von Koobface versuchen, sich bewusst von den "bösen Trojanern" wie Zeus und Spy eye zu distanzieren: "Unsere Software hat niemals Kreditkarteniformationen, Bankzugangsdaten, Passwörter oder ähnliche vertrauliche Daten gestohlen. Und wird das auch nie tun" versicherten sie. Später sammelten sie dann aber doch mit hilfe des LdPinch Trojaners Passwörter für E-Mail-, Facebook- und IM-Accounts ein.



Das Geschäftsmodell von Koobface mit unzähligen winzigen Transaktionen schützt die Hintermänner vor allzu zielstrebiger Verfolgung.

Die Polizei und Staatsanwaltschaften tun sich jedoch recht schwer, konkrete Straftaten oder Schadensfälle auszumachen um den erforderlichen Ermittlungsaufwand für eine gezielte Verfolgung der Hintermänner zu rechtfertigen. Zudem läuft das Geschäft über Ländergrenzen hinweg, was zeitraubende und Amtshilfeersuchen erforderlich macht. "Daher ist es nicht überraschend, dass es im Fall von Koobface keine Strafverfolgung oder Festnahme gab".


Der Schlag gegen Koobface läuft bereits seit zwei Wochen auf mehreren Ebenen: Das SecDev-Team unter Nart Villeneuve informierte ISPs über kompromittierte FTP-Accounts und benannte gegenüber Facebook und Google insgesamt mehrere hunderttausend Accounts, die von Koobface betrieben werden. Das Ende des Botnetzes wird das aber nicht sein. "Solange die Hintermänner frei herumlaufen, wird Koobface weiter arbeiten".

Quellen:
Wikipedia Koobface
heisec.de
Koobface Inside a Crimeware Network (PDF)
The Real Face of Koobface (PDF)

15.11.2010 10:30 Uhr

Dienstag, 9. November 2010

Analyse-Software für Domain-Flux Botnetze

Viele Botnets wie Conficker,Kraken,Srizbi oder Sinowal verwenden nach einem bestimmten Algorithmus generierte Domains, um den Kontakt zwischen den Command-and-Control-Servern und den infizierten "Dronen" aufrecht zu erhalten. Ein neu entwickeltes "Frühwarn-System" (PDF) soll nun genau solche Domains erkennen und Admins dadurch auf Infektionen in ihrem Netzwerk aufmerksam machen.

Durch den Domain-Generation-Algorithmus (DGA) sollen Sicherheitsforscher daran gehindert werden, die Kommunikation zwischen dem C&C und seinen Dronen zu stören. Um dies zu schaffen, müssten Sicherheitsforscher den Algorithmus eines Bots herausbekommen und anschließend alle von diesem Algorithmus generierten Domains sperren oder selbst aufkaufen. Den Online-Kriminellen dagegen würde im Prinzip eine funktionsfähige Domain für die Kommunikation reichen.

Allerdings weisen die generierten Domains charakteristische Merkmale dafür auf, dass sie nicht von einem menschlichen Benutzer ausgewählt wurden. Dies macht sich die neu entwickelte Analyse-Software zunutze. Sie analysiert mit Hilfe statistischer Verfahren den DNS-Datenverkehr im Netzwerk auf den Kontakt mit generierten Domains und will daraufhin eine Infektionen schnell entdecken können so das der Datenverkehr anschließend unterbunden und das betroffene System von der Malware gereinigt werden kann.

Quelle: http://gulli.com

09.11.2010 09:28 Uhr

Dienstag, 2. November 2010

Die Zahl des Monats November

Image and video hosting by TinyPic

Der wachsenden Marktanteil von Apple hat die Aufmerksamkeit der Cybercrime auf sich gezogen. Die Sicherheitslabore von Panda Security zählen insgesamt über 5.000 Schädlinge, die Mac-Systeme angreifen und schätzen die Neuerscheinungen auf 500 Samples pro Monat mit steigender Tendenz.

Quelle: http://pandanews.de

02.11.2010 14:47 Uhr