ratNetw0rk Statistik

Mittwoch, 23. November 2011

Internet Water Army

Es ist immer wider erstaunlich wie weit der Osten dem Westen vor raus ist im Bereich Internet. HTTP Bots und Exploit Kits stammen vorwiegend aus dem Russischem Raum während im Westen noch bis 2005 mit IRC Bots gearbeitet wurde haben Russische Cyberkriminelle die Möglichkeit gefunden mit einem HTTP Bot der den Port 80 verwendet die Firewall zu umgehen und Exploit Kits für einen Drive by Download zu nutzten.

In Russland,Estland,Ukraine usw ist es gang und gebe Warez Admins dafür zu bezahlen das sie einen Iframe auf ihrer Seite einbauen. China steht dem in nichts nach und so werden User dafür bezahlt das sie in Foren ein Produkt hoch anpreisen oder das der Konkurrenz schlecht machen. Internet Water Army werden in China Nutzer genannt, die für Geld Produkte bewerten, Kommentare in Foren schreiben oder gezielt Informationen oder Gerüchte streuen.

Cheng Chen von der Universität in Victoria in der kanadischen Provinz British Columbia ist dem Phänomen auf den Grund gegangen - mit dem Ziel eine Software zu entwickeln, die bezahlte Forennutzer, sogenannte Paid Poster aufspürt, vergleichbar etwa einem Spamfilter.

Software spürt bezahlte Forennutzer auf

https://payperpost.com
http://www.paidforumposting.com/

Sonntag, 20. November 2011

Malware Programmierung Heute

Seit es die Cybercrime gibt die so um 2004 entstanden ist sind viele Verschiedene Arten von Malware im Internet Aufgetaucht. Ihre Funktionen gehen soweit das die besten Virenanalysten an ihnen verzweifeln können.

Zu den bekanntesten gehören
Storm Worm = Erster Bot mit Fast-Flux Technik
Rustock = Verwendet eine Inovative Rootkit Technik und Fast-Flux
Bredolab = Fast-Flux Botnet
Srizbi = Erster Bot mit Domain-Flux Technik
Sinowal = Ist die erste Malware die ein MBR Rootkit und Domain-Flux verwendet
Waledac = Peer-to-Peer Bot
Conficker = Domain-Flux Bot
SpyEye = Banking Trojaner
ZeUs = Baning Trojaner
StuxNet = Industriespionage Malware
TDL/TDSS = Ein Bot der ohne einen C&C Befehle entgegenehmen kann (Peer-to-Peer Bot mit Domain-Flux).

Aber wer sind die Köpfe hinter dieser Malware,bei ZeUs handelt es sich um eine einzelne Person mit dem Nick Slavik und bei SpyEye um Harderman. Eine Malware wie Zeus und SpyEye ist im vergleich zu StuxNet noch Relativ einfach zu Programmieren so das dieses eine Einzelne Person bewerkstelligen kann.Aber schon bei Rustock und Sinowal wurde Vermutet das es sich um eine ganze Gruppe Handelt die an einer Malware Arbeitet.

Auch bei Stuxnet scheint dieses der Fall zu sein da sein Funktionsumfang und Technik einfach zu groß ist um das es sich um eine einzelne Person handeln kann.Die Cybercrime entwickelt sich immer weiter und Stück für stück fangen sie an sich zu Teams zusammen zuschließen und ihr Wissen zu vereinen. Dieses Anschauliche Bild Zeigt das schon wie in einem Unternehmen zusammengearbeitet wird um Systematisch eine Malware zu Entwickeln die so lange wie Möglich unentdeckt bleiben soll.



20.11.2011 17:19 Uhr

MYBIOS. Lässt sich das BIOS infizieren?

Gerade treibe ich mich bei Viruslist.com herum und finde einen Interessanten Artikel über eine Malware die in der Large ist das Bios und den MBR zu Infizieren.Interessant dabei ist der Punkt das die Malware nur ein Award-Bios Infizieren kann,aber wird kein AWARD-BIOS verwendet, infiziert der Dropper den MBR. Damit funktioniert das Rootkit auf jedem beliebigen System, unabhängig vom Hersteller des BIOS. Aus dem BIOS gestartet, ist das Schadprogramm in der Lage, jede Etappe der Initialisierung des Computers und des Betriebssystems zu kontrollieren.

MYBIOS. Lässt sich das BIOS infizieren?

Die Möglichkeit, das BIOS eines Rechners zu infizieren, existiert schon relativ lange. Das Online-Magazin Phrack hat dazu einen der besten Artikel veröffentlicht und auf der Webseite Pinczakko gibt es ebenfalls viele nützliche Informationen.

Ein kleiner Ausschnitt aus dem Artikel.
Installation

Kaspersky Lab führt den Trojaner, um den es in dieser Analyse geht, unter dem Namen Rootkit.Win32.Mybios.a. Dieser Schädling verbreitet sich als ausführbares Modul und bringt alles zum Funktionieren notwendige bereits mit.

Die Liste der Komponenten:

Treiber für die Arbeit mit dem BIOS – bios.sys (Gerät \Device\Bios)
Treiber zum Verbergen der Infektion – my.sys (Gerät \Device\hide)
Komponente BIOS – hook.rom
Bibliothek zur Steuerung des Treibers bios.sys – flash.dll
Tool vom Hersteller für die Arbeit mit dem BIOS-Abbild – cbrom.exe


20.11.2011 13:44 Uhr

Donnerstag, 6. Oktober 2011

Steve Jobs' 2005 Stanford Commencement Address

Steve Jobs ist verstorben,einer der größten und Besten in der IT Branche ist von uns gegangen.

An der Universität von Stanford (US-Staat Kalifornien) hielt Jobs bereits 2005 vor Absolventen eine denkwürdige Rede. Seine Worte beschreiben das, was ihn antrieb, bewegte, und das, was er fühlte.



STEVE JOBS

„Ich fühle mich geehrt, heute mit euch hier zu sein, bei eurer Abschlussfeier an einer der besten Universitäten, die es auf der Welt gibt. Ich habe nie eine Hochschule abgeschlossen. Um die Wahrheit zu sagen, jetzt gerade bin ich einem Hochschulabschluss am nahsten.


Heute will ich euch drei Geschichten aus meinem Leben erzählen. Das ist alles. Keine große Sache. Nur drei Geschichten.


DIE ERSTE GESCHICHTE HANDELT VOM VERBINDEN DER PUNKTE


Ich bin aus dem Reed College nach sechs Monaten ausgeschieden (...).Aber, warum bin ich ausgeschieden?


Es begann noch bevor ich geboren wurde.


Meine leibliche Mutter war eine junge, unverheiratete Uni-Absolventin und sie entschied sich, mich zur Adoption freizugeben. Sie war sehr davon überzeugt, dass ich von Leuten mit einem Universitätsabschluss adoptiert werden sollte, so wurde alles dafür arrangiert, dass ich bei der Geburt von einem Anwalt und seiner Frau adoptiert werde. Doch genau als ich auf die Welt kam, entschieden diese sich, dass sie eigentlich doch viel lieber ein Mädchen hätten.


So wurden meine Eltern, die auf der Warteliste standen, mitten in der Nacht angerufen und gefragt: „Wir haben ein unerwarteten kleinen Jungen; Wollen sie ihn?“ Sie sagten: „Natürlich.“


Meine leibliche Mutter fand später heraus, dass meine Mutter nie eine Universität absolviert hatte mein Vater nie eine Mittelschule abgeschlossen hatte. Sie weigerte sich, die Adaptionspapiere zu unterschreiben.


Wenige Monate später war sie doch damit einverstanden, als meine Eltern versprochen hatten, dass ich irgendwann zur Universität gehen würde.


Und 17 Jahre später ging ich auf die Hochschule.


Aber aus Naivität habe ich ein College ausgesucht, dass so teuer war wie Stanford. Alle Ersparnisse meiner Eltern gingen für die Uni-Gebühren drauf. Nach sechs Monaten konnte ich den Wert darin nicht sehen. Ich hatte keine Ahnung, was ich in meinem Leben tun würde und keine Ahnung, wie mich die Universität darin unterstützen sollte, das herauszufinden.


Und da stand ich nun, hatte das ganze ersparte Geld meiner Eltern verbraucht, das sie in ihrem Leben erarbeitet hatten. Ich entschied mich, die Schule zu verlassen und daran zu glauben, dass alles irgendwie OK gehen würde. Es war ziemlich beängstigend damals, aber rückblickend war es eine der besten Entscheidungen, die ich je getroffen habe.


Ab der Sekunde, in der ich ausschied, konnte ich aufhören, die Kurse zu besuchen, die mich nicht interessierten, und mit denen beginnen, die für mich interessant waren.


Die Reed Universität bot zu dieser Zeit einen der besten Kalligraphie-Kurse im Land an. Quer durch den ganzen Campus war jedes Poster, jedes Schild auf jeder öffentlichen Fläche wunderschön von Hand mit kalligraphischer Schrift versehen.


(...) Ich entschied mich für einen Kalligraphie-Kursus, um zu lernen, wie man das macht. Ich lernte über Serif- und San-Serif-Schriftarten, über die unterschiedlichen Freiraum-Größen zwischen den verschiedenen Buchstabenkombinationen, über das, was großartige Typografie großartig macht.


Es war wunderschön, historisch, künstlerisch feinsinnig in einer Art und Weise, wie sie Wissenschaft nicht einfangen kann und ich fand es faszinierend.


In nichts von all dem steckte irgendwie die Hoffnung, dass es jemals eine praktische Anwendung finden würde in meinem Leben. Aber zehn Jahre später, als wir den ersten Macintosh-Computer entworfen haben, kam alles doch auf mich zu.


Und wir arbeiteten all das in den Mac ein.


Es war der erste Computer mit wunderschöner Typografie.


Wenn ich diesen Kurs nicht besucht hätte, würde der Mac niemals verschiedene Schriften oder proportional aufgeteilte Freiräume in den Schriftarten haben.


(...) Wäre ich damals nicht ausgeschieden, wäre ich niemals in diese Kalligraphie-Klasse gegangen und PCs hätten nicht die wunderschönen Schriftarten, die sie jetzt haben. Natürlich war es nicht möglich, diese Punkte miteinander zu verbinden, als ich noch in die Zukunft blickte, während ich noch auf der Universität war.


Aber zehn Jahre später ist diese Verbindung sehr, sehr klar.


Nochmal, du kannst Punkte nicht verbinden, wenn du nach vorn blickst. Du kannst Punkte nur verbinden, wenn du zurück blickst. So musst du daran glauben, dass sich die Punkte irgendwie in der Zukunft verbinden werden. Du musst an etwas glauben – deinen Gott, Schicksal, Leben, Karma oder was auch immer. Diese Einstellung hat mich nie im Stich gelassen und machte den erheblichen Unterschied in meinem Leben.


MEINE ZWEITE GESCHICHTE IST ÜBER LIEBE UND VERLUST


Ich hatte Glück – Ich fand, was ich geliebt habe, ziemlich früh im Leben.


Woz und ich starteten Apple in der Garage meiner Eltern, als ich 20 war. Wir arbeiteten hart und in zehn Jahren wuchs Apple von den zwei, die wir waren, zu einem 2-Milliarden-Dollar-Unternehmen mit mehr als 4000 Mitarbeitern heran.


Wir hatten damals unser feinstes Stück geschaffen – den Macintosh – ein Jahr bevor ich 30 wurde. Und dann wurde ich gefeuert.


Wie kann jemand gefeuert werden, wenn er das Unternehmen gegründet hatte?


Naja, als Apple wuchs, stellten wir jemanden ein, bei dem ich glaubte, er sei sehr talentiert darin, das Unternehmen mit mir zu leiten und für das erste Jahr oder so liefen die Dinge gut. Aber als unsere Visionen für die Zukunft begonnen haben sich zu unterscheiden, kam es zu einer Auseinandersetzung. Als wir diese hatten, war die Chefetage auf seiner Seite. Also war ich mit 30 draußen. Und sogar ziemlich öffentlich rausgeworfen.


Das, was mein einziges Ziel meines erwachsenen Lebens war, war nun vorbei und verwüstet.


Ich wusste wirklich nicht, was ich tun sollte einige Monate lang.


Ich habe mich so gefühlt, als hätte ich die vorangegangene Unternehmer-Generation in Stich gelassen, als hätte ich die Stafette fallen lassen, genau als diese mir übergeben wurde.


Ich habe mich mit David Packard und Bob Noyce getroffen und versucht, mich zu entschuldigen, dass ich das alles so schlimm verkorkst habe. Mein Versagen wurde in der Öffentlichkeit ziemlich breitgetreten und ich überlegte sogar, aus der Gegend wegzuziehen.


Aber etwas dämmerte mir langsam – ich liebte immer noch, das was ich tat. Und so entschied ich mich, von Neuem zu beginnen.


Ich hatte es damals nicht gesehen, aber es stellte sich heraus, dass von Apple gefeuert zu werden das Beste war, was mir je hätte passieren können.


Der Druck des Erfolges war von der Leichtigkeit, wieder ein Anfänger zu sein, komplett ersetzt worden, und das in allen Dingen. Es befreite mich, um eine der kreativsten Phasen in meinem Leben betreten zu können.


Während der folgenden fünf Jahre startete ich eine Firma namens NeXT, eine andere Firma namens Pixar und verliebte mich in eine wundervolle Frau, die später meine Frau wurde.


Pixar entwickelte den ersten animierten Computerfilm der Welt, Toy Story, und ist zur Zeit das erfolgreichste Animationsstudio der Welt. In einer bemerkenswerten Wendung der Dinge kaufte Apple NeXT und ich war zurück bei Apple und die Technologie, die wir bei NeXT entwickelt haben, ist nun das Herzstück der Renaissance der jetzigen Apple-Computer.


Und Laurene und ich haben eine wundervolle Familie zusammen.


Ich bin mir ziemlich sicher, nichts von dem wäre jemals geschehen, wenn ich nicht bei Apple gefeuert worden wäre.


Es war bitter schmeckende Medizin, aber es war genau die, die ich benötigte.


Manchmal trifft dich das Leben mit einem Ziegelstein auf den Kopf. Verliere nicht deinen Glauben.


Ich bin überzeugt, dass das Einzige, was mich zum Weitermachen brachte, war, dass ich geliebt habe, was ich tat. Man muss das finden, was man liebt. Das ist wahr in Bezug auf die Arbeit wie auch im Liebesleben.


Arbeit wird einen großen Teil des Lebens ausmachen und der einzige Weg, um wirklich erfüllt zu sein, ist das zu tun, wovon man glaubt, es sei eine großartige Arbeit. Und der einzige Weg, großartige Arbeit zu tun, ist zu lieben was man tut.


Wenn du es bis jetzt nicht gefunden hast, dann suche weiter. Bleibe nicht stehen. Mit allen Fasern deines Herzen wirst du es spüren, wenn du es gefunden hast. Und wie jede große Beziehung wird es besser und besser, wenn die Jahre vergehen. Also schaue dich um, bis du es gefunden hast. Bleibe nicht stehen.


MEINE DRITTE GESCHICHTE IST ÜBER DEN TOD


Als ich 17 war, las ich ein Zitat das ungefähr so klang:


„Wenn du jeden Tag so lebst, als wäre es dein letzter, wird es höchstwahrscheinlich irgendwann richtig sein.“


Es hatte mich beeindruckt und seit damals über 33 Jahre habe ich jeden Morgen in den Spiegel geschaut und mich selbst gefragt: „Wenn heute der letzte Tag in meinem Leben wäre, würde ich das tun, was ich mir heute vorgenommen habe zu tun?“ Und jedes Mal wenn die Antwort „nein“ war für mehrere Tage hintereinander, wusste ich, ich muss etwas verändern.


Mich zu erinnern, dass ich bald tot sein werde, war für mich das wichtigste Werkzeug, das mir geholfen hat, alle diese großen Entscheidungen zu treffen.


Weil fast alles – alle äußeren Erwartungen, der ganze Stolz, die ganze Angst vor dem Versagen und der Scham – diese Dinge fallen einfach weg angesichts des Todes und es bleibt nur mehr das, was wirklich wichtig ist. Sich zu erinnern, dass man sterben wird, ist der beste Weg, den ich kenne, um der Falle zu entgehen und zu glauben man hätte etwas zu verlieren. Du bist vollkommen nackt. Es gibt keinen Grund, um nicht seinen Herzen zu folgen.


Ungefähr vor einem Jahr wurde bei mir Krebs diagnostiziert.


Ich hatte eine Untersuchung um 7:30 in der Früh und es war deutlich ein Tumor auf meiner Bauchspeicheldrüse zu sehen. Ich wusste nicht mal, was eine Bauchspeicheldrüse ist. Der Arzt sagte mir, dass das bereits eine Form des Krebs sei, der unheilbar ist und dass ich damit rechnen solle, dass ich nicht mehr länger als drei bis sechs Monate zu leben habe. Der Arzt riet mir nach Hause zu gehen und meine Angelegenheiten alle in Ordnung zu bringen, was die Ärzte normal sagen, wenn sie sagen, man soll sich vorbereiten zu sterben. Es bedeutet zu versuchen, den Kindern das beizubringen und zu erklären, was man normalerweise geglaubt hat, man könnte es in den nächsten zehn Jahren tun, doch nun in einigen Monaten. Es bedeutet, dass alles geklärt sein soll, damit es später so leicht als möglich für die eigene Familie wird. Es bedeutet, sich zu verabschieden.


Ich lebte mit dieser Diagnose den ganzen Tag.


Später am Abend hatte ich eine Biopsie, wo sie mir ein Endoskop in den Hals gesteckt haben, durch meinen Magen in die Eingeweide, wo sie mit einer Nadel einige Zellen von dem Tumor abgeschabt haben. Ich war betäubt, aber meine Frau, die da war, erzählte mir, dass als sie sich die Zellen unter dem Mikroskop angesehen haben, die Ärzte zu weinen begannen, weil es sich herausstellte, dass es eine ganz seltene Form von Bauchspeicheldrüsenkrebs ist, der mit einer Operation heilbar ist.


Ich hatte die Operation und bin nun gesund.


Da war ich dem Tode am nahesten gekommen und ich hoffe, das wird auch so bleiben für die nächsten Jahrzehnte. Das nun durchlebt zu haben, gibt mir die Möglichkeit, euch mit mehr Gewissheit sagen zu können, dass der Tod ein rein nützliches geistiges Konzept ist.


Niemand will sterben. Nicht mal Menschen, die in den Himmel kommen wollen, wollen sterben, um dorthin zu gelangen. Und dennoch ist der Tod das Schicksal, das wir alle teilen.


Niemand ist jemals entkommen.


Und das ist so, wie es sein sollte, weil der Tod möglicherweise die beste Erfindung des Lebens ist.


Es ist der Vertreter des Lebens für die Veränderung. Es räumt das Alte weg, um Platz zu machen für das Neue.


Gerade jetzt seid das Neue ihr, aber eines Tages, nicht sehr viel später, werdet ihr langsam zum Alten gehören und weggeräumt werden. Tut mir leid, dass ich so dramatisch bin. Aber es ist die Wahrheit.


Deine Zeit ist begrenzt, also verbrauche sie nicht, um das Leben anderer zu leben.


Sei nicht gefangen von Dogma, das nur Leben nach den Überlegungen anderer Leute bedeutet. Lass nicht den Krach anderer Meinungen die eigene innere Stimme zum Verstummen bringen.


Und das Allerwichtigste, habe den Mut, dem eigenen Herzen und der Intuition zu folgen. Diese wissen irgendwie schon genau, was du wirklich sein willst. Alles andere ist zweitrangig.


Als ich jung war, gab es eine erstaunliche Veröffentlichung, genannt „The Whole Earth Catalog“, welches eine der Bibeln meiner Generation war.


Es war erschaffen von einem Kollegen mit Namen Stewart Brand nicht weit von hier im Menlo Park. Das war in den späten 60er-Jahren, bevor es noch PCs und desktop publishing gab, damals wurde alles mit Schreibmaschinen, Scheren und Polaroid-Kameras gemacht. Es war so etwas wie Google in Papierformat, 35 Jahre bevor Google auftauchte. Es war ideologisch und überfüllt mit ordentlichen Feinheiten und großartigen Gedanken.


Stewart und sein Team haben mehrere Versionen vom „The Whole Earth Catalog“ rausgebracht, bis es zum Ende kam und sie eine letzte finale Version veröffentlichten.


Es war Mitte der 70er und ich war in eurem Alter. Auf der Rückseite der letzten Version war eine Abbildung von einer Landstraße früh am Morgen, die Art von Landstraße, an der man als Anhalter stehen würde, wenn man ein Abenteurer wäre. Darunter standen die Wörter:


„Bleib hungrig, bleib töricht.“


Es war ihre finale Nachricht, als sie aufgehört haben. Bleib hungrig. Bleib töricht. Und das wünschte ich mir immer für mich selbst. Und jetzt, da ihr nun absolviert und neu beginnt, wünsche ich euch dasselbe.


Bleibt hungrig. Bleibt töricht.


Vielen Dank an alle.“


Der Text basiert auf einer Übersetzung des österreichischen Blogs „Humanity“. Überarbeitung durch Bild.de

06.10.2011 20:47 Uhr

Freitag, 1. Juli 2011

TDSS - Malware 3.0

In den letzten Monaten Monaten ist sehr viel im Underground geschehen.Soney wurde gehackt,die beiden Gruppen Anonymous und LulzSec haben einen sehr großen Bekanntheitsgrad erreicht durch ihre Attacken. Im Underground wurde der Source-Code des Banking Trojaners ZeUs veröffentlicht. Aber keiner dieser berichte hat meine Aufmerksamkeit so erregt wie die neue Version des Rootkits TDSS.

TDSS in der neuen Version TDL-4 ist ein Rootkit welches von Kaspersky Labs entdeckt wurde und durch seine Funktionen als unverwühstbar gield. Aber was macht TDL-4 so besonders gegenüber anderen Botnetzen. Wie wir wissen ist der Schachpunkt eines Botnetzes immer der C&C Server und im Laufe der zeit haben Professionelle Cyberkriminelle immer wider versucht ihre Server zu verstecken durch Techniken wie Fast-Flux oder Domain-Flux.

TDL-4 ist ein P2P Bot welcher auch ohne ein Command & Control Server befehle der Herder entgegennehmen kann. Dazu ein Auszug aus einer Analyse von Kaspersky.

--------------------------------------------------------------------------------------
by Kaspersky Labs
Zugriff des Botnetzes auf das Kad-Netz

Eine der bedeutendsten Neuheiten der Version TDL-4 besteht in dem Modul kad.dll, das eine Zugriffsmöglichkeit des TDSS-Botnetzes auf das Kad-Netz bietet. Doch wofür brauchen die Cyberkriminellen ein Filesharing-Netzwerk?

Botnetze, die über P2P-Protokolle gesteuert werden, sind schon seit langem bekannt, doch handelte es sich dabei bisher um verborgene Verbindungsprotokolle, die von Cyberkriminellen entwickelt wurden. TDSS nutzt hingegen ein öffentliches P2P-Netz, um die Befehle der Botnetzbetreiber an alle Rechner im Zombie-Netzwerk weiterzuleiten. Die Kommunikation von TDSS mit diesem Netz stellt sich folgendermaßen dar:

1. In dem öffentlichen Netz Kad ermöglichen die Cyberkriminellen den Zugriff auf eine Datei mit der Bezeichnung „ktzerules“. Die Datei ist verschlüsselt und enthält die Befehlsliste für TDSS.

2. Die mit TDSS infizierten Computer empfangen den Befehl zum Download und zur Installation des Moduls kad.dll.

3. Die installierte Datei kad.dll lädt die Datei nodes.dat, die wiederum eine öffentliche Liste von IP-Adressen der Server und Clients des Kad-Netzes enthält.

4. Im öffentlichen Netz Kad sendet das Modul kad.dll eine Suchanfrage nach der Datei ktzerules.

5. Nach Download und Entschlüsselung der Datei ktzerules führt kad.dll die in ktzerules enthaltenen Befehle aus.



Nachfolgend eine Aufstellung der Befehle, die in der verschlüsselten Datei ktzerules enthalten sind.
- SearchCfg – Suche nach einer neuen ktzerules-Datei im Kad-Netz
- LoadExe – Laden und Starten der ausführbaren Datei
- ConfigWrite – Eintragung in cfg.ini
- Search – Datei im Kad-Netz suchen
- Publish – Datei im Kad-Netz veröffentlichen
- Knock – vom Steuerzentrum eine neue Datei nodes.dat herunterladen, die eine Liste der IP-Adressen der Server und Clients des Kad-Netzes enthält, darunter auch die mit TDSS infizierten Computer.

Für Kaspersky ist der Befehl Knock besonders Interessant. Mit Hilfe dieses Befehls sind die die Cyberkriminellen in der Lage ihr eigenes P2P-Kad-Netz aufzubauen, deren einzige Kunden mit TDSS infizierte Computer sind.


Eine Überschneidung des öffentlichen und geschlossenen KAD-Netzes

Bei der Steuerung des TDSS-Botnetzes ist das Modul kad.dll im Grunde identisch mit cmd.dll. Indem sie mit den Dateien nodes.dat und ktzerules operieren, sind die Botnetzbetreiber in der Lage, infizierte Computer an das öffentliche Netz Kad anzuschließen und sie auch wieder davon auszuschließen. Während in der Datei nodes.dat die IP-Adressen aller Teilnehmer des Netzes Kad stehen, enthält ktzerules den Befehl für den Download einer neuen nodes.dat-Datei von den Servern der Cyberkriminellen. Zum öffentlichen Kad-Netz gehören nicht mehr als zehn mit TDSS infizierte Computer. Dadurch wird der Austauschprozess der Datei ktzerules so ineffizient wie nur möglich gemacht und behindert damit die Übernahme des Botnetzes durch andere Cyberkriminelle. Die Zahl der zu dem geschlossenen Netz gehörenden Computer, die mit TDSS infiziert sind, beträgt einige zehntausend.


Teil des Codes von kad.dll, der für die Übermittlung der Befehle
der Cyberkriminellen an TDL-4 verantwortlich ist

Zudem ermöglicht der Zugriff auf das Kad-Netz den Cyberkriminellen, beliebige Dateien auf die zum Botnetz gehörenden Computer zu laden und sie für die Nutzer des P2P-Netzes verfügbar zu machen – egal, ob es sich dabei um pornografische Inhalte oder um gestohlene Datenbanken handelt.

Die Gefährlichkeit eines derartigen Botnetzes besteht darin, dass die Botnetzbetreiber selbst dann die Kontrolle über die infizierten Rechner behalten, wenn die Steuerungszentralen offline genommen werden. Allerdings hat ein solches System auch seine Tücken:

1. Mit der Nutzung des öffentlichen Kad-Netzes riskieren die Cyberkriminellen, mit falschen Befehlen für ihr Botnetz konfrontiert zu werden.

2. Bei der Entwicklung des Moduls kad.dll, das die Zusammenarbeit mit dem Kad-Netz sicherstellt, wird Code verwendet, der unter die freie Software-Lizenz GPL fällt . Das bedeutet, dass die Autoren die Lizenzvereinbarung verletzen.
------------------------------------------------------------------------------------

TDSS nutzt während seiner Arbeit verschiedene Quellen, um an die Domainlisten der Command & Control-Server zu gelangen. Standardmäßig wird die Liste der Datei cmd.dll entnommen. Sollten die Server aber nicht verfügbar sein, wird die Liste aus cfg.ini gezogen. Steht in der Liste von cfg.ini aus einem unersichtlichen Grund kein einziger C&C, wird die Liste aus der verschlüsselten Datei bckfg.tmp zusammengestellt, die der Bot vom Command & Control-Server bei der ersten Verbindung mit diesem erhalten hat. Seit Anfang des Jahres wurden um die 60 C&Cs des Botnetzes ausfindig gemacht.

P2P Botnetze sind nicht neu,schon der bekannte Storm Worm nutze P2P Techniken um mit seinen Dronen zu Kommunizieren,dabei verwendete er aber eine BulletProof Domain mit Fast-Flux Technik um seinen C&C zu verbergen. TDL-4 kann aber auch ohne ein C&C auskommen und Befehle entgegen nehmen. Dieses erschwert es um so mehr das gesammte Botnetz still legen zu können.

Quellen:
http://www.viruslist.com/de/analysis?pubid=200883742

http://www.securelist.com/en/analysis/204792180/TDL4_Top_Bot
http://www.securelist.com/en/analysis/204792157/TDSS_TDL_4
http://www.securelist.com/en/analysis/204792157/TDSS_TDL_4
http://www.securelist.com/en/analysis/204792131/TDSS
http://www.securelist.com/en/blog/208188095/TDSS_loader_now_got_legs
http://www.securelist.com/en/blog/337/TDL4_Starts_Using_0_Day_Vulnerability

Dienstag, 22. März 2011

A Stark Message to Cybercriminals: You Are Not Invisible, You Are Not Beyond the Law

Originalartikel von Ranieri Romera (Senior Threat Researcher)

An alle Cyber-Kriminellen: Ihr seid nicht unsichtbar. Ihr steht nicht über dem Gesetz.
Sicherheitsforscher beobachten Täglich auf der ganzen Welt die Aktivitäten, das Verhalten und die Forenkommunikation von Cyber-Kriminellen, um herauszufinden, wie digitale Dateien sicher ausgetauscht werden.

Neben dem Verhindern von Angriffen sammeln wir auch Informationen und geben sie an Strafverfolgungsbehörden weiter.Seit einer Weile schon ist trend Micror einem ganz bestimmten Kriminellen auf der Spur, den sie hier Mr L. Er späht nichtsahnende Anwender aus, und zwar überwiegend in Chile und Mexiko.Laut Trend Micro jüngsten Informationen ist er noch immer fleißig dabei, Daten und Geld zu stehlen. Erst letzte Woche haben sie einen aktiven C&C sowie andere kriminelle Tools entdeckt, darunter auch ein Tool, das auf einer personalisierten Version des CrimePack Exploit Pack basiert. Auch bei seinen früheren Bot-Netzen ist Mr L. so vorgegangen.

Das erste Bot-Netz, das Trend Micro gefunden hatte, hieß Tequila. Darauf folgten Mariachi sowie die Twitter-Bot-Netze Alebrije und Mehika. Zusammen sind diese Bot-Netze unter dem Namen „Botnet PHP family“ bekannt.

Die Angriffe begannen im Mai 2010. Damals erhielten Anwender in Mexiko eine E-Mail, dass es angeblich „Nacktfotos“ von der Mutter eines verschwundenen vierjährigen Mädchens gäbe. Mit diesem Köder wurden Anwender dazu gebracht, über einen bösartigen Link eine betrügerische Anwendung herunterzuladen.

Ein interessantes Ergebnis der Analyse von Trend Micro war, dass das Skript, mit dem der Bot-Client installiert wurde, ganz bestimmte Wörter und Begriffe enthielt. Damals konnten Trend Micro zwar noch nichts mit ihnen anfangen.

Bei den Nachforschungen suchte Trend micro nach einem aktiven C&C, den sie schließlich unter http://www.botnet.{GESPERRT}.tk/Admin fanden. Unter dieser URL fanden sie weitere Informationen über den Autor … Auf der Anmeldeseite warb er sogar für seine Dienste – und veröffentlichte seinen Namen, seine E-Mail-Adressen und seine Mobilnummer!

Nun hatten sie also einen Namen, zwei E-Mail-Adressen und eine Telefonnummer, die in der mexikanischen Stadt Guadalajara gemeldet war. So gelang es ihnen, Mr L. zu finden.

Wie bereits erwähnt, ist es eine Richtlinie von Trend Micro, alle relevanten Informationen zu kriminellen Aktivitäten an die Strafverfolgungsbehörden weiterzugeben.

Sollten Sie mit dem Gedanken spielen, auch kriminell tätig zu werden – tun Sie es nicht!

trend Micro ist Folgendes über Mr L. bekannt:

Er scheint 1987 geboren zu sein und bei Netec zu studieren. Er wohnt in Zapopan, Mexiko.
Trend Micro kennt seine Gmail- und Hotmail-Kontodaten.
Sie kennen auch die Angaben, Fotos, Benutzernamen und anderen Informationen, die er in Kontaktnetzwerken veröffentlichte.

Denkt immer daran: Was immer ihr im Internet tun, ob gut oder böse – Ihr hinterlassen immer eine Spur.

22.03.2011 15:33 Uhr

Quellen: http://blog.trendmicro.de & http://blog.trendmicro.com

PDF
http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/discerning_relationships__september_2010_.pdf

Donnerstag, 10. März 2011

Pwn2Own-Wettbewerb

Es ist mal wider so weit,die Jährliche Sicherheitskonferenz CanSecWest findet im Sonnigen Vancouver statt mit ihrem beliebten Wettkampf Pwn2own.Der erste Tag des Pwn2Own-Wettbewerbs war den Browsern Safari, Internet Explorer und Chrome gewidmet.

Durch Losentscheid musste sich Safari unter MacOS X als erster behaupten und V das Team des französischen Sicherheitsdienstleisters VUPEN hatte prompt Erfolg und konnte zum Beweis auf der Mac-Oberfläche einenTaschenrechner startete.Das Team benutzte eine Sicherheitslücke in WebKit aus, an dem sie nach eigenen Angaben zwei Wochen lang gearbeitet hatten.Details zu den Lücken hält der Veranstalter unter Verschluss, bis der Hersteller Patches ausliefert.

Auch der Internet Explorer 8 wurde sehr schnell durch den Iren und Metasploit-Entwickler Stephen Fewer gehackt.Fewer musste allerdings ganze drei unterschiedlichen Sicherheitslücken miteinander verbinden, um den Protected Mode des Browsers und weitere Schutzmechanismen auszuhebeln.Die 64-Bit-Betriebssysteme besaßen alle den aktuellsten Patchstand und Sicherheitsmechanismen wie DEP (Data Execution Prevention) und ALSR (Address Space Layout Randomization) mussten überwunden werden, um den elektronischen Taschenrechner aufzurufen.

Google-Browser bleibt zum dritten Mal in Folge ungehackt und das obwohl es zwei Anmeldungen gab. Einer der Teilnehmer tauchte beim Wettbewerb nicht auf und der andere gab gegenüber den Organisatoren an, dass er keinen funktionierenden Exploit hätte. Google hatte eine zusätzliche Prämie von 20.000 US-Dollar ausgelobt.

Am zweiten Tag kommen Firefox und ein Teil der Telefone iPhone 4, Blackberry Torch, Google Nexus S und Dell Venue an die Reihe.Mit von der Partie ist George 'Geohot' Hotz der überraschenderweise nicht das iPhone greift sondern sich am Dell Venue versuchet.

Update: 11.03.2011
iPhone und Blackbarry wurden geknackt,FIrefox kamm nochmal davon.


Quelle: http://www.heise.de

Größe ist nicht alles

Eine Aktuelle Studie über Botnetze von der European Network and Information Security Agency kurz ENISA zeigt das die größe der Netze keinen einfluss auf ihre Bedrohung hat.Der Bericht "Botnets: Measurement, Detection, Disinfection and Defence" (PDF-Datei) zeigt verschiedene Methoden in den einzelnen Disziplinen auf wie Fast-Flux,Peer-to-Peer und Locomotive Botnetze.

Laut ENISA müssten vielmehr die einzelnen Risiken für unterschiedliche Interessengruppen bewertet werden und wie groß etwa drohende Schäden für einzelne Gruppen seien, heißt es.Die Erfassung von Botnetzen sei so schon schwierig, weil etwa hinter einem Gateway liegende Bots in einem Firmennetz nur unter einer IP-Adresse erscheinen.

Die ENISA macht in ihrem Bericht auch Vorschläge, was sich über die technisch größtenteils bereits gelösten Probleme hinaus noch auf organisatorischer und politischer Ebene tun muss, um Botnetze künftig besser bekämpfen zu können. ISPs müssten einen finanziellen Anreiz bekommen damit sie ihre Kunden bei der Malware-Bekämpfung unterstützen. Zudem müsse die Wertschöpfungskette der Botnetz-Betreiber angegriffen werden, um den Betrieb unprofitabel zu machen.

Bei der Bekämpfung und Verfolgung von Botnetzen sei auch die unterschiedliche Gesetzgebung in Europa. So sei etwa nicht einheitlich geregelt, ob eine IP-Adresse bereits zu personenbezogenen Daten gehört oder nicht. Darüber hinaus müsse der Informationsaustausch in den EU-Ländern verbessert werden.

Quelle: http://www.heise.de

Montag, 14. Februar 2011

The Light It Up Contest -- geohot

Der Hacker George 'Geohot' Hotz liefert sich derzeit noch immer einen Rechtsstreit mit Sony und die Klappe hält er trotzdem nicht: In einem Video auf Youtube greift er Rapend den Hersteller der Playstation 3 frontal an.

Geohot gibt nicht klein bei: "Ihr legt euch mit dem Typ an, der die Schlüssel zu eurem Tresor hat", heißt es in dem Video, das im Rahmen eines Wettbewerbs entstanden ist. Sich selbst sieht Geohot als "eine Personifikation der Freiheit für alle".



14.02.2011 13:32 Uhr

Samstag, 8. Januar 2011

Sonntag, 2. Januar 2011

Das Ende von Bredolab

So die Feiertage sind nun zu Ende und ich komme endlich mal dazu eine News über das Bredolab Botnet zu verfassen.Am 25. Oktober 2010 teilte die für den Kampf gegen Cyberkriminalität zuständige Abteilung der niederländischen Polizei mit, dass 143 Kontrollserver des Botnetzes Bredolab unschädlich gemacht wurden.Nur einen Tag später wurde am internationalen Flughafen Jerewan einer der Betreiber des stillgelegten Zombie-Netzes festgenommen.

Das Controll Panel für die Downloads, das den Loader (Backdoor.Win32.Bredolab) enthält, wurde unter dem Namen BManager in Hackerforen zum Verkauf angeboten.Für die Verbreitung des schädlichen Bot-Programms dienten gehackte legitime Webseiten, die Besucher auf schädliche Ressourcen umleiteten, von denen aus ihre Computer mit Backdoor.Win32.Bredolab infiziert wurden.





Bredolab lud ein überaus breites Spektrum an Malware auf die Computer seiner Opfer:

Trojan-Spy.Win32.Zbot (Zeus)
Trojan-Spy.Win32.SpyEyes (SpyEye)
Trojan-Spy.Win32.BZub (Agend DQ)
Backdoor.Win32.HareBot
Backdoor.Win32.Blakken
Backdoor.Win32.Shiz
Trojan-Dropper.Win32.TDSS
Trojan-Ransom.Win32.PinkBlocker
Trojan.Win32.Jorik.Oficla (myLoader)

Backdoor.Haxdoor (A-311 Death)
Backdoor.Rustock
Downloader.MisleadApp
Hacktool.Rootkit (Hacker Defender)
Infostealer
Trojan.FakeAV
Trojan.KillAV
Trojan.Pandex
Trojan.Srizbi
W32.Koobface
W32.Waledac

Nachdem der Browser des Anwenders mit Hilfe von Pegel oder Iframe auf eine schädliche Webseite umgeleitet worden war, wurde von dort aus der JavaScript-Code über folgende Lücken (CVE-2006-0003, CVE-2008-1084, CVE-2008-2463) geladen:




Die in den schädlichen Links enthaltenen Domains waren in verschiedenen Domain-Zonen registriert: ru, info, at, com. Jede Domain verfügte über fünf IP-Adressen, die ihrerseits wiederum mit einer Vielzahl von schädlichen Domains in Verbindung standen.

Image and video hosting by TinyPic

Das oben Beschriebene erinnert an die Funktion von Fast-Flux-Netzen, genauer gesagt an Double-Flux-Netze, bei denen sich auch die Adresse der DNS-Server ändert.


Die Betreiber des Bredolab-Botnetzes haben ein 30 Millionen Rechner umfassendes Zombie-Netzwerk aufgebaut, das über einen längeren Zeitraum funktioniert hat. Um das Botnetz in funktionsfähigem Zustand zu erhalten, haben die Cyberkriminellen das Steuerungszentrum des Botnetzes überaus klug und effektiv versteckt, indem sie die Technik von Fast-Flux-Netzen nutzten. Ein solches Schema gewährleistet nicht nur eine hohe Fehlertoleranz des Botnetz-Steuerungszentrums, sondern es erleichtert auch die Steuerung des schädlichen Contents: Anstatt die schädlichen Webseiten auf einer Vielzahl von Knoten zu verwalten, reicht es aus, eine solche Webseite auf dem Kommandozentrum zu platzieren und Redirects zu ihr einzurichten.

Angesichts seiner Komplexität ist es unwahrscheinlich, dass das Bredolab-Botnetz von nur einer Person kontrolliert wurde. Allerdings ist bisher nur von der Verhaftung eines Kriminellen die Rede, der mit diesem Botnetz in Verbindung steht. Es kann also sein, dass die übrigen Mitglieder der kriminellen Gruppe ihre Geschäfte fortführen werden, da das von ihnen erdachte und in die Tat umgesetzte Schema äußerst effizient ist.

03.01.2011 08:54 Uhr