ratNetw0rk Statistik

Dienstag, 22. März 2011

A Stark Message to Cybercriminals: You Are Not Invisible, You Are Not Beyond the Law

Originalartikel von Ranieri Romera (Senior Threat Researcher)

An alle Cyber-Kriminellen: Ihr seid nicht unsichtbar. Ihr steht nicht über dem Gesetz.
Sicherheitsforscher beobachten Täglich auf der ganzen Welt die Aktivitäten, das Verhalten und die Forenkommunikation von Cyber-Kriminellen, um herauszufinden, wie digitale Dateien sicher ausgetauscht werden.

Neben dem Verhindern von Angriffen sammeln wir auch Informationen und geben sie an Strafverfolgungsbehörden weiter.Seit einer Weile schon ist trend Micror einem ganz bestimmten Kriminellen auf der Spur, den sie hier Mr L. Er späht nichtsahnende Anwender aus, und zwar überwiegend in Chile und Mexiko.Laut Trend Micro jüngsten Informationen ist er noch immer fleißig dabei, Daten und Geld zu stehlen. Erst letzte Woche haben sie einen aktiven C&C sowie andere kriminelle Tools entdeckt, darunter auch ein Tool, das auf einer personalisierten Version des CrimePack Exploit Pack basiert. Auch bei seinen früheren Bot-Netzen ist Mr L. so vorgegangen.

Das erste Bot-Netz, das Trend Micro gefunden hatte, hieß Tequila. Darauf folgten Mariachi sowie die Twitter-Bot-Netze Alebrije und Mehika. Zusammen sind diese Bot-Netze unter dem Namen „Botnet PHP family“ bekannt.

Die Angriffe begannen im Mai 2010. Damals erhielten Anwender in Mexiko eine E-Mail, dass es angeblich „Nacktfotos“ von der Mutter eines verschwundenen vierjährigen Mädchens gäbe. Mit diesem Köder wurden Anwender dazu gebracht, über einen bösartigen Link eine betrügerische Anwendung herunterzuladen.

Ein interessantes Ergebnis der Analyse von Trend Micro war, dass das Skript, mit dem der Bot-Client installiert wurde, ganz bestimmte Wörter und Begriffe enthielt. Damals konnten Trend Micro zwar noch nichts mit ihnen anfangen.

Bei den Nachforschungen suchte Trend micro nach einem aktiven C&C, den sie schließlich unter http://www.botnet.{GESPERRT}.tk/Admin fanden. Unter dieser URL fanden sie weitere Informationen über den Autor … Auf der Anmeldeseite warb er sogar für seine Dienste – und veröffentlichte seinen Namen, seine E-Mail-Adressen und seine Mobilnummer!

Nun hatten sie also einen Namen, zwei E-Mail-Adressen und eine Telefonnummer, die in der mexikanischen Stadt Guadalajara gemeldet war. So gelang es ihnen, Mr L. zu finden.

Wie bereits erwähnt, ist es eine Richtlinie von Trend Micro, alle relevanten Informationen zu kriminellen Aktivitäten an die Strafverfolgungsbehörden weiterzugeben.

Sollten Sie mit dem Gedanken spielen, auch kriminell tätig zu werden – tun Sie es nicht!

trend Micro ist Folgendes über Mr L. bekannt:

Er scheint 1987 geboren zu sein und bei Netec zu studieren. Er wohnt in Zapopan, Mexiko.
Trend Micro kennt seine Gmail- und Hotmail-Kontodaten.
Sie kennen auch die Angaben, Fotos, Benutzernamen und anderen Informationen, die er in Kontaktnetzwerken veröffentlichte.

Denkt immer daran: Was immer ihr im Internet tun, ob gut oder böse – Ihr hinterlassen immer eine Spur.

22.03.2011 15:33 Uhr

Quellen: http://blog.trendmicro.de & http://blog.trendmicro.com

PDF
http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/discerning_relationships__september_2010_.pdf

Donnerstag, 10. März 2011

Pwn2Own-Wettbewerb

Es ist mal wider so weit,die Jährliche Sicherheitskonferenz CanSecWest findet im Sonnigen Vancouver statt mit ihrem beliebten Wettkampf Pwn2own.Der erste Tag des Pwn2Own-Wettbewerbs war den Browsern Safari, Internet Explorer und Chrome gewidmet.

Durch Losentscheid musste sich Safari unter MacOS X als erster behaupten und V das Team des französischen Sicherheitsdienstleisters VUPEN hatte prompt Erfolg und konnte zum Beweis auf der Mac-Oberfläche einenTaschenrechner startete.Das Team benutzte eine Sicherheitslücke in WebKit aus, an dem sie nach eigenen Angaben zwei Wochen lang gearbeitet hatten.Details zu den Lücken hält der Veranstalter unter Verschluss, bis der Hersteller Patches ausliefert.

Auch der Internet Explorer 8 wurde sehr schnell durch den Iren und Metasploit-Entwickler Stephen Fewer gehackt.Fewer musste allerdings ganze drei unterschiedlichen Sicherheitslücken miteinander verbinden, um den Protected Mode des Browsers und weitere Schutzmechanismen auszuhebeln.Die 64-Bit-Betriebssysteme besaßen alle den aktuellsten Patchstand und Sicherheitsmechanismen wie DEP (Data Execution Prevention) und ALSR (Address Space Layout Randomization) mussten überwunden werden, um den elektronischen Taschenrechner aufzurufen.

Google-Browser bleibt zum dritten Mal in Folge ungehackt und das obwohl es zwei Anmeldungen gab. Einer der Teilnehmer tauchte beim Wettbewerb nicht auf und der andere gab gegenüber den Organisatoren an, dass er keinen funktionierenden Exploit hätte. Google hatte eine zusätzliche Prämie von 20.000 US-Dollar ausgelobt.

Am zweiten Tag kommen Firefox und ein Teil der Telefone iPhone 4, Blackberry Torch, Google Nexus S und Dell Venue an die Reihe.Mit von der Partie ist George 'Geohot' Hotz der überraschenderweise nicht das iPhone greift sondern sich am Dell Venue versuchet.

Update: 11.03.2011
iPhone und Blackbarry wurden geknackt,FIrefox kamm nochmal davon.


Quelle: http://www.heise.de

Größe ist nicht alles

Eine Aktuelle Studie über Botnetze von der European Network and Information Security Agency kurz ENISA zeigt das die größe der Netze keinen einfluss auf ihre Bedrohung hat.Der Bericht "Botnets: Measurement, Detection, Disinfection and Defence" (PDF-Datei) zeigt verschiedene Methoden in den einzelnen Disziplinen auf wie Fast-Flux,Peer-to-Peer und Locomotive Botnetze.

Laut ENISA müssten vielmehr die einzelnen Risiken für unterschiedliche Interessengruppen bewertet werden und wie groß etwa drohende Schäden für einzelne Gruppen seien, heißt es.Die Erfassung von Botnetzen sei so schon schwierig, weil etwa hinter einem Gateway liegende Bots in einem Firmennetz nur unter einer IP-Adresse erscheinen.

Die ENISA macht in ihrem Bericht auch Vorschläge, was sich über die technisch größtenteils bereits gelösten Probleme hinaus noch auf organisatorischer und politischer Ebene tun muss, um Botnetze künftig besser bekämpfen zu können. ISPs müssten einen finanziellen Anreiz bekommen damit sie ihre Kunden bei der Malware-Bekämpfung unterstützen. Zudem müsse die Wertschöpfungskette der Botnetz-Betreiber angegriffen werden, um den Betrieb unprofitabel zu machen.

Bei der Bekämpfung und Verfolgung von Botnetzen sei auch die unterschiedliche Gesetzgebung in Europa. So sei etwa nicht einheitlich geregelt, ob eine IP-Adresse bereits zu personenbezogenen Daten gehört oder nicht. Darüber hinaus müsse der Informationsaustausch in den EU-Ländern verbessert werden.

Quelle: http://www.heise.de