ratNetw0rk Statistik

Montag, 10. Dezember 2012

Das Botnet im Tor Netzwerk

Security-Street-Blog und viele weitere treffen immer mehr auf Botnetze deren Kommunikation mit
Hilfe des Tor Netzwerkes verschleiert wird.

Bei einer normalen Verbindung eines Botnetzes Sprechen sich Client und Server dirket an.

Bild Gdata

Im Tornetzwerk sieht das aber schon anders aus,die Dronen kontaktieren über das Tor-Netzwerk nur einen Dienst mit einer Pseudo-Adresse wie m4wyxqg7cfbqrwjc.onion, die das Tor-Netz auflöst und vermittelt.

Bild Gdata

Besonders schwer ist eine solches Netzwerk für Trojaner wie Zeus nicht gerade.


                               Example ZeuS
1) Set up ZeuS webpanel the usual way. Webpanel will use port 80.

2) On the webpanel server do:
   1. run sudo apt-get install tor
   2. edit /etc/tor/torrc:

      HiddenServiceDir /var/lib/tor/zeusbot
      HiddenServicePort 13380 127.0.0.1:80

   3. Restart TOR using sudo service tor restart
   4. run cat /var/lib/tor/zeusbot/hostname to get your *.onion domain

3) Make your order:
   Domain: rz26346sssz553un.onion
   Ports: 13380

4) You will recieve your own stub.exe and bridge.dat . This bridge.dat will
   contain your domain, ports and will only work with your unique stub.exe!

5) Build your ZeusBot:


6) Upgrade your bot.exe with the Torifier and you are ready to roll!

Dennoch bieten Tor Hidden Services wie auch Tor selber im allgemeinen keine sonderlich schnell Raketenverbindung was ein ziemliches Handicaps ist, wenn man eine zuverlässige Echtzeit-Kommunikation mit tausenden Dronen benötigt. 

Auch der Blogger von http://www.exposedbotnets.com hatte in den letzten Tagen über ein Botnet berichtet welches sich mit Hilfe von Tor Versteckt.

Server:  uy5t7cus7dptkchs.onion
Port:  16667
Channel:  #5net1
Channel:  #allin 
* Topic for #allin is: !silence on
* Topic for #allin set by sudo at Thu Dec 06 15:52:55 2012
Nick format:  [USA-W7-683960]USER
Oper:suda (suda@admin.invalid)
  
You obviously need to set TOR as your irc proxy to connect. 


Quellen:
http://www.exposedbotnets.com/2012/12/uy5t7cus7dptkchsonion-irc-botnet-hosted.html
http://blog.gdatasoftware.com/blog/article/botnet-command-server-hidden-in-tor.html
http://www.heise.de/security/meldung/Botnetz-versteckt-sich-im-Tor-Netzwerk-1764791.html

mfg Bl4ck r47 10.12.2012 18:37 Uhr

Freitag, 23. November 2012

Underground Takedown

Es ist ein schöner Samstag Morgen und ich stöbere gerade so in meinen Daten als ich eine Liste finde die ich seit Jahren immer Aktuell halte.

Ich nenne sie Underground Takedown.




In dieser Liste sind alle großen Botnet Herder so wie Underground Foren und Bulletproof Hoster aufgelistet die über all die Jahre Versuchten mit Illegalen Mitteln Geld zu verdienen und doch Gescheitert sind.

Schaut man sich den Bereich der Botnetze genauer an so wird man feststellen das ein Botnet vom Tag seiner Entdeckung bis zum Takedown 2 Jahre Online wahr im durchschnitt.Nur Koobface schaffte es 3 Jahre Online zu bleiben.

Es ist eine 50/50 Chance Identifiziert zu werden oder Unerkannt zu bleiben,auffällig ist nur das alle Betreiber eines P2P Botnetz unerkannt blieben während alle anderen lokalisiert wurden konnten.

Auch den Underground Foren geht es nicht anders,sie alle versuchen sich im Schutze ihrer Hoster zu verstecken.Der bekannteste Hoster für Illegale Foren ist 2x4.ru/Wahome.Dort tummeln sich die bekanntesten und größten Foren,von Warez über Carding bis hin zu Botnetzen.Sollte dieser ISP einmal Down genommen werden ist der halbe Underground verschwunden :-D .

HostExploit veröffentlicht jedes Quartal eine Liste mit Hostern die besonders viel Illegale Aktivitäten aufweisen. Top 50 Bad Host.Auch Amazon und Google sind in der Liste zu finden da sie wegen ihrer Cloud sehr beliebt geworden sind.

Es bleibt weiter abzuwarten wer als nächstes auf der Liste der Fahander vom FBI,Secret Service und dem BKA steht.sie alle sind der größte Feind der Cybercrime geworden und Arbeiten verstärkt daran das Inernet ein wenig sicherer zu machen,wen auch nicht immer mit den Richtigen Mitteln wie dem BKA Trojaner oder das FBI mit carderprofit.net.

mfg Bl4ck r47
24.11.2012 08:58 Uhr


Sonntag, 29. April 2012

Das OS spielt keine Rolle mehr

Früher sagte man immer Windows sei zu Unsicher im Internet und viele hatten zwei Rechner oder Arbeiteten mit Windows und einer Virtuellen Maschine.All dieses ist spielt nun keine Rolle mehr im Internet,so ist durch die Verbreitung von Exploit Kits wie das Black Hole oder Eleonore Kit jeder Rechner angreifbar.





Dabei spielt es heut zu Tage keine Rolle mehr ob ich mit Windows,Mac OSX oder Linux im Netz unterwegs bin. Durch den Erfolg des Flaschfake Trojaners steigt das Interesse der Cybercrime sich auf jedes Betriebsystem zu Konzentrieren und nicht nicht nur auf Windows zu versteifen.

Bild Kaspersky

So kombinieren Kriminelle ihren Schadecode um plattformübergreifend arbeiten zu können wie der von Symantec entdeckte Maljava.Maljava macht sich den Vor- und Nachteil der plattformübergreifenden Java-Laufzeitumgebung zu eigen und lädt via Drive-by Download einen Dropper herunter. Auf Macs ist dieser eine Python-Datei und auf Windows-Rechnern eine Exe-Datei.Auch hier gibt es einen unterschiedlichen Code. Während sich die Windows-Exe als vermeintlich systemkritische ntshrui.dll tarnt, ist die Mac-Version mit update.py benannt.


Bild Symantec


So werden Prinzipiell auch Linux-Rechner angegriffen aber laut Symantec wird dann der Mac-Code-Teil ausgeführt, der auf Linux-Rechnern allerdings mangels geschriebenen Codes ins Leere läuft.So sind sich Symantec und Dr. Web derzeit uneinig über die Infektionsrate des Flashfake-Trojaners. Dr. Web geht von rund 570.000 infizierten Macs aus und Symantec von ungefähr 200.000 Infizierten Systemen.


mfg bl4ck r47
29.04.2012 15:24 Uhr





Mittwoch, 28. März 2012

VX Heavens, old-school virus-writing website, raided by police


Die Ukraineische Polizei hat die Old-School Website vx.netlux.org geschlossen.

VX.Netlux.org ist eine Gruppe von Hobby Programmieren die ihr wissen niemals dafür nutzten ihr Konto durch Malware aufzustocken. "VX" steht für "Virus eXchange".


Mit diesem Schlag zeigen die Behörden das Malware im 21 Jahrhundert kein Spiel mehr ist,ganz gleich ob es sich dabei um Hobbycoder oder Kriminelle handelt.



Dear friends
How you can see, the VX Heavens server is unreachable since 23.03.2012. VX Heavens' administration sincerelly apologies for the inconvenience caused to You.
For many years we were tried hard to establish a reliable work of the site, which supplied you with a professional quality information on systems security and computer virology. We do always believed that a true research in any field (computer virology included) is only possible in the atmosphere of trust, openness and mutual assistance.

Unfortunately...
Friday, 23 March, the server has being seized by the police forces due to the criminal investigation (article 361-1 Criminal Code of Ukraine - the creation of the malicious programs with an intent to sell or spread them) based on someone's tip-off on "placement into the free access malicious software designed for the unauthorized breaking into computers, automated systems, computer networks".

The absurdity of such statement we need to prove in the court...



mfg Bl4ck r47
28.03.2012 14:41 Uhr

Dienstag, 27. März 2012

CyberCrime: Kriminalität und Krieg im digitalen Zeitalter

Wer noch ein Spannendes Buch zum Lesen braucht dem kann ich Cybercrime nur ans Herz legen.In dem Buch geht es um den Darkmarket der durch den FBI Agent J.Keith Murlaski hochgenommen wurde.

Das Buch erzählt auch die verschiedenen Geschichten von Carderplanet und dem Elite Hacker Max Ray Butler alias Iceman so wie der Shadowcrew und Cardersplanet,das Heiligtum der Russischen Carderszene.



Iceman war der Hacker der dem es gelang tief in die Infrastrukturen der Server des Darkmarket einzubrechen und J.Keith Murlaski zu enttarnen.

Das Buch ist auch als PDF für Kindle erhältlich.



Kurzbeschreibung von Amazon
Die Kriminalität im Netz explodiert – jeder ist betroffen

Längst hat sich im Cyberspace eine neue Unterwelt gebildet, die sich im Netz über Tricks und Techniken austauscht, Zubehör für das Auslesen von Kreditkarten verkauft und rund um den Globus gestohlene Daten verschiebt. Die anonymen Weiten der digitalen Welt bieten Kreditkartenbetrügern und Industriespionen beste Voraussetzungen für ihre Attacken und Raubzüge, während die Strafverfolger Mühe haben, die Menschen hinter den Netzadressen zu fassen.

Misha Glenny, der bekannte Experte für das internationale organisierte Verbrechen, recherchierte zwei Jahre lang in der Szene der Cyberkriminellen. Seine Erkenntnisse aus zahlreichen Gesprächen mit Hackern, Betrügern, Opfern, Cyberpolizisten und Sicherheitsexperten auf der ganzen Welt hat Glenny zu einer spannenden Erzählung verdichtet, die einem die Augen öffnet für die beinahe grenzenlosen kriminellen Möglichkeiten im Netz. Ein Muss für alle Computernutzer.


mfg Bl4ck r47
28.03.2012 08:20 Uhr

Dienstag, 6. März 2012

Adobe SWF Investigator

Adobe hat eine Sandbox für Flash-Dateien zum Download bereit gestellt.Der Adobe SWF Investigator ermöglicht einen Blick unter die Haube von Flash-Dateien. Es spielt keine Rolle, ob man als Sicherheitsexperte einen Exploit untersucht oder als Entwickler eigene Projekte debuggen möchte. Mit Hilfe der Tool-Sammlung kann man SWF-Dateien etwa dekompilieren, um anschließend den ActionScript-Quellcode zu durchstöbern.



Desweiteren ist ein XSS Fuzzer enthalten, mit dem man die Dateien auf Cross-Site-Scripting-Lücken (XSS) hin untersuchen kann. Auch ein HEX-Editor zur Modifizierung der Dateien ist an Bord. Der SWF Investigator läuft unter Windows und Mac OS X. Der Quellcode des in Adobe Air realisierten Tools steht auch zum Download bereit.

Download now: Adobe SWF Investigator

mfg Bl4ck r47
06.03.2012 19:52 Uhr

Dienstag, 7. Februar 2012

Die drei Netze

Das Internet bietet uns alles viele Möglichkeiten und es ist in aller Munde weit verbreitet,nur ist das Internet nicht allein. Hinter den Augen der Bevölkerung gibt es noch zwei andere Netze und eines davon ist viel größer als das Internet.

Was bezeichnen wir als Internet:
Das Internet ist all das was uns die Suchmaschinen bei unserer Eingabe in ihr Suchfeld ausgeben.Um ein vielfaches ist das Deep Web oder auch Hidden Web,es umfast all die Informationen die uns Google und co bei einer Anfrage nicht ausgibt weil die Informationen nicht gefunden werden sollen.Das Deep Web besteht meist aus themenspezifischen Fachdatenbanken und Webseiten, die erst durch Anfragen dynamisch aus Datenbanken generiert werden.



So kann die Größe des Deep Web kann nur geschätzt werden.Nach einer Studie (Bergmann 2001) der Firma BrightPlanet sei die Datenmenge des Deep Web etwa 400 bis 550 mal größer als die des Surface Web. Allein 60 der größten Websites im Deep Web enthalten etwa 750 Terabyte an Informationen, was die Menge des Surface Web um den Faktor 40 übersteigt.Aber Suchmaschinen und ihre Webcrawler werden jedoch ständig weiterentwickelt und Webseiten die gestern noch zum Deep Web gehörten können heute schon Teil des Oberflächenwebs (Visible Web oder Surface Web) sein.

Erster Einstig ins Hidden Web
Auch ohne eigens installierte Software ist es möglich ins Deep Web einzutauchen. Über Spezielle Webportale und Suchmaschinen.

Organisationen:
Die US-Regierung, Non-Profit-Organisationen,medizinische Vereinigungen - sie alle haben riesige Datenbestände,die aber nur über spezielle Suchmaschinen durchforstet werden können.

Bibliotheken:
Viele Bibliotheken lassen ihre Datenbanken nicht von Google Identifizieren - und sind somit nur über Suchmaschinen wie http://scirus.com ausfindig zu machen.

Museen:
Ausstellungsstücke,Kataloge,Videos: Viele Museen haben große Teile ihrer Sammlungen digitalisiert. Nutzt man bei Google den Begrieff "Database" kann man diese Schätze noch mit etwas Glück finden.

http://brightplanet.com (gegen Bezahlung)
http://oaister.worldcat.org
http://scirus.com
http://deepwebresearch.info
http://louvre.fr
http://gallica.bnf.fr



Das 3 Netz ist ein Netzwerk was außerhalb der normalen Straßen zu finden ist.Es handelt sich um das Darknet,ein privates Peer-to-Peer-Netz in dem sich die Nutzer nur mit den Menschen verbinden, denen sie vertrauen.In diesem Netz finden sich nur Eingeweihte Personen zurecht und wissen was sich wo Abspielt.Ein Darknet ist ein Serverloses Netzwerk und basiert auf dem P2P oder auch F2F (Friend to Friend) Prinzip.

Enstanden sind Darknets,seitdem Strafverfolger weltweit Tauschbörsen unter die Lupe nahmen und die rührigsten Teilnehmer Juristisch verfolgen. Die Filesharer suchten nach Wegen, ihr Treiben unbehelligt fortzusetzen und konzipierten ein verstecktes Pendant zu den öffentlich zugänglichen Peer-to-Peer-(P2P)Plattformen wie Napster,eDonkey oder Torrent. In P2P-Netzen kümmern sich Zentrale Server darum, dass alle Nutzer Mp3s,Filme oder Spiele austauschen können - freilich ohne sich dabei um Urheberrechte zu scheren.

Bei den neu geschaffenen Netzwerk wurden die Anlehnungen an P2P mit F2F abgekürzt: Anders als bei einem bekannten P2P-Netzwerk gibt es keine Server und die Teilnehmer können F2F-Dateien nicht mit beliebig anderen F2F-Usern tauschen. Hier muss jeder Teilnehmer die IP-Adresse seiner Freunde kennen und deren Digitales Zertifikat besitzen um mit ihnen in Kontakt zu treten.

Eines der bekanntesten Anwendungen zum Aufbau von F2F-Netzen ist Freenet (Nicht zu verwechseln mit dem hiesigen Internetprovider).Das Ziel darin besteht, Daten verteilt zu speichern und dabei Zensur zu vereiteln und anonymen Austausch von Informationen zu ermöglichen. Dieses Ziel soll durch Dezentralisierung, Redundanz, Verschlüsselung und dynamisches Routing erreicht werden.

Was unterscheidet den Inhalt eines Darknetzes von dem Internet:
In einem Darknet treibt sich um es mal auf den Punkt zu bringen der Abschaum der Welt rum.Am bekanntesten dafür ist die Operation Darknet von Anonymous gegen den Hoster Freedom Hosting. Services wie Freedom Hosting bieten anonyme Speicherplätze - in erster Linie für Raubkopien. Weil auf den Server auch Kinderpornografie liegt,wird Freedom Hosting derzeit von Anonymous mit DoS-Attacken unter Beschuss genommen.

Waffen: Nein, das geschäft mit Waffen blüht nicht wirklich im Dark Web. Sporadisch allerdings bieten Händler auch Pistolen und Gewehre an - verkaufen diese aber nicht nach Europa.

Drogen: Auf Seiten wie Silk Road, Hidden Eden oder Dat Good werden LSD,Marihuana,Kokain und andere Drogen so selbstverständlich wie Schokolade im Edeka angeboten.



Mit einem Browser im Normalzustand erreicht man das Darknet nicht. Es wird ein kleines Add-on des Anonymisierungsdienstes Tor benötigt.Tor unterstützt das Onion-Routing,eine recht komplizierte Anonymisierungstechnik, die Daten über eine Reihe ständig wechselnder verschlüsselter Proxyserver Transportiert.

So weit so gut,jetzt wird es aber schwerer,im Darknet gibt es keine URLs im herkömmlichen Sinne. Die Webseiten erreicht man über Kryptische Buchstaben-Zahlen-Kombinationen gefolgt von >>.onion<<.Diese Adressen ändern sich ständig,so das sie immer neu recherchiert werden müssen.

Beispiel:
Internet Adresse: http://www.meine-Domain.de
Darknet Adresse: 4rfzu723g680k3434zh56.onion

Aber wie und wo, wird hier bewusst nicht verraten.

mfg Bl4ck r47
07.02.2012 21:05 Uhr