ratNetw0rk Statistik

Freitag, 4. Oktober 2013

Symantec gelingt Schlag gegen das Botnet ZeroAccess

Symantec gelang es über eine Schwachstelle die Kontrolle von über 500.000 Dronen des Botnets ZeroAccess zu übernehmen. ZeroAccess basiertauf einer Peer-to-Peer-Architektur und wird in erster Linie für Klick-Betrug und die Generierung von Bitcoins verwendet. Nach Angaben von Computerworld, fand Symantec Anfang des Jahres eine Möglichkeit, Dronen mittels eines bekannten Fehlers im Peer-to-Peer-Mechanismus herauszulösen.Was für eine Schwachstelle ausgenutzt wurde, erklärte Symantec nicht,erläutert aber dass das Abschalten eines Bots durchschnittlich fünf Minuten gedauert hätte.Die ganze Aktion habe nur wenige Tage gedauert. Man arbeite nun mit anderen Firmen und Organsiationen gemeinsam daran, die
infizierten Computer zu ermitteln und zu bereinigen



Der Energieverbrauch des Botnet soll pro Tag rund 560.887 US-Dollar kosten. Mit dieser Rechenpower sollen die Botnetzbetreiber pro Tag mehrere Tausend US-Dollar errechnet haben. Symantec hat zudem ISPs außerdem Traffic-Signaturen zur Verfügung gestellt, damit sie die verbliebenen ZeroAccess-Bots in ihren Netzen aufspüren und Maßnahmen gegen sie einleiten können.

mfg Bl4ck r47
04.10.2013 16:18 Uhr

Silk Road abgeschaltet

Dem FBI ist es offenbar gelungen, den Betreiber Ross William Ulbricht aka Dread Pirate Roberts der Handelsplattform Silk Road ausfindig zu machen und festzunehmen.Die Platform wurde als sogenannter Hidden Service im Tor-Netzwerk betrieben und hatte angeblich rund eine Million registrierte Mitglieder.


Bildquelle: Wikipedia

 Das FBI geht davon aus, dass auf der Platform illegale Güter in einem Umfang von 9,5 Millionen Bitcoin gehandelt wurden, dies entspricht ungefähr einer Milliarde Euro.Nach dem ein Nutzer von Silk Road damit gedroht haben soll, die Identität von Händlern aufzudecken habe Ross W. U.eine Person mit einen Mord beauftragt und dafür 1,670 Bitcoins (etwa 100.000 Euro) bezahlt.
Nach Angaben des Auftragsmörders wurde die Zielperson in Kanada getötet,allerdings konnte nach Angaben des FBI noch keine Leiche gefunden werden,somit ist noch unklar ob der Mord stattgefunden hat.




Den Betreiber konnte das FBI ausfindig machen nachdem Kanadische Grenzbehörden ein Paket mit gefälschten Ausweisdokumenten fanden, das an Ross W. U. adressiert war.Die Ermittlungsakten enthalten keine Hinweise darauf, dass das FBI die Sicherheit von Tor selbst kompromittieren konnte.

Bei der Suche nach einer Alternativen werden es die Kunden von Silk Road etwas schwer haben da die ähnlich ausgerichtete Seite Atlantis Marketplace vor zwei Wochen ebenfalls geschlossen wurde. Die Gründe hierfür sind noch unbekannt.

mfg Bl4ck r47
04.10.2013 12:31 Uhr

Freitag, 27. September 2013

Beta Bot the New Underground toys

Cyberkriminelle haben unter dem Namen "Beta Bot" einen neuen Schädling entwickelt, der für den Aufbau eines Botnetzes eine raffinierte Methode anwendet: Nach dem Download der Malware überprüft der Bot ob einer von 30 AVs auf dem Zielsystem Installiert ist um sich dann per Social Engineering Admin rechte zu erschleichen und seinen Schadecode im System zu platzieren.



[Bildquelle: http://blog.gdatasoftware.com ]

Schauen wir uns aber die Details dieses UAC-Dialogs an, stellen wir fest, dass cmd.exe den eigentlichen Beta Bot starten soll und sich Beta Bot im System verstecken möchte


[Bildquelle: http://blog.gdatasoftware.com ]

Viele Benutzer werden misstrauisch wenn eine UAC-Meldung aus heiterem Himmel auf ihrem Bildschirm auftaucht,um dieses Problem‘ zu lösen, ist der Beta Bot jedoch vorbereitet und präsentiert dem Benutzer noch vor dem UAC-Dialog eine gefälschte Fehlermeldung über angeblich beschädigte Dateien im Ordner Eigene Dokumente des aktuellen Benutzers und einen kritischen Festplattenfehler.


[Bildquelle: http://blog.gdatasoftware.com ]

Der Bot ist mit einem Verkaufspreis von unter 500€ relativ günstig und mit einer vielzahl von Funktionen ausgestattet wie DoS-Attacken, Möglichkeiten für Fernversteuerung, Eingabefelder auslesen und andere Möglichkeiten zum Informationsdiebstahl.

[Untouched] Beta Bot HTTP Bot (Latest Version)



Nachdem sich der Beta Bot auf dem Rechner eingenistet hat, beginnt seine eigentliche Arbeit: Neben DDoS-Attacken erlaubt er seinen Autoren auch den Fernzugriff auf den PC des Opfers.

Beta Bot entfernen 





mfg Bl4ck r47
27.09.2013 12:54 Uhr


Donnerstag, 27. Juni 2013

Carberp "Der Olymp ist gefallen"

Zeus wurde besiegt und jetzt auch das mächtige Reich der Götter,der wohl Fortschrittlichste aller Banking-Trojaner Carberp wurde der Quellcode der Öffentlichkeit frei zugänglich gemacht.Eine Gigantische Zip File von 1,9GB steht auf der Plattform von KimDotCom zum Download frei zugänglich für jeden kleinen Cyberkriminellen und dem Organisiertem verbrechen bereit.Mit diesem Leak steht der Cybercrime eine mächtige Waffe frei zur Verfügung um die Konten anderer Menschen zu erleichtern und das eigene zu füllen.



Ende 2012 verlangten die Entwickler von Carberp noch 40.000 US-Dollar für einen Vollzugriff auf ihre Schöpfung.Wollte man den Schädling mieten, betrug die Summen zwischen 2000 und 10.000 US-Dollar pro Monat.

Das Archiv enthält einen schon Fertig Kompillierten BotBuilder so wie eine Vielzahl von Plugins wie RDP,DDoS,VNC uvm.

BotBuilder:


Plugins:


Das wohl gefährlichste aller Module ist das Bootkit  (W32/Rovnix).Dieses infiziert den Master Boot Record (MBR) von Windows XP, Windows 7, Windows 8 und unterläuft damit jede gängige Antivirensoftware.


Malware-Experten gehen davon aus, dass  durch den Leak des Sourcecodes neue Varianten auftauchen werden wie es bei Zeus schon der Fall war mit ICE IX,Aldi Bot und Game Over.

mfg Bl4ck r47
27.06.2013 13:07Uhr

Freitag, 29. März 2013

Der Bunker im Bunker und eine Mega DDoS


Nahezu unbemerkt von der Öffentlichkeit wurde Spamhaus.org opfer einer der grösten Distributed-DoS-Attacke in der Geschichte des Internet.

Spamhaus hatte IP-Adressblöcke des sehr Spammer-freundlich bekannten Hosters Cyberbunker.com auf seine Blacklist gesetzt.Was dazu führte das Cyberbunker-Kunden plötzlich kaum noch Mails absetzen konnten.

Nur wenig später startete eine zunächst gemäßigte, dann stark ansteigende DDoS-Attacke auf die Server von Spamhaus.Nach Angaben von Akamai erreichte die Attacke eine Stärke von bis zu 300 GBit/s.Nur wenige Stunden später hat Spamhaus das Security-Unternehmen Cloudflare mit der Abwehr beauftragt.Ein großteils des Traffic´s erzeugten die Angreifer mit einer "DNS Amplification Attack" was zu gleich zeigt dass es tausende offene DNS-Server gibt,die auf jede Anfrage ungeprüft reagieren.

Jede Anfrage etwa 36 Byte lang,angefragt wurde aber nur ein DNS-Zonen-File von rund 3000 Zeichen Länge,was jede Anfrage von den DNS-Serverm um den Faktor 100 verstärkt.Cloudflare habe mindestens 30.000 anfragende DNS-Server registriert, erläutert Matthew Prince Chef von Cloudflare in einem Blog Eintrag.

Demzufolge haben die Angreifer nur 750 MBit/s abgehende Bandbreite benötigt, um einen durchschnittlichen Traffic von 75 GBit/s bei Spamhaus zu erzeugen.


Bildquelle: http://securitytnt.com

Akamai habe erhebliche Auswirkungen auf die weltweite Netzauslastung durch den Angriff beobachtet.

Cyberbunker.com ist ein Hoster der von Kriminellen jeglicher art genutzt wird,hier finden sich child pornography,Foren verschiedener Terrorister Vereinigungen wie auch Malware.Dem Namen nacht der Hoster sich alle ehere darin das er seine Server so wie Büro´s wirklich in einem Bunker aus dem Kaltenkrieg angesiedelt hat.


Bildquelle: Wikipedia

mfg Bl4ck r47
29.03.2013 09:52 Uhr





Dienstag, 12. Februar 2013

Brian Krebs on the login page

Der Author von Honeypots (exposedbotnets.com) hat einen Interessanten Fund gemacht.

hfgfr56745fg.com (Betabot http botnet hosted by ecatel.net)

Resolved hfgfr56745fg.com to 80.82.66.204

Server:   hfgfr56745fg.com
Gate file:  /rem/order.php



mfg Bl4ck r47
12.02.2013 21:28 Uhr


Donnerstag, 7. Februar 2013

Der Wilde Wilde Westen

Eine schöne Liste von Exploit Kits,erstellt von kahusecurity.com




mfg Bl4ck r47
08.02.2013 08:00 Uhr

Bye bye Bamital


Microsoft und Symantec haben gemeinsam die Schließung eines weiteren Botnetzes erreicht.Nach zwei Jahren Arbeit konnten Microsoft und Symantec in einer gemeinsamen Aktion das Botnetz Bamital übernommen und abschalten lassen.18 Personen weltweit sollen Bamital aufgebaut und an deren Betrieb beteiligt gewesen sein.

Bamital leitete Benutzer unter anderem nach Suchanfragen auf Webseiten um, die sie gar nicht besuchen wollten.Bamital ist das Sechste Botnet, gegen das Microsoft seit 2010 per Gerichtsbeschluss vorgegangen ist und das zweite Mal, dass der Konzern dabei mit Symantec zusammengearbeitet hat.



Sobald über einen Suchdienst wie die von Google, Microsoft und Yahoo angebotenen Webseiten eine Anfrage gestellt wird,lies Bamital nicht die richtigen Suchergebnisse angezeigen,

Die Anfragen werden auf einen Command & Control Server des Botnetzes umgeleitet, der dann Werbung und gefälschte Suchergebnisse anzeigt.Klickt der mit bamital Infizierte Anwender auf dieser Seite dann auf einen Link, landet er bei einer Webseite, die der Suchanfrage in etwa entspricht,aber auch von Bamital verbreitete Werbung enthält.

Microsoft und SymantecSchätzungen,das die Betreiber durch die Werbung mindestens eine Million US-Dollar pro Jahr zu erzielen konnten,vielleicht sogar das Dreifache.Bamital leitete jeden Tag Drei Millionen Besucher allein auf einen einzigen ihrer Server um.In den letzten zwei Jahren sollen rund 8 Millionen Computer unter der Kontrolle der herder gestnden haben.


Bessere Gesetze und die Zusammenarbeit von Firmen macht es den Botnet Herdern schwerer, ihrer Ziele zu erreichen.

Je häufiger solche Operationen durchführen werden, desto offensichtlicher wird es den Kriminellen, dass man hinter ihnen her ist, sagte Richard Boscovich, Assistant General Counsel von Microsofts Digital Crimes Unit in einer Telefonkonferenz mit Itespresso.

Betroffen sind nur Anwender, die keinen oder veraltete Virenscanner einsetzen. Die Engines aller namhaften Antiviren Hersteller erkennen Bamital seit Jahren.



Trojan.Bamital

Risk Level 1: Very Low




Discovered: July 1, 2010
Updated:
February 6, 2013 9:24:55 PM
Also Known As:
Troj/Mdrop-CSK [Sophos], Troj/Agent-OCF [Sophos]
Type:
Trojan
Infection Length:
Varies
Systems Affected:
Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Quelle: Symantec

mfg Bl4ck r47
07.02.2013 11:11








Donnerstag, 24. Januar 2013

Programmiere des Gozi Trojaners Angeklagt


Der Gozi-Trojaner aka Snatch 2 soll weltweit mehr als eine Million Computer infiziert und Schäden in Höhe von mehreren zehn Millionen US-Dollar verursacht haben. 2007 tauchte der Trojaner auf und besorgte den Verantwortlichen Rumänen Mihai P,Denis C. aus Lettland und dem seid Mai 2011 inhaftiertem Russen Nikita K. mehreren zehn Millionen US-Dollar von Hunderttausende private Computer so wie NASA und Regierungsbehörden.

 Der Händer Gozi bot den Trojaner in Foren und IRC Channels zum Kauf an.

Looking for sources (Quelle: secureworks.com)

 Verkauft wurde der Trojaner zwischen $1000 und $2000 (USD).
Snatch is advertised on the author's home page (Quelle: secureworks.com)

Der fertige Trojaner wurde dann gegen eine wöchentliche Gebühr auf der Online Plattform 76Service.com zur Verfügung gestellt.
 
(Quelle: secureworks.com)

 Die Kunden konnten selbst bestimmen, welche Ziele angegriffen werden und die gestohlenen Daten wurden für sie gespeichert. Über BulletProof Hoster sei nicht nur Gozi, sondern auch Zeus und SpyEye von Mihai P. verbreitet worden sein.Sollten die Angeklagten schuldig gesprochen werden, drohen ihnen Höchststrafen von 60 und 95 Jahren Gefängnis. mfg Bl4ck r47 24.01.2013 20:05 Uhr

Samstag, 19. Januar 2013

Virut belebt Waledac wieder


Nach Angaben von Symantec sollen mit W32.Virut infizierte Systeme den aus dem verkehrgezogenen Bot  W32.Waledac.D oder auch Kelihos bekannt gewordene Botnet nachladen.Waledac galt nach Gegenmaßnahmen von Microsoft als tot, wird aber wohl auf diese Weise offenbar zurück ins Leben gerufen
.

Bild: Symantec


Nach Angaben von Symantec soll ein beobachtetes System 2000 Spambotschaften pro Stunde verschicken.
Der Sicherheitsbotschafter rechnet nun mit mehreren Milliarden unerwünschten Werbemails pro Tag,von etwa 308.000 mit Virut infizierten Systemen von dennen ein Viertel Waledac nachläd.Das von Symantec vorgelegten Modellgehen geht von 1,2 bis 3,6 Milliarden Spambotschaften pro Tag aus.



Bild: Symantec

Der bisherige versand von unerwünschten Emails über das wiederauferstandene Waledac Botznet versand den großteil seines Spams an die USA. In Europa ist Frankreich am stärksten betroffen. Es handelte sich größtenteils soll es sich um bekannte Werbebotschaften handeln wie eine Online-Apotheke aus Kanada und  leistungssteigernde Medikamente.

Der Fall zeige dass sich solche Botnetze nicht gegenseitig behindern müssen und es ein Zeichen für verstärkter Zusammenarbeit unter  Cyberkriminellen währe.

Microsoft hatte großen Anteil an der Schließung von Waledac im Jahre 2010 so wie dem Nachfolger Kelihos 2011.Außerdem beantragte Microsoft eine richterliche Verfügungen, um die Command & Control-Server von Waledac abschalten abschalten zu lassen und so zu verhindern, dass neue Module auf den Dronen nachinstalliert werden können.

mfg Black r47
19.01.2013 20:29


Donnerstag, 17. Januar 2013

Kim.com/Mega

Die Uhr macht TickTackTickTack und ich selber bin gespannt darauf was passieren wird.

Bigger,Better,Faster,Stronger and Safer,das ist der neue Werbeslogan von Kimdotcom seinem neuen Filehoster.


Aber wird er auch genau so Erfolgreich sein wie Megaupload und ob der Filehoster morgen an den Start geht bleibt abzuwarten.Eines ist klar,ein zweites mal werden dem FBI keine Fehler unterlaufen.

18.01.2013 07:54 Uhr
mfg Bl4ck r47

Dienstag, 15. Januar 2013

bx1 auf der Durchreise

Schon am  26. März 2012 (Zdnet.de) hatte Microsoft zwei Zeus Botnetze abschalten lassen und eine Klage gegen 39 Beschuldigte eingereicht die bislang nur unter Nicknamen wie Slavik, zebra7753, iceIX, Veggi Roma, susanneon, JabberZeus Crew und h4xOrdz bekannt sind.



Jetzt ist es der Thailändischen Polizei gelungen Hamza Bendelladj aka bx1 zu fassen als er einen Zwischen stop in Bangkok machte.Seit drei Jahren fahndete das FBI nach Hamza Bendelladj,weil er private Bankkonten bei mindestens 217 Banken weltweit geknackt und zum Teil leer geräumt haben soll. 

Kaspersky veranschlagt den von Bendelladj verursachten Schaden laut Blog Threatpost auf 100 Millionen US-Dollar.


Bildquelle: KrebsonSecurity.com

Unter der Domain http://www.zeuslegalnotice.com liegt ein Anklageschreiben aller verdächtigen vor.


15.01.2013 13:26 Uhr
mfg Bl4ck r47