ratNetw0rk Statistik

ip information

Sonntag, 2. Januar 2011

Das Ende von Bredolab

So die Feiertage sind nun zu Ende und ich komme endlich mal dazu eine News über das Bredolab Botnet zu verfassen.Am 25. Oktober 2010 teilte die für den Kampf gegen Cyberkriminalität zuständige Abteilung der niederländischen Polizei mit, dass 143 Kontrollserver des Botnetzes Bredolab unschädlich gemacht wurden.Nur einen Tag später wurde am internationalen Flughafen Jerewan einer der Betreiber des stillgelegten Zombie-Netzes festgenommen.

Das Controll Panel für die Downloads, das den Loader (Backdoor.Win32.Bredolab) enthält, wurde unter dem Namen BManager in Hackerforen zum Verkauf angeboten.Für die Verbreitung des schädlichen Bot-Programms dienten gehackte legitime Webseiten, die Besucher auf schädliche Ressourcen umleiteten, von denen aus ihre Computer mit Backdoor.Win32.Bredolab infiziert wurden.





Bredolab lud ein überaus breites Spektrum an Malware auf die Computer seiner Opfer:

Trojan-Spy.Win32.Zbot (Zeus)
Trojan-Spy.Win32.SpyEyes (SpyEye)
Trojan-Spy.Win32.BZub (Agend DQ)
Backdoor.Win32.HareBot
Backdoor.Win32.Blakken
Backdoor.Win32.Shiz
Trojan-Dropper.Win32.TDSS
Trojan-Ransom.Win32.PinkBlocker
Trojan.Win32.Jorik.Oficla (myLoader)

Backdoor.Haxdoor (A-311 Death)
Backdoor.Rustock
Downloader.MisleadApp
Hacktool.Rootkit (Hacker Defender)
Infostealer
Trojan.FakeAV
Trojan.KillAV
Trojan.Pandex
Trojan.Srizbi
W32.Koobface
W32.Waledac

Nachdem der Browser des Anwenders mit Hilfe von Pegel oder Iframe auf eine schädliche Webseite umgeleitet worden war, wurde von dort aus der JavaScript-Code über folgende Lücken (CVE-2006-0003, CVE-2008-1084, CVE-2008-2463) geladen:




Die in den schädlichen Links enthaltenen Domains waren in verschiedenen Domain-Zonen registriert: ru, info, at, com. Jede Domain verfügte über fünf IP-Adressen, die ihrerseits wiederum mit einer Vielzahl von schädlichen Domains in Verbindung standen.

Image and video hosting by TinyPic

Das oben Beschriebene erinnert an die Funktion von Fast-Flux-Netzen, genauer gesagt an Double-Flux-Netze, bei denen sich auch die Adresse der DNS-Server ändert.


Die Betreiber des Bredolab-Botnetzes haben ein 30 Millionen Rechner umfassendes Zombie-Netzwerk aufgebaut, das über einen längeren Zeitraum funktioniert hat. Um das Botnetz in funktionsfähigem Zustand zu erhalten, haben die Cyberkriminellen das Steuerungszentrum des Botnetzes überaus klug und effektiv versteckt, indem sie die Technik von Fast-Flux-Netzen nutzten. Ein solches Schema gewährleistet nicht nur eine hohe Fehlertoleranz des Botnetz-Steuerungszentrums, sondern es erleichtert auch die Steuerung des schädlichen Contents: Anstatt die schädlichen Webseiten auf einer Vielzahl von Knoten zu verwalten, reicht es aus, eine solche Webseite auf dem Kommandozentrum zu platzieren und Redirects zu ihr einzurichten.

Angesichts seiner Komplexität ist es unwahrscheinlich, dass das Bredolab-Botnetz von nur einer Person kontrolliert wurde. Allerdings ist bisher nur von der Verhaftung eines Kriminellen die Rede, der mit diesem Botnetz in Verbindung steht. Es kann also sein, dass die übrigen Mitglieder der kriminellen Gruppe ihre Geschäfte fortführen werden, da das von ihnen erdachte und in die Tat umgesetzte Schema äußerst effizient ist.

03.01.2011 08:54 Uhr