News

Linux-basiertes Spammer-Botnetz unschädlich gemacht

Wie Softpedia berichtet, konnte eine gemeinsame Operation von ESET, CyS Centrum LLC und der ukrainischen Cyberpolizei gegen das Spammer-Botnet Mumblehard erfolgreich abgeschlossen werden. Am 29. Februar dieses Jahres gelang es den beteiligten IT-Sicherheitsexperten, den C&C-Server des Botnetzes gegen einen Sinkhole-Server auszutauschen. Von diesem Moment an zählte ESET etwa 4.000 über den ganzen Globus verteilte Bots, die versuchten, sich mit ihrem C&C zu verbinden.

Nach Angaben von ESET wurde das Botnetz Mumblehard auf der Grundlage von Linux- und BSD-Servern aufgebaut und trieb spätestens seit dem Jahr 2009 sein Unwesen im Netz. Der dem Botnetz zugrunde liegende Schädling besteht aus zwei Komponenten: einer Backdoor zum Empfang der C&C-Befehle und einem Daemon zum Spamversand, der eine Raubkopie von DirectMailer von Yellsoft verwendet.

Die jüngste Analyse hat gezeigt, dass die Betreiber von Mumblehard für die Infektion eine bereits installierte PHP-Shell verwendeten, das heißt, sie erkauften sich vermutlich einfach den Zugriff auf die kompromittierten Server. Bemerkenswert ist, dass die Botmaster in dem Bestreben ihre Kampfordnung zu bewahren ein besonderes Skript verwendeten, das es ihnen ermöglichte, die Reputation der infizierten Hosts zu schützen: Dieses Skript checkte automatisch die vorhandenen IP-Adressen gegen die Schwarzen Listen von Spamhaus und sendete bei einem Treffer eine Anfrage auf Wiederherstellung des „guten“ Namens an die NPO. Den CAPTCHA-Schutz vor automatischer Erstellung solcher Anfragen umgingen die Cyberkriminellen dabei mit Hilfe eines Systems zur Optischen Bilderkennung oder sie nutzten einen Drittservice.

Vor anderthalb Jahren gelang es ESET, dem Botnetz einen C&C-Server unterzuschieben, um auf diese Weise eine Vorstellung von dem Ausmaß dieser Spam-Operation zu erhalten. Innerhalb von sieben Monaten der Beobachtung zählten die Forscher ungefähr 8.900 individuelle IPs, die zu dem Botnetz gehören. Die Untersuchungsergebnisse wurden im April des vergangenen Jahres veröffentlicht. Dadurch waren die Cyberverbrecher dazu gezwungen, ihren Schadcode zu modifizieren, doch dabei begingen sie einen kapitalen Fehler: Sie strichen die Zahl der C&C auf einen zusammen, und übrig blieb ein ukrainischer Server.

Dieser Single Point of Failure war schnell ausgemacht; ESET informierte die ukrainischen Behörden über diesen Fund und mit ihrer Hilfe wurde die Steuerung von Mumblehard abgefangen, dessen Reihen sich zwar schon sehr gelichtet hatten, das allerdings noch immer in 63 Ländern präsent war.

Die mit Hilfe des Sinkholing zusammengetragenen Daten werden bereits für die Desinfektion der befallenen Ressourcen verwendet. Bei der Benachrichtigung der Betroffenen beteiligt sich aktiv das deutsche CERT (CERT-Bund); Empfehlungen zur Erkennung und zum Entfernen der Infektion sowie eine Liste nützlicher Tools sind auf der Website von ESET zu finden.

Quelle: Softpedia

Linux-basiertes Spammer-Botnetz unschädlich gemacht

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach