Linux-basiertes Spammer-Botnetz unschädlich gemacht

Wie Softpedia berichtet, konnte eine gemeinsame Operation von ESET, CyS Centrum LLC und der ukrainischen Cyberpolizei gegen das Spammer-Botnet Mumblehard erfolgreich abgeschlossen werden. Am 29. Februar dieses Jahres gelang es den beteiligten IT-Sicherheitsexperten, den C&C-Server des Botnetzes gegen einen Sinkhole-Server auszutauschen. Von diesem Moment an zählte ESET etwa 4.000 über den ganzen Globus verteilte Bots, die versuchten, sich mit ihrem C&C zu verbinden.

Nach Angaben von ESET wurde das Botnetz Mumblehard auf der Grundlage von Linux- und BSD-Servern aufgebaut und trieb spätestens seit dem Jahr 2009 sein Unwesen im Netz. Der dem Botnetz zugrunde liegende Schädling besteht aus zwei Komponenten: einer Backdoor zum Empfang der C&C-Befehle und einem Daemon zum Spamversand, der eine Raubkopie von DirectMailer von Yellsoft verwendet.

Die jüngste Analyse hat gezeigt, dass die Betreiber von Mumblehard für die Infektion eine bereits installierte PHP-Shell verwendeten, das heißt, sie erkauften sich vermutlich einfach den Zugriff auf die kompromittierten Server. Bemerkenswert ist, dass die Botmaster in dem Bestreben ihre Kampfordnung zu bewahren ein besonderes Skript verwendeten, das es ihnen ermöglichte, die Reputation der infizierten Hosts zu schützen: Dieses Skript checkte automatisch die vorhandenen IP-Adressen gegen die Schwarzen Listen von Spamhaus und sendete bei einem Treffer eine Anfrage auf Wiederherstellung des „guten“ Namens an die NPO. Den CAPTCHA-Schutz vor automatischer Erstellung solcher Anfragen umgingen die Cyberkriminellen dabei mit Hilfe eines Systems zur Optischen Bilderkennung oder sie nutzten einen Drittservice.

Vor anderthalb Jahren gelang es ESET, dem Botnetz einen C&C-Server unterzuschieben, um auf diese Weise eine Vorstellung von dem Ausmaß dieser Spam-Operation zu erhalten. Innerhalb von sieben Monaten der Beobachtung zählten die Forscher ungefähr 8.900 individuelle IPs, die zu dem Botnetz gehören. Die Untersuchungsergebnisse wurden im April des vergangenen Jahres veröffentlicht. Dadurch waren die Cyberverbrecher dazu gezwungen, ihren Schadcode zu modifizieren, doch dabei begingen sie einen kapitalen Fehler: Sie strichen die Zahl der C&C auf einen zusammen, und übrig blieb ein ukrainischer Server.

Dieser Single Point of Failure war schnell ausgemacht; ESET informierte die ukrainischen Behörden über diesen Fund und mit ihrer Hilfe wurde die Steuerung von Mumblehard abgefangen, dessen Reihen sich zwar schon sehr gelichtet hatten, das allerdings noch immer in 63 Ländern präsent war.

Die mit Hilfe des Sinkholing zusammengetragenen Daten werden bereits für die Desinfektion der befallenen Ressourcen verwendet. Bei der Benachrichtigung der Betroffenen beteiligt sich aktiv das deutsche CERT (CERT-Bund); Empfehlungen zur Erkennung und zum Entfernen der Infektion sowie eine Liste nützlicher Tools sind auf der Website von ESET zu finden.

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.