Microsoft und Partner durchbrechen die Reihen von ZeroAccess

Im Rahmen ihres Kreuzzuges gegen Botnetze haben Microsoft, verschiedene Strafverfolgungsbehörden und Spezialisten für Netzsicherheit nun den Versuch unternommen, das berühmt-berüchtigte Netz, das auf ZeroAccess basiert, zu neutralisieren.

ZeroAccess oder auch Sirefef, wie Microsoft es gern nennt, ist eine Malware-Plattform, die die gängigsten Browser und Suchsysteme attackiert. Die zwei Hauptfunktionen von ZeroAccess bestehen im Austausch der Suchergebnisse mit dem Ziel, die Anwender auf beliebige Websites zu lenken, sowie Klickbetrug. Zudem erzielen die Botmaster direkte Einnahmen, indem sie auf den Rechner des Opfers einen Bitcoin-Generator laden. Nach jüngsten Einschätzungen gehören zu dem auf ZeroAccess basierenden Zombienetzwerk um die 2 Millionen infizierte Rechner, deren Aktivität der Grund dafür ist, dass Werbeunternehmen monatlich 3 Millionen Dollar Verluste machen.

Noch im Jahr 2010 konnten viele Botnetze durch einfaches Sinkholing (Austauschen) des C&C-Servers zerschlagen und der schädlichen Aktivität so ein Ende bereitet werden. Dadurch lässt sich teilweise auch die Tatsache erklären, dass moderne Botmaster p2p-Netze bevorzugen. Die verteilte Architektur ermöglicht es den Betreibern von ZeroAccess, das Botnetz unter Beteiligung zehntausender im Raum verstreuter infizierter Rechner zu steuern. Dabei aktualisiert der Schädling die Liste der Peers sekündlich, und obendrein werden zum Austausch der Listen verschiedene Versionen verschiedener Protokolle verwendet, was das Abfangen der Kontrolle in diesem Netz sehr erschwert.

An der Operation gegen ZeroAccess waren neben Microsoft das unter der Ägide von Europol agierende Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3), das FBI und das amerikanische Unternehmen A10 Networks beteiligt, Experten für Schutz und Optimierung von Web-Anwendungen. Microsoft reichte Zivilklage gegen die Botbetreiber ein und erhielt innerhalb von 24 Stunden die Erlaubnis, den ein- und ausgehenden Traffic zu blockieren, der zwischen den lokalen infizierten PCs von den im Laufe der Ermittlungen identifizierten 18 IP-Adressen ausgetauscht wird. Das Gericht stimmte zudem einem Antrag auf das Abfangen von 49 Domains zu, die mit ZeroAccess in Zusammenhang gebracht werden.

Europol hat sich seinerseits um die Blockierung der 18 IP-Adressen gekümmert, mit denen sich die amerikanischen Bots verbunden hatten. In Deutschland, Lettland, Luxemburg, der Schweiz und Holland wurden Durchsuchungen durchgeführt und Server beschlagnahmt, die mit diesen Adressen in Verbindung stehen.

Microsoft und seine Partner räumten ein, es sich nicht zum Ziel gemacht zu haben, ZeroAccess für immer zu beseitigen. Trotzdem hoffen sie, dass die von ihnen ergriffenen rechtlichen und technischen Maßnahmen dazu beitragen, die Funktion des Botnetzes deutlich zu destabilisieren, die schädliche Aktivität der infizierten Rechner abzustellen und möglicherweise die Botmaster zu Wiederaufbauarbeiten zu zwingen.

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.