News

Microsofts Kampf gegen Botnetze geht weiter

Das Bezirksgericht von Ost-Virginia hat den Antrag von Microsoft auf Abfangen der Kontrolle über org-Domains, die mit schädlicher Aktivität in Verbindung gebracht werden, bewilligt. Die Erlaubnis wurde auf begrenzte Zeit erteilt.

Als Anlass für die Antragsstellung diente die Tatsache, dass auf der Domain 3322.org, die einem chinesischen Unternehmen gehört, der Control and Command-Server von Nitol untergebracht ist ― ein Botnetz, das auf den Radar von MS geraten war. Bei der Überprüfung ihrer Lieferwege auf den chinesischen Markt tätigten die Experten Testkäufe und entdeckten die Nitol-Bots, die zusammen mit einer gefälschten Windows-Version auf den PCs installiert waren. 20% der von den Revisoren in China erworbenen Rechner erwiesen sich als infiziert. Die Lieferkette hat eine Menge Zwischenglieder ― Logistiker, Distributoren, Reseller. Mangels adäquater Regelungen und strenger Kontrollen bei den Subauftragnehmern könnte der Schädlinge auf jeder Liefer-Etappe eingeschleust werden.

Die Untersuchung von Nitol – von Microsoft unter dem Decknamen „Operation b70“ durchgeführt – hat gezeigt, dass sich das Steuerungszentrum des Botnetzes in der Domain-Zone 3322.org befindet, die schon seit Langem als Zufluchtsort für Cyberkriminelle bekannt ist. Neben Nitol, das mit DDoS-Funktionalität ausgestattet ist, entdeckten die Experten in der Umgebung 500 weitere Schädlinge, die auf 70 000 Subdomains angesiedelt waren. Die Domain 3322.org ist auf ein chinesisches Unternehmen registriert und wird als kostenloser Dynamic DNS-Service (DDNS) verwendet. Solche Dienste sind unter den Organisatoren von Cyberattacken äußerst beliebt, da sie es ihnen ermöglichen, ihre Geschäfte am Laufen zu halten, indem sie die Informationen auf dem DNS-Server schnell ändern.

Laut dem Gerichtsbeschluss wird der Registerbetreiber der Domain ORG, der in den USA sitzt, den gesamten DNS-Traffic von 3322.org auf die Server von Microsoft umleiten. Microsoft ist so in der Lage, die Anfragen von Nitol und anderen Schädlingen zu blockieren, und dabei die volle Funktionsfähigkeit der „sauberen“ Subdomains aufrechtzuerhalten. Bei der Filterung des neuen DNS-Traffics wird der Softwaregigant von den Kollegen des Sicherheitsunternehmens Nominum unterstützt, das ebenfalls als Kläger aufgetreten ist. Die gerichtlichen Ansprüche an den Inhaber von 3322.org und dessen Firma werden aufrecht erhalten, und die Experten hoffen, dass das Bezirksgericht von Virginia ein ständiges Verbot gegen die rechtswidrige Nutzung dieser Domain verhängt, und die Beklagten zur Kasse gebeten werden.

Leider hält die Übernahme der Domain 3322.org die Botmaster nicht auf. Wie die Kollegen von Damballa zu recht anmerken, verteilen Cyberkriminelle ihre C&C-Domains für gewöhnlich auf mehrere DNS-Provider. So verwendet auch Nitol, ein eher kleineres und weniger aktives Botnetz, eine Vielzahl von Domain-Namen, die zwischen mehreren DDNS-Services aufgeteilt sind. Ungefähr 70 derartige Kunden hat 3322.org, und ihre Kommandoinfrastruktur umfasst laut Damballa mehr als 400 Subdomains in dieser Zone.

Quellen:

Microsoft

krebsonsecurity.com

Damballa

Microsofts Kampf gegen Botnetze geht weiter

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach