Microsofts Kampf gegen Botnetze geht weiter

Das Bezirksgericht von Ost-Virginia hat den Antrag von Microsoft auf Abfangen der Kontrolle über org-Domains, die mit schädlicher Aktivität in Verbindung gebracht werden, bewilligt. Die Erlaubnis wurde auf begrenzte Zeit erteilt.

Als Anlass für die Antragsstellung diente die Tatsache, dass auf der Domain 3322.org, die einem chinesischen Unternehmen gehört, der Control and Command-Server von Nitol untergebracht ist ― ein Botnetz, das auf den Radar von MS geraten war. Bei der Überprüfung ihrer Lieferwege auf den chinesischen Markt tätigten die Experten Testkäufe und entdeckten die Nitol-Bots, die zusammen mit einer gefälschten Windows-Version auf den PCs installiert waren. 20% der von den Revisoren in China erworbenen Rechner erwiesen sich als infiziert. Die Lieferkette hat eine Menge Zwischenglieder ― Logistiker, Distributoren, Reseller. Mangels adäquater Regelungen und strenger Kontrollen bei den Subauftragnehmern könnte der Schädlinge auf jeder Liefer-Etappe eingeschleust werden.

Die Untersuchung von Nitol – von Microsoft unter dem Decknamen „Operation b70“ durchgeführt – hat gezeigt, dass sich das Steuerungszentrum des Botnetzes in der Domain-Zone 3322.org befindet, die schon seit Langem als Zufluchtsort für Cyberkriminelle bekannt ist. Neben Nitol, das mit DDoS-Funktionalität ausgestattet ist, entdeckten die Experten in der Umgebung 500 weitere Schädlinge, die auf 70 000 Subdomains angesiedelt waren. Die Domain 3322.org ist auf ein chinesisches Unternehmen registriert und wird als kostenloser Dynamic DNS-Service (DDNS) verwendet. Solche Dienste sind unter den Organisatoren von Cyberattacken äußerst beliebt, da sie es ihnen ermöglichen, ihre Geschäfte am Laufen zu halten, indem sie die Informationen auf dem DNS-Server schnell ändern.

Laut dem Gerichtsbeschluss wird der Registerbetreiber der Domain ORG, der in den USA sitzt, den gesamten DNS-Traffic von 3322.org auf die Server von Microsoft umleiten. Microsoft ist so in der Lage, die Anfragen von Nitol und anderen Schädlingen zu blockieren, und dabei die volle Funktionsfähigkeit der „sauberen“ Subdomains aufrechtzuerhalten. Bei der Filterung des neuen DNS-Traffics wird der Softwaregigant von den Kollegen des Sicherheitsunternehmens Nominum unterstützt, das ebenfalls als Kläger aufgetreten ist. Die gerichtlichen Ansprüche an den Inhaber von 3322.org und dessen Firma werden aufrecht erhalten, und die Experten hoffen, dass das Bezirksgericht von Virginia ein ständiges Verbot gegen die rechtswidrige Nutzung dieser Domain verhängt, und die Beklagten zur Kasse gebeten werden.

Leider hält die Übernahme der Domain 3322.org die Botmaster nicht auf. Wie die Kollegen von Damballa zu recht anmerken, verteilen Cyberkriminelle ihre C&C-Domains für gewöhnlich auf mehrere DNS-Provider. So verwendet auch Nitol, ein eher kleineres und weniger aktives Botnetz, eine Vielzahl von Domain-Namen, die zwischen mehreren DDNS-Services aufgeteilt sind. Ungefähr 70 derartige Kunden hat 3322.org, und ihre Kommandoinfrastruktur umfasst laut Damballa mehr als 400 Subdomains in dieser Zone.

Quellen:

Microsoft

krebsonsecurity.com

Damballa

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.