Pobelka-botnet bracht interne netwerkstructuren in kaart
Cybercriminelen die honderdduizenden systemen in Nederland en Duitsland konden aansturen via het Pobelka-botnet, waren niet alleen inlogdata aan het inzamelen, maar ook informatie over de structuur van interne netwerken. Deze informatie kan ingezet worden voor vervolgaanvallen.
Dat concluderen SurfRight en Digital Investigation in een onderzoek naar het Citadel-malwareplatform en het Pobelka-botnet dat gebruik maakt van Citadel. Aanleiding voor de research naar de schadelijke software was een malware-aanval via de website van De Telegraaf. De onderzoekers kwamen al snel uit op een command-and-control-server die verder is onderzocht. Daaruit bleek dat het Pobelka-botnet meer dan 264.000 zombies telde die vooral in Nederland en Duitsland waren te vinden. Niet alleen computers van bedrijven waren veelal onopgemerkt besmet geraakt, maar ook veel overheidssystemen.
Uit een analyse van gestolen data bleek dat de aanvallers met buitgemaakte inloggegevens op webpagina's van onder andere uitgevers konden inloggen om zo kwaadaardige code die naar malware verwees te kunnen plaatsen. Er werden onder andere logingegevens aangetroffen voor systemen van De Telegraaf. Ook via de sites van Weeronline.nl en RTV West werd de afgelopen maanden malware verspreid. Verder werd op de command-and-control-server configuratiedata aangetroffen om geld te stelen bij drie Nederlandse banken: ING, ABN Amro en ASN Bank.
Volgens Surfright en Digital Investigation had het Pobelka-botnet niet alleen koppelingen met de Dorifel-malware, een virus dat onder andere bij de overheid voor problemen zorgde, maar de criminelen zouden het botnet ook gebruikt hebben om interne netwerken en alle aangesloten apparatuur in kaart te brengen. Deze informatie zou doorverkocht kunnen zijn aan derden, bijvoorbeeld schurkenstaten, zo stellen de schrijvers van het onderzoek. Concreet bewijs wordt daarvoor echter niet aangedragen.
De Citadel-malware, een compleet malwareplatform dat voor enkele duizenden dollar op de zwarte markt te koop is en van professionele support voorzien kan worden, blijkt vernuftig in elkaar te steken. De malware kan zich goed verstoppen voor vrijwel alle gangbare antivirussoftware en het weet zich in alle bekende browsers te nestelen. Dat cybercriminelen met het op Citadel gebaseerde Pobelka-botnet zo gericht, ongemerkt en op grote schaal in Nederland konden opereren, is volgens de onderzoekers dan ook te danken aan de geraffineerde en professionele wijze waarop de Citadel-malware is opgebouwd.
Reacties (20)
op 'am i infected' kun je ook (automatisch) kijken of je in de database met affected hosts staat.
ik heb verder niets met die site te maken
[Reactie gewijzigd door SilentStorm op maandag 24 december 2012 08:22]
Hoe beveilig je anno 2012 en 2013 nog je netwerk voor zulke aanvallen? Je zult altijd wel een koppeling hebben tussen je online domein en je lokale domein en je zult altijd wel onbekende lekken hebben en users of admins die lak aan de regels hebben. Ik denk dat het kwalijker is dat het zo lang duurde voordat er een respons kwam die aduquaat was.
Dorifel werd snel opgemerkt, maar niet snel genoeg en de dreiging werd te lang gezien als marginaal. Nederlandse en Europese anti-cyberterreur eenheden moeten sneller dergelijke bedreigingen kunnen onderzoeken imo en daar liggen wij nog op achter ten opozichte van bijvoorbeeld de VS en China.
Dit vergt natuurlijk nog steeds een hoop discipline met usb sticks en technisch bekwaam personeel dat hun werk 'makkelijker' probeert te maken.
--
Onder iets normalere werkomstandigheden: blijven updaten en hopen dat die <1% die er door komt je niet opbreekt, door er snel op in te spelen?
Een goede systeembeheerder heeft hier vast een beter antwoord op
"Defense in depth."Onder iets normalere werkomstandigheden: blijven updaten en hopen dat die <1% die er door komt je niet opbreekt, door er snel op in te spelen?
Dus niet alleen vertrouwen op je verdediging ten opzichte van de buitenkant (of dat nou internet of kantoor-netwerk betreft), maar bijvoorbeeld ook ervoor zorgen dat je back-end servers naar elkaar toe gefirewalled zijn.
Niet alleen verkeer dat over het publieke internet gaat voorzien van SSL-encryptie, maar ook zo veel mogelijk van je interne verbindingen.
Wat je wilt voorkomen is dat een bad guy door je buitenste laag heenkomt en daarna vrij spel heeft. Denk eens vanuit beveiligingsperspectief: hoeveel schade kan een vertrouwd systeem aanrichten? Hoe kan ik dat zoveel mogelijk beperken, zonder functionaliteit te schaden?
Een ander aspect is dat het zou helpen als 'de business' veiligheid als onderdeel van functionaliteit gaat waarderen. Op dit moment wordt dienstonderbreking, bijvoorbeeld door patching, als verstorend ervaren. Mijns insziens zou 'de business' al bij het moment van het opstellen van de SLA juist sterke eisen op veiligheidsgebied moeten neerleggen.
Op dit moment krijgt IT vaak de zwarte piet toegespeeld in geval van beveiligingslekken. Toch ontbreekt het item security in heel veel SLA's. Tsja.
[Reactie gewijzigd door Keypunchie op maandag 24 december 2012 09:01]
Ik ben dan ook een voorstander van "security by design".
Knoop inderdaad niet alles als een blinde aan elkaar omdat het wel makkelijk is,
Keypunchie heeft 200% gelijk.
de meeste aanvallen komen van binnen uit en niet meer van buiten.
Iemand neemt zijn laptop mee naar huis, "werkt" daar op zijn laptop, en de volgende dag hangt deze weer aan het interne netwerk!
http://check.botnet.nu/
Echter werkt dit alleen wanneer het IP adres niet gewijzigd is. Weet iemand een andere manier om een controle te doen, die ook werkt bij een gewijzigd IP adres?
[Reactie gewijzigd door Bilbo.Balings op maandag 24 december 2012 09:33]
Waarom zou dat niet kunnen?
- de indeling van het netwerk van een grote multinational;
- lopende zaken van een gerenommeerd advocatenkantoor en komende rechtszaken die de verweerder waarschijnlijk nog niet eens kent;
- productontwikkeling van een technologisch hoogstaand bedrijf;
- de productiviteit van een ambtenaar die zijn dag vooral op Facebook besteedt;
- welke medewerker op een ministerie precies aan welke kamervragen werkt;
- welke software precies op welke computer staat;
- hoe de politie precies haar werk doet in een zaak;
- de informatie die op diverse redacties circuleert;
- welke medewerkers in een ziekenhuis welke verslagen schrijven.
http://www.hpdetijd.nl/20...l-een-rus-in-uw-computer/
Door nog niet eerder ontdekte lekken in software die je draait. Over het algemeen is dat vanwege de fragmentatie van software pakketten die door personen en bedrijven gebruikt wordt niet zo'n probleem. Je hebt dan als hacker simpelweg een te kleine doelgroep om op in te breken om het de moeite waard te maken.apart, hoe komt zo'n virus op jouw als je alles up to date houdt? Hoe?
Echter is er ook software die door heel grote groepen gebruikt wordt: Flash, Adobe Reader, Java, Internet Explorer, Firefox, Chrome, etc. etc. Ook deze bevatten hier en daar uit te buiten zwakheden en allemaal praten ze direct (of vrijwel direct) met de grote boze buitenwereld van het internet. Met de grote aandacht die vanuit hackers vooral naar Flash en Java uit gaan is het de laatste tijd dweilen met de kraan open op dat gebied. Heb je één exploit gepatcht, zijn er alweer twee nieuwe door hackers ontwikkeld...
Het zou al een heel eind helpen als burgers een soort van 'internet brevet' dienen te bemachtigen, zoiets als een digitaal rijbewijs, alvorens ze een privé internetaansluiting kunnen aanvragen. Op die manier heeft men in elk geval de kennis van een aantal elementaire zaken overgedragen gekregen: niet zomaar overal 'ja' op klikken, de browser en haar addons en plugins up-to-date te houden, niet met een administrator account gaan browsen, etc.Moeten we allemaal een speciale opleiding gaan volgen over ict om onze eigen pc te beveiligen?
Een anti-virus programma is de laatste verdedigingslinie. Je moet er nooit compleet op vertrouwen, juist omdat het niet perfect is (en nooit perfect kan zijn).En dat bijna geen gangbare antivirus dit kan onderscheppe? Wel zorgelijk!!
[Reactie gewijzigd door R4gnax op maandag 24 december 2012 11:35]
Helaas is de standaard Windows firewall alleen ingericht om binnenkomend verkeer te onderscheppen maar niet uitgaand. Het programmeren van deze firewall-rules is voor de meeste gebruikers te ingewikkeld, daarom vertrouw ik op een goede, eenvoudige firewall die applications en hun gedrag (port / destination) eenvoudig laat programmeren en by-default alle niet gedefinieerd verkeer disabled.
Ik sta iedere keer verbaasd dat bekende programma's internet op willen zonder enige duidelijke reden. Als deze programma's elke toegang ontzegt wordt werken ze desondanks "normaal".
Het haalt minder uit dan je zou denken. Een software firewall draait in je OS en zal hoogstens verbindingen tegenhouden die via de normale weg opgebouwd worden. Een virus kan op verschillende manieren langs een software firewall heenwerken. Het kan een eigen TCP stack draaien, bijvoorbeeld. Of het schakelt de firewall uit, maar doet het in de bijhorende user interfaces nog steeds over laten komen alsof deze nog aanstaat.Helaas is de standaard Windows firewall alleen ingericht om binnenkomend verkeer te onderscheppen maar niet uitgaand. Het programmeren van deze firewall-rules is voor de meeste gebruikers te ingewikkeld, daarom vertrouw ik op een goede, eenvoudige firewall die applications en hun gedrag (port / destination) eenvoudig laat programmeren en by-default alle niet gedefinieerd verkeer disabled.
Uitgaande firewalls zijn eigenlijk pas veilig te noemen als ze ten minste in een losstaand apparaat draaien wat verder niet op het normale interne netwerk aangesloten is voor zaken als 'remote management'.
En dat lukt dus niet omdat er steeds weer nieuwe veiligheidsgaten in je OS worden gevonden die nog niet gepatched kunnen zijn simpelweg omdat er nog geen patch voor is.Dus je hebt een content scanning firewall nodig (die het webverkeer IN poort 80 nakijkt op bijvoorbeeld exploits).
DAT is al sinds XP sp3 NIET meer het geval.Helaas is de standaard Windows firewall alleen ingericht om binnenkomend verkeer te onderscheppen maar niet uitgaand
Zowel uitgaand als inkomend verkeer is te configuren.
Stel, je watervoorziening, waterniveaucontrole (gemalen), kerncentrale of andere energiecentrales zijn remote toegankelijk (wat wellicht vaker kan dan je denkt).maar niemand zal het je kwalijk nemen als je toch voor 99,99% zekerheid wilt gaan.
Accepteer jij dan 99,99% veiligheid? Ik niet. Ik zou dat zeker wel kwalijk nemen van zulke bedrijven.
En waar gaat 't dan precies om: 99,99% veiligheid per jaar per bedrijf? Of per eeuw?
In elk geval moet je best practices toepassen (dus eigenlijk in eerste instantie zulke zaken al sowieso niet op internet), zoals een goede Linux OS nemen. En alleen dat installeren wat echt noodzakelijk is.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Mobiele telefoons Laptops Apple Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
