Microsoft en Symantec halen Bamital-botnet offline
De Digital Crimes Unit van Microsoft heeft samen met Symantec het Bamital-botnet offline gehaald. Het volgens Microsoft gevaarlijke botnet kaapte zoekresultaten van gebruikers en verwees ze door naar gevaarlijke websites. Ook in Nederland werd een server offline gehaald.
Volgens Microsoft had het botnet tussen de 300.000 en 1 miljoen systemen geïnfecteerd. Het botnet kaapte de zoekresultaten van gebruikers en verwees ze door naar malafide websites. Zo verwezen zoekresultaten voor de term 'Nickelodeon' door naar websites met malware. Hetzelfde gold voor zoekresultaten voor beveiligingssoftware.
Microsoft en Symantec haalden de command-and-control-servers offline, waardoor de beheerders van het botnet hoogstwaarschijnlijk niet meer met de 'zombies' in het botnet kunnen communiceren. Of het botnet daardoor daadwerkelijk onthoofd is, is onduidelijk. "Dat zal de komende tijd blijken", zegt een woordvoerder van Microsoft tegenover Reuters.
De bedrijven vielen datacenters in Virgina en New Jersey binnen, met toestemming van de Amerikaanse rechter. Daarnaast haalden ze één server offline bij een Nederlandse hostingprovider. Volgens Webwereld hebben de botnet-beheerders in het verleden ook gebruikgemaakt van servers bij de Nederlandse hostingprovider Leaseweb, maar zijn die op het moment van schrijven niet meer in gebruik.
Als gevolg van de actie konden gebruikers die waren geïnfecteerd, tijdelijk niet zoeken op internet. In plaats daarvan gebruikt Microsoft de servers van het botnet om gebruikers te forwarden naar een pagina met uitleg. Daarin wordt gebruikers verteld dat ze zijn geïnfecteerd en wordt hulp aangeboden om het probleem op te lossen. Microsoft en Symantec hebben in het verleden vaker samengewerkt om botnets offline te halen.
Reacties (41)
Ik las eerst 'bamibal-botnet'. 
Maar wel goed dat ze het netwerk hebben opgerold, hoe meer hoe beter.
Maar wel goed dat ze het netwerk hebben opgerold, hoe meer hoe beter.
Voor verdere info omtrend de trojan:
http://www.symantec.com/s...docid=2010-070108-5941-99
Netjes dat ze alles gerechtelijk hebben geregeld. Alleen jammer dat de mannen achter de gordijnen nog niet zijn gepakt. Ik hoop dat de servers aanwijzingen geven over de gebruikers.
Opmerkelijk dat de threat assesment volgens Symantec low is, mogelijk omdat de C&C servers zijn neergehaald.
http://www.symantec.com/s...docid=2010-070108-5941-99
Netjes dat ze alles gerechtelijk hebben geregeld. Alleen jammer dat de mannen achter de gordijnen nog niet zijn gepakt. Ik hoop dat de servers aanwijzingen geven over de gebruikers.
Opmerkelijk dat de threat assesment volgens Symantec low is, mogelijk omdat de C&C servers zijn neergehaald.
[Reactie gewijzigd door Auredium op donderdag 7 februari 2013 10:35]
In amerika wel ja, maar hoe zit dat met het neerhalen van de servers in Nederland? Daar kan ik niks over vinden. Ondanks de goede bedoelingen in dit geval hoort dit toch niet zomaar te kunnen zonder rechter dan. Of eigenlijk is dit altijd voor justitie.
Volgens het artikel van Webwereld heeft MS een aanvraag ingediend bij Leaseweb. Die hebben de IPs geblokkeerd. Dat is compleet legaal, er zal vast in de AV van Leaseweb staan dat er stappen genomen worden als er malafide activiteiten ondernomen worden vanaf IPs die onder hun beheer staan. Dit is 1 van die stappen. Het is dan ook niet MS die iets heeft neergehaald, maar Leaseweb.In amerika wel ja, maar hoe zit dat met het neerhalen van de servers in Nederland? Daar kan ik niks over vinden. Ondanks de goede bedoelingen in dit geval hoort dit toch niet zomaar te kunnen zonder rechter dan. Of eigenlijk is dit altijd voor justitie.
[Reactie gewijzigd door the_shadow op donderdag 7 februari 2013 11:31]
Wat een azijn-pisserij is dit weer: Ik kan er niks over vinden dus zal het wel weer op de foute manier gebeurd zijn.In amerika wel ja, maar hoe zit dat met het neerhalen van de servers in Nederland? Daar kan ik niks over vinden
Niet alles wat grote bedrijven doen is evil hoor. Het meeste is gewoon goed en legaal.
Ik ben blij dat zij een heel naar bot-net hebben down gehaald. Jij (en ik ook) hebben zowel Microsoft als Symantec hier niet direct voor betaald, maar toch hebben zij zich voor ons ingezet. Sterker nog, door niets te doen had Symantec wellicht nog wat meer virus-scanners kunnen verkopen. Toch hebben zij ons belang voorop gesteld !
Shappeau !!!!
Is dit dan met de melding dat je de wet hebt overtreden en een boete moet betalen van een overschrijving op een rekening ergens in Rusland e.d.Daarin wordt gebruikers verteld dat ze zijn geïnfecteerd en wordt hulp aangeboden om het probleem op te lossen
Moest ik ook direct aan denken.
Jammer dat iemand weer geen gevoel voor humor had. +1tje van mij in ieder geval.
Jammer dat iemand weer geen gevoel voor humor had. +1tje van mij in ieder geval.
Goede actie van Microsoft en Symantec. Hoop dat er nog meerdere zullen volgen, zodat (ijdele hoop) het internet weer wat veiliger wordt.
Heel mooi dat MS en Symantec van buitenaf je Windows server binnensluipen om een botnet op te ruimen, maar via datzelfde soort gaten komen de hackers juist binnen...
Hoe weet je dat de hackers die gaten hebben gebruikt?
MS en Symantec hebben helemaal niet een windows server binnen geslopen? Ze hebben met een rechterlijk bevel de fysieke server gewoon uit het rack gehaald en vervangen door hun eigen. Niets backdoor achtigs aan?
Lees: http://www.nu.nl/internet...erland-uitgeschakeld.html
Daar staat: Microsoft en Symantec zouden via automatische berichten programma’s hebben aangeboden die de geïnfecteerde computers reinigen van virussen.
Dat klinkt voor mij als via een achterdeur naar binnen...
Daar staat: Microsoft en Symantec zouden via automatische berichten programma’s hebben aangeboden die de geïnfecteerde computers reinigen van virussen.
Dat klinkt voor mij als via een achterdeur naar binnen...
Uit bovenstaand artikel:
Botnet server fysiek vervangen door eigen server en ipv searches een uitleg pagina serveren is puur alleen gebruik maken van de aanpassingen op de search page die het botnet heeft gemaakt. Niks geen achterdeur, gewoon slim gebruik maken van de bestaande infecties.Als gevolg van de actie konden gebruikers die waren geïnfecteerd, tijdelijk niet zoeken op internet. In plaats daarvan gebruikt Microsoft de servers van het botnet om gebruikers te forwarden naar een pagina met uitleg. Daarin wordt gebruikers verteld dat ze zijn geïnfecteerd en wordt hulp aangeboden om het probleem op te lossen.
"In plaats daarvan gebruikt Microsoft de servers van het botnet..." Hoe komt Microsoft op die servers van het botnet?
Gerechtelijke toestemming, en een weg om de infecties te verwijderen.
Het gaat hier om een fysieke server, niet via RDP inloggen. Daar hebben ze dan ook totaal geen mogelijkheid toe, zo'n achterdeur zou veel te snel worden gevonden en misbruikt.De bedrijven vielen datacenters in Virgina en New Jersey binnen, met toestemming van de Amerikaanse rechter.
Het is helaas inderdaad altijd maar de vraag of dit daadwerkelijk het einde is van dit botnet. Vaak zijn de trojans zo geschreven dat ze backup-mogelijkheden hebben dus met een nieuwe C&C server verbinding zullen maken of nog beter informatie van een andere C&C server ontvangen om zichzelf te herconfigureren op de nieuwe servers.
Het is altijd even afwachten na zo'n actie of er geen slim mechanisme in zit die ze over het hoofd hebben gezien maar aangezien het 2 grote spelers zijn binnen de IT-sector ga ik er al bijna vanuit dat het wel goed zit. Maar jah, assumption is the .......
Het zal waarschijnlijk erg moeilijk zijn de personen die dit opgezet hebben te achterhalen of er moet al 1 zo dom zijn een app op zijn telefoon te hebben of rechtstreeks zonder proxies of bijv. TOR in te loggen op de C&C servers.
Het is altijd even afwachten na zo'n actie of er geen slim mechanisme in zit die ze over het hoofd hebben gezien maar aangezien het 2 grote spelers zijn binnen de IT-sector ga ik er al bijna vanuit dat het wel goed zit. Maar jah, assumption is the .......
Het zal waarschijnlijk erg moeilijk zijn de personen die dit opgezet hebben te achterhalen of er moet al 1 zo dom zijn een app op zijn telefoon te hebben of rechtstreeks zonder proxies of bijv. TOR in te loggen op de C&C servers.
Ik denk dat Microsoft en Symantec wel rekening zullen hebben gehouden met back-up servers.
"...van servers bij de Nederlandse hostingprovider Leaseweb,"
Slordig dat hosting providers niet meer zorg uitdragen aan het controleren van wat er werkelijk op de servers gebeurt.
Helaas ontwikkelen ook botnets zich in rap tempo, en zijn er zelfs al botnets waarbij er geen centrale servers meer zijn maar de zombies onderling bij elkaar gaan luisteren zodat de commandos letterlijk "als een lopend vuurtje" door het botnet gaan. Lijkt me ook bijna onmogelijk om op te rollen.
Slordig dat hosting providers niet meer zorg uitdragen aan het controleren van wat er werkelijk op de servers gebeurt.
Helaas ontwikkelen ook botnets zich in rap tempo, en zijn er zelfs al botnets waarbij er geen centrale servers meer zijn maar de zombies onderling bij elkaar gaan luisteren zodat de commandos letterlijk "als een lopend vuurtje" door het botnet gaan. Lijkt me ook bijna onmogelijk om op te rollen.
Het kan mij niet de bedoeling lijken dat een hosting provider even van elke gebruiker gaat zitten controleren wat er op de server staat en draait. Bij problemen of aanwijzingen wel, maar zonder aanleiding toch zeker niet. Als ik een server huur is het mijn zaak wat ik daar op doe, dat er clausules zijn met boetes en weet ik veel wat nog allemaal als zou blijken dat ik er illegale praktijken op doe is normaal, maar dat moeten dan de correcte autoriteiten maar uitzoeken lijkt mij. Hoe kan een hosting provider dan controleren wat er op de servers draait zonder de privacy van de huurder te schenden?
Of het moet op voorhand duidelijk in de overeenkomst staan, maar dan gaat een botnet zich daar gewoon niet hosten.
Of het moet op voorhand duidelijk in de overeenkomst staan, maar dan gaat een botnet zich daar gewoon niet hosten.
[Reactie gewijzigd door MClaeys op donderdag 7 februari 2013 11:12]
Nog maar niet te spreken over het encrypten van data; dan heeft je provider geen enkel zicht op wat je doet.
Het lijkt me toch dat het gedrag van een server die een botnet beheert opvalt? Vlak voor een "aanval"(bijvoorbeeld) legt de server opeens kortstondig een connectie met 100.000'en "zombies". Dat is gedrag wat een "normale" server niet zou doen, omdat die connecties natuurlijk veel meer gespreid zijn gedurende de dag, met een daaraan gekoppeld gemiddeld gebruik.
Het lijkt me dat je aan het gedrag wel kunt opmaken dat de server een botnet aanstuurt.
Het lijkt me dat je aan het gedrag wel kunt opmaken dat de server een botnet aanstuurt.
[Reactie gewijzigd door Brazos op donderdag 7 februari 2013 12:46]
Nee volkomen logisch dat dit niet gebeurd. Laten we AUB niet die kant op gaan. Ik huur een server en laat mij aub bepalen wat ik met dat ding doe. Daarbij, hoe wil je gaan controleren wat er gebeurd wel rechtmatig is? DPI? En wie bepaald of iets rechtmatig is of niet?
Edit:
achteraf constateren dat er onrechtmatigheden hebben plaats gevonden is altijd beter. Je bent immers onschuldig tot het tegendeel bewezen is.
Edit:
achteraf constateren dat er onrechtmatigheden hebben plaats gevonden is altijd beter. Je bent immers onschuldig tot het tegendeel bewezen is.
[Reactie gewijzigd door Floor op donderdag 7 februari 2013 11:20]
Je bent wel op andermans terrein met andermans spullen bezig, dus die heeft altijd wat te zeggen wat je ermee doet. Dat werkt in de echte wereld net zo: je mag een huis huren en daar in privacy bijna alles doen wat je wilt, maar als je er vijftig Polen en drieduizend wietplanten in zet, dan kan de verhuurder daar wel degelijk een stokje voor steken.
Wil je dat niet, dan moet je zelf hosting provider worden.
Wil je dat niet, dan moet je zelf hosting provider worden.
Jij huurt inderdaad een server. Wanneer de verhuurder dus is overtuigd dat jij iets doet wat volgens de voorwaarden of Nederlandse wetgeving niet mag dan kan de verhuurder als eigenaar de beslissing nemen om actie te ondernemen. Had je je maar aan de regels moeten houden of had je zelf een server moeten kopen en deze in een data center zetten (en daarnaast een eigen IP blok kopen)
Wanneer je iets huurt ben je geen eigenaar
Wanneer je iets huurt ben je geen eigenaar
[Reactie gewijzigd door Mellow Jack op donderdag 7 februari 2013 12:02]
" Ik huur een server en laat mij aub bepalen wat ik met dat ding doe."
A.u.b. niet. Alleen als die "dingen" zijn toegestaan bij de wet, en de voorwaarden van het bedrijf.
A.u.b. niet. Alleen als die "dingen" zijn toegestaan bij de wet, en de voorwaarden van het bedrijf.
Controleren wat er werkelijk op de servers gebeuren...
Je kan het meestal alleen controleren als er fysiek op zit, dat zou betekenen dat je moet inloggen op een dedi server. Maar dat kan natuurlijk niet hé gezien de huurder die alleen heeft, of denk je dat zulke verhuurders het wachtwoord weten? Nou geloof me dan houden ze niet veel klanten over, mensen die vaak zulke servers huren hebben informatie, programma's of scripts/sources van websites. Ontwikkel je even voor ¤50.000,- een website en loopt er één of andere persooneelslid van de hosting alles te jatten om het door te verkopen.
Een virus en de C&C script is niks meer dan een applicatie, dus hoe kan je nou weten van buiten af als een server gebruikt wordt voor "black-hatting"?
Je kan het meestal alleen controleren als er fysiek op zit, dat zou betekenen dat je moet inloggen op een dedi server. Maar dat kan natuurlijk niet hé gezien de huurder die alleen heeft, of denk je dat zulke verhuurders het wachtwoord weten? Nou geloof me dan houden ze niet veel klanten over, mensen die vaak zulke servers huren hebben informatie, programma's of scripts/sources van websites. Ontwikkel je even voor ¤50.000,- een website en loopt er één of andere persooneelslid van de hosting alles te jatten om het door te verkopen.
Een virus en de C&C script is niks meer dan een applicatie, dus hoe kan je nou weten van buiten af als een server gebruikt wordt voor "black-hatting"?
Opvallend - Microsoft heeft de pagina waar de server naar redirect overgenomen om zo een waarschuwing te geven.
Destijds had de politie in Nederland pc's die geinfecteerd waren ook iets dergelijks gedaan, maar dat mocht toen niet?
Destijds had de politie in Nederland pc's die geinfecteerd waren ook iets dergelijks gedaan, maar dat mocht toen niet?
De politie in Nederland had toen een melding laten weergeven op de computer van de gebruiker zelf (er is dus iets op de client veranderd), het gaat hier over het "defacen" van een website, voor hoever je over defacen kan spreken als het gaat om de boel opruimen.
En ms mag ook zomaar servers in nederland offline halen? daar moet toch altijd een nederlandse rechter aantepas komen, usa rechter heeft hier in nederland niets tezeggen.
Lees namelijk nergens dat een nl rechter toestemming heeft gegeven.
Lees namelijk nergens dat een nl rechter toestemming heeft gegeven.
[Reactie gewijzigd door devil-strike op donderdag 7 februari 2013 11:22]
Je moet voor de gein ook even de aangehaalde bronartikelen doornemen:En ms mag ook zomaar servers in nederland offline halen? daar moet toch altijd een nederlandse rechter aantepas komen, usa rechter heeft hier in nederland niets tezeggen.
Lees namelijk nergens dat een nl rechter toestemming heeft gegeven.
Als MS kan bewijzen dat er malafide activiteiten worden ondernomen vanaf die IPs, dan is het aan Leaseweb om er al dan niet wat mee te doen. Zij hebben er voor gekozen om de IPs te blokkeren. Mochten de eigenaren van de IP adressen het er niet mee eens zijn, dan zouden ze naar de rechter kunnen stappen om Leaseweb aan te klagen (MS heeft namelijk zelf niets ondernomen in Nederland), maar ik betwijfel dat ze dat gaan doen."We hebben op verzoek van Microsoft 3 ip-adressen afgesloten, in Nederland trouwens. US was verder niet betrokken", meldt Alex de Joode, security officer bij Leaseweb aan Webwereld. Leaseweb werden gevraagd dat op een bepaald tijdstip de IP-adressen te blokkeren in verband met wereldwijde coördinatie van de actie.
In tweede instantie meldt De Joode dat de drie IP's op het moment van de actie al niet meer in gebruik waren. "Één was nog wel toegewezen aan een klant maar deze server was per 1 februari opgezegd. We hebben er voor gezorgd dat deze server niet meer door de klant uit quarantaine gehaald kan worden."
Op zich een goede actie, blij dat Justitie hier ook bij betrokken is, dat er niet op eigen gezag ingegrepen is.
Waar ik wel mij n bedenkingen over heb is:
Is er iemand die de rechtspositie van deze unit kan uitleggen?
Ontbreekt namelijk de legale (uitvoerende) status, dan kan deze actie zomaar een vervelend staartje krijgen.
Waar ik wel mij n bedenkingen over heb is:
Is dat reden om tot actie over te gaan, en geeft dit een legitieme reden om een rechter te overtuigen dat er ingegrepen mag worden. In dit geval blijkbaar wel, maar beschikken deze partijen meteen over de wettelijke bevoegdheden zelf actie te mogen ondernemen? Ik kon daar zelf wat over vinden, oa de samenstelling van het Digital Crimes team, maar kwam er niet echt achter of ze gerechtigd zijn deze stappen uit te voeren, zonder officiele instanties.Het volgens Microsoft gevaarlijke botnet ...
Is er iemand die de rechtspositie van deze unit kan uitleggen?
Ontbreekt namelijk de legale (uitvoerende) status, dan kan deze actie zomaar een vervelend staartje krijgen.
[Reactie gewijzigd door dutch_camel op donderdag 7 februari 2013 11:50]
Het kan ook aangeven dat microsoft justitie heeft overtuigd van het feit dat het botnet gevaarlijk is. In zon geval zou je kunnen stellen dat het volgens microsoft een gevaarlijk botnet is.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
