Door Joost Schellevis, donderdag 7 februari 2013 10:29, views: 10.590 •

De Digital Crimes Unit van Microsoft heeft samen met Symantec het Bamital-botnet offline gehaald. Het volgens Microsoft gevaarlijke botnet kaapte zoekresultaten van gebruikers en verwees ze door naar gevaarlijke websites. Ook in Nederland werd een server offline gehaald.

MalwareVolgens Microsoft had het botnet tussen de 300.000 en 1 miljoen systemen geïnfecteerd. Het botnet kaapte de zoekresultaten van gebruikers en verwees ze door naar malafide websites. Zo verwezen zoekresultaten voor de term 'Nickelodeon' door naar websites met malware. Hetzelfde gold voor zoekresultaten voor beveiligingssoftware.

Microsoft en Symantec haalden de command-and-control-servers offline, waardoor de beheerders van het botnet hoogstwaarschijnlijk niet meer met de 'zombies' in het botnet kunnen communiceren. Of het botnet daardoor daadwerkelijk onthoofd is, is onduidelijk. "Dat zal de komende tijd blijken", zegt een woordvoerder van Microsoft tegenover Reuters.

De bedrijven vielen datacenters in Virgina en New Jersey binnen, met toestemming van de Amerikaanse rechter. Daarnaast haalden ze één server offline bij een Nederlandse hostingprovider. Volgens Webwereld hebben de botnet-beheerders in het verleden ook gebruikgemaakt van servers bij de Nederlandse hostingprovider Leaseweb, maar zijn die op het moment van schrijven niet meer in gebruik.

Als gevolg van de actie konden gebruikers die waren geïnfecteerd, tijdelijk niet zoeken op internet. In plaats daarvan gebruikt Microsoft de servers van het botnet om gebruikers te forwarden naar een pagina met uitleg. Daarin wordt gebruikers verteld dat ze zijn geïnfecteerd en wordt hulp aangeboden om het probleem op te lossen. Microsoft en Symantec hebben in het verleden vaker samengewerkt om botnets offline te halen.

Reacties (41)

Reactiefilter:-141039+131+21+30
Platte weergaveSorteer oplopendFaq
«  1  2  »
+1 Hillbilly
@DikkeDouwe8 februari 2013 05:04
Microsoft Security Essentials is een gratis virusscanner van MS die het ook prima doet.
0 Katsumii
7 februari 2013 16:58
Mooi dat er weer een botnet opgeruimd is maar het is jammer genoeg dwijlen met de kraan open.
0 Znorkus
7 februari 2013 13:30
Uitvoerende macht bij commerciele bedrijven? Wow! ;-) Sta ik wel van te kijken zeg. Ingehuurd door de overheid als de lange arm der wet. Met hun Microsoft badges en een 'permit'! ;-)
+1 Loller1
@Znorkus7 februari 2013 16:11
Dit is anders niet de eerste keer dat Microsoft (in samenwerking met andere) een (groot) botnet de grond in stampt.
+1 _Thanatos_
7 februari 2013 12:45
Het volgens Microsoft gevaarlijke botnet kaapte zoekresultaten van gebruikers en verwees ze door naar gevaarlijke websites
Fijn heh, zoekmachines die niet via SSL werken. Ze zijn er wel, maar niet Google... (tenminste niet standaard)

[Reactie gewijzigd door _Thanatos_ op 7 februari 2013 12:46]

+1 Hillbilly
@_Thanatos_8 februari 2013 05:05
Als je bent ingelogd in Google staat ie wel automatisch altijd op SSL.
+1 dutch_camel
7 februari 2013 11:49
Op zich een goede actie, blij dat Justitie hier ook bij betrokken is, dat er niet op eigen gezag ingegrepen is.
Waar ik wel mij n bedenkingen over heb is:
Het volgens Microsoft gevaarlijke botnet ...
Is dat reden om tot actie over te gaan, en geeft dit een legitieme reden om een rechter te overtuigen dat er ingegrepen mag worden. In dit geval blijkbaar wel, maar beschikken deze partijen meteen over de wettelijke bevoegdheden zelf actie te mogen ondernemen? Ik kon daar zelf wat over vinden, oa de samenstelling van het Digital Crimes team, maar kwam er niet echt achter of ze gerechtigd zijn deze stappen uit te voeren, zonder officiele instanties.
Is er iemand die de rechtspositie van deze unit kan uitleggen?
Ontbreekt namelijk de legale (uitvoerende) status, dan kan deze actie zomaar een vervelend staartje krijgen.

[Reactie gewijzigd door dutch_camel op 7 februari 2013 11:50]

+1 Brazos
@dutch_camel7 februari 2013 12:54
Het kan ook aangeven dat microsoft justitie heeft overtuigd van het feit dat het botnet gevaarlijk is. In zon geval zou je kunnen stellen dat het volgens microsoft een gevaarlijk botnet is.
+1 devil-strike
7 februari 2013 11:22
En ms mag ook zomaar servers in nederland offline halen? daar moet toch altijd een nederlandse rechter aantepas komen, usa rechter heeft hier in nederland niets tezeggen.

Lees namelijk nergens dat een nl rechter toestemming heeft gegeven.

[Reactie gewijzigd door devil-strike op 7 februari 2013 11:22]

+2 the_shadow
@devil-strike7 februari 2013 11:28
En ms mag ook zomaar servers in nederland offline halen? daar moet toch altijd een nederlandse rechter aantepas komen, usa rechter heeft hier in nederland niets tezeggen.

Lees namelijk nergens dat een nl rechter toestemming heeft gegeven.
Je moet voor de gein ook even de aangehaalde bronartikelen doornemen:
"We hebben op verzoek van Microsoft 3 ip-adressen afgesloten, in Nederland trouwens. US was verder niet betrokken", meldt Alex de Joode, security officer bij Leaseweb aan Webwereld. Leaseweb werden gevraagd dat op een bepaald tijdstip de IP-adressen te blokkeren in verband met wereldwijde coördinatie van de actie.

In tweede instantie meldt De Joode dat de drie IP's op het moment van de actie al niet meer in gebruik waren. "Één was nog wel toegewezen aan een klant maar deze server was per 1 februari opgezegd. We hebben er voor gezorgd dat deze server niet meer door de klant uit quarantaine gehaald kan worden."
Als MS kan bewijzen dat er malafide activiteiten worden ondernomen vanaf die IPs, dan is het aan Leaseweb om er al dan niet wat mee te doen. Zij hebben er voor gekozen om de IPs te blokkeren. Mochten de eigenaren van de IP adressen het er niet mee eens zijn, dan zouden ze naar de rechter kunnen stappen om Leaseweb aan te klagen (MS heeft namelijk zelf niets ondernomen in Nederland), maar ik betwijfel dat ze dat gaan doen.
+1 barchettanl
7 februari 2013 11:17
Opvallend - Microsoft heeft de pagina waar de server naar redirect overgenomen om zo een waarschuwing te geven.
Destijds had de politie in Nederland pc's die geinfecteerd waren ook iets dergelijks gedaan, maar dat mocht toen niet?
+1 the_shadow
@barchettanl7 februari 2013 11:23
De politie in Nederland had toen een melding laten weergeven op de computer van de gebruiker zelf (er is dus iets op de client veranderd), het gaat hier over het "defacen" van een website, voor hoever je over defacen kan spreken als het gaat om de boel opruimen.
+1 Brazos
7 februari 2013 11:03
"...van servers bij de Nederlandse hostingprovider Leaseweb,"

Slordig dat hosting providers niet meer zorg uitdragen aan het controleren van wat er werkelijk op de servers gebeurt.

Helaas ontwikkelen ook botnets zich in rap tempo, en zijn er zelfs al botnets waarbij er geen centrale servers meer zijn maar de zombies onderling bij elkaar gaan luisteren zodat de commandos letterlijk "als een lopend vuurtje" door het botnet gaan. Lijkt me ook bijna onmogelijk om op te rollen.
+1 linkkrw
@Brazos7 februari 2013 11:18
Controleren wat er werkelijk op de servers gebeuren...

Je kan het meestal alleen controleren als er fysiek op zit, dat zou betekenen dat je moet inloggen op een dedi server. Maar dat kan natuurlijk niet hé gezien de huurder die alleen heeft, of denk je dat zulke verhuurders het wachtwoord weten? Nou geloof me dan houden ze niet veel klanten over, mensen die vaak zulke servers huren hebben informatie, programma's of scripts/sources van websites. Ontwikkel je even voor ¤50.000,- een website en loopt er één of andere persooneelslid van de hosting alles te jatten om het door te verkopen.

Een virus en de C&C script is niks meer dan een applicatie, dus hoe kan je nou weten van buiten af als een server gebruikt wordt voor "black-hatting"?
+1 Floor
@Brazos7 februari 2013 11:17
Nee volkomen logisch dat dit niet gebeurd. Laten we AUB niet die kant op gaan. Ik huur een server en laat mij aub bepalen wat ik met dat ding doe. Daarbij, hoe wil je gaan controleren wat er gebeurd wel rechtmatig is? DPI? En wie bepaald of iets rechtmatig is of niet?

Edit:
achteraf constateren dat er onrechtmatigheden hebben plaats gevonden is altijd beter. Je bent immers onschuldig tot het tegendeel bewezen is.

[Reactie gewijzigd door Floor op 7 februari 2013 11:20]

+1 Brazos
@Floor7 februari 2013 12:49
" Ik huur een server en laat mij aub bepalen wat ik met dat ding doe."

A.u.b. niet. Alleen als die "dingen" zijn toegestaan bij de wet, en de voorwaarden van het bedrijf.
+1 Mellow Jack
@Floor7 februari 2013 12:01
Jij huurt inderdaad een server. Wanneer de verhuurder dus is overtuigd dat jij iets doet wat volgens de voorwaarden of Nederlandse wetgeving niet mag dan kan de verhuurder als eigenaar de beslissing nemen om actie te ondernemen. Had je je maar aan de regels moeten houden of had je zelf een server moeten kopen en deze in een data center zetten (en daarnaast een eigen IP blok kopen)

Wanneer je iets huurt ben je geen eigenaar ;)

[Reactie gewijzigd door Mellow Jack op 7 februari 2013 12:02]

+1 Dreamvoid
@Floor7 februari 2013 11:34
Je bent wel op andermans terrein met andermans spullen bezig, dus die heeft altijd wat te zeggen wat je ermee doet. Dat werkt in de echte wereld net zo: je mag een huis huren en daar in privacy bijna alles doen wat je wilt, maar als je er vijftig Polen en drieduizend wietplanten in zet, dan kan de verhuurder daar wel degelijk een stokje voor steken.

Wil je dat niet, dan moet je zelf hosting provider worden.
+1 MClaeys
@Brazos7 februari 2013 11:11
Het kan mij niet de bedoeling lijken dat een hosting provider even van elke gebruiker gaat zitten controleren wat er op de server staat en draait. Bij problemen of aanwijzingen wel, maar zonder aanleiding toch zeker niet. Als ik een server huur is het mijn zaak wat ik daar op doe, dat er clausules zijn met boetes en weet ik veel wat nog allemaal als zou blijken dat ik er illegale praktijken op doe is normaal, maar dat moeten dan de correcte autoriteiten maar uitzoeken lijkt mij. Hoe kan een hosting provider dan controleren wat er op de servers draait zonder de privacy van de huurder te schenden?
Of het moet op voorhand duidelijk in de overeenkomst staan, maar dan gaat een botnet zich daar gewoon niet hosten.

[Reactie gewijzigd door MClaeys op 7 februari 2013 11:12]

+1 Brazos
@MClaeys7 februari 2013 12:45
Het lijkt me toch dat het gedrag van een server die een botnet beheert opvalt? Vlak voor een "aanval"(bijvoorbeeld) legt de server opeens kortstondig een connectie met 100.000'en "zombies". Dat is gedrag wat een "normale" server niet zou doen, omdat die connecties natuurlijk veel meer gespreid zijn gedurende de dag, met een daaraan gekoppeld gemiddeld gebruik.

Het lijkt me dat je aan het gedrag wel kunt opmaken dat de server een botnet aanstuurt.

[Reactie gewijzigd door Brazos op 7 februari 2013 12:46]

+1 Spiked
@MClaeys7 februari 2013 11:49
Nog maar niet te spreken over het encrypten van data; dan heeft je provider geen enkel zicht op wat je doet.
+1 ViperXL
7 februari 2013 11:03
Het is helaas inderdaad altijd maar de vraag of dit daadwerkelijk het einde is van dit botnet. Vaak zijn de trojans zo geschreven dat ze backup-mogelijkheden hebben dus met een nieuwe C&C server verbinding zullen maken of nog beter informatie van een andere C&C server ontvangen om zichzelf te herconfigureren op de nieuwe servers.
Het is altijd even afwachten na zo'n actie of er geen slim mechanisme in zit die ze over het hoofd hebben gezien maar aangezien het 2 grote spelers zijn binnen de IT-sector ga ik er al bijna vanuit dat het wel goed zit. Maar jah, assumption is the .......
Het zal waarschijnlijk erg moeilijk zijn de personen die dit opgezet hebben te achterhalen of er moet al 1 zo dom zijn een app op zijn telefoon te hebben of rechtstreeks zonder proxies of bijv. TOR in te loggen op de C&C servers.
0 Loller1
@ViperXL7 februari 2013 16:09
Ik denk dat Microsoft en Symantec wel rekening zullen hebben gehouden met back-up servers.

Op dit item kan niet meer gereageerd worden.

«  1  2  »

Onderwerpen

Gerelateerde content