Miljoenenbotnet weet negen jaar lang onder de radar te blijven

Een groot botnet is al sinds 2006 actief en heeft daarbij minimaal aandacht gekregen van beveiligingsbedrijven. Het Ponmocup-botnet heeft sindsdien meer dan 15 miljoen unieke infecties veroorzaakt en wordt gebruikt voor financieel gewin, claimt Fox-IT.

Het Nederlandse beveiligingsbedrijf Fox-IT heeft de details van het Ponmocup-botnet blootgelegd en de bevindingen in een whitepaper op het Botconf 2015-evenement in Parijs gepubliceerd. Volgens Maarten van Dantzig en Yonathan Klijnsma van het bedrijf is het botnet interessant omdat het geavanceerd en onderschat is. In 2006 werd het al ontdekt en toen van de namen Vundo of Virtumonde voorzien, maar sinds die tijd ebde de aandacht weg.

Op zijn hoogtepunt in 2011 bestond het botnet uit 2,4 miljoen systemen. Inmiddels is dat aantal gedaald tot 500.000 actieve bots, waarmee het nog steeds tot de grootste in omvang van dit moment behoort. Bovendien is het botnet na lange tijd nog steeds bijzonder actief. De beheerders zouden over diepgaande kennis van Windows beschikken en Ponmocup in de loop der jaren geoptimaliseerd en bijgewerkt hebben om het onder de radar te houden. Onder andere maakten ze gebruik van ongedocumenteerde Windows-api's om systeemherstelpunten bij getroffen systemen een reset te geven.

Fox-IT concludeert dat de beheerders Russen zijn, op basis van Russische instructies van de beheerders naar zakelijke partners. Aanvankelijk lag de infectieratio bij landen als Rusland, Oekraïne en Wit-Rusland ook lager. De beheerders gebruiken het botnet waarschijnlijk voor financieel gewin en hebben er misschien wel meerdere miljoenen euro's mee verdiend, speculeert het beveiligingsbedrijf. Het financiële motief leiden de onderzoekers af uit de complexiteit van de command&control-infrastructuur, de moeite die de beheerders doen om analyse van malware te voorkomen en de snelheid waarmee ze reageren bij detectie. Sommige beheerders konden worden aangewezen als actieve deelnemers aan fora voor advertentiefraude.

De inzet voor advertentiefraude blijkt uit een actief ontwikkelde plug-in voor het botnetframework met de naam ppc, wat voor pay-per-click staat. Daarnaast lijkt het framework vooral ingezet te worden tegen Engelstalige bank-, investerings- en handelssites om gevoelige informatie in handen te krijgen die gebruikt kan worden voor fraude. Ook zou met Ponmocup diefstal van bitcoins gepleegd worden.

In totaal heeft Fox-IT 25 plug-ins ontdekt, met namen als avkit, socks, proxy en fbcookie, die door het botnet gebruikt kunnen worden voor verschillende kwaadaardige activiteiten. In de loop der tijd zijn daarvan vierduizend verschillende versies ontwikkeld, wat een indicatie is dat het framework continu wordt bijgewerkt.

Ponmocup Fox-IT Ponmocup Fox-IT Ponmocup Fox-IT

Door Olaf van Miltenburg

Nieuwscoördinator

02-12-2015 • 14:57

48

Reacties (48)

48
42
30
4
0
0
Wijzig sortering
Anoniem: 547546 2 december 2015 21:14
Best wel typisch, net nu vandaag dit nieuws bekend is, voor het eerst iets van gemerkt. De internettoegang werd net even voor 10 seconden afgesloten door XS4ALL met de volgende melding:

"Uw internettoegang is geblokkeerd
Ponmocup is een ernstige besmetting. Daarom is uw internettoegang afgesloten totdat het probleem is opgelost. We hopen op uw begrip hiervoor. Voer onderstaand stappenplan uit om het probleem op te lossen en uw internetverbinding te herstellen. "

Vervolgens worden twee antivirusprogramma's aangeraden om te scannen op Ponmocup. Maar na 10 seconden was er weer internet, dus geen idee of het echt onveilig is. Ik heb zoiets nog nooit gezien op mijn computer. Er stond ook dat het alleen onveilig was voor Windows-computers en ik gebruik zelf een Mac.

Heeft iemand dit ooit eerder meegemaakt of weet iemand hier meer over?
Geen ervaring met XS4ALL zelf, maar providers willen dit nog wel eens doen. Kan een fout zijn geweest maar om zeker te weten misschien even een belletje plegen met XS4ALL?
De belangrijke vragen blijven, hoe kan ik zien of ik 'deel' uitmaak van dit botnet (ben ik geïnfecteerd?). Zo ja, wat kan ik hier tegen doen?

Dan de vragen wat doen ze dan precies? Ze plegen fraude met pay-to-click, ze krijgen dus geld doordat mensen op advertenties klikken die alleen te zien krijgen als je deel uitmaakt van het botnet?

Het is een interessant artikel, maar de 'sappige' of belangrijke details ontbreken nog een beetje.
Dit soort dingen zouden wel kunnen verklaren waarom apparaten soms wat raar reageren en dat het even later gewoon weer prima werkt.
Ik denk eerder dat de fraude gepleegd wordt bij een partij als Google. Als jij een site runt en daarop advertenties toont, dan loont het om een botnet 'clicks' uit te laten voeren op jouw site. Als je daar €1000,- voor kwijt bent aan de botbeheerders, maar Google betaald je elke maand €2000,- aan reclameinkomsten, dan is het interessant.
ze krijgen dus geld doordat mensen op advertenties klikken die alleen te zien krijgen als je deel uitmaakt van het botnet?
Alweer een reden om advertenties te boycotten.
Volgens de tweede afbeelding is heel Nederland geïnfecteerd, dus ikzelf ook?
Edit: Dit was enigszins sarcastisch bedoeld, vooral niet m'n reactie te letterlijk nemen :+

Hier twee links met tips:

http://blog.teesupport.co...emove-ponmocup-aa-trojan/
http://www.microsoft.com/...wnloader:Win32/Ponmocup.A

Ik heb zojuist SpyHunter 4 geïnstalleerd en deze heeft het Windows 'geheugen' en register gescanned; deze heeft in mijn geval helemaal niets gevonden.
De trial versie kan overigens uiteraard alleen scannen, niet deleten of in quarantaine plaatsen

Voor spyware/adware zaken gebruik Malwarebytes Anti-Malware premium, die zal z'n werk wel goed doen gok ik :)

[Reactie gewijzigd door stin00 op 25 juli 2024 04:26]

Volgens de tweede afbeelding is heel Nederland geïnfecteerd, dus ikzelf ook?
Ik denk dat je het plaatje te letterlijk neemt.
Sheldon, the social convention with humor is that you laugh with it, also when the humorous quote is hidden behind a layer of sarcasm...

OT: heel veel mensen staat veel te weinig stil bij security, veel mensen denken dat ze volledig veilig zitten omdat ze de gratis Avira hebben... 8)7
Anoniem: 80487 @Mushuke3 december 2015 18:05
Er is naast het installeren van Antivirus en een beetje opletten ook niet echt bijzonder veel meer wat je realistisch gezien kan ondernemen...?
Je loopt met infecties per definitie achter de feiten aan dus als je de lul bent, ben je gewoon de lul. Veiligheid is een relatief begrip.

[Reactie gewijzigd door Anoniem: 80487 op 25 juli 2024 04:26]

Als ik ga vergelijken tussen een thuis computer van een random persoon en een computer c.q. computeromgeving die beheerd wordt door een fatsoenlijk bedrijf dan kun je wel degelijk stellen dat mensen veel meer kunnen ondernemen voor een veiligere omgeving.

Ik denk dat met name kennis hier het grootste probleem is, kennis en überhaupt de interesse hebben om een 'veilige' pc te hebben. Veel mensen boeit het niet eens.

Na een infectie loop je alsnog niet achter de feiten aan. Zoiets is gewoon weer ongedaan te maken. Zij het met een fresh install of door middel van domweg opschonen.
Als ik ga vergelijken tussen een thuis computer van een random persoon en een computer c.q. computeromgeving die beheerd wordt door een fatsoenlijk bedrijf dan kun je wel degelijk stellen dat mensen veel meer kunnen ondernemen voor een veiligere omgeving.

Ik denk dat met name kennis hier het grootste probleem is, kennis en überhaupt de interesse hebben om een 'veilige' pc te hebben. Veel mensen boeit het niet eens.
Prima, maar een huis tuin en keuken enduser gaat natuurlijk nooit het kennisniveau hebben van iemand die betaald wordt om de boel allemaal een beetje in het gareel te houden.
Laatstgenoemde is en zal per definitie beter gewapend zijn infecties af te wenden en is geen eerlijk ijkpunt.

Dat is voor een deel interesse maar je moet ook niet onderschatten wat voor lastige materie alle ins en outs van computersecurity is voor iemand die inhoudelijk niet in het functioneren van die machine geinterresseerd is. Zelfs de basics.
Je zal nooit verder komen gewoon een antiviruspakketje installeren en ze in de oren knopen dat ze geen willekeurige mails moeten openen.

Ik hoef (bij wijze van) ook niet te weten hoe mijn waterkoker werkt, er moet alleen heet water uit komen nadat ik er koud water in giet en op een knopje druk.
Na een infectie loop je alsnog niet achter de feiten aan. Zoiets is gewoon weer ongedaan te maken. Zij het met een fresh install of door middel van domweg opschonen.
Daar heb ik het ook niet over.
Een virusscanner moet linksom of rechtsom eerst weten wat een virus is voordat het er wat aan kan doen. Dat haalt zo'n virusscanner, op wat oppervlakkige "leermethoden" na, niet uit het luchtledige immers. Er komen op dagelijks basis nog altijd gewoon onopgemerkt legioenen virussen gewoon door courante, en goed geteste virusscanners heen.

[Reactie gewijzigd door Anoniem: 80487 op 25 juli 2024 04:26]

Anoniem: 51637 @stin002 december 2015 15:27
Volgens de tweede afbeelding is heel Nederland geïnfecteerd, dus ikzelf ook?
Volgens mij moet je het niet zo letterlijk nemen, in het artikel staat dat er in totaal 15 miljoen systemen geinfecteerd zijn (waarvan max. 2,4 miljoen tegelijkertijd), dat zou - in jouw interpretatie - betekenen dat in het donkerblauwe gebied op het middelste kaartje in totaal niet meer dan 15 miljoen systemen zouden zijn. Nu heb ik geen exacte data, maar mijn onderbuik fluistert dat dat er wel eens iets meer zouden kunnen zijn ;)
Anoniem: 51637 @Schway3 december 2015 07:45
In Nederland, ja, niet in dat hele donkerblauwe gebied ;)
Volgens de bijschrift zijn '500000+ currently infected'. Het hele plaatje heeft nog geen 500000 pixels, dus 1 blauwe pixel per geinfecteerd systeem levert al een massief blauw beeld.
Ik heb zojuist SpyHunter 4 geïnstalleerd
Toen ik dat las dacht ik: "Bij deze ben je geïnfecteerd"

Die software is een doorn in het oog voor velen.
https://www.pcwebplus.nl/...ewtopic.php?f=296&t=14590
Stel dat er in elke gemeente 1 persoon geïnfecteerd is dan is heel Nederland al blauw, maar dan zijn het nog geen 500 mensen. (dus niet 'heel' Nederland)
Waar antimalware 0 bedreigingen vindt, vindt spyhunter er 402 lol, bedankt voor de tip dus.

Edit: antimalware had 511 pup's gevonden, waarna er 199 bedreigingen overbleven volgens spyhunter, CCleaner heeft er 0 van gemaakt, het waren allemaal cookies. Spyhunter is handig voor erbij dus, maar niet noodzakelijk om te kopen.

[Reactie gewijzigd door Manke op 25 juli 2024 04:26]

Dat krijg je er nu van als je de geheime diensten de middelen geeft om de hele wereld kraken. Dan gaan ze botnetjes bouwen en al hun energie richten op de aanval terwijl we zelf de voordeur open laten staan.
De overheid zou zich moeten richten op het verbeteren van de eigen infrastructuur in plaats van het maken van gaten.
Dat krijg je er nu van als je de geheime diensten de middelen geeft om de hele wereld kraken.
Wat hebben geheime diensten hier mee te maken?
Wat hebben geheime diensten hier mee te maken?
Twee dingen:
1. Geheime diensten steken veel geld en moeite in het bouwen van botnets.
2. Geheime diensten als de NSA zouden moeten verdedigen tegen dit soort aanvallen en gaten te dichten.

Geheime diensten hebben zowel offensieve als defensieve taken. Er bestaat een inherent conflict tussen die twee taken: moet je een gat melden zodat het (defensief) gedicht kan worden of moet je het geheim houden zodat je het zelf (offensief) kan gebruiken?

Momenteel lijkt men de offensieve taken belangrijker te vinden dan de defensieve taken. Het gevolg is dat er voor gekozen wordt om de eigen bevolking niet te beschermen door gaten te dichten. Liever houdt men de gaten geheim zodat men de vijand er mee kan hacken. Dat die vijand de eigen bevolking terughacked wordt voor lief genomen.

Bijkomend probleem is dat de defensieve taken en offensieve taken dezelfde mate van geheimhouding hebben. Daardoor lopen de bevoegdheden voor en de controle op die taken door elkaar. Uit de documenten van Snowden weten we dat geheime diensten hier handig van gebruik maken om de eigen bevoegdheden te maximaliseren door de politiek in het ongewis te laten over wat ze precies wel en niet mogen, ook in Nederland. Zo weten we dat een Britse geheime dienst hulp heeft geboden om de Nederlandse wetten creatief uit te leggen.

Naar mijn mening zouden die twee taken niet bij dezelfde organisaties moeten liggen en moet er bij conflicten het belang van de eigen bevolking zwaarder wegen dan het vermogen om bij de vijand in te breken.

[Reactie gewijzigd door CAPSLOCK2000 op 25 juli 2024 04:26]

Inderdaad. Of hun kennis misbruiken om met de middelen van hun werkgever een centje bij te verdienen.
Of een mank besturingssysteem die vol met gatten zit?
Het zal helaas niet het enige of laatste botnet zijn dat actief is en lange tijd onder de radar gebleven is/blijft. 9 jaar is wel echt lang. (zeker in computer jaren.)
Dat is nog voor de introductie van windows vista.

Hamvraag blijft: Hoe kun je eventuele besmetting ontdekken?

[Reactie gewijzigd door nachtnet op 25 juli 2024 04:26]

Jezus, vijf seconden rondkijken op deze site en je ziet dat het bestaat uit een blog sectie en een serie scriptjes waarin doodleuk wat recent links worden geplakt. Logo erboven en kijk es aan... nét echt!

Avoid like the plague.

[Reactie gewijzigd door Vayra op 25 juli 2024 04:26]

Wat een schreeuwerige website. Daar ga ik niks downloaden.
Deze site wordt door Nod32 geblokkeerd.
dit kan mogelijk worden ondekt als je een up/download tracker hebt geinstaleerd op je pc, die data stuurt/verkrijgt van vreemde ip-adresses.

bv, waneer je pc in iddle modus is
Op zich erg slim door geen zware malware te zijn en agresief het systeem te misbruiken gewoon licht op het achtergrond draaien met kleine dingetjes.
ook al verdienen ze een cent per maand per geinfecteerd systeem is dat nog steeds een leuk bedrag.
slow and steady pace wins the race.

En wat ik uit het artikel begrijp, is alleen het bestaan er van aangetoond en is het niet daadwerkelijk opgerold. Dikke kans dat het nog wel even doorgaat dan.
Als je weinig data verbruikt, geen dingen stuk maakt en niets doet waar de gebruiker op andere wijze last van heeft dan kan het inderdaad lang aan. De opsporingsinstanties zijn waarschijnlijk niet zo geïnteresseerd en als je gepakt wordt, is het maar zeer de vraag of het tot een proces komt. Je verdient wel geld op een oneigenlijke manier, maar door de beperkte impact is er eigenlijk geen grond voor een strafrechtelijk proces, gezien alle andere prioriteiten bij justitie. Langs de civiele route moet je al een behoorlijk stuk schade hebben gelopen voor het interessant wordt.
Aanvankelijk lag de infectieratio bij landen als Rusland, Oekraïne en Wit-Rusland ook lager.
Naargelang het oude gezegde: "you don't shit where you eat.". Als de beheerders inderdaad Russen zijn, dan is het logisch dat ze zich op het buitenland richten:

• Minder kans op vervolging. Rusland levert namelijk niet uit.
• Meer kans op succes in landen waar meer te halen valt.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 04:26]

Als je dat zo ziet is het kaartje gelijk een goede indicatie van waar mensen wonen en er internet toegang is.

Als het zo lang onder de radar is gebleven zullen de veel voorkomende scanners deze malware niet kunnen detecteren..?
Stiekem vind ik het eigenlijk best tof dat er een botnet is wat dus al 9 jaar bestaat.

Verder natuurlijk slechte zaak en neem maar lekker die C&C servers over om de boel te gaan ontmantelen (als dat tenminste een mogelijkheid is, kijkend naar de vermelding van hoe het gebouwd is)

Denk trouwens dat dit wel meer voorkomt hoor, botnets die jaren/decennia onder de radar blijven, dat is immers het (secondaire) doel van de meeste botnets; geheim blijven, dus er zijn er vast nog wel meer die al zo lang of nog langer bestaan. (en als je dan wat verder doordenkt, over bijvoorbeeld Amerikaanse inlichtingsdiensten, die niet vies zijn van wat wetten breken, kan ik me goed voorstellen dat zulke partijen ook vergelijkbare botnets bezitten, hoewel dat natuurlijk enkel speculatie is)
I draai Avira en Mbam premium, maar ik betwijfel dat dit me tegen dit soort dingen kan beschermen.
Niet twijvelen, mbam detecteerd ponmocup.

Op dit item kan niet meer gereageerd worden.