Grum-botnet is nu volledig offline

Het Grum-botnet is volledig offline gehaald. Nadat eerder deze week twee Nederlandse command and control-servers uit de lucht waren geplukt, zouden nu ook de servers die in Panama en Rusland staan, niet langer actief zijn.

Nadat eerder deze week twee Nederlandse servers van het Grum-botnet offline gingen, werden de servers die in Panama staan 'na druk van de gemeenschap' eveneens offline gehaald, aldus Atif Mushtaq van FireEye. Hierdoor waren alleen de Russische servers van het botnet nog online. De eigenaars van het botnet verplaatsten daarop hun activiteiten naar Oekraïne. Nadat de Nederlandse servers offline waren gehaald, zouden er in Oekraïne zes nieuwe secondary servers zijn opgezet om de Nederlandse servers te vervangen. De secondary servers werden ingezet voor aan spam gerelateerde activiteiten.

Mushtaq deelde deze informatie met de internationale spambestrijder Spamhaus, het Russische Computer Security Incident Team en een anonieme onderzoeker met het pseudoniem Nova7. Hierop werden de zes nieuwe servers in Oekraïne en de master server in Rusland offline gehaald. Met de master-systemen kunnen de spammers het botnet beheren.

Volgens Mushtaq laat het offline halen van het Grum-botnet zien dat 'als de juiste kanalen worden gebruikt, zelfs servers in landen als Rusland en Oekraïne offline gehaald kunnen worden'. Het Grum-netwerk was het op drie na grootste botnet en verzond, toen het nog volledig actief was, dagelijks spam vanaf 120.000 ip-adressen. Het botnet zou verantwoordelijk zijn geweest voor 18 procent van alle spam.

IT-banen

Reacties (29)

themac1983 19 juli 2012 12:53

Niet verwacht dit. Iedereen dacht dat ze in Rusland die dingen nooit offline zouden halen. Of hebben ze gewoon een hack uitgevoerd ofzo... er staat namelijk niet WIE de serverts offline haalde

back2basic @themac1983 • 19 juli 2012 13:22

"Mushtaq deelde de nieuwe locatie met verschillende partijen zoals Spamhaus. Deze partijen waarschuwden hun connecties in Rusland en Oekraïne. De Russische provider negeerde het verzoek, maar de Russische upstreamprovider van deze provider kwam wel in actie en zorgde dat het IP-adres van de server niet meer bereikbaar was. Aangezien ook de Oekraïense provider zijn plicht deed waren opeens alle servers van het botnet offline. "

Bron http://www.security.nl/ar...g_ge%C3%ABlimineerd_.html

Quindor @themac1983 • 19 juli 2012 13:06

Inderdaad, dat proef ik ook een beetje uit het bericht. Als je tussen de regels door leest dan hebben bepaalde mensen zich gewoon heel erg boos gemaakt die precies controle hadden over de juiste stukjes en is het op die manier down gehaald.

Als je genoeg capaciteit hebt kun je namelijk ook gewoon een (D)DOS aanval op de control nodes doen om ze zo effectief buiten werking te stellen totdat de netwerk beheerder waar ze hangen ook besluit om het touwtje er maar eens uit te trekken!

Beetje fighting fire with fire, maar zo lang je meer hebt, kun je winnen zonder daadwerkelijk fysiek bij de servers in de buurt te moeten komen.

mae-t.net @themac1983 • 19 juli 2012 13:29

Ik had wel het idee dat er zoiets zou gebeuren, maar dat het zo snel en efficient zou gaan had ik ook niet verwacht. 2 dagen geleden schreef ik in het betreffende topic:

Nou, in tegenstelling tot wat bij torrentsites het geval is, maken spammers en botnetexploitanten zich bij beheerders en bij softwarebedrijven ook wat minder geliefd. Dat zijn opzich partijen die je zelfs in Panama en Rusland liever niet tegen je hebt.

Kennelijk is het inderdaad iets in die richting geweest, met spamhaus en consorten er nog tussen als taskforce.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 15:05]

Verwijderd @themac1983 • 19 juli 2012 14:59

Er worden wel vaker domeinen offline gehaald in de Oekraine en Rusland.
Het is net zo simpel als bij een Nederlandse provider, stuur een mail naar de hoster, met daaraan vast het bewijsmateriaal. in 40~ 50% van de gevallen zie je een paar dagen later dat het domein niet meer bestaat. Lang niet altijd krijg je een mail terug.

Maar dit is goed nieuws! En een mooi voorbeeld van samenwerking.

Verwijderd @themac1983 • 19 juli 2012 13:02

In Rusland geld t recht van t meeste geld.. Dus daar lukt alles als je maar genoeg duiten hebt.

TheNephilim

19 juli 2012 13:05

Het botnet zou verantwoordelijk zijn geweest voor 18 procent van alle spam.

Eerder las ik nog 33% (nieuws: Nederlandse autoriteiten halen Grum-botnet offline - update, maar 18% is ook al een hele boel natuurlijk!

Dat hebben ze snel geregeld in Rusland en de Oekraïne, valt me helemaal niet tegen. Wie weet worden we ooit een keer spamvrij?

RobjeDopje @TheNephilim • 19 juli 2012 13:09

Spamvrij gaat niet lukken met ons debiele e-mail protocol.. Dat zal toch echt eens herschreven moeten worden!

mvdejong @RobjeDopje • 19 juli 2012 13:23

Zoals met veel van dit soort vernieuwingen is het grote probleem dat je nog zolang compatible moet zijn met de oude technologieen, dat het nauwelijks uitmaakt. Je blijft trouwens zitten met het probleem van dit soort netten dat de mailtjes ook met betere protocollen (die al ontwikkeld zijn) nog steeds ook volgens dat nieuwe protocol verstuurd kunnen worden vanaf PC's die in een botnet zitten.

De beste oplossing zou zijn om de bots zelf van het net te smijten, maar veel providers willen hun klanten (vaak niet de slimsten) voor het hoofd stoten, dus gebeurt dit alleen bij de betere providers (ik heb 2 keer iemand moeten "ontluizen" omdat de provider ze afgesloten had wegens overlast door besmetting). Je zult dan ook een manier moeten vinden om het terugtraceren van mail naar de bots beter te organiseren.

mae-t.net @mvdejong • 19 juli 2012 13:39

Tsja, zelfs de providers die wel afsluiten (xs4all anyone?) zijn daar door hun bureacratie eigenlijk niet geschikt voor (te laat afsluiten, als er echt een virus had gedraaid had het een hele dag zijn gang kunnen gaan; moeilijk doen met traag weer aansluiten en zelfs met gegevens verstrekken over wat er zou hebben gedraaid, klachten vervolgens laten afhandelen door mensen met 0 technische kennis, matige kennis van de eigen algemene voorwaarden, enz enz.). Tip: Als je bent afgesloten gewoon liegen dat je met je virusscanner iets hebt gevonden, en je bent veel sneller weer aangesloten (wel zorgen dat je ook echt geen virussen meer naar buiten laat connecten).

Als een 'kwaliteitsprovider' er al zo met de pet naar gooit, wees maar blij dat al die andere providers gewoon niet afsluiten. Deden ze het wel, zou het een gigantische janboel worden en het middel erger dan de kwaal.

TagForce @mae-t.net • 19 juli 2012 14:58

mja, maar zolang providers niet en-masse iets tegen spam ondernemen en mensen daadwerkelijk afsluiten (zoals XS4all wel doet) zijn alternatieven als RBLs nodig... Nou zijn de meesten daarvan wel redelijk in het identificeren van spamverzenders, maar zolang er 'bedrijven' zoals SORBS blijven bestaan is ook dat geen goeie oplossing.

m.a.w. als er in de spambestrijdingsbranche met de pet naar gegooid wordt blijft het een janboel en hebben de eindgebruikers daar het meeste last van.

Dit soort botnets is echter net als een P2P site... Brein kan er 1 offline halen, morgen zijn er 2 nieuwe terug die minder opvallen omdat ze beide minder verkeer genereren, maar in totaal wel evenveel rommel verspreiden.

mae-t.net @RobjeDopje • 19 juli 2012 13:32

Voordat je grote woorden als debiel in de mond neemt (en vooral als je niet wilt dat anderen dat over jou gaan zeggen), moet je wel bedenken dat je zelfs met een dichtgetimmerd protocol (hoe???) principieel geen spam kunt voorkomen. Je kan het hooguit verminderen maar al snel ga je gebruikers die te goeder trouw zijn ook door brandende hoepels moeten laten springen.

Daffie 19 juli 2012 13:03

Dat zal een bom netwerkverkeer gaan schelen op wereldwijd niveau. 18% van alle spam is veel, wat ze in een keer offline kunnen halen.

Ben het verder met het artikel eens dat, indien er goede samenwerkingsverbanden zijn en de nodige middelen en rechten aanwezig zijn, zo'n botnet snel van de kaart geveegd kan worden.

FreezeXJ @Daffie • 19 juli 2012 13:06

Leukste hieraan is dat de banden nu gelegd lijken te zijn, en toekomstige botnets nog veel sneller verdwijnen. Zorgt er helaas niet voor dat de target-computers beter beveiligd worden, maar goed, genezen is beter dan laten voorkomen. (hoewel ik nog altijd hoop dat de eigenaars de rekening gepresenteerd krijgen)

biglia 19 juli 2012 16:08

Maar de clients zijn nog steeds besmet. Kunnen ze deze niet meer reanimeren. Een update via een backdoor, of wanneer geen enkele control-server meer bereikt kan worden, contact leggen met een ultieme control-server die nog opgezet moet worden? Alles kan, en het lijkt me als programmeur een uitdaging om dit alsnog in te bouwen.

darkfader @biglia • 19 juli 2012 20:00

Sommige botclients gaan zelf op zoek via google naar een nieuwe server mbv een algoritme. Als ze dan deze algoritme achterhaald hebben, kunnen ze wel weer een server op de goede domeinnaam zetten.
Er komen/zijn ook botnets die vrijwel niet uit te lucht te halen zijn omdat ze niet afhankelijk zijn van 1 of meerdere servers. Als de commando's zijn ondertekend (digitaal), kun je ook de botnet-berheerder lief aankijken. Er zal vast wel een commando te verzinnen zijn om het botnet netjes op te ruimen.

the-dark-force 19 juli 2012 20:17

als ik het goed had zijn er al degelijk bepaalde modules te verkrijgen die dus inderdaad verbinding proberen te maken met nog niet bestaande domeinen via een algoritme,
daardoor is het dus heel simpel om je botnet weer actief te krijgen.

ik vermoed dat als ze 4 jaar succesvol dit botnet hebben beheerd, hiervoor kleinere hebben gehad en daar dus wel geleerd zullen hebben dat je zonder backdoor een dief van je eigen portemonnee bent...

spam heb ik simpelweg opgelost door 2 mailadressen te gebruiken en dan het ene mailadres mijn gewenste mail laten doorsturen.
degene die mij toch spam stuurt forward ik naar zijn eigen map of verwijder ik uit de forwardlijst

Qalo @the-dark-force • 20 juli 2012 00:08

Volgens mij kost het dan toch minder moeite door de spammailtjes gewoon via je primaire e-mailadres binnen te laten komen en deze te verwijderen? Nu moet je je forwardlijst steeds onderhouden. Van de regen in de drup....

Ik heb één e-mailadres die puur wordt gebruikt om me ergens aan te melden op websites en waar je je op moet registreren (Tweakers bijvoorbeeld!) Maar verder bedoel ik er ook fora mee, of zelfs Paypal, eBay en andere bekende sites waarbij je een account moet hebben. Ik weet dat ook grote sites je e-mailadres (en weet ik veel wat nog meer) doorverkopen aan vage lieden. Het is toch frappant te noemen dat ik alleen op die specifieke e-mailadres spam binnenkrijg, terwijl ik op andere e-mailadressen, welke ik uitsluitend gebruik voor familie, vrienden, kennissen en werk, al jaren verschoond gebleven ben van welke vorm van ongewenste mail dan ook?

Jammer dat het e-mailadres van deze specifieke provider, welke ik gebruik voor bovenstaande, toevallig geen spamfilter bevat. Ik moet de spam dus lokaal afvangen via de spamfilters van Thunderbird (die het overigens perfect doet en het juiste eruit filtert)....

[Reactie gewijzigd door Qalo op 23 juli 2024 15:05]

RobjeDopje 19 juli 2012 13:00

Haha, eindelijk! Ik ontving constant de zelfde soort spamberichten en mijn spamassasin kon deze er maar niet uit filteren (zo'n 2000 spams geleerd...)

Nu ontvang ik niets meer van die berichten! Blijkbaar was hij hier dus verantwoordelijk voor

Heerlijk om te zien dat dit soort netwerken in 1 klapt worden neergehaald.

snrwo1 @RobjeDopje • 19 juli 2012 16:55

hier hetzelfde, haast geen spam meer. Was al benieuwd naar dit soort bericht

kwibus 19 juli 2012 14:54

...wel respect voor de ontwikkelaars/beheerders. 4 jaar je botnet hooghouden is knap hoor! Voor zoiets moet je echt de kennis, de wil en het uithoudingsvermogen bezitten.

De volgende generatie spammers staan al weer op de stoep en zijn nog veel gevaarlijker. Nu worden botnet virussen veelal netjes door menig virusscanner gefilterd maar toekomstige attacks gaan er anders uitzien. Dan helpt zo'n heuristisch scannertje niet meer, dan zullen we actief onze packets moeten analyseren om buiten schot te kunnen blijven.

Een kleine demonstratie hebben we toch inmiddels al gehad? Denk aan Stuxnet en Flame...

Ik was overigens gisteren zelf nog de dupe van een virus, dat kreng van UKash die nep-politie berichten presenteert aan gebruikers. Gevalletje ComboFix draaien en een kwartier later was het probleem opgelost. Echter: Noch Avast (actief), noch Malwarebytes (passief) konden het kreng tegenhouden/vernietigen.

Spam is er in mijn mailbox niet minder op geworden.
Wordt gek van de neppe ABNAMRO en Rabobank e-mails.
Oh en dan niet te vergeten die zogenaamde vacatures.

Regel een fatsoenlijke mail provider

De (banken en werk) scam/spam zijn bij mij nu een paar dagen helemaal verdwenen... was al aan het zoeken wat er down was gehaald

Valt me inderdaad op dat er veel vacatures worden verzonden, waar vroeger ze Viagra stuurden is het nu werk. Wel grappig om te zien dat ze aanpassen

chaoscontrol 19 juli 2012 13:40

Gisteren 119 spam berichten in de spam box, vandaag 56

Gaitman

@chaoscontrol • 19 juli 2012 14:07

Klopt vandaag zit je nog maar op de helft van de dag

BRAINLESS01 @chaoscontrol • 19 juli 2012 14:08

Gefeliciteerd, terwijl ze maar 18% van het spamnetwerk in handen hadden wist jij bijna 50% van je ontvangen spam uit hun handen te krijgen, haha. Super dat er zo nu en dan een netwerk gesloopt wordt. Nu nog de beheerders vinden. Je zou bijna de servers online laten zodat je het netwerkverkeer kunt analyseren.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (29)

Sorteer op:

Weergave: