Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties

Beveiligingsbedrijf Symantec heeft een half miljoen pc's uit het botnet ZeroAccess weten te halen. Dat gebeurde via een kwetsbaarheid in het p2p-systeem, waarmee het botnet aan elkaar is geknoopt.

De actie om de pc's uit het botnet te halen vond deze zomer plaats, zo blijkt uit een blogpost van Symantec. Dat moest snel gebeuren, omdat de bots onder elkaar een update verspreidden die de kwetsbaarheid aanpakt. Symantec wijdt niet uit over welke kwetsbaarheid dat is geweest en hoe het werkte.

Het ZeroAccess-botnet bestond uit ongeveer 1,9 miljoen computers en voordat de update was uitgerold kon Symantec dus een half miljoen pc's uit het botnet halen. Wat voor pc's dat zijn en waar die stonden is onduidelijk. De criminelen achter het botnet gebruiken het onder meer voor bitcoin-mining en klikfraude, zo zegt Symantec.

Moderatie-faq Wijzig weergave

Reacties (27)

GOTO B IF "RUNNING LINUX"

ZeroAcces ook wel bekend als Sirefef en iets minder bekend als max++ is een rootkit van de voorlaatste generatie en heeft sporen op ongeveer 5% van alle consumers PC's wereldwijd.
(het aantal actieve slaven in de verschillende botnets is natuurlijk een stuk kleiner)

De bitcoin mining en clickfraud word niet uitgevoerd door ZeroAcces zelf. De enige functie van ZeroAcces is om altijd een backdoor op een windows PC te hebben waarvia elke vorm van malware kan worden geplaats op de PC in kwestie. De hoofd taken van ZeroAcces zijn dus de volgende:
  • aanwezigheid nooit opvallend merkbaar op OS voor de gebruiker, in tegenstelling tot de malware. Het is dus goed mogelijk dat een gebruiker ZeroAcces heeft maar geen malware en er dus nooit achter zal komen dat zijn computer eigenlijk een slaafje in hibernation is die op elk moment geactiveerd kan worden en bijvoorbeeld mee kan doen aan een ddos zonder dat de gebruiker hier iets van merkt
  • Onzichbaar zijn voor gebruiker die naar verdachte dingen zoekt op zijn eigen harde schijf
  • Terugvechten tegen AV
  • Altijd een plan B hebben om toch aanwezig te blijven nadat de AV plan A heeft verwijdert
  • Wanneer dormant, altijd de mogelijkheid om via het internet commando's te ontvangen en terug actief te worden en eventueel een update te krijgen.
  • Wanneer de AV een update binnenkrijgt zou ZeroAcces al een update gekregen moeten hebben om nieuwe detectie te voorkomen. Het is het grootste kat en muis spel in de digitale wereld. En omdat de meeste gebruikers geen verstand hebben van hun computers is het een strijd die gewonnen word door de rootkits.
En het gaat ook niet om een heel groot botnet maar verschillende kleintjes die elk door ander groepen worden beheert. De uitgelekte ZeroAcces variant gebruikt code en technieken die in de uitgelekt source code van Zeus stonden. Met andere woorden, iedereen kan een ZeroAcces builder downloaden en zelf aan de slag gaan. Echter dit zal niet resulteren in een succesvol botnet. Je moet een verdraaid gewiekste programmeur zijn voor een succesvol botnet. En dan moet je nog een beetje kwaadaardig zijn, want anders heb je wel 10 000 computer slaafjes maar dan weet je nog niet waar je er mee moe doen.

offtopic:
Heb zelf een < 5000 social botnet met fake Twitter, Google+ en Facebook accounts, maar heb er nog nooit iets leuks mee gedaan. De fake profile's kopiŰren en morphen content over van echte profielen en passen die vervolgens aan, meestal door het te vertalen naar een andere taal en dan weer terug en dan alle namen aan te passen. Je zou denken dat social media gebruikers dit door krijgen maar blijkbaar hoef je alleen maar wat SMS taal en hartje hartje hartje in te voegen en "nobody expects a goddamn thing". Ook reacties worden op een vergelijkbare manier aangepast en gekopieerd. Eenmaal je netwerk een bepaalde kritische massa heeft bereikt word het vrij makkelijk om er mee weg te komen. Private message die mijn fake profiles krijgen worden gekopieerd naar een andere netwerk, waarvan de regel is dat er geen cross contaminatie tussen mijn netwerken mag zijn, en de reactie daarop van een echte gebruiker word vervolgens gebruikt door de fake profile. Een soort van man in the middle chat. Die meestal eindigt met: Wat ben jij vaag zeg. En waarna mijn script standaard antwoord met iets over drugs of alcohol of op twitter zoekt naar "feestje" en dan een linkje spamt en eindigt met "hou je veilig" of "ZZZZZZZZZ"
Ook cleverbot en dergelijke AI systemen worden gebruikt om echte gebruikers voor de mal te houden. De resultaten zijn hilarisch. Ik wou dat ik er over kon opscheppen zonder mijn netwerk in gevaar te brengen. Helaas.
Bijbehorende afbeeldingen worden gezocht via google image search en gespiegeld of gecropt zodat het niet opvalt, met een ruwe vorm van facial (lambdal en Animetrics maar ik gebruik ook aangepaste code van Zdenek Kalal) en object detectie kan ik ook plaatjes vinden die bij mijn profiel past. Draait op mijn eigen krachtige server voor CPU intensieve taken en een 20 tal piep kleine kimsufi servers en 120tal computer slaven en heeft via TOR en VPN's (die elke connectie een ander WAN IP krijgen) genoeg variatie in fingerprints om Twitter, Google en Facebook om te tuin te leiden. Ook zijn de friends van elke profile een mix van echte en fake profiles. Vind het hilarisch hoeveel echte mensen soms reageren op mijn fake bullshit en ook friends request accepteren van mensen die ze nog nooit ontmoet hebben omdat ze dus niet bestaan. Had ooit ook een aantal fake GoT accounts maar daar ben ik wijselijk mee gestopt nadat een bepaalde tweaker die ik niet bij naam zal noemen onraad rook. Waarom? Omdat het kan en een goede oefening is voor slimme scripting. Hell, in feite heb ik al een succesvolle Turing test. Helaas zegt dit niks over de slimmigheid van mijn AI maar meer iets over de dommigheid van mijn slachtoffers. Het is ongelooflijk hoe dom de gemiddelde social media gebruiker is. Ik zou er echt eens een keer iets evil mee willen doen maar dan val je al snel door de mand en het hele project voorziet mij van de beste entertainment en rodel ooit. Uiteraard reageer ik natuurlijk zelf op de meeste smeu´ge verhaaltjes en drama en het enige wat al mijn fake profiles gemeenschappelijk hebben is dat ze allemaal wel eens iets posten over die heerlijke joint die ze net gesmokt hebben of hoe goedkoop het bier bij de aldi vandaag weer is. Als mijn scriptjes vervolgens onzinnige dingen plaatsen en daar een reactie op komt in de vorm van: WTF? of "hier snap ik niks van" dan is het standaard antwoord iets in de vorm van : "Sorry, was stoned" Of "ja teveel bier gisteren". Allemaal in Nederlandstalig internet space. Op een of andere manier vallen mijn netwerkjes door de mand zodra ik Belgische gebruikers toevoeg. Maar in Nederland werkt het prima zolang je je richt op ex hyve gebruikers en bondkraagjes die geen Arabisch kunnen lezen. :P Mijn grootste angst is dat er ooit een minder jarig breezer sletje naakt foto's naar een van mijn botjes gaat sturen of zo. Dat is voor mij toch echt wel de grens. Gelukkig is dat nog niet gebeurd.


Er zijn maar een 3tal succesvolle programmeurs die effectief succesvolle ZeroAcces varianten hebben gebouwd. Twee uit oost Europa en een uit Rusland. Die uit Rusland heeft het grootste botnet, wat hij verhuurd en dus lekker geld verdiend zonder de bijbehorende gevaren van cyberciminaliteit. De kerel of groep programmeurs uit Rusland is ook de oorspronkelijke bedenker en designer van ZeroAcces. Na het uitlekken van de Zeus code is hij ook begonnen met Zeus code te gebruiken en heeft hij uiteindelijk ook minder goede varianten van zijn eigen source code verkocht. Die zijn dan ook weer uitgelekt en dus kan iedereen zijn eigen ZeroAcces bouwen. Echter, er zijn dus maar drie builds die ECHT goed in elkaar steken en het winnen van de AV sofware omdat ze de hele tijd worden herschreven en de clients allemaal verschillende heuristics hebben. De grootste klant van het Russische netwerk heeft het grootste netwerk tot zijn beschikking. Dit zijn de bijna 2 miljoen PC's waar Symantec het over heeft. Deze klant verdient geld met click fraud en bitcoinmining en huurt het grootste deel van het ZeroAcces netwerk van de Russen en beheert het ook zelf. Het resterende deel word als een betalende service aangeboden maar staat onder beheer van de Russen zelf. Iedereen in de wereld kan wat slaves huren voor een dag als je wat bitcoins hebt en er zijn zelfs al resellers. Het grote verschil met het bitcoin/clickfraud gedeelte is dat je nooit direct acces krijgt maar alleen betaald voor een service. Zoals: Leg website A voor een dag plat door een ddos van 1000 bots.
En dan zijn er dus nog twee andere grote netwerken uit een aantal oost europeze landen. Voornamelijk RoemeniŰ en Polen. Deze houden zich het meeste bezig met geld stelen via online banking en richt zich voornamelijk op de westerse Europese landen. En dus niet de states.

ZeroAcces word door antivirus software vaak "Persistent malware" genoemd. En er zijn zelfs een aantal varianten die een quick format en reinstal van Windows overleven.

ZeroAcces maakt een virtuele harde schijf aan op een stukje echte harde schijf en alles wat ZeroAcces daar op plaats word versleuteld en is niet te zien door het OS.

Vervolgens worden er een aantal storagedrivers van windows uitgekozen die nodig zijn communicatie tussen de firmware van je harde schijf en het OS. Denk aan AHCI drivers, of RAID drivers. Wanneer deze drivers uitgekozen zijn word er eerst een schone kopie gemaakt van deze drivers op het stukje virtuele harde schijf.

Dan worden de echte drivers ge´nfecteerd (hooks). Na een reboot zit er een extra laag tussen OS en harde schijf. Op deze laag opereert ZeroAcces. Feitelijk hetzelfde als DeepFreeze doet. De harde schijf die Windows ziet is nu eigenlijk virtueel. ZeroAcces beheert de echte harde schijf.


Elke keer als antivirus software een scan van de ge´nfecteerde drivers wilt doen dan vangt ZeroAcces dit op en presenteert de antivirus software de schone bestanden van zijn geheime virtuele harde schijf. De AV denkt dan dat alles OK is.

Op die manier is detectie in een live omgeving dus heel moeilijk want je hele systeem spant tegen je samen en is niet meer te vertrouwen.

Er is echter wel detectie mogelijk door naar tijdsverschillen te kijken wanneer je API calls doet en dergelijke. Een goede rootkit detector vraagt dan op verschillende manieren toegang tot een driver waarvan vermoed word dat het ge´nfecteerd is en als het OS er langer over doet dat het rechtstreeks aanspreken via eigen drivers van de rootkitdetector dan is er een aanwijzing om te vermoeden dat er een extra laag actief is.

De laatste versie die ik bij klanten tegengekomen ben van ZeroAcces plaatst zich in de Appdata - local profile - google - desktop en maakt gebruik van ascii tekens waar windows een probleem mee heeft. Deze variant is niet zo moeilijk te verwijderen.

Maar omdat ZeroAcces volledig te customizen valt kunnen alleen de meeste bekendste varianten gedetecteerd worden.

Wat het aller beste werk tegen elke vorm van rootkits die geladen worden vanaf je harde schijf (en zich dus niet nestelen in de bios, wat praktisch onmogelijk is, of andere rom's die toch toelaten dat er op geschreven word, wat in de praktijk zelden voor komt omdat elke PC andere hardware heeft) is Hitman Pro met Kickstart.

Kickstart laad je vanaf CD of usb drive. (dus je selecteert die als boot device en niet je harde schijf)
Vervolgens laad Kickstart je OS, en dus by past het alle ge´nfecteerde drivers. Kickstart heeft een groot aantal drivers beschikbaar en maakt ook gebruik van de cloud om er achter te komen welke bestanden clean zijn en niet. Kickstart werkt erg goed tegen randsomware en hele agressieve malware die je hele OS gijzelt. Deze malware is dus niet ZeroAcces, maar kan wel worden geplaatst door ZeroAcces.

Deze botnets worden steeds slimmer en moeilijker om te vernietigen. Er zijn er al een flink aantal die hun communicatie onderling en naar de command en control servers volledig via Tor en hidden services doet. Op die manier is het uiterst moeilijk om achter het IP en locatie van de command en control server te komen. En word alle onderlinge communicatie via P2P verstuurd en versleuteld. Je ISP kan het dus niet onderscheiden van legitiem P2P torrent verkeer.

De drie meest gebruikte technieken voor windows rootkits zijn

Binary Rootkits, Library Rootkits en Kernel Rootkits.

Ik ga daar niet te veel over uitwijden, je vind meer info hier --> http://nicolascormier.com...curity/RootkitsReport.pdf


En nu natuurlijk de belangrijkste vraag. Hoe voorkom ik een rootkit besmetting?. En hoe weet ik zelf of ik besmet ben en wat kan ik er tegen doen?
Aller eerst, deze rootkits worden niet verspreid voor worms en expoits op TCP/IP niveau.
99% van deze rootkits komen op je PC door drive by downloads. Met andere woorden je surft naar een besmet domein of IP en java of javascript of flash of silverlight of wat voor vorm ook van code execution zorgt ervoor dat een programma word uitgevoerd door windows. Wanneer je je browser in een goede sandbox uitvoert ben je dus al redelijk beschermt! :)
Dit is echter geen oplossing voor de meeste gebruikers en maakt je systeem ook trager.

Met noscript en ad block plus met malware domains ben je dus al stuk veiliger maar daar geef je wel een hoop functionaliteit van website voor op. Wat beter werk is een code blokker met een whitelist van domeinen die wel code mogen uitvoeren.

Het zijn meestal meer de mensen die altijd op ja klikken en op de meest vage websites belanden in de oneindige zoektocht naar porno en streaming series die makkelijk geinfecteerd worden.
20% van onze nieuwe klanten hebben het op een of meerdere van hun computers. Onze klanten hier in het uitgestrekte Alberta zijn niet zo erg goed met computers. Maar daarom hebben wij natuurlijk lekker veel werk.

Enfin, wij gebruiken naast onze eigen tools de volgende publieke tools voor rootkit detectie en verwijdering.

Allereerst een goed werkende kickstart op CD/DVD en usb drive van het denk ik nederlandse bedrijf Surfright dat ooit gestart is met Hitman pro. Tegenwoordig een zeer goed werkende antivirus detectie systeem met zijn cloud based detectie (alle gebruikers uploaden hun systeem kritische bestanden naar de cloud en door hash vergelijking kan er makkelijk achter gekomen worden welke systeem bestanden clean zijn en niet)

Dan FalconFour's Ultimate Boot CD --> http://falconfour.com/projects/7
Zet het op een snelle usb stick die groot genoeg is en zorgt dat hij vlot kan booten.
Heeft super veel tools voor analyse en het schoonmaken van een systeem. Maar wanneer infectie te diep is en er teveel driver infectie is dan rest er maar een ding en dat is een offline image maken voor backup en dan een hdd erase en reinstall.

En dan de volgende software die ook vanuit een al dan niet besmet systeem gestart kan worden. Echter, je kunt de resultaten dan nooit helemaal vertrouwen. Wij noemen dat een "compromised systeem". Het OS werkt tegen je en dus kun je geen enkel programma dat het OS laad nog helemaal vertrouwen.


De hoofd regel met de volgende tool is deze: Vertrouw niet op het resultaat van eentje. Er zijn talloze succesvolle varianten van elke gekende rootkit. Stel dat je een rootkit hebt die maar een 1000 tal slaafjes heeft en jij bent daar een van. Dan is de kans klein dat er samples bij de rootkit detectors (antivirus bedrijven) terecht zijn gekomen en dus is detectie door deze tools niet mogelijk als het mechanisme waarmee de rootkit zich verstopt en verdedigt anders is als de hoofd varianten. In dit geval is er maar een oplossing. En dat is booten zonder de MBR of files te laden die besmet kunnen zijn. Kickstart is daar een goede oplossing voor. Maar met FalconFour's Ultimate Boot CD kun je ook offline natuurlijk al je bestanden controleren en in ieder geval je OS terug brengen in een staat waar je het vertrouwd.
Bij een meervoudige infectie van Windows is er maar een oplossing die 100% veilig is.
SecureHDD erase en daarna een nieuwe windows install. Doe je alleen een format dan zijn er bepaalde rootkits die truukjes hebben om je bios meteen te laten verwijzen naar hun master boot record code die de format heeft overleefd. Ik denk dat een variant van Zeus zelfs een techniek gebruikt die bepaalde sectoren op een harde schijf zich laat voor doen als bad blocks en zo een format overleeft (maar geen low level en al helemaal geen secure erase) Helaas is er maar een tool die ECHT een secure erase doet via SATA firmware commando's en dat is HDDerase.exe (4.0)
Dit DOS progje word meestal gebruikt om SSD's naar fabrieksinstellingen te laten resten maar werk alleen in Legacy IDE modus. Iets wat de meeste moederborden niet ondersteunen.

Goed, de lijst van de tools dan. Zonder links want ik ben al veel te lang met deze reactie bezig. Je zoekt zelf maar.
  • EZ_Sirefix.exe van ESET --> detecteert een groot aantal varianten en is ook in staat deze te verwijderen vanuit een compromised systeem.
  • HitmanPro.exe
  • HitmanPro_x64.exe
  • ComboFix.exe --> WARNING WARNING WARNING, als je niet genoeg verstand hebt van deze tool dan is het de meest effectieve manier om je HELE SYSTEEM KAPOT TE MAKEN. Combofix is als DDT of Amerikaanse cowboys die eerst schieten en dan vragen stellen. Maar het werkt wel als je weet wat je doet.
  • hmpalert.exe
  • mbam-setup-1.75.0.1300.exe --> Malwarebytes is handing omdat het een groot aantal malware programma's detecteert die via de rootkit om je PC terecht zijn gekomen. Zolang de rootkit aanwezig is is een nieuwe infectie van malware onvermijdelijk want die word gewoon via P2P weer geupload naar je PC en via de rootkit geactiveerd. De rootkit zal nooit zijn aanwezigheid op je PC laten zien. Zijn enige taak is om dormant te zijn en geactiveerd te kunnen worden door P2P commando's die naar je PC worden gestuurd.
  • rkill.exe --> rootkit killer
  • ServicesRepair.exe --> deze kan geinfecteerde services van windows soms herstellen. Dit is handig als je ABSOLUUT geen drive wipe en reformat wilt doen.
  • setup_11.0.1.1245.x01_2013_09_05_00_31.exe --> rootkit tool van Kaspersky
  • tdsskiller.exe --> rootkit detector van Kaspersky
  • tweaking.com_windows_repair_aio.zip --> superhandig sofware die het register kan herstellen en services kan herstellen. MAAR PAS OP, VERKEERD GEBRUIK EN VEEL DINGEN GAAN NIET MEER WERKEN!!!!!
:)

Nadat je weer clean bent en je OS terug vertrouwd is jou missie om een nieuwe besmetting te voorkomen.
  • Draai goede antivirus software --> http://www.av-comparatives.org/
  • Zie dat je Windows up to date is. Als je nog windows XP draait, vergeet het dan maar. De eerst volgende worm met exploit voor windows XP zal er voor zorgen dat het hele OS niet meer te vertrouwen is. Microsoft zal geen nieuwe patches meer uitbrengen.
  • Koop je antivirus. Anders heb je nog al tijd een tooltje nodig om licensie sleutels te krijgen. Zonder sleutels geen AV updates. En zonder AV updates is je AV nutteloos. Het probleem is dat het merendeel van deze tooltjes alleen werken als je ze whitelist van je AV. En wanneer je deze tooltjes whitelist dan is de kans erg groot dat het ooit een van deze tooltjes is die een backdoor installeert.
  • Surf met een veilige browser, in mijn ogen alleen Chrome en Chromium. IE? Vergeet het maar. Firefox, ja maar niet te veel plugins.
  • Noscript en flash blokkers maken het surfen lastig maar zijn wel erg goede bescherming tegen code execution.
  • Fuck Adobe PDF en dergelijke. Update 12 keer per minuut en is nog niet in staat om je te beschermen tegen PDF exploits. Draai Foxit PDF reader of Nitro
  • Ad block plus met een lijst van malware domains is een MUST! Deze lijst word dagelijk geupdate en blokkeer IP adressen en domeinen waarvan aanvallen komen. Ad block plus doet dagelijks een update van de lijst.
Maar het belangrijkste van allemaal: Gezond verstand!!!!! Open_dit_voor_naakte_wijven.jpg.exe downloaden en openen is niet slim.

Wens ik alle tweakers een clean Windows OS toe waar alleen Google, Microsoft, Apple, Amazon, de Mossad, de Chinezen, de Russen en de NSA toegang tot heeft. Zoals het hoort. :+
Wat zeg je? De AIVD? Haha, er zijn meer computer systemen in de wereld die toegang hebben tot AIVD systemen dan dat de AIVD toegang heeft tot computer systemen van Nederlanders. |:(


:B ECHO "LINUX USER NOT AFFECTED"

Oh en hoe ik dit allemaal weet? Naast mijn sociaal botnet experimentje is het mijn hobby om slecht in elkaar stekende botnetjes te plunderen en de botjes onder mijn controle te krijgen. Dit is mogelijk in mijn regio omdat wij ook een aantal netwerk knoppunten beheren (point to point wifi netwerken voor de farms en een aantal servers voor dsl en kabel bedrijven) en ik dus heel makkelijk slaafjes kan afschermen van de rest van het botnetwerk. En met ZeroAcces heb ik het meeste ervaring omdat dat hier in deze Canadese regio het meest succesvol is. Zeus komt ik niet vaak tegen en is van een hogere generatie rootkits. Bevinden de machines zich in de regio waar ons bedrijf opereert dan contacteren we de mensen en cleanen de machines tegen betaling en ook in de hoop dat ze een service contract bij ons afnemen. Lucratieve business maar het liefste zou ik toch zien dat gebruikers beter leren werken met computers en niet meer besmet raken want hoe goed malware ook geschreven is, het zorgt altijd voor problemen en data verlies en da's gewoon kwaadaardig . 8-)

[Reactie gewijzigd door Kain_niaK op 2 oktober 2013 03:08]

Als je niet met beheersrechten gaat internetten loop je al een hoop minder risico. De software kan niet worden aangetast en er is geen directe schijftoegang mogelijk, waardoor het MBR etc. niet gewijzigd kan worden.
Klopt maar er zijn best veel exploits mogelijk onder Windows 7 waarbij programma's die gestart worden met user rechten toch de mogelijkheid hebben om onheil aan te richten.
DDL injectie bijvoorbeeld is perfect mogelijk. Daarna is het niet het programma dat onder user rechten gestart is die de schade aan richt maar de service die nu geheugen heeft dat geinjecteerd is. In principe moet windows en DEP je hier tegen beschermen maar in de praktijk zijn er vele exploits mogelijk.

Daarbij beginnen de meeste mensen te zaniken tegen hun computer guy's als die ze laten werken onder user rechten. "Hey ik kan dit programma niet installeren! Help!"
In het kort: download de top5 meest gedownloade programma's van BleepingComputer.com :)
Kain-niaK, mooie post dankjewel. Heb je nog tips voor het lezen van interessante boeken of andere proza? Dit smaakt naar meer!
Nee niet echt, maar je vind genoeg literatuur hier over op internet.
Als je nog leuke verhalen wilt horen, zoek naar presentaties van hackers op hacker bijeenkomsten zoals Defcon.

Video's als deze zijn altijd erg vermakkelijk en leerzaam om te zien

Er zijn nog talloze andere hackers evenementen waar dit soort verhalen gedeeld worden.

Deze is super relevant, hacker Mudge

die we kennen van L0pht Heavy Industries en de quote we can shutdown the internet in 30 minutes

vertelt hoe de DoD onrechstreeks verantwoordelijk is voor Wikileaks door Jullian Assange zijn onderzoek te stoppen. Super relevant met alle onthullingen van Snowden. En we hebben nog maar het topje van de ijsberg gezien van Snowden zijn onthullingen. Het zou me niks verbazen als Snowden nog toegang heeft tot systemen van de NSA via een backdoor en ook niet als hij nog altijd vrienden heeft binnen de NSA die voor mol spelen omdat ze het niet meer eens zijn met wat hun eigen organisatie doet.

Da's een beetje het probleem van elke organisatie die zo veel mogelijk wiskundige geniŰn en hyper intelligente programmeurs en hackers probeert te ronselen, soms beginnen deze slimmeriken heel erg na te denken over wat ze eigenlijk aan het doen zijn, en dan beginnen de problemen voor een organisatie die bij de goeie wilt horen maar eigenlijk gigantisch slecht bezig is.

Worden interessante tijden de komende 5 jaar! :)

[Reactie gewijzigd door Kain_niaK op 10 oktober 2013 18:24]

De pc's zijn ge-sinkholed om ze uit het botnet te krijgen? Vaag hoor.

Helemaal als men er bij zegt dat er helemaal geen centrale server is die door het botnet benaderd wordt. Of ze hebben weer een nieuwe definitie van sinkholen gevonden

Als men de startup registry entries weet te wissen, en vervolgens de processen van de botnet agent stopt, pas dan is de pc (definitief) weg uit het botnet.

Ik denk trouwens niet dat een weldenkend mens ooit het verwijderen van een botnet agent als computer-vrede-breuk zou beschouwen, maar bedrijven moeten zich natuurlijk wel indekken.


En volgens ARS is de actie van Symantec mislukt, bestaat het botnet nog, en gaat gewoon verder.

En natuurlijk pakt het de pc met de botnet agent weer terug als die door een andere ge´nfecteerde pc wordt aangesproken. "Nice try,but no cigar"

[Reactie gewijzigd door papa_san op 1 oktober 2013 14:31]

Het nieuwsartikel is vaag omdat men de toegepaste method pas morgen uit de doeken gaat doen.
Back in March of this year, our engineers began to study in detail the mechanism used by ZeroAccess bots to communicate with each other to see how the botnet could be sinkholed. During this process, we examined a weakness that offered a difficult, but not impossible, way to sinkhole the botnet. We conducted further tests in our controlled labs and found a practical way to liberate peers from the botmaster.
....
Stopping P2P botnets is hard but not impossible
What this exercise has shown is that despite the resilient P2P architecture of the ZeroAccess botnet, we have still been able to sinkhole a large portion of the bots. This means that these bots will no longer be able to receive any commands from the botmaster and are effectively unavailable to the botnet both for spreading commands and for updating or new revenue generation schemes.
...
Ross Gibbs and Vikram Thakur will be presenting their findings from this operation at the annual Virus Bulletin Conference to be held in Berlin, October 2-4, 2013. In addition, a comprehensive white paper will be released soon to coincide with the presentation laying out the inner details of the ZeroAccess threat.
Edit: toch meer uitleg over methode gevonden in de blog post ZeroAccess Modifies Peer-to-Peer Protocol for Resiliency
... Prior to June 29, by crafting a newL message and sending it to a ZeroAccess peer it was possible to introduce a rogue IP address into an infected ZeroAccess peer’s internal peer list and have that rogue newL message distributed to other ZeroAccess peers.

[Reactie gewijzigd door Ravefiend op 1 oktober 2013 13:09]

Mooi! Als je het gelinkte artikel leest zie je dat de verdiensten er niet om liegen trouwens.

Ik vermoed trouwens dat er nog een botnet uit de lucht is gehaald. De hoeveelheid spam die ik binnenkrijg is de laatste tijd gehalveerd.
Ik denk dat je 'm al kent maar als je veel spam ontvangt en je bent in de mogeljikheid om e.e.a in te stellen is greylisting misschien iets voor je? Ik maak er nu ongv. ~4 maanden gebruik van en het werkt bij mij (tot nu toe) zeer goed!
Greylisting kan ook voor problemen zorgen (het kleinste probleem is vertraging; volgens het protocol is dat geen enkel probleem maar de verwachting van mensen is dat mail binnen minuten aankomt). Met een filter als spamassassin kom je, indien goed getraind en ingesteld, voor minder verrassingen te staan.
Het nadeel van spamassassin is dat je duizenden keren meer CPU per mail moet besteden. Je bent al gauw een paar seconde per mailtje bezigl. Als je iedere dag duizenden mails ontvangt dan kan SpamAssasin dat niet aan. Grey-listing is enorm licht en werkt dus geweldig als eerste filter.
Er zijn varianten van spamassassin die lichter zijn dan het origineel. Durf zo even uit het hoofd niet te zeggen waar je naar moet zoeken.

Probleem met greylisting als eerste filter is dat het dezelfde nadelen geeft als wanneer je het als enige filter gebruikt.

@hieronder: dat neemt het principieele probleem niet weg. Mailtjes die je snel moet hebben zijn natuurlijk bij uitstek van een onbekende. Voor andere problemen zie o.a. wikipedia.

[Reactie gewijzigd door mae-t.net op 2 oktober 2013 22:54]

Een goede greylisting server heeft een geheugen. Alleen de eerste mail wordt vergraagt, volgende mails mogen direct door.

@hierboven (je mag ook de Reply knop gebruiken). Natuurlijk heeft het nadelen maar die zijn goed te overzien. Het is niet nodig om mail een uur te vertragen, 1 minuut werkt ook al prima. Dat er applicaties zijn die er niet mee om kunnen gaan is jammer, maar eigenlijk een fout in de applicatie want een server die even niet bereikbaar is past prima binnen het SMTP-protocol (anders zou je ook nooit onderhoud kunnen doen). Daarbij heb ik in mijn omgeving volledige controle over dat soort applicaties.

[Reactie gewijzigd door CAPSLOCK2000 op 4 oktober 2013 00:43]

Tot nu toe is de graylisting bij mij goed gegaan maar ik kan me inderdaad voorstellen dat dit problemen kan opleveren. Ik laat mensen in een mail weten dat ik gebruik maak van graylisting.
Als techneut heb ik morele bezwaren tegen greylisting, een robuustheidsfeature van het protocol wordt misbruikt om een spamserver te identificeren. Het is een smerige techniek, die inefficiŰnte communicatie veroorzaakt.
Ik laat mijn mail binnenkomen op een account bij Gmail, en daar vis ik het weer af, dus ik heb geen last van spam. Het viel me alleen op dat de hoeveelheid de laatste weken gehalveerd is.
De spam wat ik krijg is eigen schuld dikken bult, want dan heb ik het verkeerde mailadres ergens opgegeven. Niet dat ik het een grote probleem vind, want zijn toch gmail/oulook accounts. Moet er wel bij zeggen dat ik de filters van gmail/outlook erg goed vind werken, waardoor deze niet in mijn inbox komen maar gelijk in de junkfolder.
Inderdaad, na een jaar of 10 krijg ik nu in ene ook massa's spam, maar zelden komt er een mailtje door het filter heen. Helaas besloot mn werkgever om in ene de roosters via de e-mail door te gaan sturen naar al het personeel, en iedereen in het "AAN" veld te zetten.. sinds ze dat doen klapt je "junk" map bijna uit zn voegen met mailtjes van "casino's", "buitenlandse prinzen", en "medische producten". Maar zelden komt er een in mn daadwerkelijke inbox.
gmail is inderdaad goed in het herkennen van spam en het in de spam folder zetten. Ik keek net, maar het loopt nu minder hard als vorige week. Dat wil niet direct zeggen dat het hier mee te maken heeft, maar het zou kunnen.
Spam hoeft niet per definitie het directe gevolg te zijn van een botnet.
Zat jij zelf niet in een botnet? :) daarmee kan je je zelf aardig wat mail versturen ;)

OT
wel altijd goed zulke acties, het is jammer die die botnets moeilijk down te halen zijn. Vaak in landen waar ze niets kunnen doen.
Het botnet werd gebruikt voor click-fraud en bitcoin mining. Op de pagina van Symantec waarnaar gelinkt wordt, staat alles tot in het detail beschreven.
De criminelen achter het botnet gebruiken het onder meer voor bitcoin-mining en klikfraude, zo zegt Symantec.
Het kan dus ook best voor spam gebruikt zijn.
Ik zou liever zien HOE je 'jezelf' kan herkennen in een botnet ( aka "ben ik ge´nfecteerd" )

Tot nog toe ben ik 'trots' op mijn schone status, maar dat wil alleen maar zeggen dat ik het zelf ( en anderen ) het nooit ontdekt hebben.

Deels omdat ik niet van het "klik maar raak" type ben, en toch wel relatief voorzichtig ben met mijn software, maar zoals praktisch iedereen komt er uiteraard wel eens wat "minder netjes" binnen, om te proberen.
Wat een fantastische post! Bedankt om ons hierover wat bij te brengen!

Blij te horen dat je fake netwerk bij Belgen minder succes heeft, moet ik me voorlopig minder zorgen maken ;-).

Ik vind deze post interessanter dan het boek dat ik over anonymous heb gelezen!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True