Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties

Microsoft stelt dat het het ZeroAccess-botnet, dat onder meer voor klikfraude wordt gebruikt, flink is ontregeld. Het botnet is desondanks nog niet helemaal verdwenen. Het lijkt er op dat Microsoft weer het werk van beveiligingsonderzoekers heeft belemmerd.

MicrosoftDe softwaregigant uit Redmond stelt dat het 18 ip-adressen en 49 domeinnamen die zouden zijn gebruikt door het botnet in beslag heeft genomen, in samenwerking met het European Cybercrime Centre van Europol. Desondanks verwacht het bedrijf niet dat de activiteiten van het botnet nu volledig beëindigd zullen zijn: ZeroAccess gebruikt peer-to-peer-verbindingen en is door die decentrale opzet moeilijker te belemmeren dan andere botnets, waarbij een centrale command-and-control-server vaak de achilleshiel is. Uit de aanklacht blijkt dat drie van de servers die door het botnet werden gebruikt, bij Nederlandse hosters stonden.

De beheerder van het ZeroAccess-botnet, die twee miljoen pc's zouden hebben geïnfecteerd, zouden onder meer privégegevens van getroffen gebruikers hebben gestolen. Ook lucratief was de klikfraude die met behulp van het botnet werd verricht: de malware op de geïnfecteerde pc's werd gebruikt om automatisch op advertenties te klikken waarvoor de beheerders een vergoeding kregen. Dat zou adverteerders tot 2,7 miljoen dollar per maand hebben gekost. Volgens Microsoft heeft het botnet veel Europeanen geïnfecteerd.

Niet iedereen is blij met de actie. Beveiligingsonderzoeker Yonathan Klijnsma van het Nederlandse Fox-IT klaagt op Twitter dat Microsoft ook domeinen in beslag heeft genomen die door beveiligingsonderzoekers werden gebruikt om informatie over het botnet te verzamelen. Dat zogenoemde sinkholing wordt vaker toegepast, en het is niet de eerste keer dat Microsoft ervan wordt beticht het werk van beveiligingsonderzoekers te belemmeren door domeinen van beveiligingsonderzoekers in beslag te nemen. Eerder gebeurde dat bij de Citadel- en Zeus-botnets. Het in beslag nemen is opvallend, omdat er een centraal register van sinkholes is.

Moderatie-faq Wijzig weergave

Reacties (49)

Het lijkt er op dat Microsoft weer het werk van beveiligingsonderzoekers heeft belemmerd
Dit vind ik toch zo belachelijk, dit botnet werd gebruikt om gegevens van mensen te stelen, en zij zijn nu kwaad dat Microsoft het botnet ontregeld, terwijl zij gewoon vrolijk toekijken terwijl al die data gewoon wordt gestolen?

[Reactie gewijzigd door Loller1 op 6 december 2013 10:46]

Behalve natuurlijk dat MS nu een klein deeltje van het botnet heeft gesloopt, en dat het botnet binnen de kortste keren weer op volle oorlogssterkte is. Terwijl MS daarmee de onderzoekers wel hindert in het voldoende in kaart brengen van het botnet om het definitief te slopen.
Alsof het zo makkelijk is, Microsoft zal heus wel weten wat ze doen.
Misschien dat die onderzoekers dan hun intenties naar Europol kunnen communiceren?!
En wie is eigenaar van deze servers? Ik kan nog steeds niet begrijpen dat het niet mogelijk is om wereldwijd servers te controleren op dit soort ilegale praktijken. Als de NSA 5 miljard mobieltjes in de gaten kan houden moet dit toch ook kunnen? Verder wereldwijd afspreken dat ieder land verplicht is hieraan mee te werken en doet een land dit niet, dan geen toegang tot het internet.
Verder wereldwijd afspreken dat ieder land verplicht is hieraan mee te werken en doet een land dit niet, dan geen toegang tot het internet.
En wie gaat er reguleren dat een land geen toegang heeft tot internet? Hoe denk je dat te gaan handhaven?

Voor dat soort zaken is er nu eenmaal geen 'wereldrechtbank', omdat de wetten over de hele wereld anders zijn.
Ik zie al voor me wat er dan gaat gebeuren, Amerika die gelijk internet uitschakelt en roept dat de eerste met olie weer internet mag hebben 8)7
Nee maar voor acties als de communicatie van een land afsluiten omdat een hacker ergens een VPS heeft draaien zal het heel gauw bij het verkeerde land gebeuren wat begint te schieten...
MS Politie, lol is eigenlijk wel een leuke naam voor Microsoft.
Het is meestal Microsoft "software" die er in de eerste plaats er voor zorgt dat er beveiligingsgaten en lekken zijn in hun OS en software. Waarom ze dan weer IP's en domeinnamen moeten inbeslag nemen is dan weer een brugje te ver. Zoals al aangegeven in het artikel, zijn er veel onderzoekers bezig om het ťťn en het ander uit te zoeken. Ik zou er niet van verschieten moesten onderzoekers uitzoeken hoe zo'n botnet in mekaar zit, tot op de kleinste details mogelijk, en dan pas met die info naar Europol te stappen, omdat ze dan het volledige netwerk hebben. Wat MS Politie doet is de grootste pakken en alle onderliggende, zonder de zij takken er bij te nemen wat dus kan leiden dat de zij takken, hoofdtakken "kunnen" worden later.
Leuke stapel aannamens, maar ondanks wat vaak wordt geroepen heeft MS behoorlijk wat expertise, dus dat met het aanpakken van dit botnet niets aan informatie zou zijn verzameld lijkt me zeer onrealistisch.
Verder is dit een botnet wat vele duizenden euro's opbrengt, ik zie veel liever dat MS het de botnet beheerders moeilijk maakt door constant een en ander te sluiten dan dat we ze maar hun gang laten gaan, Fox-IT is geen slechte op dit gebied, maar MS was ze deze keer gewoon voor.
Overigens was MS in samenwerking met 'European Cybercrime Centre van Europol' en als Fox-IT even had aangegeven dat ze een botnet achterna zaten en graag via de wet dat wouden oprollen had men daar kunnen zien dat Fox-IT nog bezig was.
Dit is alsof MS ineens rekening moet houden met alle ICT bedrijfjes en de botnets...
Microsoft was Fox-IT niet voor, Microsoft heeft de Sinkholes van andere instellingen "afgepakt" dat is waar Fox-IT commentaar op had.
Info hier te vinden: http://dnsamplificationattacks.blogspot.nl/p/blog-page.html
Kzen er zeker van dat MS niet alles tot in de kleinste details en puntjes op het net gaat gooien hoe ze tewerk gaan. Dus als je op het internet leest dat MS 3 domeinen heeft gesloten, kunnen het er in principe ook 4 of 5 zijn of zelfs gewoon maar eentje. Net zoals MS niet gaat zeggen hoe hun software is opgebouwd of hun operating system. Kwil maar zeggen, sommige zaken houden ze angstvallig verborgen terwijl ze enkel datgene we willen weten qua informatie of werking, doorgeven. Fox-IT ken ik persoonlijk niet.
Er is letterlijk niets veranderd met deze ingreep. Als ZeroAccess een nieuwe update released met paar nieuwe IP's die centraal worden gebruikt als de backbone voor advertisement clicking is het botnet binnen weken weer terug.

'No such thing as bad publicity' is een motto wat vaak goed in combinatie gaat met Microsoft's aanpak omtrend botnets.
Eerlijk gezegd vind ik de zin "Het lijkt er op dat Microsoft weer het werk van beveiligingsonderzoekers heeft belemmerd" niet bepaald objectief. Er is een persoon die roept dat dit het geval is, maar is het daarmee ook waar?
Ik vind dat zowel Microsoft als de beveiligingsonderzoekers hier goed werk doen.. Ze zouden er beiden veel aan hebben als ze meer gaan samenwerken.
Tja aangezien MS met het 'European Cybercrime Centre van Europol' zou Fox-It kunnen beginnen met aan 'European Cybercrime Centre van Europol' vragen wat er op de agenda staat en of ze mee mogen :P
Als er een centraal register van sinkholes is, waarom excluden botnet-makers deze hosts dan niet in hun botnet?
Je mag toch echt aannemen dat zo'n register niet publiek toegankelijk is.
Maar je mag ook aannemen dat de makers van een dergelijk botnet niet 'your everyday scriptkiddies' zijn. Die zullen ook wel enige kennis hebben over het vinden van dat register. Er zullen er vast wel een paar rondslingeren op Tor.
Er bestaat tevens zoiets als sinkhole mining om sinkhole ip's te vinden.
Wat doet de sinkhole op dit moment? Of is dat weer iets anders dan bitcoins? :+
Grappig de MS politie neemt IP adressen en domeinen in beslag zonder tussenkomst van de rechter?
Zal wel net zoals vorige keer in samenwerking met FBI of dergelijk bureau zijn geweest.

Leuk dat de beveiligingsonderzoekers een en ander onderzoeken, maar dit soort botnets zie ik veel liever zsm verdwijnen :P
Leuk dat de beveiligingsonderzoekers een en ander onderzoeken, maar dit soort botnets zie ik veel liever zsm verdwijnen
Zou het misschien kunnen dat beveiligingsonderzoekers zich met botnets bezig houden juist om te ontdekken hoe je ze zo goed mogelijk kunt laten verdwijnen...?
quote: Artikel
Desondanks verwacht het bedrijf niet dat de activiteiten van het botnet nu volledig beŽindigd zullen zijn: ZeroAccess gebruikt peer-to-peer-verbindingen en is door die decentrale opzet moeilijker te belemmeren dan andere botnets
MS kan zichzelf nu wel leuk in de kijker zetten en persberichten sturen, maar mijn voorkeur zou zijn dat ze het goed opruimen. Het zou zo maar kunnen dat die beveiligingsonderzoekers bezig zijn met methoden om botnets op een andere manier plat te gooien dan de command and control server(s) in beslag te nemen. Wie weet, misschien wel een methode waar de botnet-beheerders zich niet tegen kunnen verweren met p2p-verbindingen...
Ja want MS heeft geen enkele ervaring met botnets opruimen.
MS heeft zelf zeker niet van die security 'experts' in huis zoals bij FOX-IT.

Als er ergens een botnet bezig is, vind ik het juist erg slecht van Fox-IT dat ze niet even bij MS zijn gaan informeren, van "Hey, zijn jullie met dit botnet bezig?"....
Of hebben die gasten van Fox-IT zitten slapen de afgelopen jaren... MS heeft meer botnets platgekregen de afgelopen 2 jaar dan Fox-IT in hun hele bestaan.
Fox-IT moet informeren of Microsoft met ZeroAccess bezig is? Hoop dat je dit niet serieus meent.
Want Fox-IT zou op de hoogte moeten zijn dat Microsoft een hele afdeling heeft om botnets op te sporen en dat ze dit de afgelopen jaren er al meerdere onaangekondigt in 1 keer onderuit trapte.

Dus ja, als Fox-IT zichzelf een serieus security bedrijf noemt, zou het common courtesy zijn om bij andere partijen even te informeren voordat je een berg mankracht en geld ertegen aangooit en dan verbaast worden dat een andere partij er al mee bezig was en zelfs al een paar stappen verder was.
Opzich een goed punt, maar het probleem lijkt mij eerder te zitten in dat Fox-IT een meer gestrucuteerde aanpak wil zien. Het lijkt nu dat ZeroAccess binnen de kortste keren weer volledig terug zal zijn...
Ik neem aan dat Microsoft niet zomaar twee man bij het koffieapparaat vond en zei doe Zeroaccess maar uit :P, maar dat dit een flinke afdeling is met veel ervaring en organisatie, benodigt om zo'n actie uit te voeren, dan zal er ook neem ik aan de expertise zijn om een en ander aan informatie in te zamelen.
Malware maakt over het algemeen gebruik van gaten in de software van MS?
MS staat lang niet bovenaan kwa security breaches. En toch maken ze in verhouding veeeeeel meer software dan Google, Mozilla, Adobe, Oracle of andere partijen, die de ranklijst hoger aanvoeren dan MS.

Zelfs Windows heeft minder security patches/issues elke patch tuesday dan Debian tegen komt elke week ( security.debian.org hf)

Zelfs Linux is niet zo veilig (of veiliger) als Windows, ondanks dat veel mensen dat erg graag willen geloven.
Maar als je naar de security patches op security.debian.org kijkt, is het overgrote deel daarvan eigenlijk third party software (die bij een linux-distributie wel door de distributie verpakt wordt):

Als ik kijk naar de laatste 20:
[ 4 dec 2013] DSA-2810 ruby1.9.1 - heap overflow
[ 4 dec 2013] DSA-2809 ruby1.8 - several vulnerabilities
[ 3 dec 2013] DSA-2808 openjpeg - several vulnerabilities
[30 nov 2013] DSA-2807 links2 - integer overflow
[29 nov 2013] DSA-2806 nbd - privilege escalation
[27 nov 2013] DSA-2805 sup-mail - command injection
[26 nov 2013] DSA-2804 drupal7 - several vulnerabilities
[26 nov 2013] DSA-2803 quagga - several vulnerabilities
[25 nov 2013] DSA-2800 nss - buffer overflow
[21 nov 2013] DSA-2802 nginx - restriction bypass
[21 nov 2013] DSA-2801 libhttp-body-perl - design error
[17 nov 2013] DSA-2798 curl - unchecked ssl certificate host name
[17 nov 2013] DSA-2795 lighttpd - several vulnerabilities
[16 nov 2013] DSA-2799 chromium-browser - several vulnerabilities
[13 nov 2013] DSA-2797 icedove - several vulnerabilities
[13 nov 2013] DSA-2796 torque - arbitrary code execution
[10 nov 2013] DSA-2794 spip - several vulnerabilities
[ 9 nov 2013] DSA-2793 libav - several vulnerabilities

zie ik daar Chromium (de open source Chrome variant), Icedove (Thunderbird), twee Ruby versies (waarvan de Windows executables in hetzelfde bedje ziek waren), ...

Op die manier is het logisch dat je aan meer patches dan de MS patches komt (die maar een beperkt deel van je software omvatten). En de niet-gepatchte lekken zijn het ergste en die kennen we niet, dus 't blijft gissen waarmee je het veiligst bent...
Dat is wel waar. Bij beide OS komt uiteindelijk meeste van de malware/beveiligings problemen van derde partijen.

Verschil is wel dat die repos altijd als groot voordeel van Linux gezien word. Wat nu te vergelijken is met Windows Store gebeuren, of iTunes. Dan staat het wat schever, daargelaten dat de complexiteit van die software vaak een heel stuk minder is :p
Botnet onderzoekers kunnen ook niet gegarandeerd dat hele ding offline halen. Jaar geleden was ik bij een presentatie van onderzoekers van een universiteit die een p2p botnet offline probeerde te halen (weet niet of het dezelfde was als deze of een andere), dat deden ze geloof ik door de server tabellen van de bots vol te gooien met foutieve nieuwe C&C servers, die dat weer verder door het 'nieuwe' bot netwerk verspreidde en geen nieuwe commando's meer accepteerde.

Echter hoewel ze een flinke slag hadden toegebracht aan het netwerk, wisten daar de eigenaars van het netwerk dat toch te stoppen voordat ze hun hele netwerk kwijt waren, en was er nog een flink gedeelte van over.

Oftewel de voorkeur van MS is ook dat het goed opgeruimd is, maar het is niet simpelweg dat MS het maar half opruimt en als een andere groep het doet dat het dan compleet weg was.
En bijvoorbeeld waren die sinkholes gebruikt om actief het te bestrijden, of was het meer dat ze het enkel in de gaten hielden.
Die beveiligingsbedrijven hebben hoeveel maanden jaren al de tijd gehad te onderzoeken. Je kan wel onderzoeken tot je er bij neervalt maar eens moet je gewoon actie ondernemen.

Zij er door beveiligingsbedrijven als eens echt botnets helemaal 100% onschadelijk gemaakt ?

Als doet men het nu niet 100%, het is een slag en als je hard genoeg slaat gaat het botnet misschien niet helemaal dood maar veel leven blijft er niet over.
Want MS weet er zelf helemaal niks van, die beveiliging onderzoekers kunnen ook zonder een botnetwerk een methode vinden. Ik persoonlijk vind ook dat het beter is dit soort botnet gelijk uit de lucht te halen. Per dag word er tonnen verdiend door die botnethouders. Dat betekend dus ook dat er mensen zijn die dat geld kwijt zijn.
ik vind de berichtgeving erg negatief richting MS met het woordje weer. Alsof MS juist het botnet werk heeft geholpen.
Bij klikfraude is het heel simpel, de adverteerder betaald en in de meeste gevallen in het google adwords die geld uitbetaald aan botnetbeheerders.

Gewoon lang genoeg blijven slaan = uit de lucht nemen tot er weinig meer van over is.

De keuze lijkt me heel simpel. Je kan jaren wachten tot je een methode vindt die 100% werkt of je bent jaren gewoon klappen aan het uidelen waardoor het botnet steeds kleiner wordt en de eigenaar weer wat moeten bedenken.

Keuze 1 betekend dat ze jaren op volle sterkte kunnen doorgaan, keuze 2 ligt gewoon voor de hand.
Tjs wie zegt dat Microsoft alleen maar de stekker van het botnet eruit trok en niet al een tijdje bezig was met informatie verzamelen, als Fox-it dat ook deed maar nog niet zo ver is, tja risico van niet communiceren.
Lijkt wel alsof iedere keer dat MS een botnet stopt gelijk Fox-it begint te roepen dat het hun onderzoek heeft omgegooit (Vorige twee keer in ieder geval)
Fox-IT gaf alleen maar aan dat Microsoft nu de Sinkholes in "beheer" heeft genomen (afgepakt) terwijl andere onderzoeksinstellingen dit al deden en deze staan netjes op een lijst net zoals blacklists voor spam servers.
Voordeel hiervan is dat geinfecteerde computers ook op een blacklist komen te staan en gebruikers die niet weten dat ze geinfecteerd waren hier dus achter komen omdat ze bijvoorbeeld geen mails meer kunnen versturen en dus zelf contact opnemen met hun provider.(Spreek uit ervaring bij een klant die om deze reden op een blacklist kwam)

Klik even de twitter berichten aan en je krijgt een beter beeld hoe het bedoeld was.
Dit had misschien wel wat duidelijker in het Tweakers bericht mogen staan.

edit: typo's

[Reactie gewijzigd door Excubitor op 7 december 2013 02:47]

De softwaregigant uit Redmond stelt dat het 18 ip-adressen en 49 domeinnamen die zouden zijn gebruikt door het botnet in beslag heeft genomen, in samenwerking met het European Cybercrime Centre van Europol
Lijkt mij dat het probleem dan niet bij Miscrosoft ligt, maar bij Fox-It. Als zij botnets en klikfraude willen laten bestaan voor een groter doel, dan moeten ze dat met Europol communiceren. Maar niet er maar vanuit gaan dat niemand iets doet, en dan boos worden wanneer de politie iets oprolt.

[Reactie gewijzigd door AHBdV op 6 december 2013 13:49]

in samenwerking met het European Cybercrime Centre van Europol.
En die zullen of die autoriteit al hebben, of goedkeuring hebben van een rechter voor deze actie. En zo niet dan worden ze daar zelf voor vervolgd. sim-pel.
Uit het artikel : " in samenwerking met het European Cybercrime Centre van Europol."

Oftewel de expertise van MS is ingezet om dit botnet aan te pakken, en vervolgens komen een paar beveiligingsonderzoekers klagen dat iemand ze voor is geweest. Tja, ik weet niet zo goed wat ik daar nu van moet vinden... maar om nu te zeggen dat dat MS aan te rekenen is gaat me wel wat te ver. Ze stoppen er wel flink wat resources in om zo'n botnet aan te pakken, waar (in het beste geval) wat leuke PR voor terugkomt.
Dat staat toch nergens?
Nee sommige mensen kunnen ook niet lezen want er staat gewoon duidelijk dit:

in samenwerking met het European Cybercrime Centre van Europol.

europol zorgt dus gewoon voor de inbeslagname en volgens mij is dat een officiŽle instantie die daarvoor waarschijnlijk naar de rechter gestapt is voor inbeslagname.
Mja daarom vind ik de reactie van foxit ook wel apart. Volgens mij staar europol toch wel hoger dan een nederlands bedrijf (niet eens overheid)
Sorry hoor, maar als er iets is wat mij persoonlijk schade doet wil ik het zo snel mogelijk opgeruimd hebben.

Wat zou jij zeggen als je kanker had en de doctoren zeiden dat ze het nog ff laten zitten om te bestuderen hoe het verder groeit. Dan ben je toch ook niet blij.

Uitroeien die hap. En een kweekje bewaren voor verdere studie.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True