Microsoft haalt No-IP-domeinen offline vanwege malwaredistributie

Microsoft heeft maandag ruim twintig domeinen van No-IP, een veelgebruikte ddns-provider, offline laten halen. Volgens het bedrijf zouden die een belangrijk onderdeel vormen van een omvangrijk botnet. No-IP spreekt van een draconische maatregel.

Microsoft maakt op zijn blog bekend dat het No-IP verantwoordelijk stelt voor de domeinen die de Bladabindi- en Jenxcus-malware, voor het maken en onderhouden van een botnet, verspreiden. De in totaal 23 onbekende domeinen zouden verantwoordelijk zijn voor 93 procent van alle bekende Bladabindi- en Jenxcus-infecties, zo beweert de technologiegigant. De afgelopen twaalf maanden constateerde Microsoft 7,4 miljoen besmettingen.

Microsoft diende twee weken geleden een verzoek in bij de rechtbank om zo de dns-autoriteit te worden van de 23 domeinen. Op die manier kan het bedrijf naar eigen zeggen achterhalen waar de infecties precies vandaan komen. Daarnaast licht Microsoft later onder meer internet service providers in over de bevindingen, zodat er tegenmaatregelen kunnen worden genomen. "De computers met malware schaden Microsoft, zijn klanten en het publiek in het geheel."

No-IP laat in een reactie weten 'zeer verrast' te zijn door de maatregel van Microsoft. "Als Microsoft ons had benaderd, hadden we meteen actie ondernomen", zegt het bedrijf in een verklaring. "Deze draconische acties hebben invloed op miljoenen onschuldige internetgebruikers." No-IP zegt zelf hard op te treden tegen misbruik en zijn best te doen om het besluit van de rechter terug te draaien.

Microsoft treedt vaker op tegen grootschalige botnets. Laatst was dat het ZeroAccess-botnet, dat ook wel bekend stond onder de naam Sirefef. Daarvoor werkte Microsoft samen met verschillende organisaties, waaronder het Nederlandse Team High Tech Crime van de Landelijke Politie.

Door Yoeri Nijs

Nieuwsposter

01-07-2014 • 02:00

64

Reacties (64)

64
59
42
2
1
1
Wijzig sortering
Heel bijzonder dat dit zomaar kan. Prima dat microsoft goed werk levert in de bestrijding van botnets en malware, maar wel vreemd dat ze dit op deze manier klaar weten te spelen.

Of zou er meer achter zitten en No-IP toch meer van deze zaak weten?
Heel bijzonder dat dit zomaar kan.
En met "zomaar" bedoel je na tussenkomst van een rechter die zijn uitspraak heeft gebaseerd op sinds april 2013 verzameld bewijsmateriaal en uitblijven van actie van de kant van No-IP?
Lezen? Er staat min of meer dat No-IP van niets afwist. @Bseetje heeft gewoon helemaal gelijk. Het is van der zotte dat een rechter een domein kan hijacken, en helemaal zonder tussenkomst van de huidige registrar/ddns-provider.

EDIT: Ik krijg trouwens op mijn sites heel veel bots die @outlook.com emails gebruiken. Al die emails zijn allemaal "verified", dus de bot krijgt de emails binnen en klikt op de verify link in de email. Waarom kijkt Microsoft daar niet naar? Of moet ik ook langs de rechter om de DNS van outlook.com op te eisen?

[Reactie gewijzigd door Rex op 22 juli 2024 21:01]

Uit de broninformatie:
"Despite numerous reports by the security community on No-IP domain abuse, the company has not taken sufficient steps to correct, remedy, prevent or control the abuse or help keep its domains safe from malicious activity."
Dit is weliswaar van Microsoft maar het heeft de rechter toch overtuigd. Daarnaast is het niet zozeer een domein hijacken maar is het het overdragen van het DNS eigenenaarschap:
"On June 19, Microsoft filed for an ex parte temporary restraining order (TRO) from the U.S. District Court for Nevada against No-IP. On June 26, the court granted our request and made Microsoft the DNS authority for the company’s 23 free No-IP domains, allowing us to identify and route all known bad traffic to the Microsoft sinkhole and classify the identified threats."
Even wat linkjes dumpen ter aanvulling.
NO-IP heeft een historie van nergens op reageren.
Voorgaande klachten van Open DNS en Cisco als recent voorbeeld.

Tevens is 'tijdelijk confisceren' van NO-IP domeinen onderdeel van deze aktie van Microsoft. Microsoft moet NO-IP $200.000 betalen als schadevergoeding.

Temporary restraining order van Microsoft:
http://www.noticeoflawsui...Order%20-%20flattened.pdf

Voorgaande aanklacht van Cisco tegen NO-IP:
http://www.noip.com/blog/2014/02/12/cisco-malware-report/

Notificatie van de rechtbank aan NO-IP;
http://www.noticeoflawsui...ns%20for%20Vitalwerks.pdf

Wetgeving: Federal Rule of Civil Procedure 65(b):
http://www.law.cornell.edu/rules/frcp/rule_65
(1) Issuing Without Notice. The court may issue a temporary restraining order without written or oral notice to the adverse party or its attorney only if:
(A) specific facts in an affidavit or a verified complaint clearly show that immediate and irreparable injury, loss, or damage will result to the movant before the adverse party can be heard in opposition; and
(B) the movant's attorney certifies in writing any efforts made to give notice and the reasons why it should not be required.
Edit: In mijn opinie moet NO-IP nu wel reageren om te voorkomen dat klanten weglopen naar de concurrentie. Het klopt dat ze dus van deze aktie niets wisten. Maar NO-IP is zelf ook niet zo lekker bezig natuurlijk.

[Reactie gewijzigd door kwakzalver op 22 juli 2024 21:01]

Microsoft moet NO-IP $200.000 betalen als schadevergoeding.
Dat staat er niet!
Microsoft moet $200.000 betalen aan de griffier.

Uit je eigen link:
IT IS FURTHER ORDERED that Microsoft shall post bond in the amount of $200,000.00 to be paid to the Court Clerk.

[Reactie gewijzigd door gertvdijk op 22 juli 2024 21:01]

Microsoft moet $200.000 betalen aan de griffier.
Ook niet helemaal: Microsoft moet voor $200k garant staan (post bond) bij de griffier.
Merk ook nog op, dat het algemeen bekend was dat dit soort diensten naast eerlijke legitieme gebruikers, structureel gebruikt werd door grote aantallen malware verspreiders en vaak nog ergere criminelen.

No-IP wist dit, maar kneep een oogje dicht vanwege het geld. Niet anders dan sommige VPN bedrijven en hosters een oogje dicht knijpen als mensen hun diensten gebruiken om een niet Chinees/Russisch IP te krijgen en zo meer success te krijgen bij hacks.

De concurenten van No-IP wie wél hun uiterste best doen om dit soort uitwassen aan te pakken krijgen hierdoor een slechte naam.
Op basis van die links kun je echter niet de volgende conclusie trekken:
NO-IP heeft een historie van nergens op reageren.
Ik heb nog steeds de sterke indruk dat het hier een disproportionele actie betreft met een commerciele ondertoon, daarnaast is het dubieus dat niet alleen de betreffende "malware" domeinen offline zijn gehaald.
daarnaast is het dubieus dat niet alleen de betreffende "malware" domeinen offline zijn gehaald

Ik zie dat meer als een slechte uitvoering van Microsoft, van een op zich wel legitiem doel.
Anoniem: 423815 @kwakzalver1 juli 2014 10:01
Zeer informatieve, feitelijke post: waarvoor dank.
Het is van der zotte dat een rechter een domein kan hijacken, en helemaal zonder tussenkomst van de huidige registrar/ddns-provider.
Dat zouden de bulletproof hosters van deze wereld wel kunnen waarderen. Die verdienen feitelijk hun brood met het hosten van o.a. zaken als malware servers.

Feit is wel nu dat we af zijn van twee botnets en het internet weer een stukje veiliger is. Microsoft is een van de weinigen die zo actie onderneemt om botnets te verstoren. Veel andere bedrijven houden het enkel bij onderzoek of sinkholes plaatsen. Offline halen is echt nodig.
Tsja, en waar ligt de grens dan? Straks is Warner Bros of Sony Entertainment boos op let's say thepiratebay.org, stappen ze naar een Amerikaanse rechter en is TPB ineens foetsie.
Of ander voorbeeldje, Brazzers ziet een aantal clips van hun films op xvideos of andere bekende 18+ websites en vraagt een rechter om het domein te hijacken.
Wikileaks, HouseOfThin, Who's A Rat, en alle andere controversiele sites kunnen zomaar opgedoekt worden.
Ja, het is inderdaad verbazingwekkend dat als je de wet overtreedt, een rechter deze wet zomaar kan toepassen en maatregelen kan nemen.

Als we niet oppassen leven we straks in een rechtsstaat.
Waarom denk je dat NO-IP de wet heeft overtreden ?

Als ze iets fout hebben gedaan dan is het niet voldoende handelen na ontvangen van klachten.

Probleem is: niet voldoende handelen is niet objectief.
Tsja, en waar ligt de grens dan? Straks is Warner Bros of Sony Entertainment boos op let's say thepiratebay.org, stappen ze naar een Amerikaanse rechter en is TPB ineens foetsie.
Of ander voorbeeldje, Brazzers ziet een aantal clips van hun films op xvideos of andere bekende 18+ websites en vraagt een rechter om het domein te hijacken.
Wikileaks, HouseOfThin, Who's A Rat, en alle andere controversiele sites kunnen zomaar opgedoekt worden.
Er is wel een verschil tussen malware en C&C servers hosten en wat jij beschrijft. Dat is dan een copyright conflict. Overigens is daar in zoverre in voorzien dat een bedrijf als Sony, Warner Bros. of Brazzers een DMCA verzoek kan doen. Als degene die deze content dan host deze verwijderd is er niets aan de hand. Simpel gezegd, zo kan Youtube ook blijven bestaan ondanks dat iemand een Game of Thrones aflevering upload. Zolang Youtube maar meteen het materiaal verwijderd als er een verzoek is gekomen zal het geen gevolgen hebben voor Youtube.
Tsja, en waar ligt de grens dan?
In de wet, en de rechter toetst daaraan.
Straks is Warner Bros of Sony Entertainment boos op let's say thepiratebay.org, stappen ze naar een Amerikaanse rechter en is TPB ineens foetsie.
TPB is niet amerikaans, No-IP wel, en valt dus onder de amerikaanse wetgeving en daardoor kon de rechter nu ingrijpen.
Tsja, maar een .org domein valt wel onder de VS en ze kunnen proberen te bewijzen dat het zich (vooral?) richt op US bezoekers. Net zoals dat Homeland Security domeinen in beslag kan nemen (zie atdhe.net).
Dus ja, ze kunnen ook proberen om torrentsites offline te halen die .org .com of .net gebruiken.
Een rechter doet niet alles wat er gevraagd wordt. Je zal met dik bewijs moeten komen.

Blijkt dat je achteraf een boel verzonnen hebt, dan heb jij een probleem en zul je zeker schadevergoeding moeten betalen.

De grens is er ook, een rechter kan ook zeggen begin een bodemprocedure en schrijf de klant aan.
Lezen? Er staat min of meer dat No-IP van niets afwist.
Ah, en dat is dan per definitie waarheid? Dan ben ik toch benieuwd hoe No-IP, zonder ergens vanaf te weten, heeft kunnen reageren op bevindingen omtrent malware via No-IP van OpenDNS in april 2013 en van Cisco in februari dit jaar, onder andere.

Goed advies, dat "lezen". :)
Tsja, ik wil niet echt ingaan op het welles/nietes spelletje die Microsoft met No-IP speelt, want No-IP zegt in een reactie dat ze van niets wisten. (bron) Zonder alle feiten te kennen, denk ik toch dat No-IP gelijk heeft. Ik weet uit ervaring (!) dat hun heel erg bezig zijn met security. Ik heb het zelf ondervonden waarbij ze na een klacht mijn domein hadden gestopt met resolven, en ik er achteraan moest om te bewijzen dat de abuse onterecht was.

Ik zie ook niet weten waarom No-IP NIET zou willen handelen. Het meest logische lijkt me daarom dat ze gewoon echt van niets afwisten.
Ah, dus je wil niet ingaan op wie er gelijk heeft maar hebt wel alvast een conclusie? Handig.

Waarom ze niet zouden willen handelen: omdat ze van Bladabindi en Jenxcus profiteren wellicht? Dat is althans de tenlastelegging, zoals te lezen is in de bronnen.

[Reactie gewijzigd door HooksForFeet op 22 juli 2024 21:01]

en bovendien dit is via een rechter gegaan, en aangezien no-ip gewoon een amerikaans bedrijf is, kun je nauwelijks zeggen dat er sprake zal zijn van classe justitie, bovendien zag ik ook dat cisco in het rijtje van klagers stond, als er 1 bedrijf is die in mijn beleving terughoudend (laks) is in het constateren en klagen over beveiliging is het cisco wel, dus zal er behoorlijk wat mis zijn geweest.... en dus is goed lezen idd een goede raad... vooral voor REX die nogal wat bronnen heeft nagelaten te lezen.
Anoniem: 14038 @Rex1 juli 2014 08:28
Bij een ex-parte is het geen wellus nietus spelletje meer maar een eenzijdig wellus. Dan had MS een 'normale' rechtszaak aan moeten spannen om op-ip de kans te geven om haar verhaal te doen.
Een ex-parte aanspannen omdat ze blijkbaar haast hadden is dan wel logisch.
Alleen is het vechten tegen de bierkaai. Een kat en muis spel wat ze toch niet kunnen winnen. Dit is eigenlijk min of meer een toneelstukje wat ze opvoeren om hun klanten te doen geloven dat ze er alleen aan doen om het te bestrijden. Die moeite kunnen ze ook in het veiliger proberen te maken van hun OS steken.
Anoniem: 519515 @Rex1 juli 2014 08:34
dat No-IP van niets weet, spreekt anders ook niet voor ze.

edit: spelling

[Reactie gewijzigd door Anoniem: 519515 op 22 juli 2024 21:01]

Het is van de zotte en natuurlijk is het MS.

Misschien eens wat verdiepen in rechtsspraak.
Ik kan naar een rechter gaan en als ik deze kan bewijzen dat ik van jou geld tegoed heb kan deze beslag laten leggen op jou geld. mocht het achteraf niet zo zijn dat moet ik schadevergoeding betalen.

Er is dus niets raars aan het verhaal dat MS via een Rechter controle vraagt over het domein. No-IP doet nu raar en zegt te hebben willen meewerken. De vraag is of dat zo is en of no-ip zo maar mag meewerken zonder haar klanten te informeren. Zouden ze zonder rechterlijke uitspraak meewerken zouden klanten wel eens kunnen klagen.

MS bewandeld dus de juist weg via de rechter.
Ik ben een van de onschuldig getroffen klanten :-)
Wat ik wel vreemd vindt is dat ik niets van no-ip te horen heb gekregen.
Het artikel bij tweakers is de eerste keer dat ik er iets over hoor.
Toch wel een gemiste kans voor no-ip
Hetzelfde hier. Welliswaar een gratis account, maar had toch op zijn minst een mailtje verwacht. Nadat ik op de site van noip het bericht had gelezen ging ik er wel vanuit dat er op Tweakers een nieuws bericht zou staan....en ik werd niet teleurgesteld ;)

Ik twijfelde nog om een betaald account te nemen, maar nu ben ik daar niet zo zeker van en kijk ik toch nog even rond bij de concurentie.

Zijn er bijvoorbeeld tools om zelf zo'n service te hosten? Ik heb genoeg computers met statische internet adressen.
Maakt het wel geloofwaardiger dat No-ip nergens op reageert.
Ook al laat No-IP positief zijn beste kant zien, denk ik toch dat Microsoft heel wat meer macht en kennis in huis heeft om dat botnet uit elkaar te trekken.

Hoewel dat geen rede voor een rechter mag zijn natuurlijk om een domein zomaar aan iemand anders over te dragen.. "Jij kan het beter dus jij mag het doen".
Tja, als No-IP er niks aan deed, en Microsoft op het juiste moment suggereert dat No-IP misschien zelfs expres dat botnet met die domeinen helpt om extra inkomsten te vergaren is het voor een rechter een stuk makkelijker om Microsoft's kant te kiezen (ongeacht of No-IP bewust die domeinen hield...)
Tuurlijk is dit een stukje PR voor Microsoft, maar als ze dit soort botnets zomaar laten lopen blijft Windows het os met alle virussen...

@hieronder: Oke, en een botnet client is gewenste software, denk eerder dat het onder ongewenst/virus valt...
Virussen die Windows een slechte naam geven, dus als Microsoft die botnets stopt is dat echt niet omdat ze een betere wereld willen, gewoon flinke PR.
En die PR werkt prima, ik ben er erg blij mee dat er iemand is die zo actief botnets stopt.

[Reactie gewijzigd door RGAT op 22 juli 2024 21:01]

Hoezo nou weer die laatste opmerking?
Microsoft zit ook achter botnets aan die banken aanvallen, of de standaard DDoS botnets. Niet alleen virus verspreidende meuk.
Ik snap sowieso niet waarom Microsoft dit allemaal moet doen. Ik kan me nog voorstellen dat ze voor een openbaar aanklager werken, maar dan lijkt het me logischer dat die de rechtszaken regelt..

Dat gezegd hebbende, dit is echt een idiote maatregel. Iedereen die gebruik maakte van de dienst van No-IP op één van deze domeinen zal informatie die voor heen bestemd is nu naar Microsoft laten verdwijnen. Dit is ongeveer hetzelfde als alle briefpost die naar een postbus wordt verstuurd te laten openen door Marktplaats omdat de meeste mensen die daar frauderen gebruik maken van een postbus.
En als dan blijkt dat er niets aan de hand is (onwaarschijnlijk) dan krijgt de eigenaar na verloop van tijd vanzelf z'n oude routing weer terug.
En door die actie zijn 4miljoen (!) gebruikers in de problemen gekomen. (http://feeds.arstechnica....ica/index/~3/IthqHr54A24/).

Het is waarschijnlijk goed bedoeld van Microsoft maar de hoeveelheid directe schade die een dergelijke actie aanricht plus het feit dat hier één bedrijf haar wil op het Internet kan opleggen laat wel zien dat de vrijheid van de media en dus het recht op vrije meningsuiting niet gegarandeert is.

Het is dus eigenlijk een heel domme actie van MS.

En vreemd dat Tweakers zonder deze info alleen de kant van Microsoft laat zien door het klakkeloos kopieren van de mening/persbericht van die bron. Dat doet de kwalitiet van de verslaggeving en de journalistieke onafhankelijkheid van Tweakers geen goed...

[Reactie gewijzigd door VirtualGuineaPig op 22 juli 2024 21:01]

tja, denk dat je niet Microsoft hierop moet aankijken, maar No-IP, die hebben gewoon nooit gereageerd/gehandeld, en doen nu ineens alsof hun neus bloed, yeah right......
De reactie van No-IP staat gewoon in het artikel hoor dus hoezo laten ze die kant niet zien? Daarnaast ben ik benieuwd waar jij die 4 miljoen gebruikers vandaan haalt. Noch in jou bron. noch in de statement van No-IP word dat aantal genoemd.

[Reactie gewijzigd door Rutix op 22 juli 2024 21:01]

En ook ik heb er last van...
Thuis onbereikbaar op afstand.
En ook niets vernomen van no-ip.
Je kan nog wel inloggen op je No-ip account en zien welk ipadres je toestel heeft.
Met beetje geluk, zoals bij mij, blijft die redelijk statisch en kan je toch nog een verbinding opzetten.

edit:
- Inloggen
- Manage hosts

[Reactie gewijzigd door C-dude op 22 juli 2024 21:01]

Hier ook helaas een slachtoffer. Van no-ip niets gehoord, in Nederland ging de resolving nog goed maar via de DNS servers van Google niet meer. Na even zoeken dit bericht gevonden. Erg storend dit maar vooral ook erg slordig van no-ip dat ik niets in m'n mailbox had vanochtend.
Bij mij ook eruit no-ip laat het alleen op blog weten had minstens een mail verwacht, heb ook geen idee welke hostnamen nog wel in 'de lucht' zijn |:(
Inmiddels wordt mijn no-ip DNS naam opnieuw geresolved naar het juiste IP adres. Microsoft is er dus echt wel mee bezig. Eerst was ik boos omdat dit zomaar kan, maar achteraf bekeken valt de downtime nog mee. Oef!

Op dit item kan niet meer gereageerd worden.