Security Professionals - ipfw add deny all from eindgebruikers to any

botnet(s) gevonden, wat te doen?

13-03-2009, 11:52 door zaggynl, 26 reacties
Ik kwam op m'n werk een virus tegen, na verwijderen heb ik dit in een VM gedraaid, verbind naar diverse IRC servers.
Na zelf met Tor erheen verbinden zie ik dingen zoals
VNC3.8 CRACKED (<hostnaam>:) xxx.xxx.xxx.xxx - authbypass
en
<username> has changed the topic to: .msn.stop|.msn.msg u'r foto?? lol :P <link naar besmette website>

Nou is dit allemaal erg interessant om te zien, wat kan ik hier het beste mee aanvangen?
Reacties (26)
13-03-2009, 12:14 door Anoniem
als je zoiezo al op de server kan komen en in het kanaal kan joinen waar de bots in draaien, dan heb je hoogstwaarschijnlijk te maken met een bijdehandte puber, je kan kijken welke bot hij heeft draaien ... kijken wat de commando's zijn om de bot aan te sturen.. en deze zichzelf laten verwijderen van alle systemen..

-reverze
13-03-2009, 12:20 door SirDice
Zoek even uit waar die IRC servers gehost worden. Als het 'normale' IRC netwerken zijn kun je het het beste bij een IRCop melden. Zij sluiten dan dat kanaal.

Is het geen 'standaard' IRC netwerk dan een abuse email naar de hosting/ISP. Kort en bondig, zonder attachments en analyze.
13-03-2009, 13:10 door zaggynl
de kanalen/servers zijn wel redelijk dichtgetimmerd, je komt er alleen met wachtwoord, userlijst is leeg, als gewone gebruiker kan je niks zeggen.
alleen de commando's van de ops en reacties van bots komen af en toe langs.
het zijn geen standaard IRC netwerken.
ik heb de operator al gesproken, komt blijkbaar uit macedonie, de servers draaien in de US.
ik ga es inventariseren van welke sites hij bot updates draait en wat de providers zijn
13-03-2009, 13:21 door Jachra
Ik zou soweiso deze bot aanmelden bij de grootste anti-virusmakers. Dan kan het worden opgenomen in hun database.
je veroorzaakt nu een risico dat de botnetbeheerder een update uitstuurt waardoor men niet meer deze bot zou kunnen onderscheppen.
13-03-2009, 15:17 door Dr.Wh4x
Probeer zijn login pass te weten te komen, dan inloggenen de pc's patchen. En botnet ontmantelen :)
13-03-2009, 22:37 door [Account Verwijderd]
[Verwijderd]
14-03-2009, 08:20 door Anoniem
RUbotted, tooltje van TrendSecure, weliswaar in Beta versie nog steeds om te kijken of je meedraait in een botnet...

http://www.trendsecure.com/portal/en-US/tools/security_tools/rubotted

Of dit de uiteindelijke oplossing is...??
14-03-2009, 14:44 door Zarco.nl
Je kunt natuurlijk ff contact opnemen met de BBC :P
15-03-2009, 14:28 door Dr.Wh4x
Door Spirit
Door SirDiceZoek even uit waar die IRC servers gehost worden. Als het 'normale' IRC netwerken zijn kun je het het beste bij een IRCop melden. Zij sluiten dan dat kanaal.

Is het geen 'standaard' IRC netwerk dan een abuse email naar de hosting/ISP. Kort en bondig, zonder attachments en analyze.
Je kan het wel bij de IRCop melden, maar de bots blijven connecten..

@Jachra, het is een public bot. Deze staat al in hun database. Dus dit zal geen r33t uitmaken, en daar zijn natuurlijk weer crypters voor.

Ik zou lekker in die channel blijven koekenloeren, vertel ons wanneer je een .update www.link.com/naam.exe 1 ziet langskomen dan wil ik die .exe wel eens even hebben :)

Zelfs sukkelige botherders plaatsen geen botnet op efnet or w/e
15-03-2009, 16:38 door [Account Verwijderd]
[Verwijderd]
16-03-2009, 00:36 door Anoniem
Grote kans dat de irc servers waar de bots op komen ook gehacked zijn, en dat de operators van de channels gebruik maken van proxies. Kan je wel de virusmaatschappijen zo'n bot opsturen, dit heeft niet echt veel nut vind ik aangezien het een kleine moeite is om de broncode aan te passen, waardoor de nieuwere versie niet meer te detecteren is.
Dat het kanaal slechts gebruik maakt van een paswoord en niet van encryptie geeft al aan dat je met wat scriptkiddies te maken hebt, ook omdat de betreffende botcode al publiekelijk toegankelijk is. Ik zou in ieder geval lekker blijven idlen in dat kanaal, hoe langer je blijft hangen, des te meer informatie je mogelijk zal krijgen..
De gebruikersnamen van deze admins kan je eventueel googlen, waarschijnlijk krijg je hierdoor al wat meer informatie, onder andere bij welke communities zij mogelijk uithangen. Wat je ook kunt doen is de eigenaren/providers van deze usa server informeren over de gang van zaken. Het balletje zal dan vanzelf wel gaan rollen..
17-03-2009, 00:44 door Pr3torian
draai jij een mac os?....
17-03-2009, 00:51 door Pr3torian
Door Spirit
Door Zarco.nlJe kunt natuurlijk ff contact opnemen met de BBC :P
AHhaha precies

die hackers gebruiken NO-IP voor een externe dns/ip en een special Unrealircd kanaal...daar kom je niet zomaar tussen omdat ie ook vaak gecloaked is...wat je kan doen is de server op je pc (wat je gevonden hebt) vaak is die meegekomen via limewire of andere p2p prog. (gebonden met een film/programma), reverse engineeren...het zijn vaak jochies van 15 tot 18 jaar die cd keys zoeken....want echte proffesionele hackers, die zijn alleen uit op je bank gegevens...
zoek naar "Zeus banker-trojan" en leer daarover...

may the source be with u
17-03-2009, 00:53 door Pr3torian
Door Spirit
Door SirDiceZoek even uit waar die IRC servers gehost worden. Als het 'normale' IRC netwerken zijn kun je het het beste bij een IRCop melden. Zij sluiten dan dat kanaal.

Is het geen 'standaard' IRC netwerk dan een abuse email naar de hosting/ISP. Kort en bondig, zonder attachments en analyze.
Je kan het wel bij de IRCop melden, maar de bots blijven connecten..

@Jachra, het is een public bot. Deze staat al in hun database. Dus dit zal geen r33t uitmaken, en daar zijn natuurlijk weer crypters voor.

Ik zou lekker in die channel blijven koekenloeren, vertel ons wanneer je een .update www.link.com/naam.exe 1 ziet langskomen dan wil ik die .exe wel eens even hebben :)

wie zegt dat het een .exe is?....die mensen zijn niet dom hoor...ze hebben de mogelijkheid om die rechtstreeks in je register te droppen...of het kan een screensaver zijn...het is zelf mogelijk om evil-code in een jpg te injecteren en jou zo te besmetten...
17-03-2009, 09:01 door Napped
Door Pr3torian
Door Spirit
Door SirDiceZoek even uit waar die IRC servers gehost worden. Als het 'normale' IRC netwerken zijn kun je het het beste bij een IRCop melden. Zij sluiten dan dat kanaal.

Is het geen 'standaard' IRC netwerk dan een abuse email naar de hosting/ISP. Kort en bondig, zonder attachments en analyze.
Je kan het wel bij de IRCop melden, maar de bots blijven connecten..

@Jachra, het is een public bot. Deze staat al in hun database. Dus dit zal geen r33t uitmaken, en daar zijn natuurlijk weer crypters voor.

Ik zou lekker in die channel blijven koekenloeren, vertel ons wanneer je een .update www.link.com/naam.exe 1 ziet langskomen dan wil ik die .exe wel eens even hebben :)

wie zegt dat het een .exe is?....die mensen zijn niet dom hoor...ze hebben de mogelijkheid om die rechtstreeks in je register te droppen...of het kan een screensaver zijn...het is zelf mogelijk om evil-code in een jpg te injecteren en jou zo te besmetten...
Maar deze dropt .exe's hij doet het om geld te verdienen en hij heeft zo een 12k bots. Het is gewoon een Messenger bot.
Gast heeft geen kwaad in de zin, en hij heeft 2 servers 1 gehackt en 1 legaal, beiden gehost in de US.
Je krijgt gelijk aan het begin een shitload aan IRC commands over je heen zodat je niet kan zien naar wie je pmed, of er andere mensen in het kanaal zitten, en dat er iemand typt.
Hij dropt meerdere ,exe en hij zei niet hoe hij aan het geld kwam.
Hij deed iig geen DDOS aanvallen, dus waarschijnlijk keys of banking trojans/dns changers.

Ja ik heb met hem gesproken.

en no-ip is nog steeds te resolven :+, maar deze gebruikt geen no-ip maar de hoster DNS van zijn server.
17-03-2009, 11:04 door Wollige Willie
In mijn ogen ben je verplicht om een abuse mail te sturen, met daarin je ontdekte gegevens. Het kan niet zo zijn dat je desbetreffende persoon zijn gang laat gaan en mensen slachtoffer laat worden van deze schunnige praktijken.
17-03-2009, 11:18 door SirDice
Door Spirit
Door SirDiceZoek even uit waar die IRC servers gehost worden. Als het 'normale' IRC netwerken zijn kun je het het beste bij een IRCop melden. Zij sluiten dan dat kanaal.

Is het geen 'standaard' IRC netwerk dan een abuse email naar de hosting/ISP. Kort en bondig, zonder attachments en analyze.
Je kan het wel bij de IRCop melden, maar de bots blijven connecten..
Dat klopt maar je kan wel het C&C kanaal omzeep helpen waardoor die bots geen commando's meer kunnen ontvangen.
17-03-2009, 14:56 door [Account Verwijderd]
[Verwijderd]
17-03-2009, 15:44 door SirDice
Indien de bots geen contact meer kunnen krijgen met het C&C kanaal kunnen er ook geen nieuwe executables meer gedropt worden. Feitelijk onthoofd je het botnet waardoor de herder z'n controle verliest.
17-03-2009, 21:56 door Pr3torian
Door Spirit
Door Pr3torian
Door Spirit
Door SirDiceBericht,,
Dat weet ik, maar het is een .exe .. Lees Napped zijn post, zo leer jij nog is wat. Dat een bot zich in registrys verplaatst is oud nieuws.
========================
CISSP, CCNA, MCSE/MCSA, Certified Ethical hacker...

Wat mij opvalt is dat jij doet alsof je iets weet, en je praat iedereen na...
Misschien moet jij maar eens goed opletten, dan leer JIJ wat....
18-03-2009, 09:52 door Napped
Waarom komen er in een keer certs in _o-
18-03-2009, 10:34 door Anoniem
Haha idd Napped, nu is die cool :)
22-03-2009, 01:48 door Zero
Whoisen - melden bij abuse@. ze NIET zichzelf laten verwijderen of iets anders er mee doen anders ben jij de lul. Tevens is het mischien intresant om de bot op offensivecomputing te droppen zodat deze gasten kunnen kijken of het een nieuwe strain is of een oude.

Ps, de passwords en irc, http, p2p, servers staan meestal hardcoded in de worm binary.
23-07-2009, 10:17 door [Account Verwijderd]
[Verwijderd]
23-07-2009, 13:02 door Napped
Door RvdMeer: Wachtwoord kun je natuurlijk ook achterhalen door met wireshark te kijken naar wat er over de lijn gaat. IRC is niet encrypted dus je kunt de wachtwoorden/channel/channel-keys gewoon uit je netwerk stream halen. Zelf heb ik ook eens zo'n gevalletje bij de hand gehad en heb destijds contact opgenomen met de abuse afdeling. Paar dagen later was het afgelopen met dat botnet.

Het zwakke punt in dit soort zaken is altijd dat de eigenaar van het botnet, als de irc server down gaat, z'n bots niet meer kan aanspreken en dus ook niet meer ze kan redirecten naar een andere irc server. IRC server aanpakken dus!
IRC kan ook gewoon over SSL gaan hoor.......
23-07-2009, 13:05 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.