Nieuws
image

100.000 Windows bots ontheemd na sluiting hostingbedrijf

vrijdag 14 november 2008, 11:55 door Redactie, 7 reacties

Meer dan honderdduizend geïnfecteerde Windows computer hebben na het wegvallen van spambron McColo geen "meester" meer, iets waar ook de beheerders van het botnet geen rekening mee hebben gehouden. Van bedrijven wordt vaak verweten dat ze niet goed op incidenten zijn voorbereid, dat geldt ook voor de mensen achter het Srizbi botnet. Die hadden hun Command & Control (C&C) servers bij het Amerikaanse webhostingbedrijf McColo ondergebracht. Toen de upstream providers van McColo het bedrijf van het internet afsloten, kon ook de Srizbi bende hun botnet niet meer bereiken.

Experts hadden verwacht dat de botnetbeheerders een "backup plan" zouden hebben. Bijvoorbeeld backup servers en domeinen, een template dat de bots zou instrueren als de C&C servers zouden wegvallen of een ander protocol dat met de bots contact blijft houden. Tot grote verbazing van de onderzoekers was geen van deze maatregelen geïmplementeerd. Het enige "backup plan" bestond uit een lijst met vier van tevoren geprogrammeerde domeinnamen die de bots bij downtime van McColo moesten contacten.

De botnetbeheerders hebben deze domeinnamen echter nog niet geregistreerd. "Laat me dat herhalen, Srizbi heeft vier van tevoren geprogrammeerde .com domeinen die de beheerder niet heeft geregistreerd voordat die de bot binary verspreidde", zegt Alex Lanstein van FireEye Malware Intelligence Labs. Lanstein ziet in de aanpak het zoveelste voorbeeld van de arrogantie die bij botnetbeheerders heerst. Het bedrijf is van plan om de komende dagen de 100.000 besmette Windows gebruikers te waarschuwen per e-mail, telefoon of een "speciaal kanaal".

Reacties (7)
14-11-2008, 12:12 door Anoniem
Wie is hier nu arrogant?

Lanstein: Kijk eens wat ik heb ontdekt... zo stom zijn ze!
Botnetbeheerder: Die meneer Lanstein is echt een TOPtrainer. We vergeten nooit meer een backupplan te maken...

En zo houden ze elkaar aan het werk ;-)
14-11-2008, 12:41 door Anoniem
speciaal kanaal??

Via het botnet zelf? Misschien accepteert het botnet wel commando's van de 4 "nog" niet geregistreerde domeinen.
14-11-2008, 17:37 door [Account Verwijderd]
[Verwijderd]
14-11-2008, 18:05 door Anoniem
Ik snap nooit waarom ze die gasten niet kunnen arresteren. Ze weten toch waar de C&C servers staan?
Die klaarblijkelijk ook gewoon worden beheerd door de personen zelf. Dan moet je toch wel contact gegeven e.d. kunnen achter halen en het hele zooitje oprollen?
14-11-2008, 18:21 door Anoniem
Door AnoniemIk snap nooit waarom ze die gasten niet kunnen arresteren. Ze weten toch waar de C&C servers staan?
Die klaarblijkelijk ook gewoon worden beheerd door de personen zelf. Dan moet je toch wel contact gegeven e.d. kunnen achter halen en het hele zooitje oprollen?

Ooit gehoord van proxies en sockschains? Denk je echt dat die lui daar met hun eigen IP op die servers zitten? Dat is nou het mooie aan internet, je kunt volledig anoniem zijn als je wilt. Geen opsporingsinstantie die jou nog pakt dan. En hun maar zeggen dat je op internet niet meer anoniem bent en men toch gepakt wordt.. Sukkels ;) Ik kots op die mannetjes.
14-11-2008, 22:20 door Anoniem
Buiten dat zijn de mensen die de Botnets aansturen goed op de hoogte van de wetgeving in diverse landen. Het is dus heel goed mogelijk dat die mensen in een land wonen waar dit soort praktijken nog helemaal niet gedefinieerd is in de wetgeving. Daarnaast kan ik me voorstellen dat het legaal gezien ook niet eenvoudig is om te bewijzen dat bepaalde server systemen bij bepaalde hosting bedrijven een Botnet aansturen.
Ook betalen die mensen voor de bandbreedte bij de hoster. Dus in feite zal het de hoster 'worst zijn' of het nu spam is of gratis porno - of beide. Als hij maar betaald krijgt en zijn marge draait.
16-11-2008, 18:56 door Anoniem
Door Anoniem
Door AnoniemIk snap nooit waarom ze die gasten niet kunnen arresteren. Ze weten toch waar de C&C servers staan?
Die klaarblijkelijk ook gewoon worden beheerd door de personen zelf. Dan moet je toch wel contact gegeven e.d. kunnen achter halen en het hele zooitje oprollen?

Ooit gehoord van proxies en sockschains? Denk je echt dat die lui daar met hun eigen IP op die servers zitten? Dat is nou het mooie aan internet, je kunt volledig anoniem zijn als je wilt. Geen opsporingsinstantie die jou nog pakt dan. En hun maar zeggen dat je op internet niet meer anoniem bent en men toch gepakt wordt.. Sukkels ;) Ik kots op die mannetjes.

Dat in combinatie met dual fast-flux en andere kleinere truukjes en ze lopen verloren om je te zoeken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure