Nieuwe generatie botnet gebruikt 1024-bit RSA encryptie
De criminelen achter het Storm worm botnet hebben een nieuwe variant ontwikkeld die veel hardnekkiger is en een nieuwe naam heeft. Waledac gebruikt 1024-bit RSA encryptie om met besmette machines binnen het netwerk te communiceren, wat afluisteren door onderzoekers onmogelijk maakt. Een van de redenen dat beveiligingsonderzoekers zoveel over Storm te weten kwamen, was vanwege het kraken van de sleutel die het botnet voor de communicatie gebruikte.
De botnetbeheerders hebben daarnaast ook lering uit de afsluiting van McColo getrokken en een infrastructuur opgezet die zich niet zo makkelijk laat uitschakelen. Waledac verspreidt zich op dit moment via digitale wenskaarten, net als de Storm worm regelmatig deed. Volgens Jose Nazario is de nieuwe bot dan ook het werk van de Storm-groep. Het aantal infecties valt met zo'n 10.000 mee.
Xarvester
Een ander nieuw botnet dat het op dit moment erg goed doet is "Xarvester". Het verscheen sinds de afsluiting van McColo en heeft een leger van 60.000 zombies verzameld. Daarmee verstuurd het inmiddels 13% van alle spam die in omloop is. Deze nieuwe bot heeft veel gemeen met de Srizbi bot. Zo verloopt de communicatie over niet standaard poorten, gebruiken de bots versleutelde spamtemplates en hebben ze geen DNS lookups nodig om spam te versturen.
There is one similarity I found: Both storm and Waledac are using a=...&b=... as HTTP Post parameters
Security noemt dit al het tweede storm worm, gebasseerd op parameters ?. Het is gewoon voor de hand liggend alfabetische volgorde parameters te gebruiken. beetje jammer dat het in dit artikel gewoon staat beschreven alsof het al een feit is dat het om de makers van storm worm gaat terwijl die bewering nu nog gewoon gebasseerd is op feitelijk niks.
There is one similarity I found: Both storm and Waledac are using a=...&b=... as HTTP Post parameters
Security noemt dit al het tweede storm worm, gebasseerd op parameters ?. Het is gewoon voor de hand liggend alfabetische volgorde parameters te gebruiken. beetje jammer dat het in dit artikel gewoon staat beschreven alsof het al een feit is dat het om de makers van storm worm gaat terwijl die bewering nu nog gewoon gebasseerd is op feitelijk niks.
Right! You are not the only one thinking this. In fact a lot of people are drawing similar comparisons. There are a ton of differences, but there's also a bunch of similarities for sure. Here's a few similarities we along with our fellow collaborators/security researchers have come up with:
Fast-flux Network (domains are fast fluxing and name servers frequently change IPs)
Several Name Servers per Domain (ns[1-6].<waledac.domain>)
Use of Nginx (sure lots of people use it, but hey it's a similarity)
Spreading through e-mail and Holiday Themes
Use of "ecard.exe" and "postcard.exe" (both previously used by Storm)
Drive-by Exploit in Domains (Storm previously used Neosploit)
There's also a ton of differences which we are not going to list. We can't say for sure that they are related but we do acknowledge a number of interesting similarities.
source: http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081231
De vergelijking is niet alleen op dat ene rapport gebaseerd.
en hebben ze geen DNS lookups nodig om spam te versturen.
Wat doen ze dan, beetje port scannen en hopen dat het aankomt?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
