image

Spanje sloopt mega-botnet van 13 miljoen PC's

woensdag 3 maart 2010, 12:05 door Redactie, 13 reacties

De Spaanse autoriteiten hebben één van de grootste botnets ter wereld ontmanteld. Het Mariposa botnet bestond uit 12,7 miljoen computers en werd gebruikt voor het stelen van creditcardgegevens en inloggegevens voor internetbankieren, maar ook het uitvoeren van DDoS-aanvallen behoorde tot de mogelijkheden. Besmette machines stonden bij meer dan de helft van de Fortune 100 bedrijven en meer dan 40 grote banken, aldus onderzoekers. Bij de ontmanteling van het netwerk, dat voor het eerst in december 2008 verscheen, zijn drie bendeleiders door de Spaanse politie gearresteerd.

De criminelen waren volgens de Spaanse autoriteiten geen fantastische programmeurs, maar hadden contacten in de onderwereld die hielpen met het opzetten en beheren van het botnet. "Ze zijn niet zoals de mensen van de Russische maffia of Oost-Europese maffia, die graag sportwagens, horloges en dure pakken willen", zegt Cesar Lorenza van de Guardia Civil. Hij merkt op dat het normale mensen zijn die veel geld met cybercrime verdienden. De drie aangehouden Spanjaarden hadden geen eerder strafblad. Ze kunnen een maximale gevangenisstraf van zes jaar wegens hacking krijgen.

Geluk
Bij het aanpakken van het botnet werken autoriteiten nauw samen met beveiligingsbedrijven en internetproviders. Toch hadden ze het nodige geluk. Eén van de internetproviders werkte samen met de onderzoekers, wat niet altijd het geval is. Ook gebruikte één van de verdachten zijn internetverbinding thuis om controle over het botnet te herwinnen, nadat autoriteiten het rond kerst hadden uitgeschakeld. De malware voor het infecteren van de bots verspreidde zich via Instant Messaging programma's, P2P-netwerken en USB-sticks

Doe-het-zelf
Al in oktober vorig jaar waarschuwde het Canadese bedrijf Defence Intelligence dat de helft van de Fortune 100 bedrijven met Mariposa besmet was, wat Spaans voor vlinder is. De malware werd als bot-toolkit aangeboden, waardoor ook criminelen zonder technische kennis hun eigen netwerk konden opzetten. De meeste infecties bevinden zich in India, Mexico en de Verenigde Staten.

Reacties (13)
03-03-2010, 12:30 door ej__
Ik begrijp werkelijk niet hoe het kan dat besmette machines bij banken en fortune 100 bedrijven staan, en al helemaal niet hoe deze contact kunnen houden met hun C&C machines.
In ieder geval in Nederland ligt er vanuit DNB voor banken de eis tot sessiescheiding, die dit soort activiteiten afkapt. Daarnaast staat toch niet elke poort open, en wordt inkomend (C&C) verkeer afgekapt bij de bron door de corporate firewall?

Een klein beetje competente admin zorgt er voor dat P2P binnen bedrijven tot de onmogelijkheden behoort, en dat iedere usb stick ook wordt gescand bij aansluiten op de computer. IM is een probleem, maar dat kan door de virusscanners heen worden gestuurd.

Zo veel amateur admins kunnen er toch niet zijn bij de grote bedrijven?

EJ
03-03-2010, 12:37 door fd0
In ieder geval in Nederland ligt er vanuit DNB voor banken de eis tot sessiescheiding, die dit soort activiteiten afkapt.
En jij gelooft dat dit ook volledig geïmplementeerd is? Dream on
03-03-2010, 13:16 door [Account Verwijderd]
Door ej__: Ik begrijp werkelijk niet hoe het kan dat besmette machines bij banken en fortune 100 bedrijven staan, en al helemaal niet hoe deze contact kunnen houden met hun C&C machines.
In ieder geval in Nederland ligt er vanuit DNB voor banken de eis tot sessiescheiding, die dit soort activiteiten afkapt. Daarnaast staat toch niet elke poort open, en wordt inkomend (C&C) verkeer afgekapt bij de bron door de corporate firewall?

Een klein beetje competente admin zorgt er voor dat P2P binnen bedrijven tot de onmogelijkheden behoort, en dat iedere usb stick ook wordt gescand bij aansluiten op de computer. IM is een probleem, maar dat kan door de virusscanners heen worden gestuurd.

Zo veel amateur admins kunnen er toch niet zijn bij de grote bedrijven?

EJ

Als je er al van uitgaat dat IM door de virusscanners kan worden opgevangen denk ik niet dat je volledig begrijpt hoe die infecties werken. Signature based AV kan dit helemaal niet stoppen. Meestal komt het binnen met een link waarop iedereen gewoonweg klikt. En raar maar waar de meeste proxies (ook bij grote banken) laten die links door wegens "nog niet gecatalogeerd" of wegens "verstopt in SSL". Die link infecteert dan de PC door het gebruiken van een vulnerability (wederom niet te stoppen door AV) en die infectie gaat dan nieuwe bots en rootkits downloaden.

Als je dan weet dat de meeste banken en grote bedrijven nog vaak admin rechten geven aan hun interne PCs en zeker geen HIPS maar enkel AV op hun workstations hebben, dan zie je meteen waarom zo'n botnet makkelijk binnendringt in corporate omgevingen.

Dus zijn er veel amateur admins? Ja. Net zoals er veel mensen zijn die denken met kennis van zaken die admins te kunnen bekritiseren maar helemaal niet op de hoogte zijn.
03-03-2010, 15:01 door ej__
Door fd0:
In ieder geval in Nederland ligt er vanuit DNB voor banken de eis tot sessiescheiding, die dit soort activiteiten afkapt.
En jij gelooft dat dit ook volledig geïmplementeerd is? Dream on

Ja. Dat geloof ik. Kijk maar eens wat Finjan cs doet.

EJ
03-03-2010, 15:13 door ej__

Als je er al van uitgaat dat IM door de virusscanners kan worden opgevangen denk ik niet dat je volledig begrijpt hoe die infecties werken. Signature based AV kan dit helemaal niet stoppen. Meestal komt het binnen met een link waarop iedereen gewoonweg klikt. En raar maar waar de meeste proxies (ook bij grote banken) laten die links door wegens "nog niet gecatalogeerd" of wegens "verstopt in SSL". Die link infecteert dan de PC door het gebruiken van een vulnerability (wederom niet te stoppen door AV) en die infectie gaat dan nieuwe bots en rootkits downloaden.

Als je dan weet dat de meeste banken en grote bedrijven nog vaak admin rechten geven aan hun interne PCs en zeker geen HIPS maar enkel AV op hun workstations hebben, dan zie je meteen waarom zo'n botnet makkelijk binnendringt in corporate omgevingen.

Dus zijn er veel amateur admins? Ja. Net zoals er veel mensen zijn die denken met kennis van zaken die admins te kunnen bekritiseren maar helemaal niet op de hoogte zijn.

Hmmm, bij de banken waar ik heb gewerkt was er geen sprake van admin rechten op de werkplek. Ik weet niet hoeveel banken jij van binnen hebt gezien, maar er was geen sprake van dat IM daar een bedreiging kon vormen. Simpelweg omdat .exe en dergelijke uit het verkeer worden weggesneden. Kijk eens wat finjan, bluecoat en zo bieden. Die slopen alles uit de datastroom wat maar enigszins verdacht kan zijn. En ja, je past whitelisting toe, dus je laat alleen toe wat jij wilt. Virusscanners zijn hiervoor niet eens aan de orde... maar zijn wel aanwezig.En nee, het meeste verkeer wordt gewoon door de proxy en de finjan geduwd. Er worden vrijwel geen uitzonderingen toegelaten.

Als er wel een uitzondering is dan gaat de auditor vragen stellen... Al kennis gemaakt met Basel II en SOx?

Zo blijkt dat niemand alles weet... En ik denk dat ik wel in een positie ben om te kunnen bekritiseren. Als je dit soort omgevingen hebt gebouwd en succesvol hebt beheerd dan heb je recht van spreken. :D

EJ
03-03-2010, 19:52 door FightForMore
Altijd prettig als een bot onschadelijk gemaakt is. :)
04-03-2010, 11:39 door Anoniem
Door ej__:
Door fd0:
In ieder geval in Nederland ligt er vanuit DNB voor banken de eis tot sessiescheiding, die dit soort activiteiten afkapt.
En jij gelooft dat dit ook volledig geïmplementeerd is? Dream on

Ja. Dat geloof ik. Kijk maar eens wat Finjan cs doet.

EJ

Finjan is eenvoudig te bypassen. Als je daar op gaat vertrouwen ben je nog verder van huis.

Je kunt veel beter een scheiding toepassen tussen computers met en zonder Internet toegang. Dat kan heel modern via VM's.
04-03-2010, 13:34 door ej__
Uit de analyse blijkt dat de C&C vindt plaats via de udp poorten • 5906 • 5907 • 3431 • 3435 • 3437 • 3434 • 3433 (bron http://defintel.com/docs/Mariposa_Analysis.pdf) , het blijft volkomen duister waarom deze poorten niet wordt geblokkeerd in de corporate firewalls (default deny stance). Mijn conclusie is toch echt dat het absoluut prutswerk moet zijn geweest van de admins.

EJ
04-03-2010, 13:39 door ej__
Door Anoniem:
Door ej__:
Door fd0:
In ieder geval in Nederland ligt er vanuit DNB voor banken de eis tot sessiescheiding, die dit soort activiteiten afkapt.
En jij gelooft dat dit ook volledig geïmplementeerd is? Dream on

Ja. Dat geloof ik. Kijk maar eens wat Finjan cs doet.

EJ

Finjan is eenvoudig te bypassen. Als je daar op gaat vertrouwen ben je nog verder van huis.

Je kunt veel beter een scheiding toepassen tussen computers met en zonder Internet toegang. Dat kan heel modern via VM's.

Bluf. Finjan en Bluecoat zijn niet te bypassen bij een fatsoenlijk opgezet netwerk. Al het verkeer wordt er door heen geleid.

Maar je wilt terug naar de situatie van vroeger met 2 pc's op iedere desk begrijp ik (ook al is het virtueel)? Krijg jij dat uitgelegd op de werkplek? Ik niet... :D

Het moet natuurlijk wel werkbaar blijven, en daar is binnen een grote kantooromgeving geen sprake van met VM's op iedere desktop (of met vm's op terminal server omgevingen waarvandaan dan naar internet mag worden gegaan). Werknemers zijn er om werk te verrichten, niet om van de ene computer omgeving naar de andere over te schakelen als daar geen noodzaak toe is. ;-)

EJ
04-03-2010, 23:32 door Anoniem
Door ej__:
Door Anoniem:
Door ej__:
Door fd0:
In ieder geval in Nederland ligt er vanuit DNB voor banken de eis tot sessiescheiding, die dit soort activiteiten afkapt.
En jij gelooft dat dit ook volledig geïmplementeerd is? Dream on

Ja. Dat geloof ik. Kijk maar eens wat Finjan cs doet.

EJ

Finjan is eenvoudig te bypassen. Als je daar op gaat vertrouwen ben je nog verder van huis.

Je kunt veel beter een scheiding toepassen tussen computers met en zonder Internet toegang. Dat kan heel modern via VM's.

Bluf. Finjan en Bluecoat zijn niet te bypassen bij een fatsoenlijk opgezet netwerk. Al het verkeer wordt er door heen geleid.


Maar je wilt terug naar de situatie van vroeger met 2 pc's op iedere desk begrijp ik (ook al is het virtueel)? Krijg jij dat uitgelegd op de werkplek? Ik niet... :D

Het moet natuurlijk wel werkbaar blijven, en daar is binnen een grote kantooromgeving geen sprake van met VM's op iedere desktop (of met vm's op terminal server omgevingen waarvandaan dan naar internet mag worden gegaan). Werknemers zijn er om werk te verrichten, niet om van de ene computer omgeving naar de andere over te schakelen als daar geen noodzaak toe is. ;-)

EJ

Het gaat niet over het er omheen heen leiden van traffic, maar het passeren van filters. Finjan is slecht gebouwd, er doorheen komen kost weinig moeite.

Met een terminal sessie naar servers heb je geen twee pc's per werkplek nodig. Uitleg naar gebruikers is ook niet of nauwelijks nodig. Het werkt hetzelfde (klik icoon) maar de browser draait niet op de werkplek. Je draait de browser gewoon naadloos in een window.
05-03-2010, 10:38 door ej__
Door Anoniem:

<snip>]

Het gaat niet over het er omheen heen leiden van traffic, maar het passeren van filters. Finjan is slecht gebouwd, er doorheen komen kost weinig moeite.

Met een terminal sessie naar servers heb je geen twee pc's per werkplek nodig. Uitleg naar gebruikers is ook niet of nauwelijks nodig. Het werkt hetzelfde (klik icoon) maar de browser draait niet op de werkplek. Je draait de browser gewoon naadloos in een window.

Onderbouw je zaak eens in plaats van roepen. Bovendien heb ik meerdere oplossingen dan alleen finjan aangedragen. Afgezien daarvan, in een vorige post heb ik duidelijk laten zien dat c&c op een dusdanige manier ging dat de eerste de beste simpele firewall dit had kunnen en moeten blokkeren.

Volgens mij had _ik_ de ts oplossing aangedragen en kwam jij met een onrealistische vm oplossing (support hell, maintenance hell, net zo min veilig, etc)

EJ
08-03-2010, 13:45 door [Account Verwijderd]
Door ej__:
Hmmm, bij de banken waar ik heb gewerkt was er geen sprake van admin rechten op de werkplek. Ik weet niet hoeveel banken jij van binnen hebt gezien, maar er was geen sprake van dat IM daar een bedreiging kon vormen. Simpelweg omdat .exe en dergelijke uit het verkeer worden weggesneden. Kijk eens wat finjan, bluecoat en zo bieden. Die slopen alles uit de datastroom wat maar enigszins verdacht kan zijn. En ja, je past whitelisting toe, dus je laat alleen toe wat jij wilt. Virusscanners zijn hiervoor niet eens aan de orde... maar zijn wel aanwezig.En nee, het meeste verkeer wordt gewoon door de proxy en de finjan geduwd. Er worden vrijwel geen uitzonderingen toegelaten.

Als er wel een uitzondering is dan gaat de auditor vragen stellen... Al kennis gemaakt met Basel II en SOx?
EJ

Errrm Finjan mag dan op papier wel technologisch vooruitstrevend zijn, het is alleen werkende te krijgen door zeer veel exceptions te creëren waardoor je het bij vele klanten beter kan afzetten. Dat zie je dus ook in de praktijk bij grote bedrijven die het product gebruiken. Daarnaast was de overgang naar versie 9 eentje waarbij de meeste klanten van scratch moesten beginnen (ow sorry meneer, niet compatibel), daar hebben ze ook mee gescoord bij hun klanten ;-).

Exe's filteren daar gaat het helemaal al lang niet meer om. De links die zulke malware doorstuurt is een javascriptje of een ActiveXje in een ssl verbinding. Hoe hard de marketing van Finjan of M86 ook probeert, teveel klanten gebruiken teveel whitelists zodat je er makkelijk doorloopt. En wederom: C&C connecties verstoppen zich in http en https traffiek die vlot doorheen een firewall lopen en ook doorheen een Bluecoat webfilter (te weinig hits, dus verschijnt niet in de database).

En wat betreft Basel II: heb je die eigenlijk zelf al eens gezien? Die standaard is zo algemeen dat als je "iets" doet het bijna al voldoende is. Dan zijn PCI en SoX een veel betere standaard.

Het is niet omdat je een Bluecoat / Finjan / ProxyAV omgeving hebt gebouwd dat je begrijpt hoe de infecties werken. De laatste nieuwe zijn hele mooie trouwens: nu zijn er infecties die zichzelf via meerdere stukken en wegen binnenbrengen op een PC zodat een Web based AV / Content security ding nooit de hele stream ziet. Zij "reassembleren" zich dan op de geinfecteerde PC en hopla, weer eentje in de macht van het botnet. McAfee AV, Trend, Symantec, Finjan, allemaal zijn ze blind hiervoor. Om dit te tackelen moet je echt naar HIPS gaan à la ISS, Cisco of McAfee.
08-03-2010, 18:17 door ej__
@deej

Proest! Je valt voor de marketing blabla van Cisco? Cisco zou zich verre moeten houden van beveiliging. Ze krijgen hun eigen routers niet eens veilig, en als iemand dat op een conferentie aan wil tonen dan gebruiken ze chantage middelen om dat tegen te houden. Echt betrouwbaar.

En 'de meeste klanten' zijn niet de banken. In Nederland _moeten_ die zich houden aan de standaarden van DNB. Als ze dat niet doen krijgen ze te maken met auditors. Geloof me, dat gebeurt ze maar 1 keer...

Heb je ueberhaupt de stukken gelezen en begrepen waarin werd uitgelegd hoe c&c voor dit botnet werkt? Dat blijkt absoluut niet uit je verhaal. Je kunt 100 javascriptjes gebruiken, maar de GENOEMDE udp poorten horen dicht te staan. Er werd helemaal niet getunneld.

En ja, ik begrijp hoe de (meeste) malware werkt. Jij ook?

En nee, ik ben geen fanboy van Finjan, of van Bluecoat of welke leverancier dan ook. Het gaat om de combinatie van maatregelen die dit soort meuk moet tegenhouden. Daar horen ook procedurele maatregelen bij. Security is niet maar 1 ding doen. Dat besef begint nu ook bij management door te dringen.

EJ
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.