Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Citadel botnet op mijn computer?

13-08-2012, 13:25 door Anoniem, 20 reacties
Als virus-/spyware-scanner gebruik ik de, betaalde, anti malware scanner van Emsisoft. Dit weekend heb ik als hostregel „bank-auth.org“ ingevoerd met als actie „blokkeren en melden“.
Sindsdien heb ik minstens 5x de melding gekregen dat een poging om contact te leggen met „bank-auth.og“ geblokkeerd is. Mag ik hieruit met zekerheid concluderen dat ik nu deel uit maak van het Citadel botnet?
Reacties (20)
13-08-2012, 14:34 door Security Scene Team
de bewuste citadel is al gekraakt, deze heeft 4 C&C's op 1 server gevonden.. thats a touch down sir!

http://www.xylibox.com/

het gaat hier om citadel die zich vooral richt op Nederlandse slachtoffers.

oh en ja, dan benje waarschijnlijk geinfecteerd.

ik blijf me maar afvragen waarom een simpele burger met het syndroom van asperger dit zo 123 aanpakt,
en de overheids instanties weer het nakijken hebben. is het niet tijd om alle internet agentjes te ontslaan, en dit soort lui een penning te geven? ik besteed liever daar mijn belasting centjes aan, u mad officer?
13-08-2012, 15:14 door Anoniem
Door Security Scene Team: de bewuste citadel is al gekraakt, deze heeft 4 C&C's op 1 server gevonden.. thats a touch down sir!

http://www.xylibox.com/

het gaat hier om citadel die zich vooral richt op Nederlandse slachtoffers.

oh en ja, dan benje waarschijnlijk geinfecteerd.

ik blijf me maar afvragen waarom een simpele burger met het syndroom van asperger dit zo 123 aanpakt,
en de overheids instanties weer het nakijken hebben. is het niet tijd om alle internet agentjes te ontslaan, en dit soort lui een penning te geven? ik besteed liever daar mijn belasting centjes aan, u mad officer?
I so mad.
13-08-2012, 15:42 door [Account Verwijderd]
[Verwijderd]
13-08-2012, 18:41 door Anoniem
De reden dat de overheid dit soort problemen niet de baas kan is als volgt:

4 managers, een systeembeheerder. Sysop ziet een virus. Manager 1 zegt: wat een faalhaas ben jij.
Manager daarboven zegt: wat ben jij een slechte manager met je faalteam.
Manager 3 zegt helemaal niks, want dan vind manager 4 m niet meer aardig.

Maar staat zelfs de desktop van de burgemeester vol porno-popups, dan komt men wel in actie.
Huur 3 experts in, die maanden met elkaar bakkeleien over achter de komma geneuzel,
en liever uren schrijven dan het probleem oplossen.

Deel de verantwoordelijkheid vervolgens met iedereen, zodat niemand ontslagen kan worden, en niemand er iets aan doet.

Pappen, nathouden, en hopen dat je weg bent voor de shit de ventilator raakt.
Je nieuwe werkgever checkt je creds toch niet.
Vrindjes zijn belangrijker dan een eerlijk en goed CV, dus wat denk je zelf.
13-08-2012, 18:47 door Anoniem
Door Peter V:
Door Anoniem: Als virus-/spyware-scanner gebruik ik de, betaalde, anti malware scanner van Emsisoft. Dit weekend heb ik als hostregel „bank-auth.org“ ingevoerd met als actie „blokkeren en melden“.
Sindsdien heb ik minstens 5x de melding gekregen dat een poging om contact te leggen met „bank-auth.og“ geblokkeerd is. Mag ik hieruit met zekerheid concluderen dat ik nu deel uit maak van het Citadel botnet?
Ga er maar vanuit dat je geinfecteerd bent.

Probeer eens vast te stellen met HitMan Pro of er iets moet worden verwijderd.
http://www.surfright.nl/nl/downloads/

Succes.

Ik heb er 4 virusscanners overheen gehaald ( o.a. Hitman Pro, Malwarebytes en Kaspersky Virus Removal). Niets gevonden. Toch worden er pogingen vanaf mijn computer ondernomen om contact te leggen met "bank-auth.org". Rara hoe kan dat....
13-08-2012, 21:45 door LightFrame
Door Anoniem: Als virus-/spyware-scanner gebruik ik de, betaalde, anti malware scanner van Emsisoft. Dit weekend heb ik als hostregel „bank-auth.org“ ingevoerd met als actie „blokkeren en melden“.
Sindsdien heb ik minstens 5x de melding gekregen dat een poging om contact te leggen met „bank-auth.og“ geblokkeerd is. Mag ik hieruit met zekerheid concluderen dat ik nu deel uit maak van het Citadel botnet?


Kijk in Emsisoft Anti-Malware bij Logs (Bewaking) daar zie je welk programma die verbinding probeerde te maken.
13-08-2012, 22:18 door Anoniem
Door LightFrame:
Door Anoniem: Als virus-/spyware-scanner gebruik ik de, betaalde, anti malware scanner van Emsisoft. Dit weekend heb ik als hostregel „bank-auth.org“ ingevoerd met als actie „blokkeren en melden“.
Sindsdien heb ik minstens 5x de melding gekregen dat een poging om contact te leggen met „bank-auth.og“ geblokkeerd is. Mag ik hieruit met zekerheid concluderen dat ik nu deel uit maak van het Citadel botnet?


Kijk in Emsisoft Anti-Malware bij Logs (Bewaking) daar zie je welk programma die verbinding probeerde te maken.

Dat blijkt Google Chrome.exe te zijn !!??
13-08-2012, 22:56 door Ler0y JenKins
Ik ben inderdaad bang dat je geinfecteerd bent.
En Citadel is een stout boefje, je kunt er zoveel virusscanners overheen halen en nog niets tegenhouden.

Beste en snelste optie: Data back-uppen en alles een verse herinstallatie geven!

Veel succes!
13-08-2012, 23:20 door LightFrame
Het lijkt me sterk dat je geïnfecteerd bent wanneer je de betaalde versie van Emsisoft Anti-Malware gebruikt.
De andere scanners detecteren ook niets. Kjk eerrst in de logs welk programma die verbinding wilde maken.
15-08-2012, 11:41 door LightFrame
Door Anoniem:
Door LightFrame:
Door Anoniem: Als virus-/spyware-scanner gebruik ik de, betaalde, anti malware scanner van Emsisoft. Dit weekend heb ik als hostregel „bank-auth.org“ ingevoerd met als actie „blokkeren en melden“.
Sindsdien heb ik minstens 5x de melding gekregen dat een poging om contact te leggen met „bank-auth.og“ geblokkeerd is. Mag ik hieruit met zekerheid concluderen dat ik nu deel uit maak van het Citadel botnet?


Kijk in Emsisoft Anti-Malware bij Logs (Bewaking) daar zie je welk programma die verbinding probeerde te maken.

Dat blijkt Google Chrome.exe te zijn !!??

Ik gebruik Google Chrome niet, kan het dus niet checken. Maar tot zover ik weet bevat Google Chrome een funtctie 'DNS Prefetching' die, om het browsen sneller te maken, alvast een IP adres opzoekt voor hosts/domeinen die (in links?) op een webpagina vermeld worden.
Dus als er op een pagina die jij bezoekt een link naar bank-auth.org vermeld wordt dan zoekt Google Chrome alvast op welk IP adres daarbij hoort, mocht je dan later op die link klikken dan is dat IP adres al opgezocht en zal die site iets sneller worden geopend.

Zo'n DNS request (welk IP adres hoort bij bank-auth.org?) wordt door Emsisoft Anti-Malware opgemerkt en geblokkeerd omdat je die host hebt geblokkeerd in Emsisoft Anti-Malware's hostregels.

Misschien kun je in Google Chrome's geschiedenis een webpagina vinden die je hebt bezocht op het moment dat Emsisoft Anti-Malware de verbinding blokkeerde? Anders eens je browser cache legen en daarna wat webpagina's bezoeken met nieuws over Dorifel en kijken of er weer wat wordt geblokkeerd.
15-08-2012, 11:59 door Anoniem
Door LightFrame:
Door Anoniem:
Door LightFrame:
Door Anoniem: Als virus-/spyware-scanner gebruik ik de, betaalde, anti malware scanner van Emsisoft. Dit weekend heb ik als hostregel „bank-auth.org“ ingevoerd met als actie „blokkeren en melden“.
Sindsdien heb ik minstens 5x de melding gekregen dat een poging om contact te leggen met „bank-auth.og“ geblokkeerd is. Mag ik hieruit met zekerheid concluderen dat ik nu deel uit maak van het Citadel botnet?


Kijk in Emsisoft Anti-Malware bij Logs (Bewaking) daar zie je welk programma die verbinding probeerde te maken.

Dat blijkt Google Chrome.exe te zijn !!??

Ik gebruik Google Chrome niet, kan het dus niet checken. Maar tot zover ik weet bevat Google Chrome een funtctie 'DNS Prefetching' die, om het browsen sneller te maken, alvast een IP adres opzoekt voor hosts/domeinen die (in links?) op een webpagina vermeld worden.
Dus als er op een pagina die jij bezoekt een link naar bank-auth.org vermeld wordt dan zoekt Google Chrome alvast op welk IP adres daarbij hoort, mocht je dan later op die link klikken dan is dat IP adres al opgezocht en zal die site iets sneller worden geopend.

Zo'n DNS request (welk IP adres hoort bij bank-auth.org?) wordt door Emsisoft Anti-Malware opgemerkt en geblokkeerd omdat je die host hebt geblokkeerd in Emsisoft Anti-Malware's hostregels.

Misschien kun je in Google Chrome's geschiedenis een webpagina vinden die je hebt bezocht op het moment dat Emsisoft Anti-Malware de verbinding blokkeerde? Anders eens je browser cache legen en daarna wat webpagina's bezoeken met nieuws over Dorifel en kijken of er weer wat wordt geblokkeerd.

Erg bedankt voor je reactie. Ik heb de inhoud van je betoog getest door naar de website van Rickey Gevers te gaan. Onmiddellijk nadat ik zijn blog over het citadel botnet op mijn scherm kreeg, kreeg ik inderdaad ook de melding dat een poging tot contact met "bank-auth.org"geblokkeerd was. Blijf nu zitten met de vraag of ik nu wel of niet deel uit maak van het citadel botnet.
15-08-2012, 12:17 door LightFrame
Omdat ik geen Google browser wil installeren heb ik 't even getest met een andere browser (SRWare Iron portable) die ook een DNS Prefetching mogelijkheid heeft.
Is te vinden in de instellingen > geavanceerde instellingen weergeven...> Privacy > Netwerkacties voorspellen om de laadprestaties van pagina's te verbeteren (die optie schakelt de DNS prefeching in)

Ik zet bank-auth.org in Emsisoft Anti-Malware's hostregels en kies voor 'blokkeren en melden".
Daarna bezoek ik; http://rickey-g.blogspot.nl/2012/08/more-details-of-dorifel-servers.html
Er verschijnt een melding van Emsisoft Anti-Malware dat de verbinding met bank-auth.org is geblokkeerd.

Het raadsel is opgelost.
Formatteren en opnieuw beginnen had dus niets geholpen ;-)
15-08-2012, 12:46 door LightFrame
Anoniem,

Schakel de DNS prefetching in je browser eens uit, leeg de browser cache en kijk dan nog eens of je die melding krijgt.
15-08-2012, 13:18 door Anoniem
Door LightFrame: Anoniem,

Schakel de DNS prefetching in je browser eens uit, leeg de browser cache en kijk dan nog eens of je die melding krijgt.


Is er iemand in dit forum die weet hoe je in Google Chrome de DNS prefetching functie uit kunt schakelen?
15-08-2012, 13:26 door Anoniem
"ik blijf me maar afvragen waarom een simpele burger met het syndroom van asperger dit zo 123 aanpakt,
en de overheids instanties weer het nakijken hebben. is het niet tijd om alle internet agentjes te ontslaan, en dit soort lui een penning te geven? ik besteed liever daar mijn belasting centjes aan, u mad officer?"

Misschien omdat de simpele burger aan informatie komt omtrent de DNS entries en dergelijke op basis van de gegevens die bekend zijn geworden -nadat- overheidsinstanties en dergelijke waren geinfecteerd ? Of wist jij al dat verkeer naar bank-auth.org en andere Dorifel-gerelateerde DNS entries, verdacht waren voordat deze informatie n.a.v. de besmetting bekend werd ?

Verder weet je helemaal niet hoeveel simpele burgers geinfecteerd zijn; de overheid zoekt de media om mensen te waarschuwen, terwijl de simpele burger over het algemeen geen persbericht naar buiten brengt om het publiek te informeren. Daarnaast lijken de criminelen zich specifiek gericht hebben op overheidsnetwerken bij de verspreiding van de malware.

Als beveiliger vind ik je opmerkingen dan ook niet veelzeggend, ook al kan er bij de overheid zeker het een en ander verbeterd worden op het gebied van IT beveiliging. Zonder het werk van "internet agentjes" die de afgelopen dagen hebben ervoor zouden hebben gezorgd dat de technische details bekend werden zou het "simpele burgertje" waarschijnlijk ook niet veel verder zijn gekomen.
15-08-2012, 15:44 door LightFrame
Je zou 't ook nog anders kunnen testen.
Zet sesamstraat.nl in de hostregels van Emsisoft Anti-Malware en kies voor 'blokkeren en melden'.

Wanneer je dan een webpagina bezoekt met een link als http://www.sesamstraat.nl en de DNS prefetching van je browser is ingeschakeld, dan vraagt jouw browser alvast aan de DNS (Domain Name Server) welk ip-adres er bij www.sesamstraat.nl hoort. Op dat moment zal Emsisoft Anti-Malware een popup tonen dat een verbinding met www.sesamstraat.nl is geblokkeerd.

Dan maak je geen deel uit van het sesamstraat botnet, het verzoek van de browser aan de DNS om het ip-adres van www.sesamstraat.nl werd gecontroleerd door Emsisoft Anti-Malware en geblokkeerd omdat sesamstraat.nl in de hostregels staat vermeld met de optie 'blokkeren en melden'.

Er is op geen enkele manier echt een verbinding gemaakt met de server waar sesamstraat.nl op te vinden is. Je browser weet ook helemaal niet waar (op welk ip-adres) die server te vinden is omdat de vraag om het ip-adres werd geblokkeerd.

Je kunt in de hostregels van Emsisoft Anti-Malware ook ip-adressen toevoegen die geblokkeerd moeten worden, dat werkt ook.
15-08-2012, 15:47 door yobi
bank-auth.org en auth-bank.org wijzen al weer naar een ander IP-adres: 141.8.224.161

Deze linkt nu door naar andere ellende.

Service is running on TCP port 80

Headers:
HTTP/1.1 302 Found
Date: Wed, 15 Aug 2012 13:39:08 GMT
Server: Apache/2.2.3 (Red Hat)
X-Powered-By: PHP/5.3.14
Set-Cookie: gvc=905vr925835482702233; expires=Mon, 14-Aug-2017
13:39:08 GMT; path=/; domain=bank-auth.org; httponly
Location: http://rk400.com/?sov=rook-bank-auth.org
Vary: Accept-Encoding,User-Agent
Content-Length: 0
Connection: close
Content-Type: text/html; charset=UTF-8
15-08-2012, 20:50 door Booze
Door Anoniem: "ik blijf me maar afvragen waarom een simpele burger met het syndroom van asperger dit zo 123 aanpakt,
en de overheids instanties weer het nakijken hebben. is het niet tijd om alle internet agentjes te ontslaan, en dit soort lui een penning te geven? ik besteed liever daar mijn belasting centjes aan, u mad officer?"

Misschien omdat de simpele burger aan informatie komt omtrent de DNS entries en dergelijke op basis van de gegevens die bekend zijn geworden -nadat- overheidsinstanties en dergelijke waren geinfecteerd ? Of wist jij al dat verkeer naar bank-auth.org en andere Dorifel-gerelateerde DNS entries, verdacht waren voordat deze informatie n.a.v. de besmetting bekend werd ?

Verder weet je helemaal niet hoeveel simpele burgers geinfecteerd zijn; de overheid zoekt de media om mensen te waarschuwen, terwijl de simpele burger over het algemeen geen persbericht naar buiten brengt om het publiek te informeren. Daarnaast lijken de criminelen zich specifiek gericht hebben op overheidsnetwerken bij de verspreiding van de malware.

Als beveiliger vind ik je opmerkingen dan ook niet veelzeggend, ook al kan er bij de overheid zeker het een en ander verbeterd worden op het gebied van IT beveiliging. Zonder het werk van "internet agentjes" die de afgelopen dagen hebben ervoor zouden hebben gezorgd dat de technische details bekend werden zou het "simpele burgertje" waarschijnlijk ook niet veel verder zijn gekomen.
Helemaal mee eens,

MAAR, waarom is het dorifel virus binnen kunnen komen door het citadel netwerk, dat was toch al langer bekend, en had dus eigenlijk dichtgetimmerd moeten zijn lijkt me? Elke bedreiging die ik bespeur wordt hier meteen gepatched of op andere manieren dichtgespijkerd, en zoals de berichtgeving op mij overkomt (correct me if i'm wrong please!), heeft de overheid dat nu net nagelaten, en kun je dus de conclusie trekken dat ze hebben zitten slapen, just my 2 cents....
15-08-2012, 21:06 door Anoniem
Ik wordt steeds nieuwsgieriger naar jullie bronnen, tot woensdag 16:00 uur wist volgens mij niemand -behalve de bouwers- dat de Trojan en het ondersteunende botnet bestond. Geen scanner heeft iets gemeld. Spamhaus blokkeerde geen van de adressen. Waarom hebben de overheidsdienaren zitten slapen? Waarom hoor ik van veel bedrijven dat ze 'ook problemen hadden' terwijl daar geen overheidsdienaren zaten. Ik zal niet beweren dat er bij de overheid niet veel te verbeteren is, maar volgens mij geldt dat ook voor vele bedrijven. Waarschijnlijk wel meer: zij kunnen het stilhouden, de overheid meldt het. (zodat ook ik gewaarschuwd word). Uiteraard hou ik mij aanbevolen voor tips: de alwetende scanner die botnets en trojans detecteert voordat ze gedetecteerd worden. Een gat in de markt.
16-08-2012, 14:24 door Booze
Door Anoniem: Ik wordt steeds nieuwsgieriger naar jullie bronnen, tot woensdag 16:00 uur wist volgens mij niemand -behalve de bouwers- dat de Trojan en het ondersteunende botnet bestond. Geen scanner heeft iets gemeld. Spamhaus blokkeerde geen van de adressen. Waarom hebben de overheidsdienaren zitten slapen? Waarom hoor ik van veel bedrijven dat ze 'ook problemen hadden' terwijl daar geen overheidsdienaren zaten. Ik zal niet beweren dat er bij de overheid niet veel te verbeteren is, maar volgens mij geldt dat ook voor vele bedrijven. Waarschijnlijk wel meer: zij kunnen het stilhouden, de overheid meldt het. (zodat ook ik gewaarschuwd word). Uiteraard hou ik mij aanbevolen voor tips: de alwetende scanner die botnets en trojans detecteert voordat ze gedetecteerd worden. Een gat in de markt.


Ho ho, ik zeg nergens iets over dat die ip's/dns namen te laat dicht gezet zijn, ik denk dat als je al besmet was met het citadel botnetvirus (wat al bijna anderhalf jaar bekend is, zie onderstaande links) er geen houden aan was, omdat de scanners dorifel nog niet kon detecteren en dus ook niet blokkeerden. Wat ik niet snap, en waarop ik mijn stelling dat er mensen hebben zitten slapen heb gebaseerd, is dat die bedrijven/gemeenten/ministeries een bekend lek niet gedicht hadden, of hebben de overheden geen heuristic scanning zoals mijn firewall? Deze kan patronen in verkeer ontdekken en desgewenst blokkeren, en alles wat binnen gehaald wordt wordt gescand op de bekende virussen, een drive-by-download is nog wel mogelijk, maar alleen als het virus spliternieuw is, wat in geval van dorifel ook zou zijn.

Een mail met dorifel er in? Jammer, ondanks de RTLO truuk zou dit bij ons niet gelukt zijn, onze antispamhost is niet kwetsbaar voor die truuk, en ziet gewoon de .scr extensie die er niet door komt, hetzelfde geldt voor mijn mailplatform, .scr komt gewoonweg niet binnen in ons netwerk. Als ik met mijn "mid range" apparatuur/software kan realiseren, waarom kan een overheid met High-End apparatuur en software dit dan niet? .scr blokkeert iedere zichtzelf respecterende beheerder toch "by default" aangezien .scr bestanden al jaren virussen kunnen bevatten??

Zie voor de bron: https://www.ncsc.nl/actueel/nieuwsberichten/dorifel-virus-de-stand-van-zaken.html

Hier staat:
De afgelopen dagen heeft het Nationaal Cyber Security Centrum (NCSC), samen met haar partners, verder gewerkt aan het onderzoek naar het Dorifel virus. Uit het onderzoek is naar voren gekomen dat het Citadel-botnet, de infrastructuur die wordt gebruikt om Dorifel te verspreiden, ook verantwoordelijk is voor de distributie van andere malware zoals Hermes en Zeus. De uitbraak van het Dorifel virus lijkt vooralsnog onder controle te zijn.

Het citadel botnet is al bekend sinds maart 2011: http://webwereld.nl/nieuws/111488/virus-richt-schijnwerper-op-schimmig-botnet.html

Ik zeg zelfs in mijn vorige post: "Helemaal mee eens", dus is jouw reactie is niet geheel juist wel? Wellicht had je het Citadel botnet eerst kunnen bekijken in plaats van zo neerbuigend te doen jegens mijn reactie. Ik ben het wel met je eens dat er waarschijnlijk veel bedrijven wel besmet waren, maar dit inderdaad niet gemeld hebben, ik denk dat mijn werkgever dat ook niet zou doen namelijk, ons personeel waarschijnlijk wel via diverse fora e.d, en daarvan denk ik dat het bij elk bedrijf hetzelfde werkt.

En zitten er mensen te slapen als je clients op het netwerk hebt die aan het citadel botnet hangen? Dat denk ik dus wel, zeker als het bestaan van het botnet al bijna anderhalf jaar geleden ontdekt is, zeker als je kijkt hoe veel geld er bij de overheid besteedt wordt aan ICT, en al helemaal als bij diezelfde overheid gegevens worden bewaard die mijn privacy aangaan, en de jouwe, en die van je buurman enzovoorts. Dat geld is wel gemeenschaps geld, dus mogen we kritisch zijn, of ben jij van mening dat er bij de overheid niet heel veel geld verspild wordt met overbodige vergaderingen in plaats van daadwerkelijk een serieus goed security beleid op te zetten? Kun je mij uitleggen hoe het komt dat op een pc van een ambtenaar pornografisch materiaal gevonden wordt terwijl zij veel meer mogelijkheden hebben om te filteren op inhoud dan ik, zowel qua apparatuur als qua personele inzet? Hier krijg je bij "x-rated" materiaal gewoon de melding dat de pagina niet is toegestaan, net als bij bijvoorbeeld spelletjes.nl en tal van andere sites die in de categorie "Games" vallen, en nog wat van die categorieën, het configureren kostte mij ongeveer 2 minuten.

Ik kan je (uit persoonlijke ervaring) zeggen dat het gemiddelde ICT budget binnen een bedrijf per werkplek vele malen kleiner is dan bij de overheid, daar staat tegenover dat bij het gemiddelde bedrijf de ICT omgeving minder complex is, fair enough, echter heeft een overheid (bijvoorbeeld een gemeente) veel meer specialistische taken binnen de ICT afdeling, OF ze huren tegen een of ander achterlijk uurtarief een engineer van ICT-Toko X in die de zaken regelt, waarbij de gemeente door een slimme sales man er van overtuigd is een absolute expert binnen te krijgen. Voor alle mensen die ik hiermee tegen de schenen trap: Ik ben vroeger ook gewoon ambulant engineer geweest, ben vaker bij gemeenten, defensie, en andere aan overheden gelieerde organisaties geweest, net als bij partijen als destijds Libertel, KPN, Philips en nog wat van die grote toko's. Begrijp me niet verkeerd, ik huur ook regelmatig extern in, ik kan zelf immers nooit alles weten (gelukkig ook maar!), maar ik heb soms wel moeite met de kwaliteit daarvan!

Over dat gat in de markt, dat zou ik ook wel graag willen opvullen hoor, dan ben ik meteen binnen voor de rest van mijn leven, echter is een dergelijk product even onwaarschijnlijk als dat wij over een x aantal jaren een kolonie hebben gevestigd op de Zon.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.