Miljoenen websites offline door Microsoft-actie
Een actie die Microsoft tegen twee malware-families uitvoerde heeft ervoor gezorgd dat 4 miljoen legitieme websites offline zijn. Dat beweert No-IP.com, het bedrijf dat doelwit van Microsofts actie was. Microsoft voerde recent een operatie tegen de Jenxcus en Bladabindi-malware uit.
Wereldwijd zou deze malware zeker 7,5 miljoen computers hebben besmet. Microsoft zag dat bijna alle communicatie van de aanvallers met de besmette computers via de domeinen van DDNS-aanbieder No-IP.com liep. Via een DDNS-aanbieder is het mogelijk om een IP-adres aan een domein te koppelen. IP-camera's maken hier bijvoorbeeld gebruik van.
Door het gebruik van een DDNS-dienst zorgden de makers van de malware ervoor dat de besmette computers altijd verbinding met de controleserver van de aanvallers konden maken. In het geval van NoIP.com beschikt het bedrijf over tientallen domeinen. Gebruikers van de dienst kunnen vervolgens gratis subdomeinen registreren, zoals subdomein1.no-ip.com.
Rechter
Microsoft stapte naar de rechter en maakte gebruik van Ex Parte, waarbij de rechter het bewijs van één partij aanhoort. De softwaregigant liet de rechter weten dat de mensen achter de twee malware-families meer dan 18.400 subdomeinen van No-IP.com gebruikten. De rechter accepteerde het verzoek van Microsoft en maakte de softwaregigant op 26 juni de DNS-autoriteit van 22 No-IP-domeinen. Dit zijn bijna alle domeinen die No-IP.com voor de eigen dienstverlening gebruikt.
Het was de bedoeling dat Microsoft het verkeer van 18.400 subdomeinen zou filteren, zodat het onschuldige verkeer naar de rechtmatige bestemming kon gaan. Dat was echter niet wat er gebeurde. Volgens No-IP.com zou de Microsoft-infrastructuur de grote hoeveelheid verzoeken niet aankunnen, waardoor nu miljoenen gebruikers de dupe zijn.
"Als Microsoft ons had benaderd, hadden we direct actie kunnen ondernemen. Microsoft beweert dat het alleen wilde dat we onze zaken op orde zouden krijgen, maar de draconische acties hebben miljoenen onschuldige internetgebruikers gedupeerd", zo laat No-IP in een verklaring op het eigen blog weten.
Tegenover IT-journalist Brian Krebs stelt een woordvoerster dat van de 18.400 subdomeinen van No-IP.com die door de malware werden gebruikt, er iets meer dan 2.000 afgelopen maandag nog actief waren. Door de actie van Microsoft zouden in ieder geval 4 miljoen legitieme domeinen nog altijd offline zijn. "Niemand profiteert van dit hardhandige optreden van Microsoft", aldus NoIP.com, dat zegt de situatie zo snel als mogelijk te willen oplossen.
+1 maar je moet dus wel ea afweten van de impact van zo een change ..best heftige impact imho
Dat dacht ik er toch ook van ...
Hadden ze meer te verbergen misschien de No-IP'ers?
Kan bevestigen dat mijn domein ook niet meer bereikbaar is, nslookup werkt niet en heel no-ip.info lijkt geen gegevens meer te hebben..
Dynamic DNS is voor velen een noodzaak en geen keuze. Verder valt dit onder de noemer "blame the victim" en is dus ongepast.
Hoe lang zou het duren voordat iedereen er weer bij kan vraag ik mij af. Anders heb ik wat werk voor de boeg..
Maar je zou ook kunnen zeggen: no-ip, weer zo'n Internet-dienstverlener die wel veel geld verdient maar totaal niet zijn best doet om het ecosysteem te beschermen.
De data op basis waarvan de domeinen nu zijn overgenomen was al tijden lang publiek. En wat is no-ip's verdediging: we hoorden er vanochtend pas van. Ja, dat krijg je, als je werk niet doet.
Is dit de beste manier om dingen aan te pakken? Zonder meer een discussie waard. En als iemand een betere oplossing weet: sta op en doe iets...
Als je provider je afsluit ben je beschermt tegen het boze Internet. Goed plan toch? Werkt perfect. Gaan we meteen doen, als je een beter plan hebt horen we het wel.
Maar je zou ook kunnen zeggen: no-ip, weer zo'n Internet-dienstverlener die wel veel geld verdient maar totaal niet zijn best doet om het ecosysteem te beschermen.
Waar baseer je dat op? Volgens de berichten gooien ze regelmatig domeinen en accounts dicht als die misbruikt worden.
Als iets publiek is, wil dat niet zeggen dat iedereen in het publiek hiervan op de hoogte is. Zeker niet bij malware, waar iedere dat nieuwe domeinen worden geregistreerd. Zelfs grote anti-malware bedrijven hebben het moeilijk om die domeinen te achterhalen.
Ik heb het ook met bijvoorbeeld pastebin. Ik krijg daar dagelijks mailtjes van dat mijn domeinen genoemd worden. Als ik dan ga kijken is dat in 99% van de gevallen een false positive. In het begin keek ik binnen enkele minuten na de mail op pastebin, maar nu draai ik me 's nachts nog een keer om en kijk de volgende dag wel. Dat krijg je bij het publiek melden van problemen. Veel daarvan is vals.
Het probleem is dat Microsoft al vaker met de botte bijl aan het hakken geweest in een poging hun rommel op te ruimen. Daar lijken ze niets van geleerd te hebben.
Peter
Dus nee, dit is verre van de beste manier op zoiets aan te pakken; het schept een gevaarlijk precedent, en ik ben heel benieuwd of er nog schade verhaald gaat worden. Het is al gekscherend geopperd ergens, maar alles van Microsoft per direct geforceerd uitzetten omdat er veel botnetclients op windows draaien is eigenlijk helemaal niet zo verschillend van deze 'oplossing'. Er zijn ook wel initiatieven die het een stuk beter aanpakken; ISC heeft destijds een dns-resolver based malware netwerk overgenomen (in samenwerking met de FBI), en zijn hebben *heel* goed opgelet of er geen onnodige slachtoffers vielen.
Maar je zou ook kunnen zeggen: no-ip, weer zo'n Internet-dienstverlener die wel veel geld verdient maar totaal niet zijn best doet om het ecosysteem te beschermen.
De data op basis waarvan de domeinen nu zijn overgenomen was al tijden lang publiek. En wat is no-ip's verdediging: we hoorden er vanochtend pas van. Ja, dat krijg je, als je werk niet doet.
Inderdaad, en voor degene die offline zijn, was gratis, had je maar een betere leverancier moeten kiezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
