Nieuws
image

IBM ziet weer DDoS-aanvallen van BillGates Linux-botnet

vrijdag 12 juni 2015, 12:23 door Redactie, 5 reacties

Een botnet dat Linux-computers infecteert en gebruikt voor het uitvoeren van DDoS-aanvallen is weer actief, zo meldt IBM. Het gaat om het "BillGates botnet" dat vorig jaar voor het eerst werd gesignaleerd, zo meldt IBM. Het botnet gebruikt DNS-amplificatie voor het uitvoeren van de DDoS-aanvallen.

Bij DNS-amplificatie worden openstaande DNS-servers gebruikt om het verkeer naar de aangevallen websites of diensten te versterken. Een interessante eigenschap van deze malware, aldus het Russische anti-virusbedrijf Dr. Web dat samen met het Finse F-Secure vorig jaar aandacht aan de malware besteedde. Volgens de Russische virusbestrijder valt de Gates-malware ook op vanwege een geraffineerde modulaire structuur die nog nooit eerder bij Linux-malware zou zijn aangetroffen.

Destijds was onbekend hoe de malware zich verspreidde. Iets waar ook IBM nog altijd geen antwoord op heeft. Ook is onbekend wie erachter het botnet zit. Wel stelt het bedrijf dat er een opmerkelijke stijging van het verkeer is waargenomen, waarbij vervalste pakketten worden gebruikt en de bestemming een IP-adres in China is.

Reacties (5)
12-06-2015, 13:42 door Anoniem
Een duidelijke verklaring van Chris Teodorski op https://youtu.be/knY-7VfS87E
12-06-2015, 17:05 door Anoniem
Door Anoniem: Een duidelijke verklaring van Chris Teodorski op https://youtu.be/knY-7VfS87E
Je link is totaal ongerelateerd.

Wanneer ik op de IBM-link klik zie ik eigenlijk alleen maar een grote IBM-advertorial voor hun producten (de securelist-link is wel interessant maar is vrij gedateerd en blijkbaar vindt IBM het niet nodig om hier verder onderzoek naar te doen en acht het het luiden van de 8000 security events-alarmklok, wat dat dan ook mag inhouden, voldoende).
Verder lijkt het duidelijk dat het een trojan is die op gepatchte machines alleen met rootrechten zal werken en mogelijk niet eens aan rechtenverhoging doet (kortom: storm in glaswater, installeer gewoon geen troep).
12-06-2015, 21:23 door Anoniem
"Zowel de Linux- als Windowsversie kunnen DNS-amplificatie " bericht van vorig jaar, volgends mij zijn dit gewoon dedicated servers met een .c script dat gecompiled is met een lijst van DNS servers gebruiken die je kunt scannen met nmap in een lijst en dan filteren, als deze bedrijven beetje meer informatie zouden zoeken is het geen heel botnet van 20000 computers maar misschien 2-4 dedicated servers.

http://pastebin.com/u/wtfbbq <--- ze kunnen zo de source kijken wat alles doet.

Dit zijn de Bandwidth Amplification Factors

NTP 556.9
CharGen 358.8
DNS up to 179
QOTD 140.3
Quake Network Protocol 63.9
SSDP 30.8
Kad 16.3
SNMPv2 6.3
Steam Protocol 5.5
NetBIOS 3.8
BitTorrent 3.8


Al is dit nooit allemaal precies te halen kwa snelheid poorten, met 1gbps dedicated server kan je ongeveer 25gbits aan UDP traffic halen.
12-06-2015, 22:07 door karma4
Kaspersky lab is beter leesbaar dan het Russisch http://www.securityweek.com/kaspersky-lab-details-versatile-ddos-trojan-linux-systems
13-06-2015, 00:47 door Anoniem
oftewel dit is Stormbot dat al 3 jaar oud is ofzo hue
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure