image

Cisco haalt botnet van 23.000 computers offline

woensdag 28 september 2016, 16:07 door Redactie, 4 reacties

Onderzoekers van Cisco hebben een botnet offline gehaald dat uit 23.000 computers bestond. De computers waren met de GozNym Trojan besmet, een Trojaans paard speciaal ontwikkeld om geld via internetbankieren te stelen. Eerder dit jaar liet IBM weten dat de malware miljoenen dollars had gestolen.

De malware maakt gebruik van een Domain Generation Algorithm (DGA) dat elke dag nieuwe domeinnamen genereert. Een aantal van deze domeinen wordt vervolgens voor de communicatie met de besmette computers gebruikt. Doordat onderzoekers van Cisco het algoritme wisten te kraken konden ze zien welke domeinnamen er in de toekomst werden gegenereerd. Deze domeinnamen registreerden de onderzoekers en lieten vervolgens naar een server van Cisco wijzen.

Zodoende maakten de besmette computers geen verbinding met de botnetserver, maar die van Cisco. In de eerste 24 uur ontving de server van Cisco 23.000 "beacons". Dit is een signaal dat een besmette computer naar de command & control-server van het botnet stuurt. Elke besmette machine stuurt slechts één beacon, waardoor de onderzoekers stellen dat het aantal slachtoffers van het botnet uit zo'n 23.000 machines bestaat. Bijna de helft van de besmette computers bevindt zich in Duitsland, gevolgd door de Verenigde Staten met 37%.

Reacties (4)
28-09-2016, 16:47 door Anoniem
Ik geloof niet echt dat het botnet hiermee werkelijk offline is.
Zolang er nog systemen een juiste reply op de beacon sturen, zal het botnet niet trappen in de fake C&C's.
Uit het zicht is niet gelijk aan offline.
28-09-2016, 18:48 door Anoniem
Inderdaad. Ze hebben een botnet in kaart gebracht, maar offline is het hier vast en zeker niet mee.
29-09-2016, 00:45 door Anoniem
Door Anoniem: Inderdaad. Ze hebben een botnet in kaart gebracht, maar offline is het hier vast en zeker niet mee.

Another big mistake in GozNym’s DGA was in the way it treated the list of first stage domains. If the first domain in the list returned a valid set of seed IPs, GozNym would never attempt to contact any other domains in that list. By using a hash collision on the first domain, we could prevent GozNym victims from attempting to contact any of the other domains in the list. The machines infected with GozNym would beacon to our sinkhole server once, then get stuck in a loop with lots of sleeping and occasionally querying Google’s DNS for our sinkholed domains.

als je eerst had gelezen, had je het geweten.
02-10-2016, 16:23 door Anoniem
Op grond van het (onduidelijke) Cisco blog lijkt het te gaan om sink holing van "phone home"-requests zo'n 1854 verschillende IP adressen. De betreffende bots zijn daarmee slechts tijdelijk niet verbonden met de C&C. "Offline halen van 23000 computers" lijkt hier niet aan de orde.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.