image

Onderzoekers laten 100.000 malware-sites offline halen

dinsdag 22 januari 2019, 14:06 door Redactie, 3 reacties

Een groep van 265 beveiligingsonderzoekers heeft in tien maanden tijd zo'n 100.000 websites offline weten te krijgen die voor de verspreiding van malware werden gebruikt. De takedowns waren onderdeel van URLhaus, een project dat begin vorig jaar werd gelanceerd.

Via URLhaus worden door malware gebruikte url's verzameld en gedeeld. Sinds de lancering hebben onderzoekers gemiddeld 300 malware-sites per dag bij het project gerapporteerd. Na de ontdekking van een url moet die vervolgens door de betreffende provider uit de lucht worden gehaald. Gemiddeld zijn malware-sites meer dan een week actief voordat ze offline gaan. "Dat is meer dan genoeg om elke dag duizenden apparaten te infecteren", zegt Roman Hussy, de man achter URLhaus en Abuse.ch. Met name de drie Chinese partijen waar de meeste malware-sites werden gevonden reageren langzaam. De abuse-afdeling van deze providers hebben meer dan een maand nodig om op abusemeldingen te reageren.

Volgens Hussy is URLhaus dankzij de "infosec community" een groot succes. "Het is het bewijs dat het delen van informatie de sleutel is in het bestrijden van malware en botnets." Er is echter nog een lange weg te gaan wat betreft de reactietijd van abuse-afdelingen bij providers, aldus Hussy. "Een gemiddelde reactietijd van meer dan een week is gewoon te lang en het bewijs van slechte internethygiëne." De onderzoeker hoopt dat Chinese hostingproviders in de toekomst sneller zullen gaan reageren op de abusemeldingen over hun netwerk. "Het is gewoon niet acceptabel dat malware-sitess meer dan een maand actief blijven."

Image

Reacties (3)
23-01-2019, 09:38 door Anoniem
Ben erg benieuwd hoe succesvol dit is met recente malware, hoe snel wordt hun DB geupdate en hoe vaak moet je piHole zelf laten updaten om dit op tijd te krijgen?
23-01-2019, 10:45 door ph-cofi
Door Anoniem: Ben erg benieuwd hoe succesvol dit is met recente malware, hoe snel wordt hun DB geupdate en hoe vaak moet je piHole zelf laten updaten om dit op tijd te krijgen?

Ik vraag me af of PiHole op URLhaus let? De verversingssnelheid van de host domain lists uit PiHole zou uit diens bronpagina's moeten blijken. Ik heb nog te weinig ervaring met het tempo van uitdaten, of dat ik zeker weet dat ze voorrang geven aan betaalde abonnementen.
24-01-2019, 00:24 door Anoniem
De gemiddelde levensduur van malware is beperkt. Daar waar malware verspreiden van een bepaald adres langer duurt dan 1000 uur spreken van OVERDUE! malware. Cleanmx was een fijne bron hiervan om door te spitten, maar is vanwege dat het constant onder vuur lag van malcreanten, niet meer publiek toegankelijk. Er zijn nog wel enkele publiek toegankelijke repositories en daar zijn leuke verbanden te ontdekken. Hier b.v.: https://www.phishtank.com/user.php?username=cleanmx

Maar sommige bronnen zijn selectief bij detectie (vooral voor PUP detecties en generieke adware) of vanwege afspraken om het "under the radar" te laten gaan. VT is zo'n bron. Helaas is het altijd zo dat detectie altijd achter de feiten van een zero-day of nieuwe malcode aanloopt. Zo houden blacklisting en white listing elkaar in evenwicht en is 3rd party script en andere content blocking een vrij effectief concept. Ook is het valse postieve detectie probleem groeiend, zeker waar files niet juist gesigneerd zijn.

Helaas zijn er ook negatieve bewegingen in browsers gaande, zoals bij Google om de functionaliteit van bepaalde ad-blockers aan te tasten of extensies simpelweg te weren. Dan heb je dus niet langer de vrije hand om bepaalde vormen van malware (mal-ads) nog langer te kunnen blokkeren. Hele zorgwekkende ontwikkeling voor de eindgebruiker.

Dit alles onder het mom van meer privacy voor de Alphabeth en Google core-business. Wij beheren en versleutelen uw data voor u en verdienen daarna aan de verkoop, daar wij slechts weten bij wie die data-algoritmen horen. Wij vallen u niet meer lastig, wel even hier akkoord klikken graag.

Ik vermoed zo dat de onderzoekers en sinkholers in de toekomst drukke tijden tegemoet zullen gaan.

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.