image

Spamhaus detecteert recordaantal botnetservers in juli

maandag 14 oktober 2019, 11:41 door Redactie, 17 reacties

Antispamorganisatie Spamhaus heeft in juli een recordaantal botnetservers ontdekt en het totaal aantal gedetecteerde botnetservers is in de eerste negen maanden van dit jaar al groter dan in heel 2018. Dat laat de organisatie in een nieuw kwartaalrapport weten (pdf).

In juli telde Spamhaus 1587 nieuwe botnetservers. Niet eerder werden er in één maand zoveel comand & control-servers geteld waarmee criminelen de computers in een botnet aansturen. Het totaal aantal botnetservers voor de eerste negen maanden van dit jaar is uitgekomen op 10.402, meer dan de 10.263 van heel 2018. Spamhaus verklaart de stijging door een toename van het aantal frauduleuze "sign-ups". Hierbij maken criminelen gebruik van gestolen of valse identiteitsgegevens om een Virtual Private Server (VPS) of dedicated server te huren die alleen als botnetserver wordt ingezet.

Spamhaus zag verder in het derde kwartaal een sterke toename van het aantal botnetservers dat voor de Trickbot-malware wordt gebruikt. De malware maakt gebruik van Microsoft Office-documenten met kwaadaardige macro's om zich te verspreiden. Deze documenten worden via e-mail verstuurd. Zodra ontvangers de macro's in het ontvangen document inschakelen wordt TrickBot gedownload. Ook kan TrickBot door andere malware op het systeem worden geïnstalleerd. TrickBot kan gegevens voor internetbankieren stelen, wachtwoorden buitmaken en aanvullende malware installeren.

Cloudflare

Net als in het rapport over het tweede kwartaal haalt Spamhaus wederom uit naar internetbedrijf Cloudflare. Het bedrijf is volgens de antispamorganisatie een geliefde optie onder cybercriminelen voor het hosten van botnetservers. "Helaas hebben we nog altijd geen zichtbare pogingen van Cloudflare gezien om het aanhoudende misbruik van hun netwerk voor botnet-hosting en andere vijandige infrastructuur te bestrijden", aldus Spamhaus. Het was echter cloudprovider Alibaba waar in het derde kwartaal de meeste botnetservers waren ondergebracht. Verder maakte Google een rentree in de Top 20 van providers die botnets hosten.

Image

Reacties (17)
14-10-2019, 11:58 door Anoniem
Te veel aandacht voor de zogeheten grote daders als Google, facebook?

Te weinig aandacht voor o.a. CloudFlut, AliBaba en zijn 40 rovers en Amazing Amazon?

China samen met de Russische Federatie gingen nu een inspanning doen tegen cybercriminaliteit.
Is te hopen. "Naboj!, naboj!".

#sockpuppet
14-10-2019, 12:28 door Bitje-scheef
Te weinig aandacht voor Office documenten die via de email verspreid worden en deze onzin mogelijk maakt.
14-10-2019, 12:41 door Briolet
Te weinig black-listing van IP adressen die van internetbedrijven zijn die veel C&C servers huisvesten.

Pas als eigenaren van websites bij hun hosters gaan klagen over slechte bereikbaarheid van hun site, zullen de hosters betere ID checks doen bij afnemers van hun VPS diensten.
14-10-2019, 13:28 door Anoniem
Te veel aandacht voor de zogeheten grote daders als Google, facebook?

Te weinig aandacht voor o.a. CloudFlut, AliBaba en zijn 40 rovers en Amazing Amazon?

Geen enkel benul waar je het over hebt ? Botnet servers hebben geen drol te maken met de zaken die je noemt.
14-10-2019, 13:29 door Anoniem
Te weinig aandacht voor Office documenten die via de email verspreid worden en deze onzin mogelijk maakt.

Dat is niet de verantwoordelijkheid van Spamhaus.
14-10-2019, 14:45 door Anoniem
Rare reactie van anoniem van 13:28,

Hoe kun je zeggen dat CloudFlare met zijn toelaten van het misbruik op haar servers,
waar spamhause met name naar uithaalt, ja CloudFlare dus, er geen drol mee te maken heeft.

Botnet servers C&C krijgen een plaatsje in de CloudFlare cloud.
CloudFlare doet een oogje dicht aangaande het misbruik op hun cloudomgeving
of reageert veel te laat of meldt de complaints eerst aan de misbruikers (is ook zat gebeurd),
dan trekt het circus verder naar de volgende cloudstek, net kameleons.

....en jij zegt dat ze er geen drol mee te maken hebben.

Volgens mij heet dat fasciliteren van cybercriminele activiteiten.

Een criminele dollar stinkt dus niet volgens CloudFlare en Alibaba evenmin als een legale.

Je had zeker niet zo'n best cijfer voor lezen op school, of lees je te gehaast.
Of je hebt een relatie met CloudFlare en moet negatieve info over hen wegtrollen?
14-10-2019, 20:15 door Anoniem
Amazon betaald om niet op die lijst te komen.
14-10-2019, 22:39 door Anoniem
Door Anoniem: Amazon betaald om niet op die lijst te komen.

Dit is de lijst van sponsoren van Spamhaus. Zie jij ergens Amazon.com op die lijst staan? Ik niet. Dus of je draagt hard bewijs voor je niet bewezen claim aan, of je gaat iets zinnigers met je leven doen.

https://www.spamhaus.org/organization/sponsors/
14-10-2019, 23:22 door Anoniem
@ anoniem van 20:15

Goede doordenker, anoniem. We kunnen het niet uitsluiten,
maar we zullen het wellicht nooit zwart op wit te weten komen.

Bij AdBlockPlus weten we dat je betaald buiten de blokkering kan komen.
Dus het is niet eens zo'n heel vergezochte mogelijkheid, denk ik dan.

Daar hou ik nu van, even een niet direct voor de hand liggend verband leggen en poneren.
Proficiat, anoniem van 20:15. Je bent een oplettende type en leest lekker mee tussen de regels door.

Er zijn een aantal sites, die deze voortgezette ellende aardig in beeld brengen, zoals URLHaus,
anderen liggen ook vaak onder vuur, zoals eerst Clean-MX en nu ook steeds meer URLquery dot net,
Zie ook https://www.malwareurl.com/index.php enzovoort.
15-10-2019, 00:38 door Anoniem
Ik heb het al eens eerder gezegd: Cloudflare is een bedrijf dat alleen naar het eigenbelang kijkt. Het is hun business om servers te verstoppen en zoals Spamhaus het eufemistisch uitdrukt zijn er geen aanwijzingen dat ze zich inspannen om internetcriminelen te weren.

Een flink deel van de criminele internetwereld verstopt zich graag achter Cloudflare. Dat is niets nieuws, het gebeurt al heel lang.

Cloudflare is vervolgens wel goed in het afbreken van functies zoals 'dig any', die vaak door anti-spam onderzoekers worden gebruikt. Ze hebben daar zelfs een RFC voor gemaakt. Het is niet alsof ze de benodigde data op een andere manier beschikbaar maken. Dus effectief werpen ze een schild op tegen allerlei security onderzoekers en ook tegen law enforcement. Ze kunnen veel beter samenwerken met researchers en actie ondernemen.

@Gisteren, 12:41 door Briolet

Helaas, dat zou Spamhaus gebruikers wegjagen. Spamhaus loopt al redelijk vaak op het scherpst van de snede.

Maar: van mij mag Google ook op een blacklist belanden als ze bijvoorbeeld via www.google.com malware zouden verspreiden voor zolang dat gebeurt.
15-10-2019, 09:25 door Anoniem
Door Anoniem: Rare reactie van anoniem van 13:28,

Hoe kun je zeggen dat CloudFlare met zijn toelaten van het misbruik op haar servers,
waar spamhause met name naar uithaalt, ja CloudFlare dus, er geen drol mee te maken heeft.

Botnet servers C&C krijgen een plaatsje in de CloudFlare cloud.
CloudFlare doet een oogje dicht aangaande het misbruik op hun cloudomgeving
of reageert veel te laat of meldt de complaints eerst aan de misbruikers (is ook zat gebeurd),
dan trekt het circus verder naar de volgende cloudstek, net kameleons.

....en jij zegt dat ze er geen drol mee te maken hebben.

Volgens mij heet dat fasciliteren van cybercriminele activiteiten.

Een criminele dollar stinkt dus niet volgens CloudFlare en Alibaba evenmin als een legale.

Je had zeker niet zo'n best cijfer voor lezen op school, of lees je te gehaast.
Of je hebt een relatie met CloudFlare en moet negatieve info over hen wegtrollen?

De afgelopen tijd heb ik meerdere malen moeten reageren op geïnfecteerde Office-accounts die een phishingaanval uitvoerden door besmette bestanden via OneDrive te verspreiden en zodoende een phishingaanval uitvoerden. Overal zat Cloudflare achter.

De meldingen die bij Cloudflare werden ingediend, werden steeds spoedig opgepakt en de sites werden afgesloten via Cloudflare. Ik ben het echter eens dat preventieve maatregelen beter zouden zijn.
15-10-2019, 09:35 door Anoniem
Door Anoniem:
Door Anoniem: Amazon betaald om niet op die lijst te komen.

Dit is de lijst van sponsoren van Spamhaus. Zie jij ergens Amazon.com op die lijst staan? Ik niet. Dus of je draagt hard bewijs voor je niet bewezen claim aan, of je gaat iets zinnigers met je leven doen.

https://www.spamhaus.org/organization/sponsors/

Hahah een amazon fan boy. Kijk maar naar het verleden, toen stonden ze in de top 10 ofzo. Alsof je dat zomaar even omdraaid. Google.com staat er zelfs nog in. Kijk maar naar je spam/logs, gisteren nog 3 spam gehad van de amazon cloud. Daarnaast heb ik ooit ook hun ranges moeten toevoegen op een eigen rbl, omdat ze ook betalen om hun ip ranges te laten opnemen in een zg. whitelist.

https://www.spamhaus.org/statistics/networks/

Dat ze een abuse provider zijn is gewoon inherent aan hun business model, zoveel mogelijk binnen harken, en vooral niet te veel kosten maken bij hun abuse afdeling. Of hebben ze ooit wel naar jou gereageerd?

Iets zinnigs doen met je leven vereist volgens mij de inzet van je hersens, in jouw geval zou ik dat eerst eens proberen. Want dat doe je duidelijk niet als je een linkje met een lijstje hier aandraagd als argument.
15-10-2019, 10:24 door Anoniem
In het report staat mooi
"Internet Service Providers (ISPs) hosting botnet C&Cs, Q3 2019"
CloudFlare

Heel interessant om te zien dat ze nu opeens heel veel AliBaba cloud reverse proxy / SLB gebruiken in plaats van CloudFlare.
CloudFlare mogen ze wat mij betreft ook beter aan gaan pakken, ik zie het zo vaak dat criminelen zich erachter verschuilen en niet gestopt kunnen worden omdat CloudFlare ze in bescherming neemt!

Die nieuwe trend van AliBaba laat me wel schrikken...
https://www.alibabacloud.com/product/server-load-balancer

Straks is het CloudFlare & AliBaba met C&C servers en dat soort rotzooi.. Nu kan ik al raden wat er gaat gebeuren.. AliBaba zal het echt helemaal niets interesseren en wat krijg je dan.. Nog meer rommel op het net.
15-10-2019, 10:25 door Anoniem
Zo blijft ook de criminaliteit steeds maar rondzingen op de infrastructuur. Meest aangetroffen scenario is,
dat ze niet protesteren als ze ontdekt worden en worden afgesloten,.
Ze verkassen alleen maar en zetten daarna vrolijk hun activiteiten elders voort.
Zo doet RBN het (Russian Business Network) vaak via schimmige hostertjes, ja ook in het zuiden van ons land,
het al jaa....aaaren.

Zo worden geparkeerde domeinen misbruikt.
Als je het neerhaalt of sinkholed, jaag je het alleen maar op.
Het verplaatst zich daarna naar elders.


Cybercrime profiteert natuurlijk ook van de slechte veiligheidssituatie op websites met 40% websites,
die wel een of andere kwetsbare JQuery bibliotheek draaien en onvoldoende veiligheidsmaatregelen hebben getroffen,
denk aan de websites op PHP gerelateerd CMS. CloudFlare maakt deze onveiligheid alleen maar minder direct zichtbaar, maar het probleem is niet weg.

Net als https niet zorgt dat wat erachter hangt (die beveiligde connectie dan) ineens niet meer brak hoeft te zijn en kwetsbaar blijft voor tal van MiM aanvallen en er frauduleuze e-mails kunnen worden verzonden door ontbrekende best policies toepassingen.

DoH wordt nu ingezet tegen "rommelende" Amerikaanse providers die advertenties on the fly vervangen door eigen (met betere inkomsten). Het gaat in de eerste plaats om het veiligstellen van de exorbitante winsten en veiligheid is een last resort issue (het is ze worst als het niet te veel opvalt of ze gedwongen worden er iets aan te doen).

Zodoende kan de algemene "security overhaul" nog wel eens lang op zich laten wachten.

luntrus
15-10-2019, 16:54 door Anoniem
Even wat 3rd party cold recon website-scan resultaten.

Wat security betreft zijn CloudFlare en Alibaba Cloud ook nog eens extra kwetsbaar vanwege de voortgezette mono-cultuur.

Kijk eens even naar deze scan resultaten voor Alibaba Cloud in een Privacy & Security rapport:
:https://webcookies.org/cookies/www.alibabacloud.com/28537666?745598

Neem daarbij ook de resultaten mee verkregen door linten, zogenaamde aanbevelingen ter verbetering:
https://webhint.io/scanner/26a2ecee-1581-42a1-801e-701ec15ac028
impliciet aangaande security:
https://webhint.io/scanner/26a2ecee-1581-42a1-801e-701ec15ac028#category-security

Geen headers gevonden voor x-xss-protection, x-content-type-options, x-frame-options, content-security-policy,
cache control, geen page meta security headers gevonden. AliCDN.com met stabiele mixed content, regels opgesteld via HTTPS Everywhere. Beveiligde tracking vindt plaats via alibaba.cloud.com, assets.alicdn.com, g.alicdn.com en img.alicdn.com.

Tenslotte shodan rapport op de IP: https://www.shodan.io/host/47.88.47.22 technologie jQuery & Retire.JS

Af te voeren jQuery bibliotheek: https://retire.insecurity.today/#!/scan/c666db560322195958ae5745232a3855d2d0ca70dbd49bdac49d327d2f14dc5d

#sockpuppet
15-10-2019, 18:41 door Anoniem
16-10-2019, 13:13 door Anoniem

Ik zou zeggen reverse engineer die rommel, vind de 0day en pwn al deze C&C servers offline.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.