Spamhaus detecteert recordaantal botnetservers in juli
Antispamorganisatie Spamhaus heeft in juli een recordaantal botnetservers ontdekt en het totaal aantal gedetecteerde botnetservers is in de eerste negen maanden van dit jaar al groter dan in heel 2018. Dat laat de organisatie in een nieuw kwartaalrapport weten (pdf).
In juli telde Spamhaus 1587 nieuwe botnetservers. Niet eerder werden er in één maand zoveel comand & control-servers geteld waarmee criminelen de computers in een botnet aansturen. Het totaal aantal botnetservers voor de eerste negen maanden van dit jaar is uitgekomen op 10.402, meer dan de 10.263 van heel 2018. Spamhaus verklaart de stijging door een toename van het aantal frauduleuze "sign-ups". Hierbij maken criminelen gebruik van gestolen of valse identiteitsgegevens om een Virtual Private Server (VPS) of dedicated server te huren die alleen als botnetserver wordt ingezet.
Spamhaus zag verder in het derde kwartaal een sterke toename van het aantal botnetservers dat voor de Trickbot-malware wordt gebruikt. De malware maakt gebruik van Microsoft Office-documenten met kwaadaardige macro's om zich te verspreiden. Deze documenten worden via e-mail verstuurd. Zodra ontvangers de macro's in het ontvangen document inschakelen wordt TrickBot gedownload. Ook kan TrickBot door andere malware op het systeem worden geïnstalleerd. TrickBot kan gegevens voor internetbankieren stelen, wachtwoorden buitmaken en aanvullende malware installeren.
Cloudflare
Net als in het rapport over het tweede kwartaal haalt Spamhaus wederom uit naar internetbedrijf Cloudflare. Het bedrijf is volgens de antispamorganisatie een geliefde optie onder cybercriminelen voor het hosten van botnetservers. "Helaas hebben we nog altijd geen zichtbare pogingen van Cloudflare gezien om het aanhoudende misbruik van hun netwerk voor botnet-hosting en andere vijandige infrastructuur te bestrijden", aldus Spamhaus. Het was echter cloudprovider Alibaba waar in het derde kwartaal de meeste botnetservers waren ondergebracht. Verder maakte Google een rentree in de Top 20 van providers die botnets hosten.
Te weinig aandacht voor o.a. CloudFlut, AliBaba en zijn 40 rovers en Amazing Amazon?
China samen met de Russische Federatie gingen nu een inspanning doen tegen cybercriminaliteit.
Is te hopen. "Naboj!, naboj!".
#sockpuppet
Pas als eigenaren van websites bij hun hosters gaan klagen over slechte bereikbaarheid van hun site, zullen de hosters betere ID checks doen bij afnemers van hun VPS diensten.
Te weinig aandacht voor o.a. CloudFlut, AliBaba en zijn 40 rovers en Amazing Amazon?
Geen enkel benul waar je het over hebt ? Botnet servers hebben geen drol te maken met de zaken die je noemt.
Dat is niet de verantwoordelijkheid van Spamhaus.
Hoe kun je zeggen dat CloudFlare met zijn toelaten van het misbruik op haar servers,
waar spamhause met name naar uithaalt, ja CloudFlare dus, er geen drol mee te maken heeft.
Botnet servers C&C krijgen een plaatsje in de CloudFlare cloud.
CloudFlare doet een oogje dicht aangaande het misbruik op hun cloudomgeving
of reageert veel te laat of meldt de complaints eerst aan de misbruikers (is ook zat gebeurd),
dan trekt het circus verder naar de volgende cloudstek, net kameleons.
....en jij zegt dat ze er geen drol mee te maken hebben.
Volgens mij heet dat fasciliteren van cybercriminele activiteiten.
Een criminele dollar stinkt dus niet volgens CloudFlare en Alibaba evenmin als een legale.
Je had zeker niet zo'n best cijfer voor lezen op school, of lees je te gehaast.
Of je hebt een relatie met CloudFlare en moet negatieve info over hen wegtrollen?
Dit is de lijst van sponsoren van Spamhaus. Zie jij ergens Amazon.com op die lijst staan? Ik niet. Dus of je draagt hard bewijs voor je niet bewezen claim aan, of je gaat iets zinnigers met je leven doen.
https://www.spamhaus.org/organization/sponsors/
Goede doordenker, anoniem. We kunnen het niet uitsluiten,
maar we zullen het wellicht nooit zwart op wit te weten komen.
Bij AdBlockPlus weten we dat je betaald buiten de blokkering kan komen.
Dus het is niet eens zo'n heel vergezochte mogelijkheid, denk ik dan.
Daar hou ik nu van, even een niet direct voor de hand liggend verband leggen en poneren.
Proficiat, anoniem van 20:15. Je bent een oplettende type en leest lekker mee tussen de regels door.
Er zijn een aantal sites, die deze voortgezette ellende aardig in beeld brengen, zoals URLHaus,
anderen liggen ook vaak onder vuur, zoals eerst Clean-MX en nu ook steeds meer URLquery dot net,
Zie ook https://www.malwareurl.com/index.php enzovoort.
Een flink deel van de criminele internetwereld verstopt zich graag achter Cloudflare. Dat is niets nieuws, het gebeurt al heel lang.
Cloudflare is vervolgens wel goed in het afbreken van functies zoals 'dig any', die vaak door anti-spam onderzoekers worden gebruikt. Ze hebben daar zelfs een RFC voor gemaakt. Het is niet alsof ze de benodigde data op een andere manier beschikbaar maken. Dus effectief werpen ze een schild op tegen allerlei security onderzoekers en ook tegen law enforcement. Ze kunnen veel beter samenwerken met researchers en actie ondernemen.
@Gisteren, 12:41 door Briolet
Helaas, dat zou Spamhaus gebruikers wegjagen. Spamhaus loopt al redelijk vaak op het scherpst van de snede.
Maar: van mij mag Google ook op een blacklist belanden als ze bijvoorbeeld via www.google.com malware zouden verspreiden voor zolang dat gebeurt.
Hoe kun je zeggen dat CloudFlare met zijn toelaten van het misbruik op haar servers,
waar spamhause met name naar uithaalt, ja CloudFlare dus, er geen drol mee te maken heeft.
Botnet servers C&C krijgen een plaatsje in de CloudFlare cloud.
CloudFlare doet een oogje dicht aangaande het misbruik op hun cloudomgeving
of reageert veel te laat of meldt de complaints eerst aan de misbruikers (is ook zat gebeurd),
dan trekt het circus verder naar de volgende cloudstek, net kameleons.
....en jij zegt dat ze er geen drol mee te maken hebben.
Volgens mij heet dat fasciliteren van cybercriminele activiteiten.
Een criminele dollar stinkt dus niet volgens CloudFlare en Alibaba evenmin als een legale.
Je had zeker niet zo'n best cijfer voor lezen op school, of lees je te gehaast.
Of je hebt een relatie met CloudFlare en moet negatieve info over hen wegtrollen?
De afgelopen tijd heb ik meerdere malen moeten reageren op geïnfecteerde Office-accounts die een phishingaanval uitvoerden door besmette bestanden via OneDrive te verspreiden en zodoende een phishingaanval uitvoerden. Overal zat Cloudflare achter.
De meldingen die bij Cloudflare werden ingediend, werden steeds spoedig opgepakt en de sites werden afgesloten via Cloudflare. Ik ben het echter eens dat preventieve maatregelen beter zouden zijn.
Dit is de lijst van sponsoren van Spamhaus. Zie jij ergens Amazon.com op die lijst staan? Ik niet. Dus of je draagt hard bewijs voor je niet bewezen claim aan, of je gaat iets zinnigers met je leven doen.
https://www.spamhaus.org/organization/sponsors/
Hahah een amazon fan boy. Kijk maar naar het verleden, toen stonden ze in de top 10 ofzo. Alsof je dat zomaar even omdraaid. Google.com staat er zelfs nog in. Kijk maar naar je spam/logs, gisteren nog 3 spam gehad van de amazon cloud. Daarnaast heb ik ooit ook hun ranges moeten toevoegen op een eigen rbl, omdat ze ook betalen om hun ip ranges te laten opnemen in een zg. whitelist.
https://www.spamhaus.org/statistics/networks/
Dat ze een abuse provider zijn is gewoon inherent aan hun business model, zoveel mogelijk binnen harken, en vooral niet te veel kosten maken bij hun abuse afdeling. Of hebben ze ooit wel naar jou gereageerd?
Iets zinnigs doen met je leven vereist volgens mij de inzet van je hersens, in jouw geval zou ik dat eerst eens proberen. Want dat doe je duidelijk niet als je een linkje met een lijstje hier aandraagd als argument.
"Internet Service Providers (ISPs) hosting botnet C&Cs, Q3 2019"
CloudFlare
Heel interessant om te zien dat ze nu opeens heel veel AliBaba cloud reverse proxy / SLB gebruiken in plaats van CloudFlare.
CloudFlare mogen ze wat mij betreft ook beter aan gaan pakken, ik zie het zo vaak dat criminelen zich erachter verschuilen en niet gestopt kunnen worden omdat CloudFlare ze in bescherming neemt!
Die nieuwe trend van AliBaba laat me wel schrikken...
https://www.alibabacloud.com/product/server-load-balancer
Straks is het CloudFlare & AliBaba met C&C servers en dat soort rotzooi.. Nu kan ik al raden wat er gaat gebeuren.. AliBaba zal het echt helemaal niets interesseren en wat krijg je dan.. Nog meer rommel op het net.
dat ze niet protesteren als ze ontdekt worden en worden afgesloten,.
Ze verkassen alleen maar en zetten daarna vrolijk hun activiteiten elders voort.
Zo doet RBN het (Russian Business Network) vaak via schimmige hostertjes, ja ook in het zuiden van ons land,
het al jaa....aaaren.
Zo worden geparkeerde domeinen misbruikt.
Als je het neerhaalt of sinkholed, jaag je het alleen maar op.
Het verplaatst zich daarna naar elders.
Cybercrime profiteert natuurlijk ook van de slechte veiligheidssituatie op websites met 40% websites,
die wel een of andere kwetsbare JQuery bibliotheek draaien en onvoldoende veiligheidsmaatregelen hebben getroffen,
denk aan de websites op PHP gerelateerd CMS. CloudFlare maakt deze onveiligheid alleen maar minder direct zichtbaar, maar het probleem is niet weg.
Net als https niet zorgt dat wat erachter hangt (die beveiligde connectie dan) ineens niet meer brak hoeft te zijn en kwetsbaar blijft voor tal van MiM aanvallen en er frauduleuze e-mails kunnen worden verzonden door ontbrekende best policies toepassingen.
DoH wordt nu ingezet tegen "rommelende" Amerikaanse providers die advertenties on the fly vervangen door eigen (met betere inkomsten). Het gaat in de eerste plaats om het veiligstellen van de exorbitante winsten en veiligheid is een last resort issue (het is ze worst als het niet te veel opvalt of ze gedwongen worden er iets aan te doen).
Zodoende kan de algemene "security overhaul" nog wel eens lang op zich laten wachten.
luntrus
Wat security betreft zijn CloudFlare en Alibaba Cloud ook nog eens extra kwetsbaar vanwege de voortgezette mono-cultuur.
Kijk eens even naar deze scan resultaten voor Alibaba Cloud in een Privacy & Security rapport:
:https://webcookies.org/cookies/www.alibabacloud.com/28537666?745598
Neem daarbij ook de resultaten mee verkregen door linten, zogenaamde aanbevelingen ter verbetering:
https://webhint.io/scanner/26a2ecee-1581-42a1-801e-701ec15ac028
impliciet aangaande security:
https://webhint.io/scanner/26a2ecee-1581-42a1-801e-701ec15ac028#category-security
Geen headers gevonden voor x-xss-protection, x-content-type-options, x-frame-options, content-security-policy,
cache control, geen page meta security headers gevonden. AliCDN.com met stabiele mixed content, regels opgesteld via HTTPS Everywhere. Beveiligde tracking vindt plaats via alibaba.cloud.com, assets.alicdn.com, g.alicdn.com en img.alicdn.com.
Tenslotte shodan rapport op de IP: https://www.shodan.io/host/47.88.47.22 technologie jQuery & Retire.JS
Af te voeren jQuery bibliotheek: https://retire.insecurity.today/#!/scan/c666db560322195958ae5745232a3855d2d0ca70dbd49bdac49d327d2f14dc5d
#sockpuppet
https://exchange.xforce.ibmcloud.com/collection/Botnet-Command-and-Control-Servers-7ac6c4578facafa0de50b72e7bf8f8c4
https://exchange.xforce.ibmcloud.com/collection/Botnet-Command-and-Control-Servers-7ac6c4578facafa0de50b72e7bf8f8c4
Ik zou zeggen reverse engineer die rommel, vind de 0day en pwn al deze C&C servers offline.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
