image

Symantec monitort "ondergrondse" IRC-kanalen met Dark Vision

dinsdag 3 oktober 2006, 12:31 door Redactie, 12 reacties

Onderzoekers van Symantec hebben een nieuwe applicatie ontwikkeld waarmee men real-time de IRC-kanalen van identiteitsdieven, botnetbeheerders en andere computercriminelen kan monitoren.

Dark Vision, zoals de software heet, is een combinatie van Google Maps en verschillende Symantec produkten. Via de interface ziet men een lijst van actieve IRC-servers die gemonitord worden en een map waarop de locatie van de geselecteerde servers te zien zijn.

IRC-kanalen zijn een populaire manier voor identiteitsdieven en spammers om gestolen creditcardgegevens en botnets uit te wisselen. Dark Vision kan ook voor het monitoren van botnets gebruikt worden. Gemiddeld zouden er 800 zombienetwerken actief zijn, aldus één van de onderzoekers.

De software bevindt zich nog steeds in de onderzoeksfase. Het is dan ook nog niet zeker of Dark Vision binnenkort aan de produkten van Symantec wordt toegevoegd, maar het zou interessant voor de anti-fraude dienst zijn.

Reacties (12)
03-10-2006, 13:41 door awesselius
Alsof je ook zomaar weet welke IRC-kanalen door gespuis
gebruikt worden.....

En wat kun je dan monitoren? De gesprekken? Heb je daar
zomaar toegang toe?

Niet dat ik veel van IRC afweet hoor, mijn moeder nog meer
dan ik. Maar is het voor de doorsnee gebruiker interessant
of alleen voor security-officers?

- Unomi -
03-10-2006, 14:07 door Anoniem
In de vorige eeuw was IRC de plek waarop mensen elkaar spraken.

Dat de tool een "geo" locator heeft, doet me denken aan tools als
Nukenabber e.d. die alleen voor de paranoide systeembeheerder
intressant is maar niets toevoegd.

Verder is het een illusie te denken dat je via IRC bij daders uit komt, dit om
het simpele feit dat het allang not-done is om openbare IRC netwerken of
communicatie protocollen te gebruiken om zaken te bespreken.

Degene die zich op IRC ophouden zijn vaak de kindertjes en mensen in
derde wereld landen.

Verder is de koppeling met google maps leuk, maar een IP adres is nooit
geografisch gebonden.

Ook het aantal van maar 800 botnets is wel erg laag.

Dus ik betwijfel de meerwaarde van een dergelijke tool.
03-10-2006, 14:07 door Anoniem
De meeste bots in een botnet hebben de mogelijkheid om zichzelf te
updaten. Dus als jij met behulp van dat Symantec tooltje wat botnets kunt
ontdekken en overnemen kun je ook grappige dingen doen :)
03-10-2006, 14:14 door GateHawk
Zouden echte "bad guys" gebruik maken van IRC-kanalen??
Persoonlijk denk ik van niet. Natuurlijk worden nog steeds
via deze kanalen informatie uitgewisseld maar of je daar nu
echt wat aan heb betwijfel ik.

Misschien is het handiger om te infiltreren in deze groepen,
voor zover dit nog niet gebeurd. Dan kom je tenminste aan
"echte" informatie.
03-10-2006, 15:56 door SirDice
Door Un0mi
Alsof je ook zomaar weet welke IRC-kanalen door gespuis
gebruikt worden.....
Trek een willekeurige worm (met botnet functie) open en je
weet zo welke servers en kanalen er gebruikt worden. Zelf
ook al een paar keer gedaan..
En wat kun je dan monitoren? De gesprekken? Heb je daar
zomaar toegang toe?
De opdrachten die, in het kanaal, gegeven worden. Hoeveel
bots, waar ze vandaan komen etc..Toegang verkrijg je middels
de info die je uit zo'n worm getrokken hebt.
Door GateHawk
Zouden echte "bad guys" gebruik maken van IRC-kanalen??
Jazeker wel.
Persoonlijk denk ik van niet. Natuurlijk worden nog
steeds via deze kanalen informatie uitgewisseld maar of je
daar nu echt wat aan heb betwijfel ik.
Waarom denk je dat?
03-10-2006, 20:02 door Preddie
oe ... scary, moet ik me nu voorstellen dat ze daar iemand
hebben zitten die de hele dag gesprekken tussen bots zit te
controleren :P .....

Underground zegt het al .... meestal niet vindbaar voor een
doorgaans persoon!
03-10-2006, 23:56 door Anoniem
Door SirDice
Door Un0mi
En wat kun je dan monitoren? De gesprekken? Heb je daar
zomaar toegang toe?
De opdrachten die, in het kanaal, gegeven worden. Hoeveel
bots, waar ze vandaan komen etc..Toegang verkrijg je middels
de info die je uit zo'n worm getrokken hebt.

Iemand met een beetje verstand zet zijn channel +U (oid, lang geleden..)
zodat wanneer iemand jouw kanaal joint, het voor diegene lijkt alsof hij
alleen in het betreffende kanaal zit. Hij zit dus geen topic, geen user,
geen 'gesprekken'.

Oftewel, nee, hier heb je (bij de wat slimmere botnet owners, of misschien
is het tegenwoordig al de standaard) geen toegang tot.
04-10-2006, 06:27 door Anoniem
Door GateHawk
Misschien is het handiger om te infiltreren in deze groepen,
voor zover dit nog niet gebeurd. Dan kom je tenminste aan
"echte" informatie.

Nou, dat is de afgelopen tien jaar vrijwel onmogelijk geworden.

In eerste instantie nemen de groepen die zelf security research doen
amper nieuwe leden.
Ten tweede nieuwe leden worden jaren aan het lijntje gehouden en
moeten meerwaarde hebben, dus in de praktijk komt het erop neer dat
hij/zij op een bepaalde gebied meer kennis heeft.
En bovendien moet men in het verleden regelmatig exploits hebben
gepubliceerd van eigenhand. (nee geen XSS lekje :-) )

Aan gezien het lekken van andersmans exploits meteen opvalt
(roddelmachines gaan hard) kom je er niet mee weg om
informatie/sploits/kennis te lekken die niet van jezelf is.

Kortom, bij de groepen die er toedoen zul je als overheid of bedrijfsleven
niet zomaar binnen komen.
Mocht je wel binnenkomen, dan zul je zien dat er niks strafbaars
besproken word, maar dat het slechts clubjes mensen zijn die regelmatig
fysiek afspreken en online slechts af en toe wat hulp met uitdagingen aan
elkaar bieden.

De groepjes die wel makkelijk toegankelijk zijn, zijn de scriptkiddie
groepjes waar je in Nederland al een stuk of 50 van hebt.
Maar deze hebben indien ze goed ontwikkeld zijn hooguit basale C kennis
en kunnen compiler probleempjes oplossen indien een exploit niet wil
compileren.

Deze kun je makkelijk benaderen indien je wat 0day exploits met ze gaat
traden, maar dan ben je tegenwoordig al strafbaar bezig. Los hiervan is
de informatie die je terug kan verwachten nihil als ook dat je uren per dag
kwijt bent met in stand houden van relaties.

Het om die reden grappig om te zien dat Symantec denkt in kanalen te
kunnen komen die +i +k zijn.
Zelfs indien je in een ircnetwerk je eigen server hebt staan en daardoor de
CTCP protol verkeersstroom kan zien, mis je alle DCC verkeer als ook zul
je de versleutelde communicatie niet kunnen lezen.
04-10-2006, 10:43 door PietNL
Tja ... en wat als de servers in Noord Korea, China, of Iran staan. Gaan we
ze dan daar dan weghalen. LOL

Fijne dag verder!
04-10-2006, 10:45 door Anoniem
Door Anoniem
Het om die reden grappig om te zien dat Symantec denkt in kanalen te
kunnen komen die +i +k zijn.

Wanneer hun een bot op hun eigen pc gaan draaien kun je de sleutels wel
sniffen. Om een kanaal te joinen die +i staat, moet je hopen een irc-server
die zijn modes niet reset na een crash/reboot oid. Deze laatste manier geldt
natuurlijk ook voor een kanaal beveiligd met een key (+k).

Theoretisch is het dus mogelijk, maar in de praktijk zal er wel weinig van
terecht komen.
05-10-2006, 15:45 door Anoniem
Waarschijnlijk zullen ze de tool combineren met hun vele
honeypot pc's die ze laten infecteren om zo mee te
piggybacken tot in het IRC kanaal.

Zet maar eens een Windows XP SP1 met de firewall af naakt op
het internet, hij is zo geinfecteerd.
05-10-2006, 15:47 door Anoniem
Waarschijnlijk zullen ze de tool combineren met hun vele
honeypot pc's die ze laten infecteren om zo mee te
piggybacken tot in het IRC kanaal.

Zet maar eens een Windows XP SP1 met de firewall af naakt op
het internet, hij is zo geinfecteerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.