Nieuws
image

Nieuwe generatie botnet gebruikt 1024-bit RSA encryptie

woensdag 14 januari 2009, 11:12 door Redactie, 6 reacties

De criminelen achter het Storm worm botnet hebben een nieuwe variant ontwikkeld die veel hardnekkiger is en een nieuwe naam heeft. Waledac gebruikt 1024-bit RSA encryptie om met besmette machines binnen het netwerk te communiceren, wat afluisteren door onderzoekers onmogelijk maakt. Een van de redenen dat beveiligingsonderzoekers zoveel over Storm te weten kwamen, was vanwege het kraken van de sleutel die het botnet voor de communicatie gebruikte.

De botnetbeheerders hebben daarnaast ook lering uit de afsluiting van McColo getrokken en een infrastructuur opgezet die zich niet zo makkelijk laat uitschakelen. Waledac verspreidt zich op dit moment via digitale wenskaarten, net als de Storm worm regelmatig deed. Volgens Jose Nazario is de nieuwe bot dan ook het werk van de Storm-groep. Het aantal infecties valt met zo'n 10.000 mee.

Xarvester
Een ander nieuw botnet dat het op dit moment erg goed doet is "Xarvester". Het verscheen sinds de afsluiting van McColo en heeft een leger van 60.000 zombies verzameld. Daarmee verstuurd het inmiddels 13% van alle spam die in omloop is. Deze nieuwe bot heeft veel gemeen met de Srizbi bot. Zo verloopt de communicatie over niet standaard poorten, gebruiken de bots versleutelde spamtemplates en hebben ze geen DNS lookups nodig om spam te versturen.

Reacties (6)
14-01-2009, 11:36 door [Account Verwijderd]
[Verwijderd]
14-01-2009, 11:44 door H.King

There is one similarity I found: Both storm and Waledac are using a=...&b=... as HTTP Post parameters

Security noemt dit al het tweede storm worm, gebasseerd op parameters ?. Het is gewoon voor de hand liggend alfabetische volgorde parameters te gebruiken. beetje jammer dat het in dit artikel gewoon staat beschreven alsof het al een feit is dat het om de makers van storm worm gaat terwijl die bewering nu nog gewoon gebasseerd is op feitelijk niks.
14-01-2009, 11:44 door H.King
oeps dubbel post
14-01-2009, 13:34 door Anoniem
Door H.King

There is one similarity I found: Both storm and Waledac are using a=...&b=... as HTTP Post parameters

Security noemt dit al het tweede storm worm, gebasseerd op parameters ?. Het is gewoon voor de hand liggend alfabetische volgorde parameters te gebruiken. beetje jammer dat het in dit artikel gewoon staat beschreven alsof het al een feit is dat het om de makers van storm worm gaat terwijl die bewering nu nog gewoon gebasseerd is op feitelijk niks.


Right! You are not the only one thinking this. In fact a lot of people are drawing similar comparisons. There are a ton of differences, but there's also a bunch of similarities for sure. Here's a few similarities we along with our fellow collaborators/security researchers have come up with:

Fast-flux Network (domains are fast fluxing and name servers frequently change IPs)
Several Name Servers per Domain (ns[1-6].<waledac.domain>)
Use of Nginx (sure lots of people use it, but hey it's a similarity)
Spreading through e-mail and Holiday Themes
Use of "ecard.exe" and "postcard.exe" (both previously used by Storm)
Drive-by Exploit in Domains (Storm previously used Neosploit)
There's also a ton of differences which we are not going to list. We can't say for sure that they are related but we do acknowledge a number of interesting similarities.

source: http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081231

De vergelijking is niet alleen op dat ene rapport gebaseerd.
16-01-2009, 07:06 door pikah

en hebben ze geen DNS lookups nodig om spam te versturen.

Wat doen ze dan, beetje port scannen en hopen dat het aankomt?
16-01-2009, 08:25 door Anoniem
Door pikah

en hebben ze geen DNS lookups nodig om spam te versturen.

Wat doen ze dan, beetje port scannen en hopen dat het aankomt?
Domeinen hardcoded?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search