80% Conficker machines besmet met gevaarlijke C variant
De Conficker Cabal, het samenwerkingsverband tussen registrars, Microsoft en beveiligingsbedrijven, heeft gefaald in het stoppen van de Conficker worm. De B-variant die in korte tijd zo'n 10 miljoen machines wist te infecteren, kan zich op twee manieren updaten: Door dagelijks contact te maken met 250 domeinnamen en een gebrekkige P2P-functionaliteit. De P2P-functionaliteit werkt alleen van binnen het netwerk waar de besmette machines zich bevinden en is niet vanaf het internet te gebruiken. Het genereren van de 250 domeinnamen werkt wel naar behoren, maar op 12 februari besloten Microsoft, Symantec, het Internet Corporation for Assigned Names en Numbers (ICANN), DNS-beheerders en nog verschillende andere partijen om de worm aan te pakken. Doordat het algoritme voor het genereren van de domeinnamen was gekraakt, kon men die preventief registreren, zodat het Conficker-B netwerk nooit geüpdate zou kunnen worden.
Mogelijk is er een domein doorheen geslipt, maar waarschijnlijker is dat een al veel eerder geregistreerd domein uit de generator rolde. Begin maart werd al duidelijk dat een aantal domeinen al in het verleden was vastgelegd, waaronder ook een Nederlandse website. De makers van Conficker zouden de betreffende website hebben kunnen hacken om zo de update voor Conficker.B daar te plaatsen.
Hoewel de precieze gang van zaken nog onduidelijk is, is wel duidelijk dat de update actie een groot succes is geweest. Zeker 60% en mogelijk 80% van het Conficker.B netwerk is met de veel gevaarlijkere C-variant geüpdate. Deze versie is voornamelijk gebouwd om het botnet in stand te houden en infecteert bijvoorbeeld geen nieuwe machines. Daarnaast genereert die elke dag 50.000 domeinnamen om verbinding mee te maken en is er een robuuste, en dit keer werkende, Peer-to-Peer functionaliteit toegevoegd.
Over het aantal door Conficker besmette machines bestaat nog altijd een hoop onduidelijkheid. Microsoft spreekt over 3 miljoen geinfecteerde Windows computers, terwijl het Finse F-Secure al in januari de 10 miljoen noemde.
1 april - einde van internet?
Het nieuwe Conficker botnet zal op 1 april zichzelf activeren en op zoek gaan naar nieuwe updates en opdrachten. Rik Ferguson van Trend Micro durft niet met zekerheid te zeggen waar de update uit zal bestaan, maar acht het goed mogelijk dat de makers van Conficker het botnet zullen gaan verhuren. Hij verwacht in ieder geval niet dat op 1 april het internet zal vergaan, zoals sommige mediaberichten de laatste week lieten geloven.
Ook Eddy Willems van het Russische Kaspersky Lab zegt tegenover Security.nl dat internetgebruikers niet hoeven te vrezen. "Anders zou het de grootste 1 april grap van het jaar zijn." De Belg maakt zich voornamelijk zorgen dat er nog steeds talloze bedrijven zijn die niet de laatste updates geïnstalleerd hebben. "Dat baart mij grotere zorgen."
Professioneel
De vraag blijft wat de beveiligingsgemeenschap en anti-virusbedrijven tegen dit zeer krachtige botnet gaan doen. De analyse van SRI International liegt er niet om. Zeer professionele ontwikkelaars hebben Conficker gemaakt en houden nauwlettend de laatste ontwikkelingen in de gaten. Zo gebruikte Conficker.B het MD6 hash algoritme, dat slechts een maand eerder voor het publiek beschikbaar kwam. Op 19 februari werd bekend dat er een buffer overflow in de MD6 implementatie zat, die ook in Conficker.B aanwezig was. Via dit beveiligingslek was het niet mogelijk om het Conficker botnet over te nemen. Toch bevatte Conficker.C, die twee weken later verscheen, een patch voor het MD6-lek. Ferguson besluit door te zeggen dat beveiligers in ieder geval niet het botnet zullen hacken om zo de machines te ontsmetten, aangezien dit in veel Westerse landen verboden is.
Het lijkt mij dat dit best moet kunnen, mits ook de providers meewerken!
Het lijkt mij dat dit best moet kunnen, mits ook de providers meewerken!
Als het gaat kost dit tijd en tijd is geld. En niemand werkt graties dus wie gaat het betalen?
Het lijkt mij dat dit best moet kunnen, mits ook de providers meewerken!
Het liefst alleen toegang tot anti-virussites en een zeer duidelijke portal met informatie hoe van het virus af te komen.
E-mailen over poort 25 verbieden, alleen webmail toestaan etc.
Over het aantal door Conficker besmette machines bestaat nog altijd een hoop onduidelijkheid. Microsoft spreekt over 3 miljoen geinfecteerde Windows computers, terwijl het Finse F-Secure al in januari de 10 miljoen noemde.
F-Secure laat in elk geval zien hoe men aan die 10 miljoen gekomen is (www.thetechherald.com/article.php/200904/2816/Conficker-How-the-count-of-over-eight-million-infections-came-to-be).
"Do bear in mind that this number only shows how many machines got infected via the MS08-067 exploit. Downadup spreads at least as much via network shares and USB sticks," added the company.
Dus 10 miljoen via MS08-067 en tenminste nog eens 10 miljoen via netwerk en usb. En dat was de stand in januari, twee maanden geleden.
Als het samenwerkingsverband gefaald heeft in het stoppen, verspreidt Conficker zich nu misschien nog sneller dan daarvoor. Het zou nuttig kunnen zijn om de omvang van het probleem helder te hebben. Al was het maar om een schatting te kunnen maken van de wereldwijde schade. Conficker haalt nog regelmatig koppen hier dus de nieuwswaarde is nog steeds groot genoeg.
Hoe komt het dan dat we geen betrouwbare recente gegevens hebben van het aantal besmette machines?
Ze rollen het uit om terrroristen e.d. beter in de gaten te kunnen houden.
Straks is het van de ene op de andere dag opeens stil en denkt iedereen van Conficker af te zijn.
Ondertussen gaat Conficker met een vernieuwde versie verder waarbij alle instanties e.d. afgesproken hebben om deze niet te detecteren. (met als doel alles en iedereen in de gaten te houden i.v.m. mogelijke terrorisme)
Of heb ik nu te veel films gekeken?
Groeten,
B.
Het lijkt mij dat dit best moet kunnen, mits ook de providers meewerken!
Het liefst alleen toegang tot anti-virussites en een zeer duidelijke portal met informatie hoe van het virus af te komen.
E-mailen over poort 25 verbieden, alleen webmail toestaan etc.
Die technologie bestaat bij universiteiten al lang, en is zo te zien ook al tijden voor ISP's beschikbaar, volgens http://www.quarantainenet.nl/?language=nl;page=application-isp
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.