Nieuws
image

Botnet overleeft actie van Nationale Recherche

donderdag 28 oktober 2010, 11:08 door Redactie, 10 reacties

Ondanks de arrestatie van het vermoedelijke brein achter Bredolab, is het botnet nog steeds actief. Inmiddels zijn er drie actieve Command & Control domeinen gevonden die met de besmette computers kunnen communiceren. Ondanks alle aandacht voor het botnet, verstrekken twee van de domeinen op dit moment nieuwe opdrachten aan de bots. Het gaat om upload-good.net en lodfewpleaser.com.

De Bredolab variant die met upload-good.net communiceert is met name belangrijk, omdat bijna alle anti-virusbedrijven die niet herkennen, aldus Atif Mushtaq van het FireEye Malware Intelligence Lab. De bots die met upload-good.net verbinding maken, krijgen de opdracht om een nep-virusscanner genaamd 'Antivirusplus' te downloaden. Het domein lodfewpleaser.com geeft met Bredolab besmette bots de opdracht om spam te versturen.

Het derde domein in kwestie is proobizz.cc, dat inmiddels ook nieuwe instructies uitstuurt. "Ik ben er zeker van dat de botnetbeheerders achter deze variant volledig actief zijn en waarschijnlijk niet de man zijn die eergisteren gearresteerd werd", aldus Mushtaq. Hij geeft hiervoor twee redenen. Het kan zijn dat de Bredolab botnetcode is gelekt, en iemand nu met deze code zijn eigen botnet bouwt. Een andere mogelijkheid is dat het Bredolab botnet aan een andere bende is verhuurd.

Overleven
Mushtaq merkt op dat ook Symantec rapporteert dat Bredolab nog steeds actief is, maar dat het hier in werkelijkheid om andere malware gaat, genaamd Sasfis/Oficla. Net als Bredolab is dit een downloader die aanvullende malware op besmette systemen downloadt. "Ongeacht al deze verwarring, is het zeker dat een klein gedeelte van Bredolab, zelfs onder zoveel druk, heeft weten te overleven."

Reacties (10)
28-10-2010, 11:19 door Dennixx
Zou het zin hebben om betreffende domeinen in de firewall te blocken?
(niet dat ik verwacht dat we besmet zijn, maar toch...)
28-10-2010, 12:00 door Anoniem
blokkeer achterliggende as nummers maar, hou je veel meer shit buiten. Zijn namelijk nogal bedenkelijke providers.
28-10-2010, 12:18 door DarkieDuck
Goh , wat een verrassing.
En morgen lezen we dat de 27jarige die opgepakt is eigenlijk weinig te maken had met het botnet.?

Nee , deze zag ik niet aankomen :P
28-10-2010, 12:56 door [Account Verwijderd]
[Verwijderd]
28-10-2010, 13:01 door Anoniem
Het hele probleem is dat het nieuws gewoon niet klopte... het was niet 'Het Bredolab botnet' maar 'Een Bredolab botnet' er zijn er veel meer. De taalstelling was gewoon niet goed in het origineel, omdat dit niet goed is gecommuniceerd van/naar de mensen die wel snapten hoe het exact werkte.
28-10-2010, 13:26 door Dennixx
Door Peter V:
Ik denk dat het sowieso handig is om blocklists te gebruiken. Zeker in het geval van dit botnet.
Ik kan me herinneren dat Conficker iedere dag andere C&C domeinnamen gebruikt (afhankelijk van de versie enkele duizenden verschillende domeinen per dag). Als dat bij dit botnet ook zo is, dan is zo'n blocklist morgen alweer outdated... Vandaar mijn vraag.
28-10-2010, 15:05 door Anoniem
Het moet een complex botnet zijn , bredolab dan ze nog active zijn. Ik denk dat er zoveel computers zijn op de wereld, ze weer een niew server vinden. profide kun zich hier moeilijk tegen wapen , die gast achter de botnet zijn veel slimmen!
Ik vind dat alleen isp versleuteld data verkeer moet gaan blockeren. ZO kan een botnet makkelijk gevond worden en anders krijg je geen toegang tot netwerk. Dus als je laat zien wat je aan het doen bent,, pas dan mag je een site krijgen op server.
28-10-2010, 17:38 door Anoniem
Door Anoniem: Het moet een complex botnet zijn , bredolab dan ze nog active zijn. Ik denk dat er zoveel computers zijn op de wereld, ze weer een niew server vinden. profide kun zich hier moeilijk tegen wapen , die gast achter de botnet zijn veel slimmen!
Ik vind dat alleen isp versleuteld data verkeer moet gaan blockeren. ZO kan een botnet makkelijk gevond worden en anders krijg je geen toegang tot netwerk. Dus als je laat zien wat je aan het doen bent,, pas dan mag je een site krijgen op server.

Tof dus jij wilt gewoon dat alles ongecodeerd gaat, dus weg met secure vpn tunnels voor bedrijven, weg met ssl. Resultaat geef dan gewoon je visa, adres, bankgegevens etc gewoon even publiek online zodat iedereen ze kan misbruiken. Encryptie is juist uitgevonden om gegevens veilig te maken en dat wil jij even afschaffen, haal dan direct ook even allemaal je sloten van je deuren en ramen en zet ze open zodat iedereen binnen kan.
28-10-2010, 21:42 door monica8
De in Armenië aangehouden Georghiy A. is de leider van een hacker groep heeft al meer dan 10 jaar ervaring met cyber crime en vooral met de gigantische financiële verdiensten, het luxe leventje en macht daarvan.

Hij is een machtig man, een cyber crime expert, ook zeer geliefd bij de mafia in verschillende werelddelen en de inlichtingen diensten, die zijn botnet gebruiken om informatie te verspreiden (spam/malware) en in te winnen (spionage)

Het is zeer betreurenswaardig dat hij niet op heterdaad aangehouden want dat betekend dat hij tijd heeft gehad om na te denken.

Mocht hij in de tijd tot zijn aanhouding op enig moment hebben gedacht dat zijn botnet door een concurrerende bende werd aangevallen dan is dat relatief gunstig voor Nederland, maar als hij in een vroeg stadium heeft begrepen dat het de Nederlandse politie was dan zal hij daar maatregelen tegen hebben getroffen.

Een dreiging naar Nederland middels miljoenen bots/computers is van de hoogste orde, een directe bedreiging van de staatsveiligheid. Alles op alles moet worden gezet om deze meneer op korte termijn de controle over zijn botnet te onthouden. En dat zijn volgers/zaken partners geen wraak namens hem willen nemen.

Mocht hij te vroeg op vrije voeten komen dan is er een echt probleem en hoop ik dat er tijdens dit Bredolab onderzoek enige militair-strategische leiding is geweest, want het uitlokken van een tegenaanval middels miljoenen bots op de Nederlandse infrastructuur kan het OM, CERT nog het NHTC voor hun verantwoording nemen.
29-10-2010, 11:14 door Anoniem
CIA is ook bezig met jou privacy doorbreken, blackberry moest ook zijn sleutel afstaan aan de Emiraten afstaan. In strijd met cyber war is nog veel te gemakelijk voor een botnet om een server te bemachtigen, en de eigenaar weet niet wat de persoon er achter aan het doen is. Ik vind dat de administator de sleutel van data verkeer moet krijgen, ook al gaat om bankgegevens, privacy, zo kan je zien wat jij achter de scherm aan het doen bent. Heb je iets verbergen, kinderporn, of straftbaar feiten, wat illegaal is dan moet het zo snel mogelijk gestop worden!

Ik denk dat je het ook met mij eens bent.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search