Nieuws
image

400.000 Macs bevrijd van Flashback-botnet

donderdag 12 april 2012, 12:09 door Redactie, 10 reacties

De omvang van het Flashack-botnet dat zo'n 670.000 Macs wist te infecteren, is de afgelopen dagen met 400.000 geslonken. Flashback verspreidt zich via verschillende Java-lekken en zou volgens Kaspersky Lab op het hoogtepunt 670.000 Mac-computers hebben besmet. De malware kaapt zoekverkeer en netwerkverkeer. In het weekend daalde de omvang van het botnet naar zo'n 240.000. "Dit betekent niet dat het botnet snel aan het krimpen is, het zijn alleen de cijfers voor het weekend", aldus Kaspersky Lab analist Alexander Gostev op maandag.

Symantec laat echter weten dat het aantal besmette Macs snel afneemt en het botnet inmiddels meer dan gehalveerd is. Gisteren werden 270.000 geïnfecteerde machines waargenomen.

Algoritme
Flashback gebruikt een domein naam generator (DNG) algoritme om elke dag nieuwe domeinnamen te genereren waarmee de besmette bots de Command & Control-server kunnen bereiken. Via deze server kunnen de criminelen het botnet nieuwe opdrachten geven. Het algoritme is echter gekraakt en de domeinnamen voor de komende dagen zijn bekend en door anti-virusbedrijven geregistreerd.

Dit zorgt ervoor dat de bots straks verbinding met de servers van de anti-virusbedrijven maken, die zo het aantal besmette machines kunnen tellen en voorkomen dat de botnetbeheerders de besmette Macs nieuwe opdrachten geven of aanvullende malware installeren.

Reacties (10)
12-04-2012, 12:34 door Rasalom
Ondanks de aanname dat Mac gebruikers geen nieuwsbulletins over malware lezen en totaal gespeend zijn van enig veiligheidsbesef, lijkt ook deze rel weer een kort leven beschoren.

Wat ik me dan wel afvraag... Hoe zijn die 400.000 machines schoon geraakt?
12-04-2012, 12:46 door Anoniem
Maar welke aanvullende malware is op al die 400.000 mac's geinstalleerd? Een besmet systeem is nooit meer te vertrouwen.
12-04-2012, 13:10 door Rasalom
Door Anoniem: Maar welke aanvullende malware is op al die 400.000 mac's geinstalleerd?
Ik denk dat dat, gezien de 'verbluffend lange' lijst van bekende malware voor de Mac, wel een beetje mee zal vallen. Op de Mac, heb je niet zoals bij bijvoorbeeld XP, miljoenen stuks malware om uit te kiezen. Verder was Flashback volgens mij geen downloader.

Het nieuws de komende dagen zal het moeten uitwijzen, maar zoals ik al zei, ik denk dat het meevalt.

Ik denk dat deze uitbraak de geschiedenis in zal gaan als een wake-up call en niet DE wake-up call. Waar ik vooral op hoop is dat dit DE wake-up call voor Apple zelf is. Ik heb de indruk dat ze daar de risico's ook nog altijd onderschatten, en dat is wel heel gevaarlijk.
12-04-2012, 15:32 door SirDice
Door Rasalom:
Door Anoniem: Maar welke aanvullende malware is op al die 400.000 mac's geinstalleerd?
Ik denk dat dat, gezien de 'verbluffend lange' lijst van bekende malware voor de Mac, wel een beetje mee zal vallen. Op de Mac, heb je niet zoals bij bijvoorbeeld XP, miljoenen stuks malware om uit te kiezen.
En waarom zouden ze iets gebruiken wat al bekend is? Tot een paar weken geleden had geen hond nog van flashback gehoord. Ondertussen hebben ze wel 670.000 Macs geïnfecteerd. Ik zou juist iets gebruiken wat niet bekend is. Bedenk ook dat je geen bugs meer hoeft te misbruiken, je hebt immers al toegang.

Verder was Flashback volgens mij geen downloader.
Flashback gebruikt een domein naam generator (DNG) algoritme om elke dag nieuwe domeinnamen te genereren waarmee de besmette bots de Command & Control-server kunnen bereiken. Via deze server kunnen de criminelen het botnet nieuwe opdrachten geven.
Inclusief opdrachten om andere malware te downloaden/installeren.
12-04-2012, 16:46 door Rasalom
Door SirDice:
En waarom zouden ze iets gebruiken wat al bekend is?
Inclusief opdrachten om andere malware te downloaden/installeren.
Dat zijn beide aannames, waarvoor ik geen bewijs zie. het zou kunnen, maar als het waar zou zijn zou ik daar nu zo langzamerhand de eerste nieuwsberichten van verwachten.

Ik weet niet of de ontwikkelaars rekening hebben gehouden met hun succes en kant en klare extra's op de plank hadden liggen om te downloaden.

Ik weet niet of ze een downloader in de malware hadden gebouwd, je kan wel een opdracht van de C&C krijgen maar dan moet je dat wel kunnen uitvoeren. En zo niet, of er code is waarmee de malware zich zelf kan updaten om wel een downloader te worden.

Omdat dit een eerste succes is verwacht ik er nog geen wonderwerkje van. Naar de toekomst toe zal het vast gaan gebeuren, maar er nu al mythische kwaliteiten aan toekennen omdat je dat graag wil lijkt me voorbarig.

Maar misschien wordt ik in de komende dagen toch verrast en krijg jij gelijk. :-)
12-04-2012, 17:04 door SirDice
Door Rasalom: Ik weet niet of de ontwikkelaars rekening hebben gehouden met hun succes en kant en klare extra's op de plank hadden liggen om te downloaden.
Ik denk dat dit ook de reden is. Ze hadden waarschijnlijk zelf nooit gedacht dat dit ineens zo hard zou gaan.
12-04-2012, 18:05 door SirDice
Door Rasalom: Ik weet niet of ze een downloader in de malware hadden gebouwd, je kan wel een opdracht van de C&C krijgen maar dan moet je dat wel kunnen uitvoeren. En zo niet, of er code is waarmee de malware zich zelf kan updaten om wel een downloader te worden.
Ik moest even zoeken maar:

After receiving a response from the control server, BackDoor.Flashback.39 searches the response for three tags:

##begin##
##sign##
##end##

If the RSA verification for the reply is successful, then the Trojan horse downloads and runs the payload on the infected machine.
Bron: http://vms.drweb.com/virus/?i=1816029
12-04-2012, 18:21 door Anoniem
Door SirDice: Tot een paar weken geleden had geen hond nog van flashback gehoord.

Dat zal dan wel komen doordat honden dit soort websites niet lezen. De Flashback-trojan bestond in September namelijk al. De trojan vermomde zich toen echter als een Flash-update. Ook al heeft deze nieuwe variant niets met Flash te maken, het is dus nog steeds diezelfde trojan die meer dan een half jaar geleden ook al bestond.
13-04-2012, 10:44 door SirDice
Door Anoniem:
Door SirDice: Tot een paar weken geleden had geen hond nog van flashback gehoord.

Dat zal dan wel komen doordat honden dit soort websites niet lezen. De Flashback-trojan bestond in September namelijk al. De trojan vermomde zich toen echter als een Flash-update. Ook al heeft deze nieuwe variant niets met Flash te maken, het is dus nog steeds diezelfde trojan die meer dan een half jaar geleden ook al bestond.
Dat het al eerder bestond betekend nog niet dat ook algemeen bekend was.
14-04-2012, 20:15 door Anoniem
Door SirDice:
Door Anoniem:
Door SirDice: Tot een paar weken geleden had geen hond nog van flashback gehoord.

Dat zal dan wel komen doordat honden dit soort websites niet lezen. De Flashback-trojan bestond in September namelijk al. De trojan vermomde zich toen echter als een Flash-update. Ook al heeft deze nieuwe variant niets met Flash te maken, het is dus nog steeds diezelfde trojan die meer dan een half jaar geleden ook al bestond.
Dat het al eerder bestond betekend nog niet dat ook algemeen bekend was.

De Flashback-versie van September waar ik het over heb was anders behoorlijk bekend. Van die versie heb ik zelfs veel meer nieuwsberichten op de verschillende Apple-geörienteerde websites gezien dan van deze nieuwe versie.

Een simpele zoekopdracht op Google met de volgende kenmerken geeft mij al 994.000 zoekresultaten:
Zoekwoorden: flashback mac
Aangepaste periode: Start > 1-09-2011; Einde > 1-10-2011

Bijna een miljoen zoekreultaten voor de maart September vind ik niet echt overeenkomen met "geen hond van gehoord" of "niet algemeen bekend".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search