Miljoenen websites offline door Microsoft-actie
Een actie die Microsoft tegen twee malware-families uitvoerde heeft ervoor gezorgd dat 4 miljoen legitieme websites offline zijn. Dat beweert No-IP.com, het bedrijf dat doelwit van Microsofts actie was. Microsoft voerde recent een operatie tegen de Jenxcus en Bladabindi-malware uit.
Wereldwijd zou deze malware zeker 7,5 miljoen computers hebben besmet. Microsoft zag dat bijna alle communicatie van de aanvallers met de besmette computers via de domeinen van DDNS-aanbieder No-IP.com liep. Via een DDNS-aanbieder is het mogelijk om een IP-adres aan een domein te koppelen. IP-camera's maken hier bijvoorbeeld gebruik van.
Door het gebruik van een DDNS-dienst zorgden de makers van de malware ervoor dat de besmette computers altijd verbinding met de controleserver van de aanvallers konden maken. In het geval van NoIP.com beschikt het bedrijf over tientallen domeinen. Gebruikers van de dienst kunnen vervolgens gratis subdomeinen registreren, zoals subdomein1.no-ip.com.
Rechter
Microsoft stapte naar de rechter en maakte gebruik van Ex Parte, waarbij de rechter het bewijs van één partij aanhoort. De softwaregigant liet de rechter weten dat de mensen achter de twee malware-families meer dan 18.400 subdomeinen van No-IP.com gebruikten. De rechter accepteerde het verzoek van Microsoft en maakte de softwaregigant op 26 juni de DNS-autoriteit van 22 No-IP-domeinen. Dit zijn bijna alle domeinen die No-IP.com voor de eigen dienstverlening gebruikt.
Het was de bedoeling dat Microsoft het verkeer van 18.400 subdomeinen zou filteren, zodat het onschuldige verkeer naar de rechtmatige bestemming kon gaan. Dat was echter niet wat er gebeurde. Volgens No-IP.com zou de Microsoft-infrastructuur de grote hoeveelheid verzoeken niet aankunnen, waardoor nu miljoenen gebruikers de dupe zijn.
"Als Microsoft ons had benaderd, hadden we direct actie kunnen ondernemen. Microsoft beweert dat het alleen wilde dat we onze zaken op orde zouden krijgen, maar de draconische acties hebben miljoenen onschuldige internetgebruikers gedupeerd", zo laat No-IP in een verklaring op het eigen blog weten.
Tegenover IT-journalist Brian Krebs stelt een woordvoerster dat van de 18.400 subdomeinen van No-IP.com die door de malware werden gebruikt, er iets meer dan 2.000 afgelopen maandag nog actief waren. Door de actie van Microsoft zouden in ieder geval 4 miljoen legitieme domeinen nog altijd offline zijn. "Niemand profiteert van dit hardhandige optreden van Microsoft", aldus NoIP.com, dat zegt de situatie zo snel als mogelijk te willen oplossen.
+1 maar je moet dus wel ea afweten van de impact van zo een change ..best heftige impact imho
Dat dacht ik er toch ook van ...
Hadden ze meer te verbergen misschien de No-IP'ers?
Kan bevestigen dat mijn domein ook niet meer bereikbaar is, nslookup werkt niet en heel no-ip.info lijkt geen gegevens meer te hebben..
Dynamic DNS is voor velen een noodzaak en geen keuze. Verder valt dit onder de noemer "blame the victim" en is dus ongepast.
Hoe lang zou het duren voordat iedereen er weer bij kan vraag ik mij af. Anders heb ik wat werk voor de boeg..
Maar je zou ook kunnen zeggen: no-ip, weer zo'n Internet-dienstverlener die wel veel geld verdient maar totaal niet zijn best doet om het ecosysteem te beschermen.
De data op basis waarvan de domeinen nu zijn overgenomen was al tijden lang publiek. En wat is no-ip's verdediging: we hoorden er vanochtend pas van. Ja, dat krijg je, als je werk niet doet.
Is dit de beste manier om dingen aan te pakken? Zonder meer een discussie waard. En als iemand een betere oplossing weet: sta op en doe iets...
Als je provider je afsluit ben je beschermt tegen het boze Internet. Goed plan toch? Werkt perfect. Gaan we meteen doen, als je een beter plan hebt horen we het wel.
Maar je zou ook kunnen zeggen: no-ip, weer zo'n Internet-dienstverlener die wel veel geld verdient maar totaal niet zijn best doet om het ecosysteem te beschermen.
Waar baseer je dat op? Volgens de berichten gooien ze regelmatig domeinen en accounts dicht als die misbruikt worden.
Als iets publiek is, wil dat niet zeggen dat iedereen in het publiek hiervan op de hoogte is. Zeker niet bij malware, waar iedere dat nieuwe domeinen worden geregistreerd. Zelfs grote anti-malware bedrijven hebben het moeilijk om die domeinen te achterhalen.
Ik heb het ook met bijvoorbeeld pastebin. Ik krijg daar dagelijks mailtjes van dat mijn domeinen genoemd worden. Als ik dan ga kijken is dat in 99% van de gevallen een false positive. In het begin keek ik binnen enkele minuten na de mail op pastebin, maar nu draai ik me 's nachts nog een keer om en kijk de volgende dag wel. Dat krijg je bij het publiek melden van problemen. Veel daarvan is vals.
Het probleem is dat Microsoft al vaker met de botte bijl aan het hakken geweest in een poging hun rommel op te ruimen. Daar lijken ze niets van geleerd te hebben.
Peter
Dus nee, dit is verre van de beste manier op zoiets aan te pakken; het schept een gevaarlijk precedent, en ik ben heel benieuwd of er nog schade verhaald gaat worden. Het is al gekscherend geopperd ergens, maar alles van Microsoft per direct geforceerd uitzetten omdat er veel botnetclients op windows draaien is eigenlijk helemaal niet zo verschillend van deze 'oplossing'. Er zijn ook wel initiatieven die het een stuk beter aanpakken; ISC heeft destijds een dns-resolver based malware netwerk overgenomen (in samenwerking met de FBI), en zijn hebben *heel* goed opgelet of er geen onnodige slachtoffers vielen.
Maar je zou ook kunnen zeggen: no-ip, weer zo'n Internet-dienstverlener die wel veel geld verdient maar totaal niet zijn best doet om het ecosysteem te beschermen.
De data op basis waarvan de domeinen nu zijn overgenomen was al tijden lang publiek. En wat is no-ip's verdediging: we hoorden er vanochtend pas van. Ja, dat krijg je, als je werk niet doet.
Inderdaad, en voor degene die offline zijn, was gratis, had je maar een betere leverancier moeten kiezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.