[HaBo]

rat

Die spanische Polizeieinheit Guardia Civil hat am Mittwoch Einzelheiten zur Festnahme von drei mutmaßlichen Hauptverantwortlichen eines unter dem Namen "Mariposa" bekannten Botnetzes (PDF-Datei) mitgeteilt. Festgenommen wurden in den vergangenen Wochen demnach drei Spanier, denen vorgeworfen wird, seit Ende 2008 über 13 Millionen Computer unter ihre Kontrolle gebracht und damit eines der größten Botnetze weltweit betrieben zu haben. Bei Hausdurchsuchungen in Valmaseda, Santiago de Compostela und Molina de Segura beschlagnahmten die Behörden den Angaben zufolge umfangreiches Beweismaterial, darunter Zugangsdaten zu Unternehmensnetzen, Online-Banking-Accounts und E-Mail-Konten von mehr als 800.000 Nutzern.

Unterstützt wurde die "Grupo de Delitos Telemáticos" der Guardia Civil vom amerikanischen FBI, dem Georgia Tech Information Security Center, dem spanischen Hersteller von Sicherheitssoftware Panda Security und dem Defense Intelligence Team, das im Mai 2009 auf "Mariposa" aufmerksam wurde und anschließend zahlreiche Master-Server identifizierte, von denen die gekaperten Windows-Rechner Befehle zum Herunterladen von weiteren Schadprogrammen wie Key-Loggern erhielten. Aufgebaut wurde das Netz offenbar vor allem über das Versenden von Links auf präparierte Webseiten in Instant Messages. Rief der Empfänger eine der Seiten auf, wurde eine nicht näher spezifizierte Sicherheitslücke im Internet Explorer zur Infizierung des Rechners ausgenutzt.

Zum Mariposa-Botnetz, dessen "Command and Control Server" bereits am 23. Dezember vergangenen Jahres vom Netz genommen worden sein sollen, gehörten den Angaben zufolge PCs in 190 Ländern, darunter Rechner in Schulen, Regierungsinstitutionen und hunderten Großunternehmen. Den entstandenen Schaden vermag die Guardia Civil derzeit nicht zu beziffern. Offenbar wurde das Botnetz aber auch an andere Interessengruppen vermietet: So verzeichnete das Defense Intelligence Team (dessen Name selbst für Master-Server-Domains wie "defintelsucks.com" missbraucht wurde) Anfang November massive DOS-Attacken auf mehrere arabische Websites. Die Mariposa-Hauptverantwortlichen erwarten bei einer Verurteilung in Spanien mehrjährige Haftstrafen wegen Computersabotage und Betrugs.

http://defintel.com/docs/Mariposa_Analysis.pdf

http://www.heise.de/security/meldung...nt-945386.html

Hintergrund Infos von mir:
Das in den News bekannte Mariposa Botnet wurde mit dem ButterFly Bot aufgebaut,der programmierer war im Undergrount als iserdo bekannt,ein Mitglied der uNkn0wn Crew.Der Bot wurde im Sommer 2009 von einem Cracker Namens LEAKISO2008 gecrackt und Public gemacht.Daraufhin wurde der Bot überarbeitet und in einer neuen Version Angeboten.



Der Bot wurde zu folgenden Preisen angeboten.
Packages:

• BASIC: 350 EUR
  (BFF core with modules: External Downloader, USB Spreader, MSN Spreader)
• PREMIUM: 400 EUR
  (BFF core with modules: External Downloader, Basic Flooder, Slowloris Flooder)
• BUSINESS: 450 EUR
  (BFF core with modules: External Downloader, Visit, Cookie Stuffer, Adware Simple)
• STANDARD: 600 EUR
  (BFF core with modules: External Downloader, USB Spreader, MSN Spreader, Basic Flooder, Visit, Reverse Socks Simple)
• SELECTED: 600 EUR
  (BFF core with modules: External Downloader, USB Spreader, MSN Spreader, Basic Flooder, Slowloris Flooder)
• PROFESSIONAL: 900 EUR
  (BFF core with modules: External Downloader, Visit, Reverse Socks Simple, Connect Hook, Post Data Grabber, Cookie Stuffer, Adware Simple)
• ULTIMATE: 1100 EUR
  (BFF core with modules: External Downloader, Basic Flooder, Slowloris Flooder, USB Spreader, MSN Spreader, Visit, Reverse Socks Simple, Connect Hook, Post Data Grabber, Cookie Stuffer, Adware Simple)
• CUSTOM: price depends on chosen modules
  (BFF core with modules you can choose!)

Prices of modules*:

• Basic Flooder: 100 EUR
• Slowloris Flooder: 200 EUR
• USB Spreader: 100 EUR
• MSN Spreader: 100 EUR
• Visit: 100 EUR
• Reverse Socks Simple: 100 EUR
• Post Data Grabber: 200 EUR
• Connect Hook: 200 EUR
• Adware Simple: 100 EUR
• Cookie Stuffer: 200 EUR

* Modules can be purchased seperatedly later at any time. There are no rebuilds needed. Using newly purchased module is very simple (Plug&Play mechanism).

Licenses*

• 3 months: 150 EUR
• 6 months: 250 EUR
• 12 months: 400 EUR

* Benefits of having license are only free updates, thus license is optional. You cannot purchase only license; standard price must be paid too. Update 1.10 (first update) will be free for all customers! Licenses are valid from day of 1.10 version release and not from day of purchase. You can purchase license later at any time.
Payment methods: WesternUnion, MoneyGram and WebMoney.
WebMoney prices are 15% higher.

Features (client):

• Direct code injection into remote process (part of module system) for automatic Windows Firewall bypass
• Module system (in-file & on-fly module loading mechanism)
• UDP flood with random data and packets sizes, configurable strength of flood
• Strong TCP flood, working with max power on all WINNT systems with configurable strength of flood
• USB spreader with on-fly autorun.inf content
• Downloader that downloads files via ButterFly Network Protocol (no need for third party HTTP or FTP servers)
• MSN spreader (hooking send and WSARecv functions) - completely version independant message replacer
• Visit module (client visit website; hidden or with default browser)
• External downloader - can download via HTTP, HTTPS and FTP protocols, extended options (user agent, additional request headers, target folder and filename, execute, melt and update options, single download option)
• NEW: Reverse Proxy Simple module with receiver (turn every client into proxy server instantly!)
• Post Data Grabber for Internet Explorer 6, 7 and 8 (catches all data sent by POST method, including HTTPS)
• Connect Hook for Internet Explorer, Firefox, Opera and Chrome (all versions)
• Adware Simple (adwertise your website on clients while they browse world wide web)
• Cookie Stuffer for Internet Explorer and Mozilla Firefox
• NEW: Slowloris Flooder (great flooder for stress testing HTTP Web servers)

Features (protocol):

• Based on UDP
• Own application layer protocol
• Own acks, reliability control
• Support for transferring large data blocks
• Download modules over protocol
• Download third party software over protocol (also update)
• Configurable max upload per second for each peer

Features (server):

• Multithreaded design with variable number of threads selection for maximized performance
• Ability to configure frames per seconds to fine tune servers CPU usage / latency ratio
• Ability to configure servers overall max upload
• GEOIP client localization (accurate country info on clients)
• Automated modules distribution to clients without needed modules

Features (master):

• Multiple server connect instances possible
• Debug console
• Console on/off for each instance
• Client dump window
• On-join commands
• Timer commands
• One-time commads
• Various conditions for commands, can be used together (check screenshots)
• Console style commanding, from where any command can be issued (for "PROs")

Das Protokoll des Butterfly Bots.

Clients and master client(s) communicate with server. There is no direct communication between clients and master client(s). There is also no connection, because communication is based on UDP protocol which is connection-less. All "connection(s)" mentioned on this page is/are referred to connection-impersonating created by this software on upper level. BFF Clients do not connect to Master Client directly (like with RAT - remote administrative tools), instead they connect to BFF Server. BFF Master Client connects to BFF server. Order routes, replies and protocol information are therefore taken care by BFF Server.

http://www.symantec.com/connect/de/b...ling-butterfly
http://www.symantec.com/connect/de/b...posa-butterfly
http://www.symantec.com/connect/de/b...terfly-bot-kit

__________________

Dresko

Ich finde deine "News" leider nicht sonderlich informativ.
Der erste Teil ist 1:1 vom Heise kopiert und ich würde mal vermuten, dass die Meisten aus diesem Forum dort sowieso mehr oder weniger regelmäßig den Newsticker verfolgen. Wer sich dann für eine Nachricht interessiert, wird auch auf die weiterführenden Links in dem Heise-Artikel klicken. Hier nun wieder alles hin zu kopieren halte ich für überflüssig.

Wie wäre es wenn du statt dessen weiterführende Informationen suchst, die nicht bei Heise oder auf der 1. Google-Seite zu dem Thema zu finden sind?

Kurz zu dem Botnet:
Vom Funktionsumfang und der Arbeitsweise her finde ich es nicht sonderlich intuitiv oder außergewöhnlich. Das Einzige was mich interessieren würde wäre dieser on-the-fly-module-loader und vielleicht weitere Informationen zu ihrem selbstgebastelten Protokoll, aber ansonsten is das für mich, abgesehen von der Größe, ein Botnet unter vielen.

Was ich allerdings amüsant finde:
http://pandalabs.pandasecurity.com/mariposa-botnet/

__________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.
- Rick Cook -

rat

öööööö Ich muss dich da aber ein wenig entäuschen,ich habe es nicht von Google.

__________________

Dresko

Das habe ich auch nicht direkt gesagt. Ich würde mir nur wünschen, dass du etwas mehr journalistische Initiative zeigst um Informationen beizutragen, die nicht an jeder Ecke im Netz zu finden sind.
Deine zusammengetragenen Informationen habe ich innerhalb weniger Minuten gefunden. Sie kratzen (meiner Meinung nach) nur an der Oberfläche und ich bin sogar der Meinung, dass der Heise-Artikel und das PDF mehr in die Tiefe gehen und informativer sind als deine zusammenkopierten Features.

Das ist nicht böse gemeint und grundsätzlich finde ich es auch nicht schlecht, dass solche News hier geposten werden, aber dann sollten sie IMHO besser recherchiert sein und Informationen bieten die nicht in den gängigen Newsportalen schon zigmal aufbereitet wurden.

-just my 2 cents-

__________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.
- Rick Cook -

rat

Naja ich wollte die vorhandenen News ein wenig ergänzen,ich hätte es auch ausführerlicher machen können,aber meine derzeitigen Technischen Mittel haben es mir nicht erlaubt.

Ok das mache ich das nächste mal,hätte ja auch mehr machen können,die Faulheit hatte über das Angagemore Gewonnen :-)

//edit aber eins mussich sagen,ich habe zwei Bewertungen für dee Beitrag bekommen und da gibt es immer einen den ich zufrieden stellen konnte.Es ist wohl eher so das deine Ansprüche höher als manch andere sind was ich auch vollkommen verstehen kann.

Wollte es aber mal anmerken.

__________________

simsim

Ich stimm Dresko in allen Punkten zu. Ich sehe keinen Sinn darin, News die man sowieso überall im Netz findet umzuschreiben und dann hier reinzustellen. Ein Link auf Butterfly Network Solutions hätte ebenfalls gereicht.
Außerdem kommt mir das Newsforum langsam wie ein Backup deines Blogs vor

Auf deine Bewertungen solltest du dich auch nicht verlassen, du postest einfach mehr News als es mir das Bewertungssystem erlaubt, dich zu bewerten

__________________

throjan

Also grundsätzlich erstmal Danke, dass sich rat die Mühe macht unser Newsforum mit neuen Beiträgen zu bereichern. Natürlich ist es immer schön, besonders exklusive News zu bringen, die nicht bei Heise oder Golem ganz oben stehen. Das funktioniert aber nicht immer. Solange die News aber nicht nur kopiert und eine persönliche Note, zb. die eigene Meinung, hinzugefügt wird und damit auch eine Diskussionsgrundlage geschaffen wird, habe ich kein Problem damit.

rat

Ich möchte diese Diskusion jetzt mal gerne weiterführen und zwar in eine Richtung die vieleicht noch alte Hasen kennen.

Mariposa zeigt das es heute sehr einfach ist Botnetze aufzubauen und zu Kontrollieren.Früher muste man C/C++ Kenntnisse haben da man den Bot als Source-Code hatt wie z.b den Agobot,r/RxBot,SDbot oder NZM.In diesen Bots wurden fehelr eingebaut und ohne Programmier kenntnise war es unerfahrenen nicht möglich den bot zu Kompillieren.Dazu muste man auch noch erfahrung im Umgang mit IRCDs wie UnrealIRCd haben.Der IRCD muste auf einem Server z.b Debian installiert und Konfiguriert werden.
http://i39.tinypic.com/qx88b4.jpg

Die zweite generation Bots HTTP macht es wider etwas leichter,man bekommt ein fertiges Webinterface wo man in einer config file nur die Daten der SQLDB sowie Passwort,Login und URL eintragen muss.Auch hier ist es unerfahrenen nicht so einfach gemacht da man schon ein wenig ahnung haben muss.


Der Bot selber wierd aber auch hier über eine GUI Konfiguriert und erstellt,eine ausnahme dazu ist der DKCS DDoS Bot bei dem man den Bot komplett als Source-Code hat.
Metafisher = AgentDQ


Mariposa/ButterFly ist eine föllig neue Generation von Bots,man braucht absolut keine erfahrung mit Servern oder Programmiersprachen.Der Bot ist für einen kleinen Preis zu haben und sofort einsatz bereit durch das Spreading über MSN und dann weiter über USB.

__________________