Security Weltweites Botnetz aufgespürt

rat

0
Täter sollen aus Osteuropa und China stammen

Ein US-Sicherheitsunternehmen ist einem Botnetz auf die Spur gekommen, dem über 74.000 Rechner in knapp 200 Ländern angehören. Die infizierten Computern stehen unter anderem in Großunternehmen und Regierungsbehörden. Die Urheber hätten über die Malware Zugangsdaten zu Profilen in sozialen Netze und Bankkonten sowie vertrauliche Unternehmensdokumente ausspähen können.

Malware-Anwendern ist es gelungen, in die Computersysteme von mehreren tausend Unternehmen und Behörden in knapp 200 Ländern einzudringen und vertrauliche Daten zu stehlen. Die Täter seien in China und Osteuropa ansässig. Der Ausgangspunkt der Attacke soll in Deutschland gewesen sein.

Entdeckt bei Routinekontrolle

Entdeckt worden war der Angriff Ende Januar 2010 vom US-Sicherheitsunternehmen Netwitness, das 2007 von Amit Yoran gegründet wurde. Yoran war von 2003 bis 2004 Leiter der National Cyber Security Division (NCSD), die beim US-Heimatschutzministerium angesiedelt ist. Die Experten entdeckten bei der Überprüfung der Computersysteme eines Kunden einen infizierten Rechner. Darüber seien sie einem Botnetz, das aus über 74.000 Computern besteht, auf die Spur gekommen. Sie konnten nach eigenen Angaben über 74 Gigabyte an gestohlenen Daten sammeln und analysieren.

Ende 2008 hätten die Täter begonnen, ihr Botnetz aufzubauen. Sie brachten die Mitarbeiter von Unternehmen und Behörden dazu, mit Malware präparierte Websites zu besuchen, auf E-Mail-Anhänge oder Werbebanner zu klicken. So schmuggelten sie die Botnetz-Software Zeus auf die Computer. Zeus ist die derzeit am zweithäufigsten eingesetzte Botnetz-Software. Zudem seien mehr als die Hälfte der Computer zusätzlich noch mit der Botnetz-Software Waledac infiziert gewesen. Nach der E-Mail-Adresse, unter der mehrere der präparierten Websites registriert wurden, nannten die Entdecker das Botnetz Kneber.

Zugang zu vertraulichen Daten

Die Software Zeus macht sich eine Sicherheitslücke in Windows-Betriebssystemen zunutze und sammelt beispielsweise die Zugangsdaten zum Onlinebanking, zum E-Mail-Konto oder zu Nutzerkonten bei sozialen Netzen. Darüber hätten sich die Angreifer Zugang zu Profilen in sozialen Netzen, Bankkonten und in über 100 Fällen zu Unternehmensservern verschafft, auf denen vertrauliche Geschäftsdaten, die E-Mails der Mitarbeiter und sogar noch nicht veröffentlichte Versionen von Software gespeichert waren. In einem Fall drangen die Täter in einen Server ein, über den Kreditkartenzahlungen abgewickelt werden.

Zu den Geschädigten gehören eine Reihe von Großunternehmen sowie mindestens zehn US-Regierungsstellen. Fünf Prozent der Betroffenen seien in Deutschland beheimatet. Darunter ist auch das Pharmaunternehmen Merck. Weitere bekannte Unternehmen sollen das Filmunternehmen Paramount und der Netzwerkausrüster Juniper Networks sein. Die meisten befallenen Computer stehen in Ägypten, Mexiko, Saudi-Arabien, in der Türkei und den USA.

Kneber ist noch aktiv

Das Botnetz sei immer noch unter der Kontrolle seiner Urheber und noch aktiv, sagte Netwitness-Technikchef Tim Belcher dem britischen Nachrichtenangebot The Register. Allein im vergangenen Monat seien die infizierten Rechner gut ein halbes Dutzend Mal auf neue Arten von Daten angesetzt worden. Netwitness hat nach eigenen Angaben das FBI sowie die betroffenen Unternehmen informiert.

Es gebe Hinweise, dass die Täter auch an einer Cyberattacke beteiligt seien, die das US-Heimatschutzministerium vor knapp zwei Wochen gemeldet hat, berichtet des Wall Street Journal.

Mit 75.000 infizierten Computern ist das Kneber-Botnetz noch vergleichsweise klein: Ende 2007 verhaftete die Polizei in Neuseeland einen damals 18-Jährigen, der ein Botnetz mit bis zu 1,3 Millionen Computern weltweit aufgebaut hatte. Er hatte das Netz unter anderem an Spammer vermietet.

http://www.golem.de/1002/73239.html

//edit ok ich habe natürlcih noch mehr Infos über zBot in meiner Sammlung darum erweitere ich das hier mal.



ZeUs wird über ein HTTP Interface gesteuert,hier mal eine Screen einer ältere Version. http://i40.tinypic.com/35m4ox4.jpg
Wie jeder gute Bot besietzt auch Zeus ein Rootkit und ist ein Banking Trojaner der Tans so wie Online Konten ausspäht.Der Bot ist im für 300-500$ im Underground zu habe und er wird sogar als komplett fertiges Botnet für Monatspreise angeboten.Nach angaben des Coders in den AGB wird jede unrechtmäßger erwerb von Zeus an die Av Firmen durch ihn verraten.Der ZeUs Bot kann über eine GUI einfach Konfiguriert werden http://i48.tinypic.com/1z2f21z.png .
Anders als bei früheren Bots die über IRC gesteuert wurden und man nur den Source-Code in C/C++ zur Hand hatte ist es damit sehr einfach geworden für unerfahrene ein Botnet aufzubauen und zu steuern.In einiegen versionen des ze4Us liefert er sogar ein Exploitkit mit was es ihn ermöglicht sich über mit einen Iframe Infizierte webseite zu verbreiten.Das Webinterface des Bots gibt eien Detalierte anzeige der Infizierten Dronen wider mit Land und anzahl der Bots.Der Bot ist zudem noch in der Large das Opfer auf Phishingseiten zu schicken um die TANs abzufangen.


Ein Video über Zeus von Symantec.
http://www.youtube.com/watch?v=CzdBCDPETxk

Für Leute die den ZeUs Bot nicht kennen hier einen Tracker.
https://zeustracker.abuse.ch
 
Zuletzt bearbeitet:
Deine Berichterstattung in allen Ehren. Aber bei solchen Thema darfs dann viellecht etwas mehr sein. Bzw. waers schoen wenn du etwas "querrecherchierst" bevor Du Infos postest.


Die Meldung ist nahe an einem Hype und dient vermutlich eher der Profilierung einiger als der einer echten Neuigkeit.
 
Mercy :)

Fuer alles die es Wundert: Das ist wohl ein Zeus Botnetz, welches anhand der Email Adresse von Domainregistrierungen "Kneber" getauft worden ist.
Im Grunde ist da nicht viel neues bei.

Informativ zu "Kneber":
http://blogs.zdnet.com/security/?p=5508


Infos zum "Selbstmord" von zeus:
http://blog.s21sec.com/2009/04/when-bot-master-goes-mad-kill-os.html

Kurzinfos auf RSA
http://www.rsa.com/press_release.aspx?id=9347

Eine Arbeit ueber Zeus und Antivirusprogramme
http://www.trusteer.com/files/Zeus_and_Antivirus.pdf

Infos ueber einen Bulletproof hoster, bei dem wohl C&C kisten des
Zeus Netzwerks standen
http://www.thetechherald.com/articl...d-to-Zeus-botnet-shutdown-after-investigation
 
Zurück
Oben