Security Bye, Bye Tequila Botnet

rat

rat

0
Letzte Woche berichtete Trend Micro über das Tequila Botnet welches Mexikanische User mit einer Email über ein Vermistes Mädchen in die Falle lockte.Trend Micro entdeckte ein Botnet (Mariachi Botnet) welches wohl vom selben Betreiber stammt wie das Tequila Botnet.Mariachi ist nicht so weit Entwickelt wie das Tequila-Botnet,aber kann denn noch dazu genutzt werden um Phishing Angriffe damit durchführen zu können.

An diesem Montag dem 7. Juni gingen das Mariachi und Tequila Botnets offline.Der Mariachi C&C-Server scheint von seinem Hosting Provider Bluehost down genommen worden zu sein.

(Bildquelle Trend Micro Blog)
2usac77.jpg


Kurz danach ging der Tequila C&C auch offline.

102qz43.jpg


Trend Micro konnte seitdem keine neuen Aktivitäten vom Tequila und Mariachi Botnet feststellen können.
 
Ich kenne mich mit Botnet Architektur nicht weiter aus, aber was gibt die Gewissheit, dass nicht schon längst neue Server da sind?
Bzw. wie wird die Aktivität eines Botnets gemessen? Ich schätze mal es werden Honeypots aufgestellt, aber auch die werden sicherlich regelmäßig identifiziert.

Ich denke mal die Botnet Betreiber sind nicht blöd und werden sich schon etwas ausgedacht haben um im Zweifelsfall schnell wieder funktionsfähig zu sein. Schließlich stehen da sicherlich finanzielle Interessen dahinter.
 
Es gibt viele möglichkeiten den Traffic von Malware zu überwachen und zurück zu verfolgen.Unteranderem kannste das mit Wireshark machen oder aber auch mit BotHunter,ThreatFire,Palantir,HoneyPots,Robtex.com und viele andere Software.Securityfirmen wie McAfee etc haben aber meist eigene Software die wir nicht kennen um Malware zu Analysieren und damit zu ermitteln wo der C&C steht und ob er aktiv ist.
 
das problem der botnet betreiber ist, dass sie ihre befehle irgendwie zu ihren drohnen bringen müssen ...

in der regel muss die drohne dafür kontakt mit irgendwem aufbauen (command & control server, andere drohnen, etc) und wird nicht vom betreiber direkt kontaktiert

folglich steht irgendwo im programm wo die befehle her kommen ... nimmt man so ein programm nun schritt für schritt auseinander, findet man die quelle(n)

eine andere gangbare methode um herauszufinden wohin die drohne sich wenden wird, ist das überwachen und aufzeichnen ihrer programmaktivität, und der vergleich ihres programmablaufs mit ihrer netzwerkaktivität. auf diese weise lassen sich ggf rückschlüsse ziehen wie die drohne die adresse errechnet, da diese selten im klartext abgelegt werden wird ...

irgendwie muss die drohne an die adresse kommen ... wenn man sie dabei beobachten kann, kann man die zukünftige(n) adresse(n) ggf. vorhersagen und maßnahmen ergreifen, dass diese nicht mehr erreichbar sind (in dem man z.b. wenn es sich um errechnete domains handelt diese registriert bevor der botnetz betreiber dies tut)

problematisch ist allerdings, dass unterschiedlichste optionen bestehen drohnen gegen den aufall eines oder mehrerer c&c server zu sichern:
man stelle sich ein trackerloses torrent netzwerk auf dth basis vor, bei dem drohnen die sich gefunden haben verbindungen zueinander herstellen und bekannte andere drohnen miteinander austauschen ... auf diese weise ließe sich z.B. eine backup lösung etablieren wie bei ausfall des/der c&c server neue im botnetz bekannt gegeben werden können ... einziges problem hier ist der initiale kontakt zu anderen drohnen, wenn eine drohne startet:
aber auch hier kann eine schlichte abgras-strategie helfen ... fang in deinem subnetz an, und werde größer, bis du andere drohnen findest ... etc

ein derartiges botnetz ist nicht aleine dadurch unbrauchbar zu machen, in dem man ihm die C&C server klaut ... und je nach vorgehensweise ist es mehr oder weniger schwierig diese kommunikation effektiv zu stören ...
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben