Schlagwort-Archive: Bot

Handlungsanleitung: Bin ich ein Opfer der Operation Ghost Click?

Originalartikel von Rik Ferguson, Director Security Research & Communication EMEA


Quelle: flattop341 Flickr

Das FBI hat in Zusammenarbeit mit Trend Micro und anderen Industriepartnern in dem „größten Einsatz aller Zeiten gegen Cyberkriminelle“ ein Botnet zerschlagen, das in mehr als 100 Ländern mit einer Infrastruktur von über 100 Servern aktiv war und mehr als vier Millionen Opfer involvierte. Sechs Kriminelle sind in einer international koordinierten Aktion der Polizei verhaftet worden.

Das FBI hat inzwischen ein Online-Tool zur Verfügung gestellt, mit dem besorgte IT-Anwender prüfen können, ob die Einstellungen ihres DNS-Servers manipuliert wurden.

Als erstes müssen die Nutzer ihre aktuellen DNS-Server-Einstellungen herausfinden: Auf einem PC öffnet man dazu das Start-Menü mit einem Klick auf den Start-Button oder auf das Windows Icon unten links auf dem Bildschirm. In der Box „… durchsuchen“ lässt man nach „cmd“ suchen. Daraufhin öffnet sich ein schwarzes Fenster mit weißer Schrift. Hier wird „ipconfig/all“ angegeben. Der Eintrag „DNS Server“ enthält die gesuchten numerischen Adressen.

Auf einem Mac klickt der Anwender auf den Apple Icon oben links und wählt „System Preferences“ und dort „Network“ aus. Aus dem sich öffnenden Fenster wählt man dann die aktuell aktive Netzwerkverbindung aus der linken Spalte und rechts den DNS Tab. Hier finden sich die Adressen der DNS-Server, die der Computer nutzt.

Danach kann der Anwender prüfen, ob die notierten Adressen mit Servern übereinstimmen, die die Kriminellen in ihrer Operation Ghost Click genutzt haben. Dafür gibt es das Online-Tool des FBI. Der Nutzer muss lediglich die IP-Adressen eingeben und den Button „check ip“ anklicken.

Diejenigen, die eine Infektion ihres Computers befürchten, können mit Trend Micros kostenlosem Tool HouseCall das System scannen und säubern. Danach sollten sie das FBI über dieses Formular benachrichtigen und auch ihren Internet Service Provider davon in Kenntnis setzen, damit dieser die legitimen DNS-Einstellungen wieder herstellen kann.

Besuchen Sie unser kostenfreies Webinar zu „Operation Ghost Click“
 

Esthost unschädlich gemacht – größter Schlag aller Zeiten gegen Cyber-Kriminalität

Originalartikel von Feike Hacquebord (Senior Threat Researcher)

Am 8. November konnten das FBI und die estnische Polizei in Zusammenarbeit mit Trend Micro und einer Reihe anderer Branchenpartner ein langlebiges Bot-Netz aus mehr als 4.000.000 Bots außer Gefecht setzen.

Im Rahmen der vom FBI als „Ghost Click“ bezeichneten Operation wurden zwei Rechenzentren in New York City und Chicago durchsucht und eine C&C-Infrastruktur (Command & Control) aus über 100 Servern abgeschaltet. Zur gleichen Zeit nahm die estnische Polizei in der Stadt Tartu in Estland mehrere Mitglieder fest. Unter diesem Link finden Sie die Pressemitteilung des FBI (in englischer Sprache).

Das Bot-Netz bestand aus infizierten Computern, deren DNS-Einstellungen so manipuliert worden waren, dass sie auf ausländische IP-Adressen zeigten. DNS-Server lösen menschenlesbare Domänennamen in IP-Adressen auf, die bestimmten Computerservern im Internet zugewiesen sind. Die meisten Internet-Benutzer verwenden automatisch die DNS-Server ihrer Internet-Service-Provider.

DNS-modifizierende Trojaner ändern die Computereinstellungen still und heimlich,‏ so dass ausländische DNS-Server verwendet werden. Diese DNS-Server werden von bösartigen Dritten installiert und übersetzen bestimmte Domänen in bösartige IP-Adressen. Das Ergebnis: Die nichts ahnenden Opfer werden unbemerkt auf potenziell bösartige Websites umgeleitet.

Kriminelle verwenden eine ganze Palette von Methoden, um aus dem DNS Changer-Bot-Netz Geld zu schlagen. Beispielsweise ersetzen sie Werbeanzeigen auf Websites, die von den Opfern geladen werden, „entführen“ Suchergebnisse und verbreiten zusätzliche Malware.

Zum Vergrößern klicken

Wir bei Trend Micro wussten bereits seit 2006, wer mit aller Wahrscheinlichkeit hinter diesem Bot-Netz steckt, doch wir beschlossen, gewisse Daten und Einblicke unter Verschluss zu halten, um die Arbeit der Strafverfolgungsbehörden nicht zu behindern.

Jetzt, da die Hauptverantwortlichen festgenommen wurden und das Bot-Netz abgeschaltet wurde, können wir einige der von uns in den vergangenen fünf Jahren gesammelten Daten veröffentlichen.

Rove Digital

Die cyber-kriminelle Gruppe, die jeden Schritt von der Infizierung mit Trojanern bis hin zur Monetarisierung der infizierten Bots kontrollierte, war das estnische Unternehmen Rove Digital. Dabei handelt es sich um einen Mutterkonzern, dem eine Reihe anderer Unternehmen wie Esthost, Estdomains, Cernel, UkrTelegroup und weniger bekannte Mantelgesellschaften unterstellt waren.

Rove Digital ist ein scheinbar rechtmäßiges IT-Unternehmen mit Sitz in Tartu. In den Büros des Hauptsitzes gehen die Menschen tagtäglich ihrer ganz „normalen“ Beschäftigung nach – wie in Tausenden anderen Unternehmen auch. In Wirklichkeit aber steuert die Zentrale in Tartu Millionen infizierter Hosts rund um den Globus und macht Jahr für Jahr unrechtmäßig erworbene Millionengewinne mit ihren Bots.

Esthost, ein Reseller von Webhosting-Services, tauchte bereits im Herbst 2008 in der Presse auf. Damals ging das Unternehmen offline, als sein Provider Atrivo in San Francisco aufgrund von Klagen durch Privatpersonen dazu gezwungen wurde, vom Netz zu gehen. Zur gleichen Zeit verlor ein Domänenregistrierungsunternehmen von Rove Digital – Estdomains – seine ICANN-Akkreditierung, da der Eigentümer, Vladimir Tsastsin, in seiner Heimat Estland wegen Kreditkartenbetrugs verurteilt wurde.

Zum Vergrößern klicken

Diese Aktionen waren das Ergebnis öffentlichen Drucks, der aus dem Verdacht entstand, dass Esthost in erster Linie mit Kriminellen Geschäfte machte. Rove Digital wurde gezwungen, die von Esthost bereitgestellten Hosting-Services einzustellen, nichtsdestotrotz aber setzte das Unternehmen seine kriminellen Machenschaften fort. Ihre Lektion lernten die Köpfe, die hinter Rove Digital steckten, erst, als sie die C&C-Infrastruktur weltweit verbreiteten und einen Großteil der zuvor bei Atrivo gehosteten Server zum Rechenzentrum Pilosoft in New York City verschoben, wo bereits einige ihrer Server gehostet wurden.

Im Jahr 2008 war es kein Geheimnis mehr, dass viele der Kunden von Esthost Kriminelle waren. Nicht bekannt aber war, dass sowohl Esthost als auch Rove Digital intensiv in cyber-kriminelle Machenschaften verwickelt waren.

Trend Micro war bekannt, dass Rove Digital nicht nur Trojaner hostete, sondern auch C&C-Server und bösartige DNS-Server sowie die Infrastruktur steuerte, über die aus den betrügerischen Klicks des DNS Changer-Bot-Netzes Geld gemacht wurde. Neben den DNS-modifizierenden Bot-Netzen verbreiteten Esthost und Rove Digital auch FAKEAV- und Trojaner-Klicker. Außerdem waren die Unternehmen in den Online-Verkauf fragwürdiger Medikamente und andere Cybercrimes verwickelt, die in diesem Blog nicht weiter erläutert werden.

Die Beweise, die wir in den letzten Jahren zusammengetragen haben, lassen keinen Zweifel daran, dass Esthost und Rove Digital unmittelbar in Cybercrime und Betrug zu tun haben. Erste Verdachtsmomente basierten auf schlichten aber eindeutigen Hinweisen:

Indikatoren für cyber-kriminelle Aktivitäten

Im Jahr 2006 bemerkten wir zunächst, dass es sich bei zahlreichen C&C-Servern des DNS-Changer-Netzwerks um Unterdomänen von Esthost.com handelte; beispielsweise die ausländischen, bösartigen DNS-Server, deren IP-Adressen in DNS-Changer-Trojanern hartkodiert waren und die auf „dns1.esthost.com“ bis „dns52.esthost.com“ gehostet wurden (52 Domänennamen).

Ein Backend-Server, der alle bösartigen DNS-Server gleichzeitig aktualisieren konnte, befand sich unter dns-repos.esthost.com. Ein Backend-Server für Trojaner mit gefälschtem Codec befand sich unter codecsys.esthost.com. Sofern die Domäne esthost.com nicht gehackt wird, kann nur Esthost diese sehr vielsagenden Unterdomänen zum Domänennamen hinzufügen. Als die Domäne esthost.com abgeschaltet wurde, begannen die C&C-Server von Rove Digital, private Domänennamen mit der Endung „.intra“ zu nutzen. Es gelang uns, die vollständige .intra-Bereichsdatei von einem der Server von Rove Digital in den USA herunterzuladen.

2009 erhielten wir eine Kopie der Festplatten zweier C&C-Server, die Werbeanzeigen auf Websites ersetzten, sobald sie von Opfern des DNS-Changers geladen wurden. Auf den Festplatten fanden wir öffentliche SSH-Schlüssel von diversen Rove Digital-Mitarbeitern. Mithilfe dieser Schlüssel konnten sich die Mitarbeiter auf den C&C-Servern ohne Kennwort anmelden – sie benötigten lediglich ihren persönlichen Schlüssel. Aus den Protokolldateien auf den Servern konnten wir darauf schließen, dass die C&C-Server über die Zentrale von Rove Digital in Tartu gesteuert wurden.

Darüber hinaus unterhielt Rove Digital ein FAKEAV- bzw. ein bösartiges DNS-Partnerprogramm namens Nelicash. Es gelang uns, ein Schema der Infrastruktur für den FAKAV-Bereich herunterzuladen. Über einen Nelicash-C&C-Server entdeckten wir Informationen über Opfer, die gefälschte Antiviren-Software erworben hatten.

Zum Vergrößern klicken Zum Vergrößern klicken

Unter diesen Käufen befanden sich zahlreiche Testbestellungen von Mitarbeitern von Rove Digital über IP-Adressen, die von Rove Digital in Estland und den USA kontrolliert wurden. Dies zeigt, dass Rove Digital direkt in den Verkauf von FAKEAV involviert war.

Über denselben Nelicash-C&C-Server könnten wir außerdem einen detaillierten Plan zur Entwicklung neuer bösartiger DNS-Server für 2010 und 2010 herunterladen. Tag für Tag verbreitete Rove Digital eine neue Malware, die die DNS-Einstellungen von Systemen in ein einzelnes Paar ausländischer Server änderte. Wir überprüften Trojaner von DNS-Changer einige Tage lang und stellten fest, dass diese Trojaner die DNS-Einstellungen der Opfer genau nach diesem Plan modifizierten.

Zum Vergrößern klicken

Es würde den Rahmen sprengen, wenn wir an dieser Stelle die Vielzahl weiterer, von uns gesammelter Beweise aufführen würden. Alle Ergebnisse weisen darauf hin, dass Rove Digital tatsächlich Cybercrime im großen Maßstab durchführt und unmittelbar verantwortlich für das riesige DNS Changer-Bot-Netz ist.

Angesichts dieser Tatsache freuen wir uns sehr, Ihnen mitteilen zu können, dass die enge Zusammenarbeit zwischen dem FBI, der estnischen Polizei, Trend Micro und anderen Branchenpartnern zur Abschaltung dieses gefährlichen Bot-Netzes geführt hat. Außerdem konnten die Hauptverantwortlichen festgenommen werden, und das, obwohl das Unschädlichmachen von Rove Digital kompliziert und extrem aufwändig war.

Trend Micro konnte die C&C-Infrastruktur von Rove Digital sowie die Backend-Infrastruktur bereits frühzeitig erfolgreich identifizieren und überwachte die C&C-Infrastruktur auch weiterhin bis zum 8. November 2011. Andere Branchenpartner stellten sicher, dass die Abschaltung des Bot-Netzes kontrolliert und ohne größere Störungen für die infizierten Kunden verlief, und leisteten somit einen überragenden Beitrag zur gesamten Operation bei.

Die folgenden Links befassen sich ebenfalls mit diesem Thema:

Weitere Informationen finden Sie im Beitrag von Rik Ferguson. Er beschreibt wie Sie prüfen können, ob auch Sie ein Opfer dieser Cyber-Kriminellen sind.

Zusätzlicher Text von Paul Ferguson

Gefälschte Live-Malware unter Windows verbreitet sich per E-Mail

Original Artikel von Joey Costoya (Advanced Threats Researcher, Trend Micro)

Trend Micro Bedrohungsanalysten stießen vor Kurzem auf eine E-Mail, die einen gefälschten Windows Live Messenger verteilte, der sich unter http://{BLOCKED}s-live-msn.serveftp.com/Windows_Live_9.0_beta.exe verbarg (entdeckt als WORM_VB.PAB). Die .EXE-Datei ist natürlich nicht der „echte“ Windows Live Messenger, sondern ein Bot, der an einen IRC-basierten C&C berichtet, mit den folgenden Angaben zum infizierten System:

Server: {BLOCKED}s.rvsanmiguel.com
Server-IP: {BLOCKED}.{BLOCKED}.110.141
Port: 6767
Serverschlüssel: m4s3rvp4ssz
Kanal: #s3k4nt
Kanalschlüssel: m4n0sp4z

Zum Vergrößern klicken

Abbildung 1: Beispiel für Spam-Mail

Die Hauptfunktion dieses Bots scheint das Senden von MSN-Spam zu sein. Zum aktuellen Zeitpunkt ist der C&C-Kanal inaktiv, da er noch keine Befehle ausgegeben hat. Abgesehen von MSN-Spam war der besagte Bot auch so konzipiert, dass er sich über das automatische Starten von USB-Daten und über P2P-Netzwerke wie Kazaa und Limewire verbreitete.

Benutzer von Windows Live Messenger sollten daher also keinesfalls auf den bösartigen Link in der E-Mail klicken, um eine Infektion zu verhindern. Das Trend Micro Smart Protection Network sperrt diesen bösartigen Link bereits und erkennt den gefälschten Windows Live Messenger als WORM_VB.PAB.