Eddig még ismeretlen, masszív Windows botnetet lepleztek le

Titkosítás, biztonság, privát szféra

Az OSNews egyik cikke szerint a Finjan névre hallgató biztonsági cég egy eddig még ismeretlen, 1,9 millió zombiból álló Windows botnetet leplezett le a minap. A leleplezett hálózat egyike azoknak az idén felfedezett legnagyobb botneteknek, amely mögött egy darab, önálló bűnözői csoport áll. A botnet parancs- és irányítószerverét Ukrajnában hostolják.

Mivel a szerver nem volt kellőképpen védve az illetéktelen szemek elől, a biztonsági cégnek sikerült részletes infókat összegyűjtenie a botnetről. Úgy tűnik, hogy hozzáfértek a botnet irányítóközpontjához.

A szervernek egy szépen összeállított backend-je van, amelyen keresztül a bűnözők parancsokat adhatnak a fertőzött gépeknek. Az egyik képen az látható, hogy éppen egy olyan trójai letöltésére adnak parancsot a botoknak, amelyet 39 antivírus termékből 4 képes felismerni részben vagy egészben.

Érdekes infók és képek találhatók a botnetről itt. Bővebben itt.

( LGee | 2009. 04. 23., cs – 15:16 )

Kaptunk egy egesz hasznalhato browser-statisztikat is:

"The malware is infecting computers running the Windows XP operating
system and using the following Web browsers:

- Internet Explorer - 78%
- Firefox - 15%
- Opera - 3%
- Safari - 1%
- Other - 3%"

Nem kell ahhoz kikapcsolni. Az legutolsó Genuine Advantage rendre csak akkor telepszik, ha felmegyek az update oldalra IE-ből és jóváhagyom, hogy letöltse, mert közli, hogy újabb verzió kell a továbblépéshez. És amíg az aktuálissal ezt nem játszottam el, addig nem is kapom azokat a frissítéseket, amik a WGA-hoz vannak kötve. Ügyes megoldás.

( les10 v | 2009. 04. 23., cs – 15:50 )

Mennyivel szebb lenne egy olyan hír a Finjantól, hogy:

- Mivel sikerült "hozzáférni a botnet irányítóközpontjához" lefuttattak egy olyan scriptet a teljes botneten, ami törölte volna a jelenlegi (eddigi) trójaikat, spyware-eket, illetve blokkolja a további hozzáférést, mintegy örökre lekapcsolva a PC-ket legalábbis erről a botnetről.

Erre már menne egy kis "Donation"...

"Ha ennyi mindent megtudtak a szerverről, akkor valószínűleg futtattak már pár jó- vagy rosszindulatú parancsot rajta."

Azt nem tudhatod, hogy nem úgy gyűjtöttek róla adatokat, hogy előtte értesítették a hatóságokat arról, hogy mit találtak, majd azok tudtával - kvázi mint megbízott szakértők - derítették fel az esetet.

"Az r=1 user gépén meg nem futtatnak semmit, csak hagyják, hogy a már rajta futó alkalmazás felkapcsolódjon és letöltsön néhány apróságot."

Valószínűleg ez nem ilyen egyszerű dolog.

--
trey @ gépház

Nem ismerem az amerikai jogot, az ukránt meg pláne nem, de arról megállapodás van tudtommal, hogy annak az országnak a törvényei vonatkoznak egy webes szolgáltatásra, ahol a kiszolgáló szerver van - legalábbis az EU és az USA szerint. Ezért a te verziód kb. így hangzik:

- A Finjan, egy amerikai cég, értesíti az Ukrán hatóságokat, hogy csúnya botnetes srácok vannak náluk
- Az ukrán hatóságok erre együttműködésre kérik fel a Finjant, aki sikeresen feltöri a szervert
- A Finjan kérvényezi, hogy bár aláírt pár titoktartásit, mégis szeretne információt kiadni erről a nyomozati szakaszban levő ügyről
- Ezt az ukrán hatóságok természetesen engedélyezik.

És mindez az ukrán bürokrácián pár óra / max. néhány nap alatt átmegy.

Nem tudom, hogy ez valószínűbb, vagy az, hogy a Finjanos srácok eleve sz*rtak rá, hogy törvénytelen, amit csinálnak, úgysem mennek Ukrajnába nyaralni?

"A Finjan, egy amerikai cég, értesíti az Ukrán hatóságokat, hogy csúnya botnetes srácok vannak náluk"

Nem tudom. Az OSNews cikke szerint a Finjan megosztotta a botnetről szóló infókat a hatóságokkal. Hogy a megfigyelés előtt vagy utána, arról nem szólnak.

"Az ukrán hatóságok erre együttműködésre kérik fel a Finjant, aki sikeresen feltöri a szervert"

Szintén nem tudom, de az alábbiból azt sejtem, hogy nem nagyon kellett feltörni, mert a webszerver könyvtárait nem védték.

"As folders on this server were left open, we were able to get more information for our research."

--
trey @ gépház

még az "internetet mindenkinek" korszak hajnalán komolyan felmerült lehetőségként, hogy hasonló módon kellene karcolni a vírusok ellen, ahogy azok terjednek. worm botnet stb akkoriban még nem is létezett. az lett volna az elv, hogy a vírusírtó szoftver texas ranger ugyanúgy terjedne, mint maga a vírus, majd egy idő után, irtaná a vírust és a tevékenységének minden nyomát.
biztonsági lyuk befoltozásáról még szó sem volt, mert természetes állapotnak tekintették, hogy egy computer olyan biztonságos, mint az ementáli sajt:)
a fő érv az volt ellene, hogy jogszerűtlen lenne, mert bár jó célt szolgál szándéka szerint, de ugyanúgy megkerüli a computertulajdonost és akarata ellenére módosítja a rendszerét.
ráadásul, ahogy egy vírus esetében is, előfordulhat hogy tönkreteszi az adott computer rendszerét. az akkoriban divatos OneHalf vírus esetében ez a veszély a gyakorlatban is fent állt. a vírus névtelen írói természetesen elérhetetlenek, de az ellenük harcoló antivírus rangerek, komoly kártérítési perek részesei lehettek volna.

mindezek ellenére nem tartom lehetetlennek, hogy a jövőben előkerül újra ez a fajta megoldásmód. nem lenne példátlan.
a XIX. század rendőrsége becsületkódex szerint élő grál lovagok társaságából állt. egy rendőr nem hazudott, nem csalt stb hanem egyfajta felsőbbrendű büszkeséggel szólította fel az alvilág szereplőit a megadásra. innen ered a Galaxis útikalauzban a komikus, Resistance is Useless! felszólítás.
ezen a civilizált világban J. Edgar Hoover változtatott. majd 4 évtizedig vezette az FBIt, ezalatt a szervezet átvette a szervezett bűnözői csoportok módszereinek a nagy részét. úgy vélte ez az egyetlen mód arra, hogy a hatalom továbbra is a választott politikai szereplők kezében maradjon, és ne csússzon át az ország maffiacsaládok uralma alá. a módszert a helyi rendőrségek is magukévá tették. ma már gyakorlatnak tekinthető, hogy egy rendőr épp úgy hazudik, beépül, zsarol mint egy maffiacsalád mészárosa. épp csak a kivégzés hiányzik a listáról, mert ezt természetesen a letartóztatás helyettesíti.

egy év sem telt még el azóta, hogy az amerikai hadseregnél téma volt, hogy fel kellene állítani egy Cyberhadosztályt, válaszul az Észak Koreai, Orosz, Kínai oldalról jövő, utóbbi időben megsokasodott támadásokra. akkor etikai okokból megtorpedózták a javaslatot. azóta a USA kedvenc csicskaállamában a németeknél, már fel is állt egy ilyen Cyberarmy hadosztály.

szóval nem tartom egyáltalán lehetetlennek, hogy a jövőben, ha kezelhetetlenné válik a worm/botnet stb jelentette fenyegetés, akkor újra felmerül, hogy alkalmazzák a crackerek módszereik az ellenük küzdő szervezetek.

ebben az esetben is Renfield szerepében tetszelegnek a németek. minek folytatnának végtelen etikai vitákat a kongresszusban és a szenátusban, ha egyszer a németek megoldották a problémát. az interneten nincsenek határok, és nekik mindegy, hogy Virginiaban vagy Westphaliaban van e az a titkos támaszpont, ahol a cyberhadsereg működik. a németek úgyis de facto amerikai parancsnokság alatt állnak.
ezzel egyébként gyakorlatilag adott a lehetőség is, hogy szükség esetén egy feltört botnetet hatástalanítsanak is, a fent említett módon. határok nincsenek az interneten, ahogy katonai cyberegyenruhák sem. a hadsereg nem avatkozik civil ügyekbe belföldön, illetve a Nato szövetség tagállamain belül. ha a mostani ukrán támadás is kívülről jön. ha ezt orosz katonai támadásnak minősítik, akkor máris teljes hadrendjével fel is veheti ellene a harcot a német cyberhadsereg.

a németek megtámadták az USA-t

:D

Az USA-t eddig egyedul a japanok tamadtak meg, de ott sem a sajat teruleten folyt a haboru. A haduzenet meg lofaszt se jelent addig amig be nem tudod valtani a fenyegetest. Ennek pedig az ICBM-ek megjeleneseig eleg keves eselye volt, sokat segit ebben az a ket ocean. Minden mas esetben az USA ment a haboruhoz.

---
pontscho / fresh!mindworkz

Volt már ilyen worm nemrég (2 éve?), amelyik azt csinálta, hogy befoltozta a PHPBB fórumok sebezhetőségét. Scannelte, hogy melyik site sebezhető, oda bement a hibát kihasznáva, leszedte a patch-et, befoltozta a lyukat, majd - ha jól emlékszem törölte magát.

Noha jó dolgot tett, nem nagyon örültek az emberek neki. Én így emlékszem. És akkor is felmerült a cél nem szentesíti az eszközt dolog.

--
trey @ gépház

úgy tűnik az utóbbi. nem találtam utalást arra, hogy konkrétan azonosítható személy/szervezet lenne mögötte. nem mindegy egyébként. ha hivatalosan csinálja, akkor költségvetési pénzt kapna utána, ha kormányzati szerv részeként tevékenykedik, vagy szerezhet üzleti befektetőket, alapítványi és egyéb adományokat ha az üzleti életben mozog.
névtelenként, akár eljárás is indulhatna ellene, ha lelepleződne.
az a baj, hogy kárt okozni egyszerűbb, mint védekezni ellene. ha phpbb sebezhetőséget foltoz, felmerülnek olyan kérdések mint,
milyen verzióhoz milyen patcheket szed le?
egyáltalán megnézi a verziószámot?
mit kezd az egyedileg patchelt csomagokkal?
mert egyébként sok szerver be lesz ugyan foltozva, de lesz jópár amely végleg működésképtelenné válik, a kéretlen javítópatchnek köszönhetően.

A hagyományos vírusok némelyike ellen is van _kötelező_
védőoltás. Ha nem viszed el a gyereket, szankció. A BCG-t
meg sem kérdik, úgy jön ki a lurkó a korházból, hogy oltva
van. Vannak olyan vallások, amelyek nem akarnak védőoltást
kapni (pl hollandiában). Néhány év alatt beütött a csapatba
gyermekbénulás.

Szóval bizonyos esetekben nem kérdezünk, hanem cselekszünk.

> Sol omnibus lucet.

vannak is szép számban összeesküvés elméletek a FEMAról, hogyan fogják védőoltásokkal agyatlan zombikká, drogfüggővé, republikánussá tenni Amerika lakosságát:)
ez egyébként a rendkívül jó példa arra, mennyi "buggal" vannak tele az emberi nyelvek. teljesen más szót kellene használni a számítógépes rendszerekben terjedő, önmagukat terjesztő, másoló kis méretű kódokra, mint a "vírus".

( LGee | 2009. 04. 23., cs – 16:21 )

"Finjan has shared the information about the botnet with the authorities."

Erre akartam valaszolni...

( gd | 2009. 04. 23., cs – 19:42 )

Mostanában mi mindent neveznek trójainak? Én úgy tudtam, hogy csak azt, amit a felhasználó maga telepít fel hülyeségből.