BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

17Mai/103

IRC-Botnetz Monitoring

Ich habe meine Domain botnetzprovider.de wieder reaktiviert und schreibe nun dort ausführlich über IRC-Botnetz Monitoring.

Mein neuer Freund hat heute, so gegen 14Uhr angefangen, massiv im Internet zu scannen nach RFI (remote files inclusion) Lücken.
Dies ist natürlich nicht unentdeckt geblieben und meine Honeypots haben eine hohe Aktivität gezeigt.
Hier ein kleiner Ausschnitt aus meinen Honeypot logs:

[HIER ZUM WEITERLESEN]

Update: Bin ich davon auch betroffen? - live monitoring der IRC-c&c Server

Mit dem Namenarray des Bots abgeglichene und formatierte IP/Host Liste: HIER downloaden

veröffentlicht unter: Allgemein, Botnetz, Bots, Honeypot 3 Kommentare
11Dez/091

Callcenter zur Bekämpfung von Botnetzen

Ich werde dann wohl bald arbeitslos ...

Die deutsche Internet Welt diskutiert zur Zeit über ein Thema das uns alle angeht: Botnetze.

Botnetze sind PC's die infiziert worden sind und zentral gesteuert werden können. Jeder Benutzer, ob Privat,-oder Geschäftlich, kann betroffen sein. Wenn es einmal so weit ist, hat man keine Kontrolle mehr über seinen Rechner. Im Hintergrund werden Mails verschickt und weitere Rechner angegriffen, ohne das man etwas davon mitbekommt.

Man kann es nicht oft genug sagen: "Immer einen aktuellen Virenscanner installiert haben!"

Doch viele Botnetze müssen erst analysiert werden, bevor man eine Lösung dem Kunden anbieten kann.
Hier kommen die Sicherheitsfirmen, Anti-Viren Hersteller und ISP's zum Einsatz. Alle gemeinsam haben verfolgen sie ein Ziel, den Virus bzw. Bot zu erkennen und diesen zu eliminieren.

Hinter den ganzen Botnetzen steht eine "Lobby" die es versteht damit Geld zu machen, daher sollten die Gegner der Botnetze es nicht so auf die leichte Schulter nehmen. Es muss clever agiert werden um den Schaden so gering wie möglich zu halten.

Ich denke ein Zusammenschluss zwischen dem BSI der ECO und den einzelnen Providern stellt ein sehr mächtiges Bündnis gegen Botnetze dar.

Die Kunden werden von Ihren Providern benachrichtigt, dass sie befallen sind mit einem Virus oder Bot. Jetzt können sich nicht so erfahrene Kunden an das Call-Center richten, welches für solche Fälle eingerichtet wird.
Dort werden kompetente Mitarbeiter sitzen die in aller Ruhe, zusammen mit dem Kunden, den Befall beseitigen werden.

Sobald ich was neues höre werde ich Euch auf dem Laufenden halten...

16Apr/090

Conficker – FastFlux <--> MIT ?

+++++++++++ NEWS ++++++++++
Das Conficker Netz ist doch größer ist als man annahm.
Es sind Institute davon betroffen, die "wahrscheinlich" 🙂 davon keine Ahnung haben.
Unbestätigte Quellen zeigen auf, dass das MIT (Massachusetts Institute of Technology) teil des FastFlux Netzes ist.
Der Conficker nutzt genau dieses FastFlux Netz um zu kommunizieren und sich zu verbreiten.
Weitere Informationen folgen.

++++++++++++++++++++++++++

14Apr/090

Heise Meldung: Conficker-Wurm lädt jetzt doch nach

Nach Angaben von Trend Micro hat der Wurm Conficker.C (respektive Downad) jetzt doch begonnen, Updates nachzuladen – allerdings nicht über die von vielen beobachteten Webseiten, sondern über seine Peer-to-Peer-Funktion. Darauf gestoßen waren die Experten durch die Beobachtung des Windows-Temp-Ordners und des Netzwerkverkehrs eines infizierten Systems. Anders als Conficker.A und .B kann Version .C mit anderen infizierten Systemen ein P2P-Netz etablieren und so weitere Programme nachladen und Befehle entgegennehmen. Laut Trend Micro ist der P2P-Betrieb jetzt in vollem Gange.

In diesem Fall holte sich das untersuchte System sein verschlüsseltes Update von einem P2P-Node in Korea und installierte es. Damit verwandelt sich der Wurm laut Trend Micro in die E-Variante, die neue Eigenschaften aufweist. Unter anderem versucht sie auf einem System alle Spuren zu verwischen, in dem sie etwa bisherige Registry-Einträge löscht und fortan mit zufälligen Dateinamen und Dienstnamen arbeitet. Zudem öffnet der Wurm nun den Port 5114 und lauscht mit einem eingebauten HTTP-Server auf Verbindungsanfragen. Zusätzlich nimmt er Verbindungen mit den Domains myspace.com, msn.com, ebay.com, cnn.com und aol.com auf, um zu testen, ob eine Verbindung ins Internet besteht.

Der Wurm soll sich nur noch über die Windows-Sicherheitslücke verbreiten. Nach Angaben von BitDefender blockiert die neue Variante nicht nur den Zugang zu den Web-Seiten der Antivirus-Hersteller, sondern auch den Zugriff auf kürzlich angekündigte Web-Seiten mit Removal-Tools, welche die vorherigen Versionen des Conficker-Wurms beseitigen konnten. Davon betroffen ist laut BitDefender schon die Tool-Seite von BitDefender (http://bdtools.net) sowie Internetseiten anderer Anbieter.

Laut den Analysen soll sich Downad/Conficker in der neuesten Fassung aber am 3. Mai 2009 deaktivieren. Ob er bis dahin ein neues Update zieht, ist unklar. Zudem haben die Virenspezialisten vereinzelte Verbindungen zu Domains beobachtet, die in Verbindung mit dem Botnet Waledac stehen. Auch Symantec hat ähnliche Beobachtungen gemacht. Eine vom Conficker heruntergeladene Datei (484528750.exe) soll den Bot Waledac enthalten haben. Bislang wollen sich aber weder Trend Micro noch Symantec näher zu der Verbindung von Conficker und Waledac äußern.

heise Security bietet eine zentrale Übersichtsseite mit den wichtigsten Informationen zum Windows-Wurm Conficker. Die Seite enthält Links zu Tests, die eine Infektion diagnostizieren können, darunter auch eine neue heise-Security-Seite mit einem noch weiter vereinfachten Test. Zudem finden Sie dort Links zu Reinigungstools und Netzwerk-Scannern. Ebenso findet sich dort eine Übersicht über die wichtigsten Heise-Meldungen zu Conficker, beginnend mit dem Microsoft-Patchday, an dem die von Conficker genutzte Sicherheitslücke erstmals bekannt wurde.
(c) Heise.de

31Mrz/092

Aprilscherz – Conficker Virus

Der Conficker-Wurm wird am/ab 1. April aus täglich 50.000 möglichen Domain-Namen mit etwa 500 Kontakt aufnehmen und an die befallenen Hosts Details liefert, wie sich das gigantische Botnetz dann verhalten soll

Ich wollte zuerst auch darüber schreiben, doch ich habe es gelassen. Mal sollte nicht unnötig Panik verbreiten.
Die Welt ist auch schon, laut einigen Prognosen 100mal untergegangen.
Daher hole ich mir jetzt einen Kaffee und schaue dem Aprilscherz gelassen entgegen.

Mehr Infos hier: http://freeware.blog.de/2009/03/27/news-conficker-virus-april-scherz-5844839/

18Mrz/090

Wenn Facebook.com zu einem Botnetz wird

Man hat festgestellt, dass man Facebook.com in ein sehr großes und mächtiges Botnetz umwandeln kann.
Da es Usern möglich ist eigene Scripte (z.B. MafiaWars, etc) in Facebook.com einzubinden, ist es ein relativ einfach bösartige Tools zu entwerfen.



Anbei findet ihr ein Beispielszenario wie so etwas aussehen könnte.

Also seit vorsichtig was Ihr in Facebook.com aktiviert und installiert.

Hier das Beispielszenario zum downloaden: facebotisc08

veröffentlicht unter: Botnetz, Sicherheit keine Kommentare
9Mrz/094

Facebook Mafia Wars Autoplayer – greasemonkey script

Für alle die ein Automatismus brauchen bei MafiaWars @ Facebook.com hier ist die Lösung.

Anleitung:

1. Benutze Firefox (download hier)

2. Installiere Greasemonkey (download hier)


3. Installiere das Script (Autoplayer hier) // @version 0.3.4
für eine Aktuelle Version check die Webseite
Erst downloaden und dann im Firefox öffnen nun sollte Greasemonkey aufspringen und das Script wird installiert.

4. Rufe nun Facebook auf und gehe auf die MafiaWars Seite.

5. Wenn du alles richtig gemacht hast, erscheint nun ein Menü oben recht und links neben der MafiaWars Seite.Stelle das Script so ein wie du es möchtest. Klicke  dazu oben links auf "open setting"

Viel Spass mit dem MafiaWars Bot.

22Feb/091

IRC BOT geschrieben in Perl

#!/usr/local/bin/perl -w
# irc.pl
# A simple IRC robot.
# Usage: perl irc.pl

use strict;

# We will use a raw socket to connect to the IRC server.
use IO::Socket;

# The server to connect to and our details.
my $server = "irc.freenode.net";
my $nick = "simple_bot";
my $login = "simple_bot";

# The channel which the bot will join.
my $channel = "#irchacks";

# Connect to the IRC server.
my $sock = new IO::Socket::INET(PeerAddr => $server,
PeerPort => 6667,
Proto => 'tcp') or
die "Can't connect\n";

# Log on to the server.
print $sock "NICK $nick\r\n";
print $sock "USER $login 8 * :Perl IRC Hacks Robot\r\n";

# Read lines from the server until it tells us we have connected.
while (my $input = <$sock>) {
# Check the numerical responses from the server.
if ($input =~ /004/) {
# We are now logged in.
last;
}
elsif ($input =~ /433/) {
die "Nickname is already in use.";
}
}

# Join the channel.
print $sock "JOIN $channel\r\n";

# Keep reading lines from the server.
while (my $input = <$sock>) {
chop $input;
if ($input =~ /^PING(.*)$/i) {
# We must respond to PINGs to avoid being disconnected.
print $sock "PONG $1\r\n";
}
else {
# Print the raw line received by the bot.
print "$input\n";
}
}
(c) by http://oreilly.com/pub/h/1964

21Feb/091

Botnetz-Aufbau

Allgemeiner Aufbau:

Ein Bot (meist ein IRC-Bot) hat die Fähigkeit mit seinem Benutzer zu kommunizieren. Dieser sollte, in der Regel, einen Channel im IRC verwalten. Doch wenn man nun einen Bot mit einem anderen verbindet erhält man ein kleines Botnetz.
Der Besitzer kann nun mit beiden Bots kommunizieren und Befehle schicken. Heutige Bots können sich auch untereinander verständigen, so dass der Besitzer nur noch einen Bot ansprechen muss, welcher dann die Informationen, an die übrigen Bots weiter gibt.

Hier eine kleine Skizze des Kommunikationsweges:

Besitzer ! <-------"Befehl"--------> Bot 1

Besitzer ! < ------"Antwort"------< Bot 1

Wie oben beschrieben, gibt es auch Bots die mit Ihresgleichen auch Kommunizieren können und die Befehle weiterleiten können.

Besitzer ! >---------"Befehl"--------> Bot1 >--------"Befehl" ------> Bot 2

Dieser Vorteil liegt auf der Hand, man muss nicht mehr alle Bots nacheinander ansprechen, sondern ein Bot übernimmt die Aufgabe und meldet dann das Resultat.
Je nach Befehl, kann es auch sein, dass alle Bots an den Besitzer eine Antwort liefern müssen.
Dieses System wird bei den heutigen Botnetzen am meisten verwendet.

---to be continued ---
ich mache an dieser Stelle später weiter

Ein Beispiel für ein Botnet

Ein Beispiel für ein Botnet

Ein Beispiel für ein Botnet


/* google like button API */