Forschern von CrowdStrike ist es gelungen, die im Februar entdeckte Neuauflage des Botnetzes Kelihos abzustellen. Dafür nutzten sie den Peer-to-peer-Mechanismus, mit dem das Netz Informationen weiterverteilt. Sie berichten auch, dass das zweite Kelihos ungefähr dreimal so groß war wie sein Vorgänger.
CrowdStrike arbeitete in dieser Sache mit Kaspersky Lab, Dell Secureworks und dem Honeynet Project zusammen. Es führte ein Reverse Engineering des Codes durch und erstellte eine eigene Variante der Software. So war es möglich, die Kommunikation der Bots an Sicherheitsforscher und Polizeikräfte umzulenken, statt dass sie die Kriminellen bedienten. Kelihos versandte vor allem Spam für ein kanadisches Pharmaprodukt, stahl aber auch die virtuelle Währung Bitcoins.
„Vergangene Woche wurde begonnen, Kelihos.B über den Peer-to-peer-Mechanismus zu vergiften. Binnen Minuten waren wir mit 110.000 infizierten Rechnern in Kontakt“, berichtet Adam Meyers von CrowdStrike. „Das ist schon cool, dass wir eine der Eigenschaften des Botnetzes, seine P2P-Kommunikation, gegen es verwenden konnten.“
Der manipulierte Code ging zunächst an ausgewählte Systeme, die ihn anschließend wie vorgesehen weiterverbreiteten – wie ein Virus. „Irgendwann übernimmt der Code das Netzwerk und die Verbrecher verlieren die Kontrolle“, sagt Meyers. Es sammelt nun noch Daten wie IP-Adresse und Betriebssystem der infizierten PCs. Demnach war das verbreitetste Betriebssystem Windows 7, aber noch ohne Service Pack 1, knapp vor Windows XP mit je über 9000 Systemen.
Die Kommandoserver von Kelihos standen CrowdStrike zufolge in Schweden, Russland und der Ukraine. Zwei Tage, nachdem der manipulierte Code eingeschleust worden war, gaben die Betreiber ihre Infrastruktur auf.
Das erste Kelihos-Netz hatte Microsoft im Oktober 2011 mit einer ähnlichen Methode gestoppt. Es war damals rund 41.000 Bots stark. Ebenfalls Microsoft konnte diese Woche schon melden, dass US-Behörden auf seine Tipps hin die Kommandoserver des Botnetzes Zeus abgestellt hatten.
[mit Material von Elinor Mills, News.com]
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…