Forschern von CrowdStrike ist es gelungen, die im Februar entdeckte Neuauflage des Botnetzes Kelihos abzustellen. Dafür nutzten sie den Peer-to-peer-Mechanismus, mit dem das Netz Informationen weiterverteilt. Sie berichten auch, dass das zweite Kelihos ungefähr dreimal so groß war wie sein Vorgänger.
CrowdStrike arbeitete in dieser Sache mit Kaspersky Lab, Dell Secureworks und dem Honeynet Project zusammen. Es führte ein Reverse Engineering des Codes durch und erstellte eine eigene Variante der Software. So war es möglich, die Kommunikation der Bots an Sicherheitsforscher und Polizeikräfte umzulenken, statt dass sie die Kriminellen bedienten. Kelihos versandte vor allem Spam für ein kanadisches Pharmaprodukt, stahl aber auch die virtuelle Währung Bitcoins.
„Vergangene Woche wurde begonnen, Kelihos.B über den Peer-to-peer-Mechanismus zu vergiften. Binnen Minuten waren wir mit 110.000 infizierten Rechnern in Kontakt“, berichtet Adam Meyers von CrowdStrike. „Das ist schon cool, dass wir eine der Eigenschaften des Botnetzes, seine P2P-Kommunikation, gegen es verwenden konnten.“
Der manipulierte Code ging zunächst an ausgewählte Systeme, die ihn anschließend wie vorgesehen weiterverbreiteten – wie ein Virus. „Irgendwann übernimmt der Code das Netzwerk und die Verbrecher verlieren die Kontrolle“, sagt Meyers. Es sammelt nun noch Daten wie IP-Adresse und Betriebssystem der infizierten PCs. Demnach war das verbreitetste Betriebssystem Windows 7, aber noch ohne Service Pack 1, knapp vor Windows XP mit je über 9000 Systemen.
Die Kommandoserver von Kelihos standen CrowdStrike zufolge in Schweden, Russland und der Ukraine. Zwei Tage, nachdem der manipulierte Code eingeschleust worden war, gaben die Betreiber ihre Infrastruktur auf.
Das erste Kelihos-Netz hatte Microsoft im Oktober 2011 mit einer ähnlichen Methode gestoppt. Es war damals rund 41.000 Bots stark. Ebenfalls Microsoft konnte diese Woche schon melden, dass US-Behörden auf seine Tipps hin die Kommandoserver des Botnetzes Zeus abgestellt hatten.
[mit Material von Elinor Mills, News.com]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…