Botnät omgjort för att kunna sprida maskar och annat malware.

20 maj kl 02:10, 2008

Skrivet av artylon under kategorin Annat smått och gott | 0 Kommentarer | Permalink

Botnätet Asprox har tidigare mest användts för phishing. De senaste dagarna har det byggts om för att infektera webbsidor och därifrån smitta besökare.


Ett botnät som tidigare mest använts för phishing har börjat infektera webbsidor. Den nya versionen av de små program som utgör klienterna i botnätet Asprox har utrustats med funktionen att leta efter sårbara webbsidor skrivna i Active Server Pages, ASP. När det skadliga programmet hittar en sån sårbar ASP-installation lägger det in en attack-kod i ASP-sidan som försöker smitta webbsidans besökare genom en SQL-injektion.


Den senaste månaden har en liknande attack med trojaner som stjäl lösenord till online-spel infekterat cirka en halv miljon Windowsdatorer. Den attacken ska enligt en talesman för IT-säkerhetsföretaget Secure Works ha kommit från hackare i Kina. Samma talesman, Joe Stewart, säger att den attack som nu sker via botnätet Asprox ser ut som ett sätt att härma attacken som infekterat en halv miljon datorer. Det är dock första gången han sett ett botnät användas för att sprida en SQL-baserad attack. Han tror också att den kommer från Östeuropa.


Själva attacken på webbplatsen sker genom att lägga in en iFrame i sidans kod coh sen smitta besökare med ett skadligt Javascript från domänen "direct84.com". I går hade Asprox infekterat över tusen webbplatser på det sättet, enligt nyhetstjänsten Dark Reading.


Asprox använder också attacken för att rekrytera nya botar till nätverket. Idagsläget består det av cirka 15 000 smittade datorer. Det skickar också ut "scare ware" det vill säga att det varnar för att datorn är smittad och uppmanar användaren att köpa ett program som tar bort smittan. Enligt Stewart är det inte klart vad det är i programmet som användaren köper, det hanteras av ett partner-företag till Asprox. Däremot ger det Asprox-ägaren lite extra pengar och kreditikortsnumret till folk som går att lura på det sättet.


Enligt Virus Total är det idag bara ett fåtal antivirusprogram som upptäcker den typ av attack som Asprox använder.

Microsoft vertyg hjälper till i kampen mot Botnets

13 maj kl 19:45, 2008

Skrivet av artylon under kategorin Blandat | 0 Kommentarer | Permalink

Botnet fighters har ett annat verktyg i sin arsenal, tack vare Microsoft.

Programleverantören har gett de brottsbekämpande myndigheterna tillgång till ett speciellt verktyg som håller koll på botnets, med hjälp av uppgifter från de 450 miljoner datoranvändare som har installerat Malicious Software Removal Tool som levereras med Windows.

Även om Microsoft är ovilliga att ge ut information på sin botnet Buster eftersom att företaget har sagt att ens avslöja sitt namn kan ge cyberbrottslingar en aning om hur man kan motverka den.
Verktyget innehåller data och programvaror som hjälper de brottsbekämpande myndigheterna få en bättre bild av de uppgifter som lämnats av Microsofts användare, säger Tim Cranton, associate chefsjurist med Microsoft's World Wide Internet Safety Program. "Jag tror på det ... och på botnet intelligens", sade han.

Microsoft säkerhetexperter analyserar prover av skadlig kod att fånga en ögonblicksbild av vad som händer på botnet-nätverket, som sedan kan användas av de brottsbekämpande myndigheterna.

Botnets är nätverk av hacka datorer som kan användas, nästan som en superdator, att skicka spam eller attackera servrar på Internet. De har varit på Microsofts radar för ungefär fyra år, ända sedan företaget identifierat dem som ett betydande framväxande hot. Faktum är att programleverantören har hållat sju privata botnet konferenser för brottsbekämpande myndigheter genom åren, däribland en inledande händelse i Lyon, Frankrike, tillhandahållen av Interpol, meddelar Cranton.

Microsoft hade inte tidigare talat om sitt botnet verktyg, men det visar sig att polisen i Kanada använt det att göra en hög profil byst tidigare i år.

I februari, Sûreté du Québec används Microsofts botnet-Buster att bryta upp ett nätverk som hade smittats nästan 500 000 datorer i 110 länder, enligt Captain Frederick Gaudreau, som leder den provinsiella polisstyrkans databrottslighet.

Fallet visar hur användbar Microsofts programvara och data kan vara.

Efter övervakning av hacker-chattrum och intervjuer av källor, hade Quebec polisen flera misstänkta i deras fall. Men vad de inte hade var en tydlig koppling, som visar de som faktiskt kontrollerade dessa botnets. Eftersom botnets vanligtvis får sina instruktioner från andra hackade datorer, kan det vara svårt att dra slutsatser i ett fall som detta. "Vi visste att dessa människor var verkligen aktiva och vad vi behövde för att verkligen ta ut dem var att göra djupare undersökningar, och att veta hur de använder sina botnets", sade han.

Sûreté du Québec officerare hade hört talas om Microsofts verktyg i vid ett 2006 Microsoft brottsbekämpande konferens. Några månader senare beslutade de att ge det ett försök.

Efter en analys av Microsofts programvara får utredarna identifierat vilken IP-adress som har används till att driva botnet, gruppen sagt, och det spräckte fallet.

Att bygga upp den här typen av fall innebär att man måste hålla sig ajour med nätverkstrafik och sabotageprogram under en lång period, sade Paul Ferguson, på Trend Micro, som arbetar med brottsbekämpning i liknande fall.

Detta är ett område där företagen verkligen kan hjälpa till med brottsutredningar, tillade han. "Vi måste se mycket mera samarbete mellan brottsbekämpande och privata näringslivet," säger Ferguson. "Rättsväsendet är illa rustade för den globala skalan och volymen på av dessa hot."

Källa: Computerworld

Bloggen är flyttad till: Blogspot.com och du kommer nu att automatiskt bli förflyttad dit.