Lost in the Noise

Niet Zeus, maar Butterfly is de meest voorkomende malware ter wereld, zo blijkt uit cijfers van beveiligingsbedrijf FireEye. Was Zeus voorheen nog de nummer één onder cybercriminelen, inmiddels is het naar de derde plek afgezakt en goed voor 3,62% van alle infecties. Op de tweede plaats staat met 4,7% het relatief onbekende Trojaanse paard ‘Hiloti’. De absolute nummer één is Butterfly, ook bekend als Mariposa en Palevo. Deze malware werd op 7,5% van alle besmette machines aangetroffen. Ook de anderhalf jaar oude Conficker worm komt in het overzicht terug. Met een aandeel van 2,5% staat het op de elfde plaats.

FireEye erkent dat het lastig is om kloppende cijfers te geven. “Het bepalen van de volume van een bepaalde malware-familie is een lastige taak. Veel anti-virusbedrijven hebben dit in het verleden geprobeerd. Het probleem is dat veel van deze schattingen alleen op de eigen interne gegevens zijn gebaseerd. Aan de hand van een ‘wat wij het meeste detecteren’ techniek, die soms de eigen tekortkomingen over het hoofd ziet”, zegt Atif Mushtaq van FireEye. Het bedrijf baseerde zich daarom op de cijfers van het ‘MAX Cloud Intelligence network’ en vergeleek dat met de cijfers van andere anti-virusbedrijven.

Opvallen
Naast het aantal besmette machines, werd ook naar het aantal malware exemplaren gekeken. Dan blijkt dat het Virut-virus het meest voorkomt. “Het grote aantal unieke malware exemplaren is logisch. Virut is een file infecter die zichzelf in elk uitvoerbaar bestand op besmette computers injecteert”, aldus Mushtaq. Daardoor kan één besmette machine duizenden kopieën van de malware bevatten.

Butterfly staat pas op de negende plek als het gaat om het aantal exemplaren. “Dit is bewijs dat de cybercriminelen die erachter zitten zeer succesvol zijn in het niet opvallen.” De Butterfly-toolkit laat cybercriminelen eenvoudig een eigen botnet maken. Net als met de Zeus Trojan zijn er daardoor meerdere botnets met deze malware, maar worden die allemaal door andere criminelen beheerd. Begin maart werd één van deze Mariposa-botnets, bestaande uit 13 miljoen computers, door de autoriteiten ontmanteld.

(bron: security.nl)

Het uitschakelen van het Waledac botnet door Microsoft was geen eenmalige actie, aangezien de softwaregigant in de toekomst nog veel meer botnets wil gaan slopen. Eind februari lanceerde Microsoft “Operatie b49″, waarbij de werking van het Waledac botnet ernstig werd ontregeld. “De takedown markeerde ook een nieuwe fase in de strijd tegen botnets”, zegt Jeff Williams van het Microsoft Malware Protection Center. De softwaregigant noemt de oorlog tegen botnets “Project MARS”, wat staat voor Microsoft Active Response for Security.

Bij het aanpakken van Waledac hanteerde Microsoft een meerlaagse aanpak, gericht tegen het verstoren van de P2P-communicatie tussen de bots en het uit de lucht halen van domeinnamen en Command en Control servers. De actie is nog altijd een succes, zo blijk uit cijfers van verschillende onderzoekers. Zo’n 70.000 tot 90.000 computers zijn geen onderdeel meer van het botnet. Daarnaast is Waledac niet meer in staat om andere computers te infecteren, aangezien er sinds de actie door Microsoft geen nieuwe infecties zijn bijgekomen.

De hoeveelheid spam daalde niet door het verdwijnen van Waledac, maar daar was het Microsoft ook niet om te doen. “Het doel was het ontregelen van de bot en daar voor toekomstige acties van te leren.”

Infecties
Eén van de dingen die Microsoft leerde was dat de machines met de Waledac bot met andere malware besmet waren. Daardoor worden de computers nog steeds gebruikt voor het versturen van spam. Ongeveer de helft van alle computers die onder controle van Waledac stonden, worden nog steeds door spammers ingezet. Ook de juridische actie voor het uit de lucht halen van de domeinnamen was een groot succes, merkt Williams op. De hele operatie fungeerde voor Microsoft als een “proof of concept”, in een gebied waar het nog niet veel ervaring heeft.

Het uit de lucht halen van het Mariposa botnet door de Spaanse autoriteiten toontvolgens Williams aan dat samenwerking tussen verschillende partijen van essentieel belang is. “Verwacht daarom meer van dit soort acties, als we samenwerken tegen botnets en het internet voor iedereen veiliger maken.”

(bron: security.nl)

Het aantal infecties door de Zeus-bot is de afgelopen drie maanden explosief gestegen, zo blijkt uit cijfers van Microsoft. Het succes van de malware wordt verklaard doordat die continu wordt bijgewerkt. Verschillende distributeurs beheren en verspreiden de Zeus malware, ook bekend als Zbot en WSNPoem. De eerste varianten verschenen eind 2006 en na ruim drie jaar is Zeus nog steeds zeer actief. “Als je door deze malware bent geïnfecteerd, volstaat het om te zeggen dat je niet alleen bent”, zegt Jireh Sanico van het Microsoft Malware Protection Center.

Bijna 75% van de infecties bevinden zich in de Verenigde Staten en Groot-Brittannië. Zeus steelt inloggegevens voor internetbankieren en veel banken in deze twee landen gebruiken alleen een gebruikersnaam en wachtwoord. Voor gebruikers die willen controleren of ze met Zeus besmet zijn of vermoeden dat er een nieuwe variant op het systeem staat die virusscanners niet herkennen, heeft Sanico een uitgebreide uitleg online gezet. Via wat “command line kungfu” is het niet alleen mogelijk om de malware te vinden, maar ook om die uit te schakelen.

Slachtoffers
Ondertussen blijft het aantal Amerikaanse bedrijven dat slachtoffer wordt groeien. Recentelijk zag een garagebedrijf hoe cybercriminelen 150.000 euro van de rekening haalden. De bank wist een deel van de transacties te stoppen en vergoedde de rest. Het bedrijf kreeg te horen dat op dezelfde dag vier a vijf andere klanten van de bank ook waren gehackt.

(bron: security.nl)

Het door de Spaanse autoriteiten ontmantelde mega-botnet heeft ook in Nederland tienduizenden slachtoffers gemaakt. In totaal waren 12,7 miljoen computers onderdeel van het Mariposa-botnet, Spaans voor vlinder. De malware verspreidde zich via USB-sticks, P2P-netwerken en Instant Messaging.

Microsoft zag de bot voor het eerst in november 2008 verschijnen, maar het aantal infecties nam vanaf augustus sterk toe. De softwaregigant besloot daarom de malware aan de Malicious Software Removal Tool (MSRT) toe te voegen. Tussen januari en februari van dit jaar verwijderde de gratis tool de malware van meer dan 1 miljoen machines. In Nederland ging het om ruim 25.000 computers.

De meeste geïnfecteerde PC’s stonden in de Verenigde Staten, Zuid-Korea, Frankrijk en Mexico. Rimecud, zoals Microsoft de malware noemt, was in 190 landen actief. Onderzoekers vonden de persoonlijke gegevens van 800.000 gebruikers, zoals inloggegevens voor e-mailwachtwoorden, internetbankieren en bedrijfsnetwerken.

Schade
Het onderzoek is nog in volle gang, maar volgens Panda Security schat dat de schade door de fraude, financiële diefstal, dataverlies en schoonmaken in de miljoenen euro’s loopt.

Vrijuit
Het is goed mogelijk dat de drie aangehouden verdachten nooit de binnenkant van de gevangenis zullen zien. Spanje beschikt namelijk niet over de vereiste wetgeving. “Het is bijna onmogelijk om in Spanje voor dit soort misdrijven de gevangenis in te gaan, waar gevangenisstraf alleen voor ernstige misdrijven is”, zegt kapitein Cesar Lorenzana van de Guardia Civil. “In Spanje is het geen misdrijf om een botnet te hebben, te beheren of malware te verspreiden. Zelfs als we kunnen bewijzen dat ze een botnet gebruikten, moeten we ook bewijzen dat ze identiteiten en andere zaken stalen, en dat is waar we ons nu op richten.”

Ook Juan Santana, CEO van Panda Security, denkt niet dat het trio een celstraf zal krijgen, maar hoopt dat beleidsmakers nu strengere straffen voor computercriminaliteit zullen invoeren. “Ik denk niet dat deze gasten naar de gevangenis zullen gaan, zeker omdat het de eerst keer is dat ze een misdrijf begaan”, aldus Santana. Volgens de beveiliger zijn hackers in veel landen niet bang om te worden gepakt, aangezien ze toch geen celstraf krijgen. “De voordelen wegen nu zwaarder dan de risico’s.”

(bron: security.nl)

Een nieuw botnet dat het beruchte Zeus botnet aanvalt, blijkt nauwelijks iets voor te stellen. Vorige week kwam anti-virusbedrijf Symantec met de aankondiging van de SpyEye Trojan, die onder andere de Zeus bot op besmette machines verwijderde. Volgens Symantec’s Peter Coogan zou dit tot een nieuwe botnet-oorlog kunnen leiden, zoals in het verleden met Beagle, Netsky en Mydoom gebeurde.

Inmiddels beweren ook andere anti-virusbedrijven dat een oorlog tussen cybercriminelen mogelijk is. “Sommige EyeBot eigenschappen doen ons geloven dat dit tot een nieuwe botnet-oorlog kan leiden, net als we een aantal jaren geleden met Netsky en Mydoom zagen”, zegt Roland Dela Paz van Trend Micro. Daarmee herhaalt ze bijna letterlijk wat Symantec een week eerder vertelde, maar die komt nu terug op een mogelijke oorlog.

Oorlog
De door de media aangewakkerde berichten zijn namelijk niet op de werkelijkheid gebaseerd. Zeus wordt gezien als de “koning van de botnets”, met name omdat het Trojaanse paard eenvoudig is te gebruiken, makkkelijk verkrijgbaar en zeer effectief is. Het was dan ook logisch dat er “copycats” zouden verschijnen die Zeus probeerden te imiteren. De “Kill Zeus” optie van SpyEye, of EyeBot zoals Trend Micro de malware noemt, laat beheerders Zeus-bots stelen. In potentie zou dat tot een botnet-oorlog kunnen leiden, maar in werkelijkheid is het nog lang niet zover.

Na twee maanden is het aantal SpyEye infecties nog altijd zeer laag. Symantec maakte een overzicht tussen de twee bots en moest daar een logaritmische schaal voor gebruiken, omdat SpyEye anders in het niets zou verdwijnen. “SpyEye heeft nog een lange weg te gaan voordat het zelfs kan hopen om Zeus als de koning van de bots omver te werpen”, aldus Hon Lau van Symantec.

(bron: security.nl)

Elke dag versturen spammers tweehonderd miljard spamberichten, voornamelijk via botnets. Uit cijfers van beveiligingsbedrijf M86 blijkt dat 78% van alle spamberichten van de top 5 botnets afkomstig is. Daarvan zijn het Rustock en Pushdo botnet bij elkaar goed voor 54%.

Het aantal kwaadaardige spamberichten, e-mails met een besmette bijlage of een link die naar een drive-by download website wijst, groeide naar drie miljard per dag. Een vervijfvoudiging ten opzichte van de 600 miljoen spamberichten die in de eerste helft van 2009 werden waargenomen. “Het is belangrijk om de grootste veroorzakers van spam te identificeren, zodat de industrie actie kan ondernemen”, zegt Technical Strategy vice president Bradley Anstis.

Zero-day
De beveiliger ontdekte verder in de tweede helft van vorig jaar dat 40% van de aanvallen via zero-day beveiligingslekken plaatsvond. “Eén van de grootste problemen met zero-day lekken is de tijd tussen de ontdekking van het lek, misbruik in het wild en het uitkomen van een patch door de leverancier.”

Dit “Window of Vulnerability” wordt steeds kleiner, maar zelfs als er een patch is verschenen, zijn gebruikers traag met het installeren ervan. Dit blijkt bijvoorbeeld met het MDAC-lek, dat in 2006 werd gepatcht, maar nog steeds zeer populair bij cybercriminelen is.

(bron:  security.nl)

Niet Conficker, maar Zeus en Koobface waren de grootste botnets van 2009, zo blijkt uit cijfers van beveiligingsbedrijf Damballa. De botnetjager zag vorig jaar duizenden verschillende botnets en identificeerde dagelijks miljoenen nieuwe besmette machines. Zeus was verantwoordelijk voor 19% van alle bots binnen bedrijfsnetwerken. In tegenstelling tot Conficker, zijn er talloze verschillende Zeus botnets, die elk een aparte beheerder hebben.

Koobface, voornamelijk actief op sociale netwerksites zoals Facebook, was goed voor 24% van alle infecties. De besmettingen waren wel over drie verschillende varianten verdeeld. Het “ClickFraudBotnet” is met een aandeel van 9% derde. De bende achter dit botnet gebruikt in tegenstelling tot andere botnets allerlei soorten malware, waarmee men “geavanceerde clickfraude aanvallen” plegen. Conficker is met een aandeel van 4% tiende in het overzicht van Damballa, dat alleen kijkt naar botnets binnen bedrijfsnetwerken.

(bron: security.nl)

In 2009 werden er elke dag 107 miljard spamberichten verstuurd, waarvan 83,4% afkomstig van geïnfecteerde computers was, zo blijkt uit cijfers van filteraar MessageLabs. De jaarlijkse gemiddelde hoeveelheid spam kwam uit op 87,7%, een toename van 6,5% ten opzichte van vorig jaar. Ook de hoeveelheid Nederlandstalige spam bedroeg 6,5%. Chineestalige spam blijft Nederlanders bespaart. Wie een op .NL eindigend e-mailadres heeft, loopt samen met Duitsland, Portugal en de Verenigde Staten de minste kans op Chineestalige spam. Wel is 0,5% van de Nederlanders met een breedbandverbinding onderdeel van een botnet.

Botnets
Na het afsluiten van internetproviders die botnets hosten, zoals McColo eind 2008 en Real Host in augustus 2009, lijkt het erop dat botnets hun “command-and-control” back-upstrategie hebben herzien en verbeterd, zodat ze al na enkele uren in plaats van weken of maanden opnieuw actief zijn. De beveiliger wijst erop dat botnets in 2010 autonoom intelligent zullen worden, waarbij elke “node” ingebouwde autonome programma’s bevat om zijn overleving te coördineren en veilig te stellen. Botnets blijven de belangrijkste infrastructuur van cybercriminelen. Zo beschikten in 2009 de tien belangrijkste botnets, zoals Cutwail, Rustock en Mega-D, over minstens vijf miljoen geïnfecteerde computers.

Verder detecteerde MessageLabs dit jaar 73 miljoen malware varianten, verschenen er elke dag 2465 nieuwe sites met malware en waren er 30.000 unieke domeinen die malware aanboden. 80% van deze domeinen waren gevestigde en legitieme, maar besmette websites. De overige 20% waren nieuwe domeinen die uitsluitend met kwade bedoelingen werden gecreëerd. Meer cijfers en statistieken in het jaaroverzicht.

Het beveiligingsbedrijf dat vorige week binnen 24 uur een botnet sloopte, is vervolgens door zo’n 250.000 ontheemde zombies bezocht. Het Mega-D / Ozdok botnet was verantwoordelijk voor zo’n 4% van de wereldwijde hoeveelheid spam, maar werd via een goed gecoördineerde actie uit de lucht gehaald. Beveiligingsbedrijf FireEye besloot de domeinnamen te registreren die het botnet voor contact met de geïnfecteerde bots gebruikte. Na vijf dagen hadden zo’n 5 miljoen unieke IP-adressen verbinding met de servers van FireEye gemaakt.

“Het is lastig om de werkelijke omvang van dit botnet met dit getal te bepalen, maar we krijgen wel een goed idee waar de geïnfecteerde systemen zich bevinden.” Brazilië is met 11,5% van de infecties koploper, gevolgd door India en Vietnam. Onlangs werd Vietnam al als spam-paradijs bestempeld. In totaal bevonden de infecties zich in 214 verschillende landen.

Korrel zout
Aan de hand van een algoritme dat ook werd toegepast om de omvang van het Torpig botnet te bepalen, wilde men kijken hoe groot Ozdok was. Een besmet systeem zal volgens de onderzoekers zeker voor een uur hetzelfde IP-adres houden. De Ozdok bots bleken elke 5 minuten verbinding te maken, dus aan de hand van een uur verkeer kon men een ruwe schatting van de omvang maken, waarbij FireEye op een getal van 248.590 uitkomt.

“Is dit de omvang van het Ozdok botnet? Elke schatting van een botnet moet met een korrel zout genomen worden, aangezien het zeer lastig is om dit te berekenen en er veel conflicterende data is.” Dat neemt niet weg dat de onderzoekers nu al een week het botnet in handen hebben, wat veel interessante gegevens oplevert.

Een grootschalige aanval op internetgebruikers en websites is herleid naar een botnet van gehackte Linux-servers. Onderzoeker Denis Sinegubko onderzocht de IP-adressen waar de gehackte websites naar toe verwezen. In alle gevallen ging het om servers waar legitieme websites op draaiden. De websites draaiden op poort 80, terwijl de kwaadaardige content via poort 8080 werd aangeboden. “Het lijkt erop dat al die servers zijn gehackt en dat de beheerders niet door hebben dat hackers een webserver op poort 8080 hebben draaien”, aldus Sinegubko. Hij adviseert systeembeheerders om te controleren of er geen ongeautoriseerde webserver op de betreffende poort draait. De aanvallers hebben een voorkeur voor lichtgewicht webserver nginx, wat doet vermoeden dat ze shell toegang met root rechten hebben.

“Wat we hier hebben is het langverwachte zombiebotnet van webservers. Een groep van geïnfecteerde webservers met een gemeenschappelijk controle center betrokken bij het verspreiden van malware”, gaat de onderzoeker verder. Hij merkt op dat het botnet weer met een botnet van thuiscomputers verbonden is. Het webserver-botnet kan precies dezelfde dingen als een doorsnee botnet doen, alleen vanwege de internetverbinding veel effectiever. Het gebruik van een webserver heeft echter ook nadelen. Zodra het IP-adres van de server bekend is, zal die vroeger of later worden afgesloten.

Wachtwoord
Sinegubko stelt dat als de aanval langer effectief dan een week wil zijn, de aanvallers over duizenden al gehackte servers moeten beschikken. “Of ze beschikken over een te misbruiken Linux-lek.” Alle gehackte servers draaiden Linux. “Dit is geen proof-of-concept aanval die stopt met bestaan. Dit is een echt probleem dat systeembeheerders zo snel als mogelijk moeten aanpakken.”

Naast de mogelijkheid van een ongepatchte server, houdt de onderzoeker er ook rekening mee dat aanvallers over het root-wachtwoord beschikten. De aanval in kwestie steelt FTP-wachtwoorden om verborgen iframes aan legitieme websites toe te voegen. De kans is dus aanwezig dat gebruikers hetzelfde account voor FTP als root gebruikten of de informatie in het FTP-programma bewaarden. Wat in beide gevallen erg dom is, aldus Sinegubko.