Kneber veel groter dan 2500 bedrijven en 75.000 pc's
Gepubliceerd: Vrijdag 19 februari 2010
Auteur: Sander van der Meijs
Wat we nu over de nieuw ontdekte botnet Kneber weten lijkt erop te wijzen dat verschillende soorten malware samenwerken op dezelfde host, waardoor alle malware betere kansen heeft om te overleven. Ook is het waarschijnlijk veel wijder verspreid dan die 2500 bedrijven.
Gisteren werd bekend dat een aanval met de ZeuS trojan zeker 74.000 computers in 2500 bedrijven heeft besmet. Alex Cox, senior constultant van de onderzoeksafdeling van NetWitness, ontdekte Kneber op 26 januari toen hij werkte aan een site van klant. Hij kwam een machine tegen die was geïnfecteerd met ZeuS, maar die executables aan het downloaden was voor andere malware. Dat verkeer volgde hij tot een ZeuS command-and-control server in Duitsland, waar hij 75GB aan logdate van de C&C server te pakken heeft gekregen, wat gelijk stond aan de oogst van één maand.
De naam Kreber is afgeleid van het e-mailadres hilarykneber@yahoo.com, waarmee het domein is geregistreerd waar de verschillende componenten van het botnet samenkwamen.
Informatie uit de logs
De logs van het botnet waren natuurlijk een schat aan informatie, omdat Cox daarmee in staat was om alle details te bestuderen van de computers die met behulp van ZeuS overgenomen waren. De logs bleken gebruikerswachtwoorden te bevatten voor sites als Facebook en Yahoo, maar ook voor een groot aantal banken en bijvoorbeeld PayPal.
Wachtwoorden voor sociale netwerken zijn van grote waarde voor cybercriminelen, omdat ze daarmee geïnfecteerde links kunnen posten. Als die van 'vrienden' komen, worden zulke linkjes vaker vertrouwd en gevolgd, waardoor de botnets kunnen worden vergroot. Bovendien kan informatie van deze sites worden gebruikt om bankgegevens te pakken te krijgen, zo staat in het rapport. Het gaat dan om de antwoorden op vragen die gesteld worden als de gebruiker zijn wachtwoord niet meer weet: "Wat is de meisjesnaam van je moeder?", "In welke straat ben je opgegroeid" en "Welke naam had je eerste huisdier?"
Het verontrustende aan de omvang van 74.000 computers in 2500 bedrijven is eigenlijk vooral dat dit slechts de oogst is van één maand, terwijl het botnet al actief is vanaf maart vorig jaar. Dat geeft aan dat het botnet nog veel groter is, en veel wijder verspreid dan nu bekend is. Was het botnet maar 74.000 pc's groot, dan zou het maar een kleintje zijn, in vergelijking met bijvoorbeeld Conficker. Dat laatste botnet wordt echter niet heel actief gebruikt. Uit de logs van Kneber blijkt echter dat het botnet wel actief wordt misbruikt.
Wat eigenlijk vooral opvalt is dat dit soort dreigingen recht door firewalls, antivirus-pakketten en intrusion detection technologieën heen gaat, zelfs als ze goed bijgehouden worden.
