Gisteren werd bekend dat een aanval met de ZeuS trojan zeker 74.000 computers in 2500 bedrijven heeft besmet. Alex Cox, senior constultant van de onderzoeksafdeling van NetWitness, ontdekte Kneber op 26 januari toen hij werkte aan een site van klant. Hij kwam een machine tegen die was geïnfecteerd met ZeuS, maar die executables aan het downloaden was voor andere malware. Dat verkeer volgde hij tot een ZeuS command-and-control server in Duitsland, waar hij 75GB aan logdate van de C&C server te pakken heeft gekregen, wat gelijk stond aan de oogst van één maand.

De naam Kreber is afgeleid van het e-mailadres [email protected], waarmee het domein is geregistreerd waar de verschillende componenten van het botnet samenkwamen.

Informatie uit de logs

De logs van het botnet waren natuurlijk een schat aan informatie, omdat Cox daarmee in staat was om alle details te bestuderen van de computers die met behulp van ZeuS overgenomen waren. De logs bleken gebruikerswachtwoorden te bevatten voor sites als Facebook en Yahoo, maar ook voor een groot aantal banken en bijvoorbeeld PayPal.

Wachtwoorden voor sociale netwerken zijn van grote waarde voor cybercriminelen, omdat ze daarmee geïnfecteerde links kunnen posten. Als die van ‘vrienden’ komen, worden zulke linkjes vaker vertrouwd en gevolgd, waardoor de botnets kunnen worden vergroot. Bovendien kan informatie van deze sites worden gebruikt om bankgegevens te pakken te krijgen, zo staat in het rapport. Het gaat dan om de antwoorden op vragen die gesteld worden als de gebruiker zijn wachtwoord niet meer weet: “Wat is de meisjesnaam van je moeder?”, “In welke straat ben je opgegroeid” en “Welke naam had je eerste huisdier?”

Het verontrustende aan de omvang van 74.000 computers in 2500 bedrijven is eigenlijk vooral dat dit slechts de oogst is van één maand, terwijl het botnet al actief is vanaf maart vorig jaar. Dat geeft aan dat het botnet nog veel groter is, en veel wijder verspreid dan nu bekend is. Was het botnet maar 74.000 pc's groot, dan zou het maar een kleintje zijn, in vergelijking met bijvoorbeeld Conficker. Dat laatste botnet wordt echter niet heel actief gebruikt. Uit de logs van Kneber blijkt echter dat het botnet wel actief wordt misbruikt.

Wat eigenlijk vooral opvalt is dat dit soort dreigingen recht door firewalls, antivirus-pakketten en intrusion detection technologieën heen gaat, zelfs als ze goed bijgehouden worden.

Symbiotische relatie

De omvang van het Kneber botnet, zo’n 74.000 computers in 2500 verschillende bedrijven, heeft gisteren de meeste aandacht getrokken. Maar er is nog een ander interessant aspect aan de bevindingen van Cox. De resultaten van het onderzoek lijken erop te wijzen dat verschillende malware netwerken samenwerken in een symbiotische relatie, die elk botnet beschermt tegen ontmanteling.

Kneber is opgebouwd met behulp van de aloude ZeuS toolkit, die ondertussen zijn waarde ruimschoots heeft bewezen. Kneber is maar één voorbeeld van veel meer botnets die met deze toolkit is opgebouwd, en niet eens de grootste. Wat Cox nu ontdekt heeft is dat meer dan de helft van de 74.000 computers binnen Kneber ook geïnfecteerd is met andere malware, die andere C&C structuren hebben. Als een van deze netwerken wordt neergehaald, dan kan een ander worden gebruikt om het weer op te bouwen.

Zo verkrijgen de criminelen fault tolerance en zekerheid, als minstens twee verschillende botnetfamilie’s samenwerken, zegt Cox in zijn analyse.

Samen met Waledac

In het geval van Kneber is meer dan de helft van de geïnfecteerde machines ook besmet met Waledac, dat spam verstuurt en peer-to-peer mechanismen gebruikt om zich te verspreiden. Cox kan niet met zekerheid zeggen dat er in dit geval echt sprake is van samenwerking, maar de aanwezigheid van beide soorten malware laat wel een interessante mogelijkheden zien: Als de ZeuS command & control infrastructuur wordt neergehaald, dan kan de eigenaar van het ZeuS botnet contact opnemen met degene die het Waledac botnet beheert. Vervolgens kan het Waledac botnet tegen betaling een ZeuS upgrade pushen waardoor het botnet weer operationeel wordt met nieuwe servers aan het hoofd, zegt Cox.

Een andere mogelijkheid is dat een enkele groep beide botnets beheert en de upgrades zelf pusht. “Vanuit een disaster recovery perspectief lijkt dat heel logisch”, zegt Cox.

Bron: Techworld