Symantec nutzt die Schwachstelle, nehmen Sie Teil der ZeroAccess-Botnets

2013-12-30  |  Comebuy News

Symantec hat angekündigt, dass sie erfolgreich ein wichtiger Bestandteil der ZeroAccess-Botnet abgenommen habe durch Ausnutzung eine Schwäche entdeckt in seinem Code.

Comebuy Verwandte Artikel: Symantec ergreift Teil massive Peer-to-Peer-Botnet nutzt ZeroAccessMalware zunehmend Peer-to-Peer-Kommunikation, Forscher SayZeroAccess Bot 2 Millionen Verbraucher infiziert hat, feste CalculatesMalware infiziert 13 Prozent des nordamerikanischen Heimat NetworksNew Botnet Exploits gepatchten Windows-Fehler

Das ZeroAccess-Botnet existiert in eine Form oder ein anderes seit 2010 im vergangenen September Sicherheitsanbieter Sophos berichtet, dass die ausführbare Datei für ZeroAccess ca. 9 Millionen Mal, heruntergeladen hatte und Kindsight, eine netzwerkbasierte Sicherheits- und Analytics-Anbieter, berichtet, dass 2,2 Millionen Heimnetzwerken durch das Botnet ab Q3 2012 infiziert waren.

ZeroAccess verbreitet sich über Exploit-Kits, normalerweise, nachdem Opfer gefolgt von einem Link in e-Mail oder Software-Raubkopien oder Warez (Schlüsselgeneratoren oder Software Risse) heruntergeladen haben. Das Botnet ist ein virtuelles Geld-Maschine, wie der primäre Fokus Bitcoin Mining und Klick-Betrug. Die rasche Verbreitung der Botnet ist weitgehend auf die Tatsache, die der Betreiber PPI (Pay-Per-Install) Programm gut zahlt.

[70 Prozent der Geschäftsanwender anfällig auf neuesten Internet Explorer Zero-Day]

Im August beobachtet Symantec, dass ZeroAccess ein Netz von 1,9 Millionen Bots ausgeführt wurde, während diese Zahl niedriger ist als was wurde in der zweiten Hälfte des Jahres 2012, geschätzt, es noch fast 2.100 $ pro Tag Bitcoin Ertragskraft und Nachkalkulation Werbekunden fast $1 Million in entgangenen Gewinn entspricht.

Das Botnet selbst verläuft auf einer Peer-2-Peer Führungs- und Architektur, wodurch die Aufgabe, wobei es sich ziemlich schwierig. Wie jeder neu infizierten Host online geschaltet wird, wirbt es für andere infizierten Rechner zum Austausch von Informationen über andere Peers im Netzwerk (das Botnet selbst in diesem Fall), so dass sie Dateien und Anleitungen schnell und effizient zu verbreiten.

Symantec mit der Aufgabe ZeroAccess offline zu nehmen, für einige Zeit zu kämpfen, aber die P2P-Architektur, wie bereits erwähnt, hat der Aufgabe eine schwierige Sache. Aber in diesem Jahr bemerkt Symantec-Ingenieure eine Schwäche, die einer schwierigen, aber nicht unmöglich, Methode zur Doline das Botnet angeboten.

"Wir führte weitere Tests in unseren Labors kontrolliert und fand eine praktische Möglichkeit, Kollegen aus der Botmaster zu befreien", erklärt Symantec in einem Blog-Post.

"Während dieser Zeit weiterhin wir das Botnet verfolgt und am 29. Juni, wir bemerkt, dass eine neue Version des ZeroAccess durch das Peer-to-Peer-Netzwerk verteilt wird. Die aktualisierte Version enthielt eine Reihe von Änderungen aber, was entscheidend ist, enthalten Änderungen, die die Konstruktionsfehler zu, die das Botnet anfällig begegnen für sinkholed wird gemacht."

16. Juli begann Symantec ausnutzen der Schwäche, wobei sich einige 500.000 Bots im Prozess. In Tests zufolge Symantec dauerte es durchschnittlich nur fünf Minuten der P2P-Kommunikation vor einem anderen Bot sinkholed war und aus dem ZeroAccess-Netzwerk entfernt.

"Was diese Übung gezeigt hat ist, dass trotz der elastische P2P-Architektur der ZeroAccess-Botnet wir noch Doline einen großen Teil des Bots konnten. Dies bedeutet, dass diese Bots werden nicht mehr alle Befehle aus der Botmaster erhalten und sind effektiv für das Botnet für Befehle zu verbreiten und für die Aktualisierung nicht mehr verfügbar oder neue Einnahmen Generation Systeme "Symantecs Post hinzugefügt.

Geht nach vorn, sagt Symantec, sie arbeiten mit ISPs und CERTS rund um den Globus um Informationen auszutauschen und die infizierten Systeme zu reinigen. Der ganze Beitrag auf den Takedown ist hier.

« Back