Ist das berüchtigte Waledac-Botnetz nicht im Bilde oder nicht?

Microsoft hat einige Behauptungen über das Waledac-Botnetz aufgestellt, die dem widersprechen, was Botnetzforscher für Realität halten. Lassen Sie uns versuchen, es zu klären.

-------------------------------------------------- -------------------------------------------------- ------------------------

Die offizielle Überschrift des Microsoft-Blogs lautet "Cracking Down on Botnets". In der Post stellt TJ Campana, ein Investigative Consultant bei Microsoft Public Sector Services, die Absichten von Microsoft vor:

"Angesichts der jüngsten Verbreitung von Botnetzen werden wir im Kampf gegen Botnets und alle Formen der Internetkriminalität noch kreativer und aggressiver. Deshalb bin ich stolz darauf, Ihnen mitteilen zu können, dass wir durch rechtliche Schritte und technische Zusammenarbeit mit Industriepartnern eine Haupt-Botnet-Takedown von Waledac, einem großen und bekannten "Spambot". "

Bedeutet das, dass das Waledac-Botnetz außer Betrieb ist? Mal sehen, ob wir es herausfinden können.

Waledacs Anfang

Diese Geschichte beginnt mit der Schließung von McColo im November 2008, dem Kontrollzentrum für mehrere hochkarätige Botnets, darunter Storm. Die Schalung von McColo dezimierte die Befehlsstruktur der Botnetze.

Aus den Ruinen entstand ein neues und stärkeres Botnetz namens Waledac. Das Timing und die Ähnlichkeiten im Malware-Code lassen Experten glauben, dass Waledac wiedergeboren ist.

Von Microsoft abgeschaltet

Nun schnell vorwärts zur letzten Woche, als Microsoft beschlossen hat, ernsthafte Maßnahmen gegen das Botnetz Waledac zu ergreifen. Microsoft Campana erklärt, was passiert ist:

"Ein Bundesrichter erteilte eine einstweilige Verfügung, mit der 277 Internet-Domains, von denen angenommen wird, dass sie von Kriminellen als Waledac-Bot betrieben werden, abgeschnitten wurden. Durch diese Aktion wurde der Verkehr zu Waledac auf der Ebene" .com "oder Domain-Registrierung schnell und effektiv unterbrochen und die Verbindung unterbrochen zwischen den Kommando- und Kontrollzentren des Botnetzes und den meisten seiner Tausenden von Zombie-Computern auf der ganzen Welt. "

Das scheint sicher eine gute Sache zu sein. Ein paar Probleme bleiben bestehen. Experten hinterfragen die Effektivität dessen, was Microsoft getan hat und wie Microsoft das Botnetz charakterisiert.

Waledac runter oder nicht

Ich wurde oft gefragt. Um ehrlich zu sein, ich bin mir nicht sicher, wo Waledac gerade steht. Schauen wir uns an, was die Leute sagen, die Botnets für ihren Lebensunterhalt jagen. Bevor ich anfange, verdient Gregg Keiser von ComputerWorld viel Anerkennung. Er hat zahlreiche Artikel über Waledac geschrieben. Auf diese Weise hat er Expertenaussagen erhalten, die ich gerne mit Ihnen teilen möchte.

Die Botnet-Behörden sind der Ansicht, dass der Software-Riese Waledac kaum oder gar nicht aufgehalten hat, und sagen, dass die heutigen Botmaster Störungen wie die von Microsoft planen. Sie entwickeln einfach mehrere Methoden, um nach Hause zu telefonieren. Waledac hat drei solche Optionen:

  • Eine vorgegebene Liste von Domainnamen (Microsoft-Angriff)
  • Eine Reihe fest codierter IP-Adressen
  • Ein Peer-to-Peer-Protokoll

In einem seiner Artikel fragte Keiser Joe Stewart, Director of Malware Analysis bei SecureWorks und bekannter Botnet-Forscher, was er denke. Hier ist seine Antwort:

"Ich sehe nicht ein, wie man ein Botnetz wie dieses töten kann. Es gibt keinen einzigen Fehlerpunkt für diese Botnetze."

In demselben Artikel sagt Stewart weiter:

"Ich habe keinen Rückgang der Aktivitäten von Waledac gesehen. Für mich sieht es wie gewohnt aus."

Terry Zink, Autor des Anti-Malware-Blogs von MSDN, ist eher rückblickend:

"Manchmal muss man den Kampf nicht vollständig gewinnen, sondern nur für den Bot-Controller und den Spammer zu teuer machen, um das Kosten-Nutzen-Verhältnis in eine ungünstige Richtung zu verschieben."

Ich habe das Gefühl, dass Waledac trotz der Intervention von Microsoft immer noch im Geschäft ist. Es wird interessant sein, die Geheimdienstberichte des nächsten Monats zu lesen, um zu sehen, wo Waledac in die Botnetzhierarchie passt.

Microsoft verwirrt?

TJ Campana im Microsoft-Blog machte einige Behauptungen, die geprüft werden müssen. Er erwähnte, dass Waledac ein "großer und bekannter Spambot" sei / ist. Ich denke, er meint Spam-Botnetz.

Jedenfalls sind sich die Experten nicht einig. Ich habe gerade einen Artikel fertiggestellt: Die Top 10 der Spam-Botnets: Neu und verbessert. Niemand zählt Waledac zu den 10 größten Spam-Botnetzen. Dazu gehört MessageLabs in ihrem gerade veröffentlichten Intelligence Report vom Februar 2010.

Weiter unten im offiziellen Microsoft-Blog bietet Campana folgende Zahlen an:

"Es wird geschätzt, dass Waledac Hunderttausende von Computern auf der ganzen Welt infiziert hat. Vor dieser Aktion wurde angenommen, dass Waledac über 1, 5 Milliarden Spam-E-Mails pro Tag senden kann."

Wir wissen jetzt, dass Hunderttausende von Bots im großen Schema der Dinge nicht von Bedeutung sind, besonders wenn man Rustock, das Botnetz, betrachtet. Es hat das Recht, das größte Botnetz zu sein und fast zwei Millionen infizierte Computer zu kontrollieren.

Nächster Anspruch

Der Uneingeweihte könnte 1, 5 Milliarden Spam-E-Mail-Nachrichten pro Tag für bedeutend halten. Diese Menge verblasst jedoch im Vergleich zu anderen aktiveren Spam-Botnetzen. Tatsächlich war Waledac laut MessageLabs nicht so beschäftigt.

Wenn Sie sich das folgende Diagramm ansehen (mit freundlicher Genehmigung des MessageLabs Intelligence Report), sehen Sie zwei deutliche Spitzen der Waledac-Aktivitäten, eine im Januar 2009 und eine im Januar 2010. Waledac war während der restlichen Zeit ruhig.

Keiser fragte Stewart nach Waledacs Spam-Fähigkeit:

"Waledac ist einfach kein überaus produktiver Spammer. Ich glaube also nicht, dass es sich auf Spam auswirken wird. Wofür es verwendet wird, ist die Installation von Antivirensoftware."

Meine Forschung stimmt zu. Betrachten Sie Grum, den König des Spam-Botnetzes. Mit nur 600.000 Bots gelingt es ihm immer noch, täglich 40 Milliarden Spam-E-Mail-Nachrichten zu versenden.

Abschließende Gedanken

Die Zeit wird zeigen, ob Waledac überlebt oder nicht. Historisch spielt es keine Rolle. Ein anderes Botnetz wird es ersetzen. Das heißt, bis wir herausfinden, wie verhindert werden kann, dass Computer für Exploits anfällig sind.

© Copyright 2021 | mobilegn.com