Gameover Zeus & Cryptolocker Geschrieben am 8. Juni 2014 | Kategorie:, | Comments Off auf Gameover Zeus & Cryptolocker Einführung Am Montag 2. Juni 2014, die eine laufende Operation, um die berüchtigte Gameover Zeus und CryptoLocker cybercrimal Botnet-Infrastrukturen zu notieren. "Operation Tovar" ist eine gemeinsame Anstrengung zwischen den internationalen Strafverfolgungsbehörden, wie die, und, sowie eine Vielzahl von privaten Partnern. Die tatsächliche Botnet trat übernehmen am Freitag, 30. Mai 2014 und ist noch nicht abgeschlossen als aktiven Betrieb. Die Shadowserver Foundation, indem sie operative Infrastruktur und das Sammeln von Daten über infizierte Kunden für die Zwecke der Opfer Benachrichtigung und Sanierung beteiligt. Bot Beschreibung Gameover Zeus basiert auf dem beliebten 2007+ Zeus Credential stehlender Trojaner (für die der Quellcode wurde Mai 2011 ausgelaufen). Es wurde im September 2011 geändert Peer 2 Peer (P2P) Kommunikation, um zu versuchen, den Befehl und Kontrolle zu dezentralisieren (C & C / C2) Infrastruktur integrierenund machen das Botnet schwieriger zu besiegen. Es enthält eine Ausweich Domain-Generation-Algorithmus (DGA), falls die Kommunikation mit dem P2P-Netzwerk verloren. Es enthält auch erweiterte Funktionen wie RSA-2048 digitale Signaturen für kritische C2-Aktivität, sowie unter Verwendung von RC4-Verschlüsselung, Schichten von verketteten Peers als Daten Exfiltration Proxies, plus anti-Vergiftung und Auto schwarze Liste Funktionen. Ungewöhnlich ist die P2p Zeus Netzwerk eine einzige zentralisierte P2P-Botnetz, obwohl sie von verschiedenen Unter botmasters unterteilt in Unter Botnets basierend auf BotIDs und gesteuert werden kann. Gameover Zeus wird häufig durch Spam / Phishing-E-Mails zu verbreiten, in der Regel durch die Cutwail Botnet geliefert. Es war weit verbreitet geworden und hat für die finanzielle Verbrechen verwendet mehrere hundert verschiedene Banken Targeting - sowohl von normalen Anmeldeinformationen zu stehlen und auch in Echtzeit-Hijacking von Bankkonten. Es kann aber auch für die verschiedensten Aktivitäten wie Malware-Abwurf, DDoS-Attacken verwendet werden, zu stehlen Bitcoins oder Diebstahl von Skype und andereOnline-Service-Anmeldeinformationen. CryptoLocker ist Ransomware, die den infizierten Computer Hijacking und verschlüsselt stark die lokalen Daten. Sie fordert dann ein Lösegeld, die innerhalb eines kurzen Zeitraums, um bezahlt werden muss das Opfer den Zugang zu ihren eigenen Daten zu geben. Derzeit gibt es keine bekannte Methode, die Daten zu entschlüsseln, ohne das Lösegeld zu bezahlen. CryptoLocker Ransomware wurde unter Verwendung von Gameover Zeus geliefert. Wenn Sie Berichte erhalten bereits unsere für Ihre Netzwerke werden Sie wahrscheinlich haben eine neue Kategorie bemerkt namens "Gameover Zeus". Diese enthält Daten Sanierung für alle drei Komponenten der Gameover Zeus Infrastruktur: Einträge P2P Schicht Peer-Kommunikation - dem Tag "Gameover-zeus-Peer" -Verbindungen HTTP-Proxy-Schicht - dem Tag "Gameover-zeus-proxy" Fallback-DGA-Anfragen (bis 1000 zufällige Domains pro Woche in der .biz, .com, .info, .net, .org und .ru TLDs) - tagged "Gameover-zeus-DGA" wir werden bald beginnen heraus zu Gameover Zeus DNS Berichterstattung Aktivität und Cryptolocker Infektion Informationen (wir sindabhängig von anderen Dritten zu aktivieren vollständig diese Daten-Feeds). Charts Um ein besseres Bild von der volle Ausmaß der Gameover Zeus Aktivität weltweit zu erhalten, können Sie verschiedene Arten von Statistiken für die Verteilung von infizierten Computern auf unserer Live finden. Dies ist eine Heatmap der bisher gesehen Welt Infektionen (zum Vergrößern anklicken): Und natürlich, unsere Lieblings-Hilbert-Kurve (zum Vergrößern klicken): Top 20 Länder und ASN (zum Vergrößern anklicken): Das Video unten versucht das zu visualisieren Muster der Backup-DGA HTTP-Datenverkehr während der Anfangsphase des Zeus-Botnet Gameover Takedown. Es zeigt, wie infizierte Rechner in vielen Ländern begannen unsere Doline webservers einmal die bösartigen Domains in die .biz kontaktieren, .com, .info, .net und .org TLDs durch die Strafverfolgungsbehörden beschlagnahmt wurden und an der Doline zeigte (Flags zeigen die IP -geolocation des infizierten Wirts, deren Titel ist der bösartige DNS-Domäne sie zu kontaktieren versuchten, während die Äste auf Ländercode basieren, dann ASN, dann Farbecodierte IP-Oktetts): End User Remediation können Sie überprüfen, ob Ihr Computer mit Gameover Zeus infiziert ist durch diese Seite zu besuchen: US CERT bietet eine nützliche Zusammenfassung der Milderung Tools für infizierte Endanwender: Weitere Informationen Neue Artikel über die Gefahren: Anmerkungen Das ist ein Non-Profit-Organisation, die Infektion Benachrichtigung und Sanierungs Informationen für viele Arten von Computer-Sicherheitsbedrohungen bietet. Wenn Sie ein Hosting-Anbieter, Internet-Provider oder ein CERT mit einem Wahlkreis sind, können Sie sich anmelden erhalten.

Kommentarfunktion ist geschlossen.