Botnetzwerk Rustock ausgehebelt

**PlatonsErbe** · 28. 03. 2011, 15:52

Laut Angaben der Microsoft Digital Crimes Unit ist das Zombienetzwerk Rustock abgeschaltet worden. Dem Botnetz, welches ersten Recherchen zufolge von zwei bis drei Leuten gelenkt wurde, werden rund 30 Milliarden Spam-Mails pro Tag zugeschrieben. Etwa eine Million PCs sollen infiziert, aber nun von den Kommandoservern dauerhaft getrennt sein.

zur News

DasFragezeichen · 28. 03. 2011, 16:56

Wäre noch toll, wenn man die Hintermänner fassen könnte. Sagen wir 10€ pro versandte Spamnachricht als Schadensersatz?

Zitat von Gulli:News

Damit dies nicht nur ein zeitlich begrenzter Erfolg der Behörden und Botnetz-Jägern bleibt, hat man zusätzlich einen Gerichtsbeschluss erwirken können, der es den Polizeieinheiten ermöglicht hat, unmittelbar vor Ort zu ermitteln und zahlreiche Server zu beschlagnahmen. Dadurch ist gewährleistet, dass die infizierten PCs von den Kommandoservern dauerhaft getrennt bleiben.

Ist ja nicht so, dass man die nötigen Programme nirgendwo anders laden und auf neue Server aufspielen könnte.

**widarr** · 28. 03. 2011, 17:39

Als nächstes sollten sie sich diesen verdammten Swiss apotheke Spammer schnappen und auf den Keimdrüsen aufhängen, das wär mal was -.-

http://www.google.at/search?sclient=...&cad=b&cad=cbv

**Rakorium-M** · 28. 03. 2011, 17:41

Zitat von DasFragezeichen

Ist ja nicht so, dass man die nötigen Programme nirgendwo anders laden und auf neue Server aufspielen könnte.

Nicht wenn die Malware auf bestimmte C&C-Server-Adressen programmiert ist, welche jetzt abgeschaltet sind. Dann wäre ein Update der Malware fällig, was aber wohl nur möglich wäre, wenn noch Server aktiv sind, die diese versenden können.

**Xenor** · 28. 03. 2011, 21:03

Wie können die 96 Server beschlagnahmen die alle in den USA stehen und keine Ahnung haben von wem die verwaltet und bezahlt werden

**Hasron** · 28. 03. 2011, 21:10

Zitat von Xenor

Wie können die 96 Server beschlagnahmen die alle in den USA stehen und keine Ahnung haben von wem die verwaltet und bezahlt werden

Indem das ganze sehr gut organisiert war und zwar über zich strohmänner und gefakte Identitäten...alles doch gar nicht so ein großes Problem...

**Shodan_v2-3** · 28. 03. 2011, 21:23

Zitat von Rakorium-M

Nicht wenn die Malware auf bestimmte C&C-Server-Adressen programmiert ist, welche jetzt abgeschaltet sind. Dann wäre ein Update der Malware fällig, was aber wohl nur möglich wäre, wenn noch Server aktiv sind, die diese versenden können.

Das macht doch heute keiner mehr, ein vernünftiges Botnet nutzt domain flux, d.h. die Bots generieren die domain des C&C Servers u.a. anhand des aktuellen Datums. Wird der Server abgeschaltet wird mit der Domain einfach auf einen anderen Server verwiesen, wird die Domain abgeschaltet muss nur bis zum nächsten Zyklus gewartet werden und die Bots nutzen eine neue Domain.

Das klingt erstmal ein bisschen gefährlich, weil jemand den Bot auseinandernehmen und einem dann die Domain von nächster Woche unter der Nase wegschnappen könnte, aber wer das einsetzt registriert die auf Monate im voraus und wenn er die nächste nicht bekommt, spielt er ein Update ein.

Um ein Botnet wirklich lahm zu legen muss die Domain der C&C Server in Besitz der Behörden gelangen, am besten auch der Server und dann ein Selfdestruct-Update an die Bots gesendet werden.

Aber die meisten Behörden wollen das eigentlich nicht durchziehen, denn dann wären sie verantwortlichen, wenn einer der Bots zu einem integralen Bestandteil z.B. eines Krankenhauscomputers geworden ist und der einfach aufhört zu funktionieren, sobald der Bot tot ist

**Hasron** · 28. 03. 2011, 21:58

Zitat von Shodan_v2-3

Aber die meisten Behörden wollen das eigentlich nicht durchziehen, denn dann wären sie verantwortlichen, wenn einer der Bots zu einem integralen Bestandteil z.B. eines Krankenhauscomputers geworden ist und der einfach aufhört zu funktionieren, sobald der Bot tot ist

Ich frage mich viel mehr inwiefern diese ganze Botnet-Jagd nicht zum Teil auch eher eine Farce sein könnte. Ich meine, ein Botnet kann in heutigen Zeiten ja auch ein mächtiges Instrument sein wenn man die Kontrolle über eines erlangt - nicht nur was Spam angeht, sondern halt als geballte Rechenleistung und auch für Angriffszwecke.

**Shodan_v2-3** · 28. 03. 2011, 22:18

komm, Microsoft hat doch wirklich keine Verwendung für die Reste einiger Botnets, wenn die das wirklich wollten, würden sie ein Backdoor in Win einbauen und könnten mal eben ein paar Millionen Zombies ausheben wo sie niemand bisher vermutet hat :P

Ich hab mich mal schlau gemacht, wie das bei Rustock genau aussieht:
Das Netz nutzte wohl Domains aus China und MS hat sich mit Hilfe von CN-CERT die aktuellen Domains und die für die nähere Zukunft geholt/blockiert.
Rostock, nun da die Domains nicht mehr erreichbar waren, hat ein Fallback auf eine Liste mit festen IPs. Und eben diese Server wurden beschlagnahmt. Das Netz ist also komplett inaktiv und wird es auch erstmal bleiben. Infos für welchen Zeitraum die Domains geblockt wurden konnte ich nicht finden, aber ich gehe mal nicht davon aus, dass sie nur 2 oder 3 Wochen genommen haben. Well played MS!

Jetzt stellt sich nur noch die Frage, ob die Betreiber blöd genug waren Spuren zu hinterlassen. Falls ja, ich glaube der Osama hat noch n Zimmer in seinem Erdloch in Afghanistan zu vermieten ;-)