{"id":176435,"date":"2016-04-09T02:24:51","date_gmt":"2016-04-09T00:24:51","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=176435"},"modified":"2023-11-06T07:43:52","modified_gmt":"2023-11-06T06:43:52","slug":"linux-botnetz-mumblehard-zerschlagen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/04\/09\/linux-botnetz-mumblehard-zerschlagen\/","title":{"rendered":"Linux-Botnetz Mumblehard zerschlagen"},"content":{"rendered":"

In Kooperation zwischen dem deutschen Bundesamts f\u00fcr Sicherheit in der Informationstechnik (CERT-Bund<\/a>), die Cybercrime-Einheit der ukrainischen Polizei, dem Security Centrum<\/a> in Kiew und dem Sicherheitsanbieter ESET<\/a> wurde das Linux-Botnetz Mumblehard zerschlagen.<\/p>\n

<\/p>\n

\"\"Dies geht aus einem Pressetext von ESET hervor. ESET ist es wohl gelungen, einen Sinkhole-Server aufzusetzen, der alle bekannten Mumblehard-Komponenten enthielt und so relevante Verbindungsdaten aufzuzeichnen. <\/p>\n

ESET infiltriert schadhaftes Netzwerk<\/h3>\n

Dies erm\u00f6glichte es, die beteiligten und infizierten Webserver ausfindig zu machen. Ein Hinweis an das Computer-Notfallteam des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) bewirkte, dass die weltweiten CERT-Stellen in den Regionen Mitteilungen an die infizierten Serverbetreiber senden und mit Nachdruck um Bereinigung der Mumblehard-Infektion bitten.<\/p>\n

Mumblehard seit Fr\u00fchjahr 2015 aktiv<\/h3>\n

ESET schreibt, dass man das Mumblehard Linux-Botnetz im Fr\u00fchjahr 2015<\/a> aufsp\u00fcrte und dessen Wirkungsweise in einem umfangreichen Forschungspapier (Download der PDF-Datei<\/a>) bis ins Detail \u00f6ffentlich analysierte. Nach dieser Publikation registrierte der ESET Sinkhole-Server erste Ver\u00e4nderungen: So verringerte der kriminelle Autor der Malware unmittelbar nach Ver\u00f6ffentlichung des ESET Forschungspapiers zun\u00e4chst die Ziel-IP-Adressen der Command&Control-Server (C&C-Server) auf eine einzige IP. Die Gr\u00fcnde f\u00fcr diesen Schritt sind unklar, wom\u00f6glich f\u00fchlte sich der Kriminelle bedr\u00e4ngt oder vereinfachte schlicht die Organisation. Diese Anpassung geschah im Laufe der Monate Mai bis Juni 2015 sukzessive und konnte durch die Analysevorrichtungen des ESET Sinkhole-Servers genau nachverfolgt werden.<\/p>\n

Da durch diese \u00c4nderung nur noch ein einziger C&C-Server die Steuerung aller nachgeschalteten Bots \u00fcbernahm, begann die Jagd auf diesen C&C-Server. Mit der Hilfe der Cybercrime-Sondereinheit der ukrainischen Polizei und CyS Centrum LLC konnte der C&C-Server des Mumblehard-Netzwerkes im Herbst 2015 endlich ausfindig gemacht und vom Netz genommen werden. Die forensische Analyse ergab, dass die Annahmen des ESET Forschungsberichtes aus Fr\u00fchling 2015 weitgehend stimmten. <\/p>\n

SPAM-Filter ausgekl\u00fcgelt umgangen<\/h3>\n<\/p>\n

Um die verteilten SPAM-Mails der infizierten Server in den Mailprogrammen der Opfer so sichtbar wie m\u00f6glich erscheinen zu lassen, integrierten die Cyberkriminellen einen ausgekl\u00fcgelten Mechanismus: die Spamhaus Composite Blocking List<\/a> (CBL), eine dynamische SPAM-Absenderdatenbank, wurde durch ein automatisches Skript ausgetrickst. Wanderte einer der infizierten Botnet-Server auf die Blacklist, sorgte ein Skript daf\u00fcr, dass eine manuelle L\u00f6schung der IP \u00fcber das f\u00fcr fehlerhafte Listungen vorgesehene Formular auf der Spamhaus-Website unmittelbar erfolgte. Und das trotz eines vorgeschalteten CAPTCHA-Bildes, das wom\u00f6glich durch externe Dienstleister oder eine optische Texterkennung umgangen wurde. <\/p>\n

Weiterhin viele Tausend Linux\/BSD-Server infiziert, aber inaktiv<\/h3>\n<\/p>\n

Durch das gemeinsame Vorgehen der Beh\u00f6rden und ESET ist das Mumblehard-Botnetz tot. Allerdings bestanden laut ESET Analysedaten im M\u00e4rz 2016 noch \u00fcber 4000 infizierte, aber durch den fehlenden C&C-Server inaktive \u201eMumblehard-Zombies\" weltweit. Die Administratoren der Server werden weiterhin vom CERT-Bund angeschrieben, gewarnt und \u00fcber die Infektion aufgekl\u00e4rt. <\/p>\n

\"Mumblehard\"<\/a>
Infizierte Server-IP-Adressen pro Tag laut Analysedaten von ESET<\/em> <\/p>\n

Wer auch immer eine Warnung des CERT-Bund erh\u00e4lt, sollte den eigenen Server umgehend von der Schadsoftware reinigen. ESET erkl\u00e4rt online<\/a> bei GitHub, wie kompromittierte Webserver gereinigt werden k\u00f6nnen. Um zuk\u00fcnftige Infektionen mit Schadsoftware zu vermeiden r\u00e4t ESET zudem dazu, alle Serverkomponenten stets aktuell zu halten und mit komplexen Passw\u00f6rtern zu versehen. Eine zus\u00e4tzliche Server-Sicherheitsl\u00f6sung wie ESET File Security<\/a> hilft dabei, die Sicherheit durch proaktiven Schutz zu erh\u00f6hen. Weitere Details finden sich in diesem ESET-Blog-Beitrag<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

In Kooperation zwischen dem deutschen Bundesamts f\u00fcr Sicherheit in der Informationstechnik (CERT-Bund), die Cybercrime-Einheit der ukrainischen Polizei, dem Security Centrum in Kiew und dem Sicherheitsanbieter ESET wurde das Linux-Botnetz Mumblehard zerschlagen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2272,4328],"class_list":["post-176435","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-botnet","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/176435","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=176435"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/176435\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=176435"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=176435"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=176435"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}