Werbung

Eset zerschlägt SPAM-Botnetz Mumblehard

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Eset zerschlägt SPAM-Botnetz Mumblehard

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Dem europäischen Security-Software-Hersteller Eset ist bei einer koordinierten Aktion mit Partnern ein bedeutender Schlag gegen Infektion und Missbrauch von Webservern gelungen. Hand in Hand mit dem deutschen CERT-Bund, der ukrainischen Cyberpolizei-Sondereinheit und dem DyS Centrum LLC konnte das weltweit aktive Linux-Botnetz „Mumblehard“ zerschlagen werden.
Grafik.

Dem europäischen Security-Software-Hersteller Eset ist bei einer koordinierten Aktion mit Partnern ein bedeutender Schlag gegen Infektion und Missbrauch von Webservern gelungen. Hand in Hand mit dem deutschen CERT-Bund, der ukrainischen Cyberpolizei-Sondereinheit und dem DyS Centrum LLC konnte das weltweit aktive Linux-Botnetz „Mumblehard“ zerschlagen werden. Die Maßnahmen dauerten knapp ein Jahr und konnten die weltweiten SPAM-Aktivitäten des Botnetzwerkes beenden.

Eset infiltriert schadhaftes Netzwerk

Im Rahmen der Kooperation brachte Eset einen so genannten Sinkhole-Server auf den Weg, der mit allen bekannten Mumblehard-Komponenten ausgestattet wurde und relevante Verbindungsdaten weiterhin registriert. Dadurch wurde es möglich, die beteiligten und infizierten Webserver ausfindig zu machen. Ein angeschlossener Hinweis an das Computer-Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat zur Folge, dass die weltweiten CERT-Stellen in den Regionen Mitteilungen an die infizierten Serverbetreiber senden und mit Nachdruck um Bereinigung der Mumblehard-Infektion bitten.

Zeitleiste der Aktion

Kurz nachdem Eset das Mumblehard-Linux-Botnetz im Frühjahr 2015 aufgespürt und dessen Wirkungsweise in einem umfangreichen Forschungspapier (Download der PDF-Datei) bis ins Detail öffentlich analysiert hatte, registrierte der Eset-Sinkhole-Server erste Veränderungen: So verringerte der kriminelle Autor der Malware unmittelbar nach Veröffentlichung des Eset-Forschungspapiers zunächst die Ziel-IP-Adressen der Command&Control-Server (C&C-Server) auf eine einzige IP. Die Gründe für diesen Schritt sind unklar, womöglich fühlte sich der Kriminelle bedrängt oder vereinfachte schlicht die Organisation. Diese Anpassung geschah im Laufe der Monate Mai bis Juni 2015 sukzessive und konnte durch die Analysevorrichtungen des Eset-Sinkhole-Servers genau nachverfolgt werden.

Da durch diese Änderung nur noch ein einziger C&C-Server die Steuerung aller nachgeschalteten Bots übernahm, begann die Jagd auf ebendiesen C&C-Server. Mit der Hilfe der Cybercrime-Sondereinheit der ukrainischen Polizei und CyS Centrum LLC konnte der C&C-Server des Mumblehard-Netzwerkes im Herbst 2015 endlich ausfindig gemacht und vom Netz genommen werden. Die forensische Analyse ergab, dass die Annahmen des Eset-Forschungsberichtes aus Frühling 2015 weitgehend stimmten.

SPAM-Filter ausgeklügelt umgangen

Um die verteilten SPAM-Mails der infizierten Server in den Mailprogrammen der Opfer so sichtbar wie möglich erscheinen zu lassen, integrierten die Cyberkriminellen einen ausgeklügelten Mechanismus: die Spamhaus Composite Blocking List (CBL), eine dynamische SPAM-Absenderdatenbank, wurde durch ein automatisches Skript ausgetrickst. Wanderte einer der infizierten Botnet-Server auf die Blacklist, sorgte ein Skript dafür, dass eine manuelle Löschung der IP über das für fehlerhafte Listungen vorgesehene Formular auf der Spamhaus-Website unmittelbar erfolgte. Und das trotz eines vorgeschalteten CAPTCHA-Bildes, das womöglich durch externe Dienstleister oder eine optische Texterkennung umgangen wurde.

 

Weiterhin viele Tausend Linux/BSD-Server infiziert, aber inaktiv

Durch das gemeinsame Vorgehen der Behörden und von Eset ist das Mumblehard-Botnetz tot. Allerdings bestanden laut Eset-Analysedaten im März 2016 noch über 4.000 infizierte, aber durch den fehlenden C&C-Server inaktive „Mumblehard-Zombies“ weltweit. Die Administratoren der Server werden weiterhin vom CERT-Bund angeschrieben, gewarnt und über die Infektion aufgeklärt.

Grafik.

 

Wer auch immer eine Warnung des CERT-Bundes erhält, sollte den eigenen Server umgehend von der Schadsoftware befreien. Eset erklärt online bei GitHub, wie kompromittierte Webserver gereinigt werden können. Um künftige Infektionen mit Schadsoftware zu vermeiden, rät Eset zudem dazu, alle Serverkomponenten stets aktuell zu halten und mit komplexen Passwörtern zu versehen. Eine zusätzliche Server-Sicherheitslösung wie Eset File Security hilft dabei, die Sicherheit durch proaktiven Schutz zu erhöhen.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Auf dem daten Friedhof

Dark Data: Wirtschaftliche Chancen mit Cloud, KI und BI nutzen.

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.