Linux-Botnetz Mumblehard zerschlagen: SPAM-Schleudern kaltgestellt

Im Rahmen einer koordinierten Aktion ist es dem Security-Software-Hersteller ESET gemeinsam mit dem deutschen CERT-Bund, der ukrainischen Cyberpolizei-Sondereinheit und dem DyS Centrum LLC gelungen, das weltweit aktive Linux-Botnetz "Mumblehard" zu zerschlagen. Die Maßnahmen dauerten knapp ein Jahr und konnten die weltweiten SPAM-Aktivitäten des Botnetzwerkes beenden. [...]

Im Rahmen der Kooperation brachte ESET einen so genannten Sinkhole-Server auf den Weg, der mit allen bekannten Mumblehard-Komponenten ausgestattet wurde und relevante Verbindungsdaten weiterhin registriert. Dadurch wurde es möglich, die beteiligten und infizierten Webserver ausfindig zu machen. Ein angeschlossener Hinweis an das Computer-Notfallteam des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) hat zur Folge, dass die weltweiten CERT-Stellen in den Regionen Mitteilungen an die infizierten Serverbetreiber senden und mit Nachdruck um Bereinigung der Mumblehard-Infektion bitten.

Kurz nachdem ESET das Mumblehard Linux-Botnetz im Frühjahr 2015 aufspürte und dessen Wirkungsweise in einem umfangreichen Forschungspapier bis ins Detail öffentlich analysierte, registrierte der ESET Sinkhole-Server erste Veränderungen: So verringerte der kriminelle Autor der Malware unmittelbar nach Veröffentlichung des ESET Forschungspapiers zunächst die Ziel-IP-Adressen der Command&Control-Server (C&C-Server) auf eine einzige IP. Die Gründe für diesen Schritt sind laut ESET unklar, womöglich fühlte sich der Kriminelle bedrängt oder vereinfachte schlicht die Organisation. Diese Anpassung geschah im Laufe der Monate Mai bis Juni 2015 sukzessive und konnte durch die Analysevorrichtungen des ESET Sinkhole-Servers genau nachverfolgt werden.

Da durch diese Änderung nur noch ein einziger C&C-Server die Steuerung aller nachgeschalteten Bots übernahm, begann die Jagd auf ebendiesen C&C-Server. Mit der Hilfe der Cybercrime-Sondereinheit der ukrainischen Polizei und CyS Centrum LLC konnte der C&C-Server des Mumblehard-Netzwerkes im Herbst 2015 endlich ausfindig gemacht und vom Netz genommen werden. Die forensische Analyse ergab, dass die Annahmen des ESET Forschungsberichtes aus Frühling 2015 weitgehend stimmten.

SPAM-FILTER UMGANGEN

Um die verteilten SPAM-Mails der infizierten Server in den Mailprogrammen der Opfer so sichtbar wie möglich erscheinen zu lassen, integrierten die Cyberkriminellen einen ausgeklügelten Mechanismus: die Spamhaus Composite Blocking List (CBL), eine dynamische SPAM-Absenderdatenbank, wurde durch ein automatisches Skript ausgetrickst. Wanderte einer der infizierten Botnet-Server auf die Blacklist, sorgte ein Skript dafür, dass eine manuelle Löschung der IP über das für fehlerhafte Listungen vorgesehene Formular auf der Spamhaus-Website unmittelbar erfolgte. Und das trotz eines vorgeschalteten CAPTCHA-Bildes, das womöglich durch externe Dienstleister oder eine optische Texterkennung umgangen wurde.

Durch das gemeinsame Vorgehen der Behörden und ESET ist das Mumblehard-Botnetz tot. Allerdings bestanden laut ESET Analysedaten im März 2016 noch über 4.000 infizierte, aber durch den fehlenden C&C-Server inaktive „Mumblehard-Zombies“ weltweit. Die Administratoren der Server werden weiterhin vom CERT-Bund angeschrieben, gewarnt und über die Infektion aufgeklärt.

Wer auch immer eine Warnung des CERT-Bund erhält, sollte den eigenen Server umgehend von der Schadsoftware reinigen. ESET erklärt online bei GitHub, wie kompromittierte Webserver gereinigt werden können. Um zukünftige Infektionen mit Schadsoftware zu vermeiden rät ESET zudem dazu, alle Serverkomponenten stets aktuell zu halten und mit komplexen Passwörtern zu versehen. Eine zusätzliche Server-Sicherheitslösung wie ESET File Security hilft dabei, die Sicherheit durch proaktiven Schutz zu erhöhen. (pi/rnf)


Mehr Artikel

News

Lauf-Apps als Sicherheitsrisiko

Lauf-Apps sammeln Informationen über das eigene Training und tracken somit alle Fortschritte, die man beim Laufen gemacht hat. Allerdings benötigen sie um richtig zu funktionieren präzise Daten, darunter auch den Standort von Nutzern.
Diese Daten stehen oft öffentlich zur Verfügung. […]

News

Heimischer Seilbahn-Spezialist Doppelmayr wechselt zu IFS Cloud

Der Schritt hin zu einer zentralen Cloud bedeutet, dass die weltweiten Vertriebsstandorte von Doppelmayr ebenso wie die Produktionsstätten mit demselben System arbeiten können. Die Implementierung, die sofort beginnen soll, wird die meisten Funktionsbereiche des Doppelmayr-Geschäfts abdecken und mehr als 3.000 Mitarbeiter an mehreren Standorten betreffen. […]

News

Game Development Studie 2024: Knowhow aus Österreich ist weltweit gefragt

Nie zuvor hat eine so große Zahl heimischer Entwickler zum Erfolg internationaler Top-Games aber auch zur digitalen Transformation der österreichischen Wirtschaft beigetragen. Die heimischen Game Developer generieren einen gesamtwirtschaftlichen Umsatz von 188,7 Millionen Euro. Jeder Arbeitsplatz in einem Unternehmen der Spieleentwicklung sichert mehr als einen weiteren Arbeitsplatz in Österreich ab. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*