mboost-dp1

remora.ca

Botnet ramt af sikkerhedsfejl

- Via The Register - , redigeret af OnkelDunkel

De mange botnet, som eksisterer på nettet, opstår, fordi computere verden over inficeres af malware, der ofte trænger ind via sikkerhedsfejl i enten operativsystemet på den pågældende computer eller i 3.-part programmer.

Nu har en sikkerhedsekspert, Billy Rios, fundet en kritisk fejl i et af de mere udbredte botnet, nemlig Zeus. Her viser det sig, at det er forholdsvis nemt at opnå kontrol over de såkaldte C&C-servere (Command & Control), der styrer et botnet.

Fejlen er dybt placeret i kernen af Zeus’ kode, og Rios mener derfor, at så godt som alle udgaver af Zeus, både nuværende og tidligere versioner samt alle varianter, er sårbare.

Sårbarheden åbner op for flere muligheder. Den kan både bruges af whitehat-hackere og sikkerhedseksperter til at lukke botnet, men også af blackhat-hackere og kriminelle til at bruge et botnet til egne formål.

Du kan læse mere om sikkerhedshullet på Rios’ blog.





Gå til bund
Gravatar #1 - Jawa Striker
27. sep. 2010 13:30
Eller af 4chan til at lægge flere APG sider ned!
Gravatar #2 - coday
27. sep. 2010 13:30
Mere info:

Fejlen ligger i at control serveren kan blive snydt til at køre en php fil, sendt fra botnet clienten, og på den måde kan man overtage den.

skrev:
Boom… we’ve just taken over a Zeus C&C. Once we have our own PHP code running on the C&C, we can include the /system/config.php file. Config.php contains the location of the MySQL database as well as the DB username and password (via connection string), giving us complete control over the management console and all the bots associated with this C&C.


Proof of concept
Gravatar #3 - Slettet Bruger [3820300515]
27. sep. 2010 13:32
Hvad betyder det praktisk talt?

"Vi kan nedlægge Zeus" ?
Gravatar #4 - LordMike
27. sep. 2010 13:40
#3... Med meget arbejde... Indtil Zeus 2.0 kommer ud...

Det betyder at hvis du har en inficeret maskine, kan du backtracke hvor den kalder (C&C serveren), og fordi koderne bag bruger RC4, kan du bryde 'krypteringen'.

Idet kan du lægge en PHP fil op, som du jo kan alt med... F.eks. printe Config filen, slette alt osv.

Det de burde have gjort, var at bryge PKI... :P
Sælge Zeus med PuttyGen :P
Gravatar #5 - Abech
27. sep. 2010 14:19
Kan de så ikke bare nedlægge hele botnettet og andre af den slags? Verden ville være et bedre sted uden dem.
Gravatar #6 - Holger_dk
27. sep. 2010 14:45
hehe fedt nok at de dumme botnets kan hackes... :)

gid der er nogen der vil gå efter dem og få dem overvåget, så bagmændende kan findes
Gravatar #7 - HNicolai
27. sep. 2010 14:58
"Fejlen er dybt placeret i kernen af Zeus' kode" - Det passer jo ikke. Det tager ikke mere end MAX en halv time at lave et hurtigt 'fix' så man ikke kan udnytte fejlen og derefter kan man så gå igang med at fikse det 'ordentligt'
Gravatar #8 - HerrMansen
27. sep. 2010 15:41
#7 : Måske - men hvor længe tror du så det tager at erstatte alle C&C servere med den nye kode? Nej vel.
Gravatar #9 - AlienDK
27. sep. 2010 16:34
Men er det ikke ulovligt at trænge ind på deres systemer?
Gravatar #10 - HenrikH
28. sep. 2010 07:19
#9: Det er lige så ulovligt som det er for dig, at lave indbrud hos en tyv...
Gravatar #11 - knasknaz
28. sep. 2010 08:30
Nu er chancen der for at lave et botnet inde i et botnet!
Alene tanken er så dejligt rekursiv, at man må holde af den...
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login