Hoe werkt conficker? - Privacy en beveiliging

woensdag 8 april 2009 15:05

Acties:

Topicstarter

Hallo,

Om te beginnen: ik ben geen computer beveiligingsexpert en mijn kennis is heel heel erg gelimiteerd. Dat feit daargelaten ben ik altijd wel geïnteresseerd in hoe dingen werken. Het fascineert mij dan ook dat er mensen zijn die iets in elkaar kunnen prutsen waar de hele wereld van beveiligingsexperts niets tegen schijnt te kunnen doen.

Na een beetje lezen begreep ik dat het zich installeert en vervolgens allemaal services uitschakelt (windows update etc.). Verder kunnen de auteurs het virus ook van afstand aanpassen en het virus schijnt ook "naar huis te bellen" door contact te maken met (inmiddels) 50.000 verschillende publieke site's, waaronder bijvoorbeeld google. Nou vroeg ik mij af, hoe kunnen de auteurs in hemelsnaam via publieke site's (zoals google) contact krijgen met dat virus? Of hebben ze gewoon zo'n grote lijst neergezet zodat de site die eigenlijk van hun is niet opvalt (bv: wijbesturenconficker.com). Gezien het me niet lijkt dat ik bij deze de boel heb opgelost ga ik daar ook niet van uit..

Ik ben gewoon een nieuwsgierig mens en vroeg mij af of iemand er iets meer licht op kan werpen..

Wat ik ervan begrijp heb ik oa van de volgende site's:
Wikipedia: Conficker
http://www.nytimes.com/20...y/19worm.html?_r=2&ref=us
http://www.linuxsolutions...could-infect-linux-users/

[ Voor 12% gewijzigd door kramer65 op 08-04-2009 15:08 ]

woensdag 8 april 2009 15:15

Acties:

Verwijderd

Het zullen geen publieke sites zoals google zijn, maar wel andere sites, deze sites zijn eerder door de makers gehackt en werken als een soort van doorgeefluik.

Maar het kan ook veel uitgebreider in elkaar zitten. Denk aan bijvoorbeeld een bepaald heel bekend forum waar al deze bots automatisch naartoe surfen. Op het moment dat er een berichtje bijgeplaatst wordt met een bepaald woord dan doen al die bots een bepaalde actie. Het is maar net hoe ze geprogrammeerd zijn..

[ Voor 49% gewijzigd door Verwijderd op 08-04-2009 15:17 ]

woensdag 8 april 2009 15:25

Acties:

kramer65

Topicstarter

Ah ok. Dat klinkt logischer. Maar ik begreep dat in een eerdere versie van conficker er maar 250 site's werden gebruikt. Dan kan je toch die site's weer checken of en door wie die zijn gehackt? Er moet dan toch wel een spoor zijn? Zovan:

1. check al die 250 website's
2. Vind diegene die gehackt zijn.
3. Check logs van die servers wie er geconnect heeft.
4. Check van wie dat ip adres is.
5. Als dat een proxy is, check wie er allemaal met die proxy heeft geconnect. Ga eens op visite bij al die mensen.

Of kan zoiemand zijn spoor uitwissen door onmiddellijk na contact te hebben gezocht via een gehackte site zelf de logs van zijn connectie te wissen? Kunnen in dat geval ISP's wereldwijd er niets tegen doen? Die kunnen toch zelfs als die logs van die gehackte sites verwijderd zijn, zien wie met die gehackte site's (ftp) contact hebben gehad?

Waar ik nou fout?

Tja, wederom: het zal wel niet zo simpel zijn.. Ik ben altijd een beetje bang om over beveiliging te praten omdat je binnen de kortste keren om de oren wordt geslagen dat je er niets van weet (wat ook zo is natuurlijk

)

[edit]
@josjen
Ik zie nu ineens jouw edit. Wat je daar beschrijft is inderdaad wel andere koek. Aan zoiets had ik nog helemaal niet gedacht. Maar in dat geval moeten die commando's toch al voorgeprogrammeerd zijn in dat virus?
Daarbij komt dat als zij dat virus op afstand willen aanpassen zullen ze toch iets "beter" contact moeten hebben met dat virus dan een commando van 1 woord of zin op een of ander forum, aangezien zoiets simpels niet de hele coding van zo'n virus kan aanpassen.. Toch?

[ Voor 18% gewijzigd door kramer65 op 08-04-2009 15:29 ]

woensdag 8 april 2009 15:29

Acties:

Verwijderd

Gewoon een proxy via Noord Korea, die leveren toch niet uit..

woensdag 8 april 2009 15:34

Acties:

Vipertje

Probleempje met virussen als deze is dat ze zichzelf verspreiden. Het is natuurlijk niet een ventje achter een computertje die een beetje handmatig al die machines loopt te infecteren. Terug gaan naar de eerste infectie met duizenden infecties is daarmee volstrekt onmogelijk. Wel zou je opzoek kunnen gaan naar een master server als het een botnet betreft, maar volgens mij is Conficker niet echt een botnet.

woensdag 8 april 2009 15:35

Acties:

kramer65

Topicstarter

Verwijderd schreef op woensdag 08 april 2009 @ 15:29:
Gewoon een proxy via Noord Korea, die leveren toch niet uit..

*kramer65 googelt meteen op 'proxy north korea'... maar vind nietsch..*

Sorry beetje onzin. Zoiets wordt natuurlijk professioneler aangepakt dan "effe googelen". Toch vraag ik het mij af. Want als het allemaal leidt naar een ip in noord korea, dan denk ik dat er redelijke druk op dat land zou komen. Ik las bovendien dat er "tekens" waren die suggereerden dat de boel in Oost-Europa zat. Die landen/bedrijven in die landen werken neem ik aan maar al te graag mee. Vooral met een flinke beloning in het vooruitzicht.

woensdag 8 april 2009 15:40

Acties:

kramer65

Topicstarter

Viperke schreef op woensdag 08 april 2009 @ 15:34:
maar volgens mij is Conficker niet echt een botnet.

De volgende links noemen het wel een botnet:
http://arstechnica.com/se...otnet-makes-us-wonder.ars
http://gpsobsessed.com/conficker-botnet-on-a-map/

Die laatste link heeft trouwens wel grappige kaartjes van de verspreiding. Het valt me op dat er in NL, Duitsland, Zwitserland, en Italië veel meer geïnfecteerde pc's zijn dan in Frankrijk en Spanje. Hoe zou dat komen? Hebben wij zoveel meer computers of zijn de windows pc's in Frankrijk zo goed ge-update?

Het zou op 1 april contact zoeken met een of andere server. Nou zit er schijnbaar ook allemaal versleutelde troep in dus waarmee ze contact zoeken zal wel verborgen zitten. Maar je kan toch het verkeer van zo'n geïnfecteerde pc meten en dan zien waarmee die contact maakt? Die instructies moeten toch ergens vandaan komen?

[ Voor 18% gewijzigd door kramer65 op 08-04-2009 15:44 ]

woensdag 8 april 2009 15:41

Acties:

Verwijderd

kramer65 schreef op woensdag 08 april 2009 @ 15:35:
[...]

*kramer65 googelt meteen op 'proxy north korea'... maar vind nietsch..*

Sorry beetje onzin. Zoiets wordt natuurlijk professioneler aangepakt dan "effe googelen". Toch vraag ik het mij af. Want als het allemaal leidt naar een ip in noord korea, dan denk ik dat er redelijke druk op dat land zou komen. Ik las bovendien dat er "tekens" waren die suggereerden dat de boel in Oost-Europa zat. Die landen/bedrijven in die landen werken neem ik aan maar al te graag mee. Vooral met een flinke beloning in het vooruitzicht.

Het probleem zit hem vaak in de volgende feiten:
1) Het is moeilijk te bewijzen (hackers weten heel goed waarmee ze bezig zijn, denk aan geencrypte computers met een grote knop ernaast, wanneer hij op die knop drukt worden alle gegevens op de computer inclusief het geheugen etc omgezet in 0en. Bij een inval vind de politie helemaal NIETS.
2) Het is vaak een ketting, 1 infecteert 2, 2 infecteert 3, 3 infecteerd 4.. botnetmanager stuurt info naar 1 en 1 zorgt dat het bij 4 terecht komt. Daarbij zit die manager dus achter meerdere proxies.
3) Internationale verdragen hierover zijn niet echt sterk. Amerika heeft er heel lang over moeten doen om eindelijk een hacker van het pentagon eindelijk uitgeleverd te krijgen uit Engeland. (nieuws: Hacker McKinnon krijgt steun uit House of Lords)

er zullen vast nog veel meer maars aan zitten.

[ Voor 5% gewijzigd door Verwijderd op 08-04-2009 15:42 ]

woensdag 8 april 2009 15:56

Acties:

sh4d0wman

Attack | Exploit | Pwn

Hier nog een uitgebreide beschrijving van de C variant. Wel vrij technisch

http://www.infosyssec.com/forum/viewtopic.php?t=3120

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

woensdag 8 april 2009 15:56

Acties:

kramer65

Topicstarter

Aha. Dat beantwoordt al ietsje meer mijn pijnigende nieuwsgierigheid. Vooral nummertje 2 zal de boel wel moeilijk maken.

Nummertje 1 die je aanvoert klinkt mij overigens mooi in de oren. Ik stel me er ook zo'n grote rode knop bij voor, die oplicht en loeit als de voordeur zonder toeganscode opengaat. haha.

Tja, ik dacht vandaag dat kwart miljoen dollar op te kunnen strijken. Maar dat moet ik dan toch als gefaald aankruisen..

Toch vraag ik mij ook de beweegredenen van zo'n organisatie af.. Gebruiken ze dat om v1agra spam mee te versturen? Ik las ook ergens iets over het feit dat ze misschien computing wilden verkopen zoals amazon doet met hun EC2 cloud etc.

Het lijkt me echter wel moeilijk enorme rekenkracht aan te bieden in deze tijd terwijl je helemaal geen datacenter hebt. Bovendien zou je dan ook een legetiem bedrijf moeten hebben, wat het maskeren van je echte activiteiten er ook niet makkelijker op maakt..

woensdag 8 april 2009 15:57

Acties:

kramer65

Topicstarter

sh4d0wman schreef op woensdag 08 april 2009 @ 15:56:
Hier nog een uitgebreide beschrijving van de C variant. Wel vrij technisch
http://www.infosyssec.com/forum/viewtopic.php?t=3120

Die link geeft mij een 403 forbidden error..

woensdag 8 april 2009 16:03

Acties:

pasta

Ondertitel

Zie ook Conficker, vandaag de grote uitbraak?; waarbij je door deze link hier en hier terecht komt, waar nog wat meer informatie te vinden valt.

Signature

woensdag 8 april 2009 16:11

Acties:

Mar2zz

Het virus kan op in principe elke zombiepc een website launchen/of een proxy aanzetten. een bericht kan zo binnen een minuut langs 100-en pc's zijn gegaan en pik dan het spoor nog maar eens op. De kracht van een botnet is immens qua rekenkracht en bandbreedte. Erg hoge encryptie versleutelen/ontsleutelen duurt dan ook minder lang, daar zou een opspoorder een dure supercomputer tegenover moeten zetten om op vergelijkbare snelheid crypto's uit te voeren en datastromen bij te houden.

woensdag 8 april 2009 17:08

Acties:

kramer65

Topicstarter

@ Mar2zz.
Aha! Dat is inderdaad ook een goed punt. Ik had er niet aan gedacht dat al die zombi pc's ook weer website's kunnen opzetten en servers worden. Dan kan je natuurlijk inderdaad via iets van 100 pc's gaan en op die pc's onmiddellijk ook weer alle sporen wissen.

Dan blijft alleen mijn vraag nog over hoe ze hier eigenlijk geld aan denken te verdienen? Wereld dominantie lijkt me niet het ultieme doel, dus het zal wel weer als vanouds heel veel centjes verdienen zijn.. Maar hoe?

ps. Dat plaatje van jou (Mar2zz) ziet er redelijk eng uit. Zo stel ik me die hackers ook wel voor..

woensdag 8 april 2009 17:26

Acties:

Verwijderd

kramer65 schreef op woensdag 08 april 2009 @ 17:08:
@ Mar2zz.

Dan blijft alleen mijn vraag nog over hoe ze hier eigenlijk geld aan denken te verdienen? Wereld dominantie lijkt me niet het ultieme doel, dus het zal wel weer als vanouds heel veel centjes verdienen zijn.. Maar hoe?

ps. Dat plaatje van jou (Mar2zz) ziet er redelijk eng uit. Zo stel ik me die hackers ook wel voor..

Op meerdere manieren:

1) Fraude (als je aan het internet bankieren bent, paypall etc)
2) Identiteits fraude, met keyloggen mail accounts etc krijgen.
3) Het botnetwerk verhuren:
3.1) DDOS uitvoeren
3.2) berekeningen maken
4) Als cluster gebruiken om bijv. hashes of encryptie te kraken
5) Mensen chanteren met een DDOS
6) Aanbieden als anonieme hack proxys (soort van tor oplossing)

Dat zijn algemene zaken verder kan een groot bot netwerk handig zijn om

1) anoniem te blijven als je er een soort van tor netwerk van maakt

* Overige maar ik kan me die zo 123 ff niet bedenken.

[ Voor 11% gewijzigd door Verwijderd op 08-04-2009 17:26 ]

woensdag 8 april 2009 20:10

Acties:

kramer65

Topicstarter

Dankjewel Shadow_crash

Dan is mijn voorlopig laatste hoe en waarom ook weer de wereld uit. Ik denk dat ik vanavond ook maar eens een botnetje in elkaar flansch. Ik zou er echter wel een leukere naam voor verzinnen. Iets als "pakmedanalsjekan" bijvoorbeeld..

Dank voor alle info!

woensdag 8 april 2009 20:26

Acties:

HenkEisDS

Dan is mijn voorlopig laatste hoe en waarom ook weer de wereld uit. Ik denk dat ik vanavond ook maar eens een botnetje in elkaar flansch. Ik zou er echter wel een leukere naam voor verzinnen. Iets als "pakmedanalsjekan" bijvoorbeeld..

Maar dat mag toch helemaal niet? Doe de groeten aan bubba.

donderdag 9 april 2009 22:12

Acties:

kramer65

Topicstarter

Doe de groeten aan Bubba? Ik begrijp hem niet helemaal...?

Nouja ok... eigenlijk helemaal niet...

donderdag 9 april 2009 22:36

Acties:

Mar2zz

Zolang je geen zeepjes laat vallen als je bij bubba in de gezamenlijke doucheruimte van de bajes staat hoef je hem ook niet te begrijpen...

donderdag 9 april 2009 22:40

Acties:

Tsurany

⭐⭐⭐⭐⭐

kramer65 schreef op donderdag 09 april 2009 @ 22:12:
Doe de groeten aan Bubba? Ik begrijp hem niet helemaal...?

Nouja ok... eigenlijk helemaal niet...

Bubba is de grote neger die in de gevangenis seks met jou gaat hebben als jij je zeepje laat vallen of toevallig in een 2mans cel met hem zit.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

vrijdag 10 april 2009 09:48

Acties:

kramer65

Topicstarter

Ah! Ik had al zitten denken aan Bubba uit Forest Gump, maar dat vond ik zo'n vriendelijke vent die alleen maar over garnalen nadacht, dat ik het verband effe niet kon leggen.

Mijn acties om een botnet op te zetten zijn na plusminus 15 minuten gestaakt en toen heb ik toch maar besloten een baan te gaan zoeken.. haha!

Mocht ik ooit nog met onze vriend Bubba in de bajes in contact komen, dan zal ik hem de vriendelijke groeten van jullie doen iig.. :-)

Pagina: 1

Reageer