Botnet Probe stellt 70 GByte persönliche, finanzielle Daten auf

Forscher der University of California haben 10 Tage lang die Kontrolle über ein bekanntes und leistungsfähiges Netzwerk gehackter Computer erlangt und dabei Einblick in persönliche Daten und Finanzdaten erhalten

Das Botnet, bekannt als Torpig oder Sinowal, ist eines der komplexeren Netzwerke, das schwer zu erkennende bösartige Software verwendet, um Computer zu infizieren und anschließend Daten wie E-Mail-Passwörter und Online-Banking-Anmeldeinformationen abzufragen.

Die Forscher waren in der Lage, mehr als 180.000 gehackte Computer zu überwachen, indem sie eine Schwachstelle innerhalb des Befehls-und-Kontroll-Netzwerks ausnutzten, das von den Hackern zur Steuerung der Computer verwendet wurde. Es funktionierte jedoch nur für 10 Tage, bis die Hacker die Befehls- und Kontrollanweisungen entsprechend dem 13-seitigen Papier der Forscher aktualisierten.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Dennoch reichte das aus, um die Datensammelkraft von Torpig / Sinowal zu sehen. In dieser kurzen Zeit wurden ungefähr 70 GB Daten von gehackten Computern gesammelt.

Die Forscher speicherten die Daten und arbeiten mit Strafverfolgungsbehörden wie dem US Federal Bureau of Investigation, ISPs und sogar dem US-Verteidigungsministerium zusammen die Opfer. ISPs haben auch einige Websites heruntergefahren, die verwendet wurden, um den gehackten Maschinen neue Befehle zu liefern, schrieben sie.

Torpig / Sinowal kann Benutzernamen und Kennwörter von E-Mail-Clients wie Outlook, Thunderbird und Eudora abholen und gleichzeitig sammeln E-Mail-Adressen in diesen Programmen zur Verwendung durch Spammer. Es kann auch Passwörter von Webbrowsern sammeln.

Torpig / Sinowal kann einen PC infizieren, wenn ein Computer eine bösartige Website besucht, die entwickelt wurde, um zu testen, ob auf dem Computer ungepatchte Software vorhanden ist, eine Technik, die als Drive-by-Download-Angriff bezeichnet wird. Wenn der Computer angreifbar ist, wird eine bösartige Software namens Rootkit tief in das System eingeschleust.

Die Forscher fanden heraus, dass Torpig / Sinowal auf einem System landet, nachdem es von Mebroot, einem Rootkit, infiziert wurde Das erschien um Dezember 2007.

Mebroot infiziert den Master Boot Record (MBR) eines Computers, den ersten Code, nach dem ein Computer beim Starten des Betriebssystems sucht, nachdem das BIOS ausgeführt wurde. Mebroot ist leistungsfähig, da alle Daten, die den Computer verlassen, abgefangen werden können.

Mebroot kann auch anderen Code auf den Computer herunterladen.

Torpig / Sinowal ist darauf zugeschnitten, Daten zu erfassen, wenn eine Person bestimmte Online-Banking- und andere Websites besucht. Es ist codiert, um auf mehr als 300 Websites zu reagieren, wobei die am häufigsten gewählten Websites PayPal, Poste Italiane, Capital One, E-Trade und Chase Bank sind, hieß es in dem Papier.

Wenn eine Person auf eine Bank-Website geht, Es wird ein gefälschtes Formular übermittelt, das Teil der legitimen Website zu sein scheint, aber nach einer Reihe von Daten fragt, die eine Bank normalerweise nicht anfordern würde, wie beispielsweise eine PIN (persönliche Identifikationsnummer) oder eine Kreditkartennummer SSL (Secure Sockets Layer) Verschlüsselung ist nicht sicher, wenn sie von einem PC mit Torpig / Sinowal verwendet wird, da die bösartige Software Informationen vor der Verschlüsselung eingräbt, schrieben die Forscher.

Hacker verkaufen typischerweise Passwörter und Bankinformationen in Untergrundforen andere Kriminelle, die versuchen, die Daten in Geld umzuwandeln. Obwohl es schwierig ist, den Wert der in den zehn Tagen gesammelten Informationen genau zu schätzen, könnte es zwischen 83.000 und 8,3 Millionen US-Dollar wert sein, heißt es in der Studie.

Es gibt Möglichkeiten, Botnetze wie Torpig / Sinowal zu stören. Der Botnetzcode enthält einen Algorithmus, der Domainnamen generiert, die die Malware für neue Anweisungen aufruft.

Sicherheitsingenieure waren oft in der Lage, diese Algorithmen zu ermitteln, um zu ermitteln, auf welchen Domänen die Malware zugreifen wird, und diese Domänen vorab zu registrieren Botnet. Es ist jedoch ein teurer Prozess. Der Conficker-Wurm zum Beispiel kann bis zu 50.000 Domainnamen pro Tag generieren.

Registrare, Unternehmen, die Domain-Namen-Registrierungen verkaufen, sollten eine größere Rolle bei der Zusammenarbeit mit der Sicherheitsgemeinschaft nehmen, schrieben die Forscher. Aber Registrare haben ihre eigenen Probleme.

"Mit wenigen Ausnahmen fehlt es ihnen oft an Ressourcen, Anreizen oder Kultur, um mit Sicherheitsfragen umzugehen, die mit ihren Rollen zusammenhängen", heißt es in dem Papier.