23:59
8/6/2013

Kilka dni temu, szerokim echem odbiła się w mediach międzynarodowa operacja Microsoftu, której wynikiem było ubicie botnetu Citadel. Botnet wykradał pieniądze z kont bankowych przy pomocy złośliwego oprogramowania i sztuczek socjotechnicznych. Problem w tym, że oprócz przestępców stojących za botnetem oberwali także researcherzy, a sam Microsoft demontując botnet najprawdopodobniej złamał prawo w wielu krajach…

Microsoft ubija Citadel

Microsoft rozłożył 1400 botnetów i przejął 4000 domen (sinkhollując je na swój adres IP). Akcja odbyła się równocześnie w 80 krajach.

Citadel - generator

Citadel – generator

Sinkholling polega na przekierowaniu domen wykorzystywanych przez botnety na serwer kontrolowany przez researcherów. Dzięki spływającemu z zainfekowanych maszyn ruchowi można oszacować m.in. wielkość i aktywność danego botnetu, a także zapisać IP zainfekowanych maszyn i przekazać je odpowiednim administratorom sieci (każdemu z administratorów polecamy skorzystać z darmowego feeda dotyczącego jego podsieci udostępnianego przez Shadowserver).

Microsoft przejął nie tylko domeny należące do przestępców…

Niestety Microsoft przejmując domeny, przejął także kilkaset domen, które już wcześniej były przejęte i sinkhollowane przez innych researcherów, m.in. przez ekipę abuse.ch. Po rozmowach z innymi researcherami, okazuje się, że aż 1000 domen przejętych przez Microsoft w rzeczywistości nie należało do właścicieli Citadela, a do różnch bezpieczników… Po akcji Microsoftu niestety nie będą one w stanie zbierać logów, a zatem Shadowserver przestanie informować administratorów o tym, że w ich podsieciach są zainfekowane hosty…

Microsoft nadpisuje konfigurację Citadela

Co gorsza, okazuje się, że Microsoft przez swój sinkhole serwuje poprawny plik konfiguracyjny Citadela zainfekowanym hostom, który powoduje:

  • zdjęcie blokady URL serwerów firm antywirusowych (to umożliwi ich aktualizację)
  • zmianę IP serwerów C&C na microsoftowe

Powyższe działanie pozornie korzystne dla użytkowników końcowych jest jednocześnie moralnie wątpliwe — od lat w świecie bezpieczeństwa trwa debata, czy mając możliwość zdalnego wykonywania poleceń na zainfekowanych komputerach powinno się je siłowo i bez zgody/świadomości właściciela leczyć?

Ryzykowna zagrywka Microsoftu i działanie wbrew prawu

Zagadnienie nie jest wcale proste, a przede wszystkim niesie za sobą ogromną odpowiedzialność i jest dość nieprzewidywalne w skutkach. Często bowiem wyleczenie komputera może spowodować jego niestabilność — co jeśli zainfekowany host odpowiadał za coś krytycznego? (np. sterowanie zwrotnicami na kolei lub pracę respiratora w szpitalu?) Kto będzie winny katastrofy? Abstrahujemy juz od tego, że zdalna zmiana konfiguracji komputera bez zgody jego użytkownika (niezależnie od jej celu) w większości krajów jest nielegalna…

Przeczytaj także:

22 komentarzy

Dodaj komentarz
  1. Microsoft i tak ma siano by zapłacić ewentualną karę :D

    • Jaka kare? Naleza do PRISM to wszystko im wolno a rzad USA albo da im kase na zaplacenie albo “zalatwi” umorzenie kary…

  2. Przede wszystkim, jeśli host sterujący zwrotnicami czy respiratorem.. jest podłączony do Internetu, lub znajduje się w sieci podłączonej do Internetu, to ktoś powinien nie tylko wylecieć z roboty, ale znaleźć się w pudle. Dalej.. jeśli taki host jest “zainfekowany”, to zapewne działa pod kontrolą systemu i oprogramowania, które… nie posiada certyfikatów dopuszczających do używania w zastosowaniach klasy Mission Critical, a więc… znowu, ktoś powinien zmienić światopogląd.. na widok zza krat. :-> Tyle komentarza, reszta się zgadza.

    • Również się zgadzam, że powiało onetem.

    • To chyba Panowie Chris i Botmonster nigdy nie bawiliście się w te tematy ;] ;]
      BYĆ MOŻE niema Windowsa sterujacego krytyczna infrastruktura podpietego online tu zakladam ze niebezpiecznik po prostu chcial uwypuklic problem ale SĄ takie maszyny podpiete do sieci lokalnej !!!

      Botnety niektore natomiast maja moduly p2p i to wcale nie temu niepodpietemu trzeba wydac polecenie bezposrednio bo inny windows majacy dostep do netu zassa poprawke a potem w ramach bycia lokalnym C&C pushnie ja do innych zombie w LAN.

      Krotko mowiac, nie krtykujcie jak sie nie znacie ;]

    • Że się wtrącę… Panowie wyżej mają racje, takie struktury
      jak sterownia zwrotnic itd, nie są nawet pośrednio podpięte do
      internetu, tylko stanowią własny, wolny byt, do którego jedyną
      drogą dostępu jest manualny dostęp. Pozdrawiam

  3. Miscrosoft robi za internetową policję i w dodatku międzynarodową, tylko po co? Napewno MS był świadomy konsekwencji jakich za tym stoją, i możliwych dróg obrony. Jeśli tak, to cel tej operacji musiał być bardzo istotny dla MS – ze względu na ryzyko, równocześnie musi mieć przygotowaną w zanadrzu dobrą strategię obrony. A może to nie MS tylko ktoś inny? Czy sam MS potwierdził wykonanie tej operacji, czy kto mówi że to MS? Nie bardzo wiem po co MS miał by ubijać bonet, a może raczej przejmować?

  4. Skad Microsoft mial autorytet poprzejmowac cudze domeny? Chyba czegos nie rozumiem.

  5. W jaki sposób microsoft przejął te domeny? Jeśli
    c&c znajdował się w subdomenie to skad pewność że że domena
    nie była udostępniana innemu podmiotowi? (np. w systemie typu
    dyndns no-ip affraid.org czy chociażby przez jakąs firmę
    hostingową)? Może od razu wyłączyć całe domeny tld? Dlaczego by
    rejestry domen traktować ulgowo phie? Zapewne żadna próba kontaktu
    z administratorem domeny nie miała miejsca.

    • poczekaj pomyslmy…
      Microsoft jest amerykanska firma
      wspolpracuje z agencjami USA
      centrum zarzadzania internetem jest w USA
      hmm……..

  6. Oj… Chris… za fakt wystawienia serwera ze zwrotnicami
    do Internetu można co najwyżej wylecieć z roboty. A na niezamówioną
    akcję antywirusową/test penetracyjny/kontrolę jakości
    oprogramowania są już paragrafy. Niestety często firmy na
    komputerach Mission Critical mają dostęp do Internetu. “Bo przecież
    łatki trzeba pobrać”. “Bo przecież email trzeba czytać”. “Bo
    przecież trzeba wiedzieć jaka pogoda będzie i czy nam zwrotnice nie
    zmokną…”. Powodów jest milion, a tłumaczenia że w takim
    środowisku trzeba dać drugiego PC z internetem niepodłączonym do
    sieci technologicznej, działają tylko po widocznej na zewnątrz
    wtopie. Nie wolno myśleć że moje akcje są najbardziej prawe a jak
    ktoś spieprzył to nie moja wina. Bo komputer z kontrolą respiratora
    działał z botnetem na pokładzie, a po chwalebnej akcji czyszczenia
    internetów nagle przestał. Jeśli botnet przewróciłby ten komputer,
    to do aktu oskarżenia twórców doda się jeszcze nieumyślne
    zabójstwo. A co zrobić takim lekko spranym white hatom za
    czyszczenie świata ze śmiertelnymi efektami ubocznymi?

  7. Zaczynam się bać o moją kolekcje filmów xXx na mega.co.nz
    ;-/

  8. W “sinkholing” jest jedno ‘l’. I inne rzeczy. Czy ktoś czyta te artykuły przed wysłaniem.

  9. Co do tego jak przejęli domeny – zdaje sie ze współpracowali z FBI.

  10. A może napiszecie o kontrowersjach przy dezaktywacji
    botnetu Virut w Polsce? Dlaczego zajęło to lata od pierwszych
    zgłoszeń? Boicie się podpaść? :-)

    • Pisalismy, wyszukiwarka jest w prawym górnym rogu. Nie przypominam sobie jednak, zeby wtedy przejeto sinkhole researcherow… Albo serwowano config i robiono RCE na zombie.

    • Pytanie bylo za trudne

  11. Lepszy amerykański spyware niż ruski :-P

  12. ZTC jest napisane, to zmiany poczynione przez Microsoft nie
    powodowały zmian w systemie, a w konfiguracji złośliwego programu:
    zdjęły kontrolę dotychcasowego C&C oraz blokadę na strony z
    antywirusami. Gdzie tu nie zamówione skanowanie antywirusowe albo
    zmiana konfiguracji systemu?

  13. widze hakerzy jeszcze nie odkryli dobrodziejstw podpisu elektronicznego?

  14. “sterowanie zwrotnicami na kolei lub pracę respiratora w szpitalu” – takich maszyn nie podłącza się do Internetu, ani nawet sieci wewnętrznych, a jeśli nawet, to nie pracują one na żadnym Windowsie, co najwyżej maszyny do celów diagnostycznych, a nie zarządzających.

  15. […] że Microsoft nie pierwszy raz odstawił taki numer. Dokładnie rok temu przejął ponad 4000 domen w celu walki z botnetem Citadel — a w raz z nimi część infrastruktur badawczych innych firm i niezależnych badaczy […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.