So kommuniziert der C&C durch Tor mit den Clients.
So kommuniziert der C&C durch Tor mit den Clients. (Bild: GData)

Verbreitungsweg Usenet

Anzeige

Auch der Weg der Verbreitung des Pakets ist ungewöhnlich, denn laut Security Street wurde die Skynet-Malware vor allem im Usenet gefunden. Dieses Urgestein der Internetkultur mit seinen Newsgroups ist in den vergangenen Jahren vor allem zu einem Verteilsystem für Schwarzkopien aller Art geworden, was von kommerziellen Zugangsanbietern mit schnellen Downloadmöglichkeiten längst zu einem Geschäft geworden ist.

Um Tor für seine Zwecke nutzen zu können, bedient sich Skynet der Hidden Services, die einige klassische Internetprotokolle durch das Anonymisierungsnetz schleusen können. Ein solcher ist der Internet Relay Chat IRC, mit dem auch die C&Cs von Zeus-Botnets gesteuert werden können. Neben dem Bitcoin-Mining beherrscht der Trojaner auch die üblichen Funktionen eines Botnetzes wie DDoS-Angriffe.

Zombies aus den Niederlanden und Deutschland

Durch einen solchen Angriff mit Skynet konnte Security Street auch die Größe des Botnets und dessen vermuteten Ursprung abschätzen: 12.000 bis 15.000 kompromittierte Rechner sollen es sein, die vor allem in den Niederlanden und in Deutschland stehen. Dazu erhielten die Forscher die IP-Adressen der an der DDoS-Attacke beteiligten Rechner von dem Unternehmen, das angegriffen wurde. Zu beachten ist, dass sich die Clients des Botnetzes nicht hinter Tor verstecken, sondern nur der C&C - sonst würden sie bei einem DDoS-Angriff kaum Wirkung entfalten und vor allem Tor selbst schädigen.

Die Sicherheitsanalysten ziehen aus den Erfahrungen mit Skynet zwei Lehren: Zum einen sei Tor nicht nur nützlich für anonyme Kommunikation, sondern auch ein brauchbares Werkzeug für Cyberkriminelle. Zum anderen seien Schwarzkopien immer noch ein ziemlich sicherer Weg, sich Malware einzufangen. Komplizierte Methoden wie Sicherheitslücken in Browsern oder Plugins sind gar nicht unbedingt nötig, um ein funktionierendes Botnetz aufzubauen.

 Skynet: Botnetz wird via Tor-Netzwerk per IRC gesteuert

Noisyboy 06. Jun 2013

Hi, wenn ich er wäre würde ich den Server hinter dem Tornetz als Rescue Server nehmen, so...

Ketzer2002 14. Dez 2012

...scheint vermutlich hier zu finden zu sein: http://back2hack.cc/showthread.php?tid=7082...

petameter 12. Dez 2012

Du bringst es gut auf den Punkt. Und das Bedauernswerte ist, dass so viele Menschen...

AdmiralAckbar 11. Dez 2012

nope, Minig bedeutet das welche generiert werden. mehr dazu hier http://de.wikipedia.org...

sasquash 11. Dez 2012

Naja, so wie ich das sehe, kann ich durchaus dlls außerhalb des dafür vorgesehenen...

Kommentieren



Anzeige

  1. Funktionsentwickler C++ (m/w)
    GIGATRONIK Ingolstadt GmbH, Ingolstadt
  2. Teamkoordinator (m/w) Service Desk
    DATAGROUP Köln GmbH, Köln
  3. SW-Entwickler (m/w) für den Bereich Scada und Systemtechnik / Prozessankopplung
    PSI AG, Aschaffenburg
  4. Manager Global Product Operations (m/w)
    transact Elektronische Zahlungssysteme GmbH - epay, Martinsried bei München

 

Detailsuche


Spiele-Angebote
  1. PlayStation 4 - Konsole Ultimate Player 1TB Edition
    395,00€
  2. NEU: PS4-Bundles (u. a. mit GTA 5, Arkham Knight, 2 Controllern)
    je 399,00€
  3. NEU: Aktion: Batman: Arkham Knight PS 4 kaufen und 10€ Gutschein auf Seasonpass erhalten

 

Weitere Angebote


Folgen Sie uns
       


  1. 3D Xpoint

    Revolutionärer Speicher vereint DRAM und NAND

  2. Honeynet des TÜV Süd

    Simuliertes Wasserwerk wurde sofort angegriffen

  3. Codecs

    Konsortium will Lizenzgebühren für H.265 erheben

  4. Motorola

    Zwei neue Moto-X-Modelle

  5. Netzsperren

    Hollywood plante offenbar Rufmordkampagne gegen Google

  6. Electric Skin

    Nanoforscher entwickeln hautähnliches Farbdisplay

  7. Security

    Apples App Store als Einfallstor für Schadcode

  8. Soziales Netzwerk

    Neuer Anlauf gegen Klarnamenzwang bei Facebook

  9. Soziale Netze

    Google hebt Google+-Zwang bei Youtube auf

  10. Neues Moto G

    Motorola-Smartphone mit Android 5.1 für 230 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de



Neue WLAN-Router-Generation: Hohe Bandbreiten mit zweifelhaftem Nutzen
Neue WLAN-Router-Generation
Hohe Bandbreiten mit zweifelhaftem Nutzen
  1. EA8500 Linksys' MU-MIMO-Router kostet 300 Euro
  2. Aruba Networks 802.11ac-Access-Points mit integrierten Bluetooth Beacons
  3. 802.11ac Wave 2 Neue Chipsätze für die zweite Welle von ac-WLAN

Simulus QR-X350.PRO im Test: Der Quadcopter, der vom Himmel fiel
Simulus QR-X350.PRO im Test
Der Quadcopter, der vom Himmel fiel
  1. Paketzustellung Google will Flugverkehrskontrolle für Drohnen entwickeln
  2. Luftzwischenfall Beinahekollision zwischen Lufthansa-Flugzeug und Drohne
  3. Paketdienst Drohne liefert in den USA erstmals Medikamente aus

OCZ Trion 100 im Test: Macht sie günstiger!
OCZ Trion 100 im Test
Macht sie günstiger!
  1. PM863 Samsung packt knapp 4 TByte in ein flaches Gehäuse
  2. 850 Evo und Pro Samsung veröffentlicht erste Consumer-SSDs mit 2 TByte
  3. TLC-Flash Samsung plant SSDs mit 2 und 4 TByte

  1. Re: Startmenü ist immer noch Mist

    Sybok | 21:38

  2. Re: Wo ist das neue daran?

    Auf 'ne Cola | 21:38

  3. Re: "hohe Lizenzgebühren"

    CarstenKnuth | 21:32

  4. Re: Werbeatext? Der Umstieg lohnt sich nicht...

    der_wahre_hannes | 21:32

  5. Re: Schutzfristen

    divStar | 21:30


  1. 19:18

  2. 18:54

  3. 18:16

  4. 18:07

  5. 17:54

  6. 17:38

  7. 17:02

  8. 16:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel