sabato 20 febbraio 2010

Kneber botnet ovvero Zeus botnet

In questi ultimi giorni si e' molto scritto circa la nuova minaccia della botnet 'Kneber' e dell'attacco ad essa collegato che avrebbe colpito, a partire dai mesi, scorsi migliaia di computers (si scrive di 70.000 PC) acquisendo una quantita' enorme di dati sensibili (credenziali di accesso, carte di credito, mails ecc...)

Anche se la botnet Kneber viene presentata da alcuni come una novita' la diffusione della botnet e l'acquisizione dei dati avrebbe sfruttato un malware gia' noto da tempo e precisamente Zbot, cosa che confermerebbe che non siamo di fronte ad una nuova minaccia ma semplicemente all'uso di un trojan le cui particolarita' sono conosciute da tempo (questo un post del marzo 2009 dove vengono presentati alcuni dettagli su Zeus botnet)

Tra l'altro sempre riferendosi alla botnet Zeus, in questo post del luglio 2009, veniva evidenziato come un articolo apparso su www.networkworld.com (10 USA most wanted botnets) ponesse la botnet al primo posto di diffusione con 3,6 milioni di computers compromessi in USA.

Il nome Kneber semplicemente si riferisce a un particolare gruppo di domini coinvolti nella botnet ed il cui nome del registrant e' 'Hilary Kneber'

Inoltre se si esamina quanto indica la ricerca condotta della societa' NetWitness che e' stata la prima ad evidenziare la diffusione di Kneber botnet, e che ha pubblicato un interessante white paper sull'argomento si puo' notare come la botnet venga catalogata come ' ….The format and structure of the logged data indicate a ZeuS Trojan botnet ….... ' confermando quindi l'analogia della botnet con la nota Zeus Botnet.

Un'altra particolari indicata da NetWitness e' il fatto che si e' notato che in contemporanea alla presenza di Zeus (kneber) ci sia anche su molti dei computer compromessi il codice riconducibile alla Waledac botnet.
Questo ha fatto supporre di una possibile 'collaborazione' tra differenti distribuzioni di malware allo scopo di rendere piu 'affidabile' tutto il sistema nel caso si tenti di mettere offline la botnet.

In definitiva siamo quindi di fronte ad un uso esteso di Zeus botnet, che tramite i consueti e normali metodi di diffusione per questo genere di malware (exploit o anche tecniche di ingegneria sociale) si e' espansa in maniera notevole sino a diventare una sorta si Super Botnet.

Sul sito Symantec potete trovare un documento PDF che tratta di Zeus Botnet

Edgar

Nessun commento: