daily.out
2012-04-28 Requiem für Flashback
Dr. Web hat seine Statistik der letzten zwei Wochen veröffentlicht. Darin erzählen sie, wieviele Bot-Anfragen sie auf dem von ihnen betriebenen Anteil der Control-Server gezählt haben:
Jeder nur ein Kreuz bitte
- Am 13. April haben sie in 24 Stunden gezählt: 30.549 Bot-Anfragen an Control-Server, die Suchanfragen manipulieren, und 28.284 Bot-Anfragen an Control-Server, die Hintertür-Kommandos liefern. Macht zusammen 58.833 Bot-Anfragen an diesem einen Tag.
- Zwischen dem 12. und dem 26. April zählten sie 95.563 Bot-Anfragen insgesamt an Control-Server, die für den Payload zuständig sind.
Wenn man den 13. April von der Gesamtzahl abzieht, dann gab es in den restlichen zwei Wochen 36.730 Bot-Anfragen an Control-Server von Dr. Web. Die Summe der Aktivität des Botnetzes war in den zwei Folgewochen insgesamt also nur ungefähr halb so groß wie am 13. April allein. Zudem war die durchschnittliche Menge an Anfragen in den zwei Wochen nach dem 13. April pro Tag auf circa 2.624 pro Tag gesunken. Also um Faktor 22 weniger als am 13. April.
Dr. Web zählt, da sie nur ein paar der vielen möglichen Control-Server betreiben, nicht den ganzen Botnetz-Verkehr, aber da die Bots halbwegs zufällig auswählen, welche Server sie abfragen, läßt sich das statistisch hochrechnen. Dr. Web hat sozusagen eine einigermaßen repräsentative Stickprobe der Control-Server am laufen. Diese Stichprobe zeigt am 13. April noch relativ viel Aktivität mit fast 60 Tausend Anfragen. In den Tagen darauf sinkt die Aktivität jedoch dramatisch auf nur noch 2,5 Tausend Anfragen pro Tag durchschnittlich.
Mission erfüllt
Was war am 13. April passiert, das diesen starken Rückgang erklären könnte? Apple schickte sein Software-Update zum Entfernen von Flashback an die Macs weltweit raus. Wenige Stunden später dürften die meisten Mac-User dieses Update installiert habe, was nicht nur verschiedene, auch ältere Varianten von Flashback killte, sondern auch den Java-Fehler, der die Infektion stark vereinfachte, beseitigte.
Mac-User nicken nicht alles ab
An den Statistiken kann man auch den Hinweis erkennen, daß nur 12% der Bots mit Rootrechten laufen, was wiederum bedeutet, daß nur 12% der angegriffenen Mac-User der Abfrage zur Authentifizierung als Benutzer der Admin-Gruppe Folge geleistet haben, die dann eine Eskalation auf Rootrechte ermöglicht. 88% fanden die Abfrage offenbar verdächtig. In diesen Fällen mußte Flashback alle Programme des Benutzers zur Laufzeit infizieren, während er in 12% der Fälle gezielt die Safari-Dateien manipulieren konnte. Damit dürfte das Vorurteil vom Tisch sein, daß Mac-User angeblich sorglos alle Paßwortabfragen ausfüllen.
Am Rande kann man noch bemerken, daß die betroffenen Systeme sich anscheinend ungefähr so aufteilen: 25% Leopard, 55% Snow Leopard und 10% Lion. Der Hauptgrund dafür dürfte sein, daß Flashback keine PPC-Binaries verwendet. Weitere Gründe, daß es die Interposing-Variante, die sie verwenden, erst seit Tiger gibt, und, daß der ausgenutzte Java-Fehler mit Java 5 eingeführt wurde.
Link: www.macmark.de/blog/osx_blog_2012-04-c.php