C-SIRT: More than 130.000 incidents classified within 4 weeks! Gimme more!

March 16th, 2012

C-SIRT, cyscon’s Security Incident Reporting Team, is currently dealing with thousands of URLs checking them against anti-virus products and it’s own scanner for manipulation (stand-alone malware files, drive-by-downloads, phishing, website defacements, etc.).

Since our last application and database restart on 10th February 2012, we have identified around 130.000 incidents in 3000 different networks (based on AS). By informing the responsible security departments in a standardized way (via easy to process X-ARF complaint) with all relevant data to resolve the issue on their end, C-SIRT was able to generate and publish some statistics about the take-down-practices of the involved abuse departments.

As our infrastructure is in idle mode all the day, and can’t get enough URLs to check and verify, we are looking for more URL data to proceed!

Our scanners are really hungry. So feed them. ;) To do so, please get in contact with us: sitesecurity@cyscon.de!

Tags: , , , , ,
Posted in Information | No Comments »

C-SIRT: Average Abuse Handling Time (AAHT) – Abuse Departments in competition (20 generic networks)!

February 27th, 2012

More data give us a better view. 7 days after our first report (see here), we now publish an update on our statistics regarding:

  1. AS32244 resolves reported malware/phishing issues in an average take-down time of 269 hours
  2. AS14618 resolves reported malware/phishing issues in an average take-down time of 261 hours
  3. AS26496 resolves reported malware/phishing issues in an average take-down time of 193 hours
  4. AS33182 resolves reported malware/phishing issues in an average take-down time of 168 hours
  5. AS28753 resolves reported malware/phishing issues in an average take-down time of 178 hours
  6. AS32613 resolves reported malware/phishing issues in an average take-down time of 169 hours
  7. AS16276 resolves reported malware/phishing issues in an average take-down time of 157 hours
  8. AS32475 resolves reported malware/phishing issues in an average take-down time of 157 hours
  9. AS33626 resolves reported malware/phishing issues in an average take-down time of 155 hours
  10. AS16626 resolves reported malware/phishing issues in an average take-down time of 154 hours
  11. AS26347 resolves reported malware/phishing issues in an average take-down time of 151 hours
  12. AS21844 resolves reported malware/phishing issues in an average take-down time of 147 hours
  13. AS36351 resolves reported malware/phishing issues in an average take-down time of 142 hours
  14. AS8972 resolves reported malware/phishing issues in an average take-down time of 138 hours
  15. AS21788 resolves reported malware/phishing issues in an average take-down time of 132 hours
  16. AS6724 resolves reported malware/phishing issues in an average take-down time of 132 hours
  17. AS16265 resolves reported malware/phishing issues in an average take-down time of 131 hours
  18. AS8560 resolves reported malware/phishing issues in an average take-down time of 128 hours
  19. AS24940 resolves reported malware/phishing issues in an average take-down time of 115 hours
  20. AS46606 resolves reported malware/phishing issues in an average take-down time of 109 hours

Tags: , , , , , , ,
Posted in Allgemein | No Comments »

C-SIRT: Average Abuse Handling Time (AAHT) on malware complaints!

February 21st, 2012

There are many reputation databases out, trying to find the right model to compare ISPs in an effective way, on how “bad” or “good” they are. Some of them do that on total numbers of “blacklistings” or “malware incidents”, regardless of the number of existing contracts or domains they control. Others do this IP based, without taking the possibility in account that potentially thousands of customers domains are located on one single host! There are many, many more ways …

We, cyscon GmbH, believe that most fairest and most convincing way to do that is on comparing their “Notice-and-Takedown” procedures with each other. Therefore we have compared those 20 ISPs (or better said Autonomous Systems), who are responsible for 50% of the malware urls, we have in our databases), and how long it took after the abuse department receive our abuse complaint and till our frequently checking crawlers consider an issue as resolved:

  1. AS32613 solves reported incidents in an average of 158 hours (about 7 days)
  2. AS32475 solves reported incidents in an average of 151 hours (about 6 days)
  3. AS28753 solves reported incidents in an average of 147 hours (about 6 days)
  4. AS16276 solves reported incidents in an average of 141 hours (about 6 days)
  5. AS26496 solves reported incidents in an average of 141 hours (about 6 days)
  6. AS36351 solves reported incidents in an average of 140 hours (about 6 days)
  7. AS16265 solves reported incidents in an average of 138 hours (about 6 days)
  8. AS21844 solves reported incidents in an average of 136 hours (about 6 days)
  9. AS8972 solves reported incidents in an average of 135 hours (about 6 days)
  10. AS33626 solves reported incidents in an average of 132 hours (about 6 days)
  11. AS20773 solves reported incidents in an average of 132 hours (about 6 days)
  12. AS6724 solves reported incidents in an average of 130 hours (about 5 days)
  13. AS8560 solves reported incidents in an average of 128 hours (about 5 days)
  14. AS21788 solves reported incidents in an average of 128 hours (about 5 days)
  15. AS33182 solves reported incidents in an average of 126 hours (about 5 days)
  16. AS16626 solves reported incidents in an average of 122 hours (about 5 days)
  17. AS32244 solves reported incidents in an average of 115 hours (about 5 days)
  18. AS24940 solves reported incidents in an average of 113 hours (about 5 days)
  19. AS26347 solves reported incidents in an average of 108 hours (about 5 days)
  20. AS46606 solves reported incidents in an average of 108 hours (about 5 days)

We do not want to blame any ISP with that statistic, we just want to point out, that some ISPs are more speedy than others in solving the problem on their customers websites / servers.

Tags: , , , ,
Posted in Allgemein | No Comments »

abuse@oversee.com rejects malware complaints – “554 5.1.0 Sender Denied”

February 18th, 2012

After BURST.NET, who does not like more than 20 abuse reports per day and complainant (as written some days before), we have noticed that OVERSEE.COM’s abuse department (AS33626 | SiteVet | Google SafeBrowsing) doesn’t like any abuse complaints regarding drive-by-downloads and malware hosted in their network:

This is the mail system at host mx.oversee.net.

I’m sorry to have to inform you that your message could not
be delivered to one or more recipients. It’s attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<salesforce.abuse@corp.oversee.net> (expanded from
<abuse-moniker.com@support.oversee.net>): host
fijiexchange.corp.oversee.net[10.1.1.73] said: 554 5.1.0 Sender Denied (in
reply to MAIL FROM command)
Reporting-MTA: dns; mx.oversee.net
X-Postfix-Queue-ID: 58EF48CA35
X-Postfix-Sender: rfc822; abuse-report@cyscon.de
Arrival-Date: Sat, 18 Feb 2012 01:20:48 -0800 (PST)

Final-Recipient: rfc822; salesforce.abuse@corp.oversee.net
Original-Recipient: rfc822;abuse-moniker.com@support.oversee.net
Action: failed
Status: 5.1.0
Remote-MTA: dns; fijiexchange.corp.oversee.net
Diagnostic-Code: smtp; 554 5.1.0 Sender Denied

From: cyscon GmbH – SIRT <abuse-report@cyscon.de>
Date: 18. Februar 2012 10:23:12 MEZ
Subject: [SIRT#0000???????] Malware hosted in your network!

It seems that those guys have blacklisted us. Great job, OVERSEE.COM! Does this mean, that you guys are a bullet proof host?

We know that you guys have a problem (currently the over all leader of tracked incidents in our statistics), but as you know it will not solve the issue if you simple reject abuse complaints giving you an idea, where the problem is located … you have to work with those complaints and delete the stuff. Otherwise you will not prevent all those internet users outside, surfing on internet/web presences, getting infected with a piece of malware, that is hosted and spreeded in/out of your network!

Tags: , , ,
Posted in Allgemein | 2 Comments »

C-SIRT: TOP 20 malware-hostender ISPs (ein Blick auf die letzten 24 Stunden)

February 11th, 2012

In den letzten 24 Stunden hat cyscon’s C-SIRT mehr als 350.000 URLs auf Schadcode analysiert. Bei diesem Lauf wurde bei ca. 4.400 URLs (also bei etwas mehr als 1,25 %) maliziöser Inhalt gefunden, der z.B. via Drive-by-Download, Endkunden-Rechner infiziert.

In der nachfolgenden Auflistungen haben wir die URLs mal auf autonome Systeme (Provider) heruntergebrochen und eine Top 20-Liste (Bad-Twenty) der Malware-hostenden ISPs erstellt:

  1. AS21844 (ThePlanet.com Internet Services, Inc.) | SiteVet | Google SafeBrowsing
  2. AS36351 (SoftLayer Technologies Inc.) | SiteVet | Google SafeBrowsing
  3. AS46562 (Colo at 55, LLC) | SiteVet | Google SafeBrowsing
  4. AS32475 (SingleHop) | SiteVet | Google SafeBrowsing
  5. AS16626 (Global Net Access, LLC) | SiteVet | Google SafeBrowsing
  6. AS33182 (HostDime.com, Inc.) | SiteVet | Google SafeBrowsing
  7. AS46606 (Bluehost Inc.) | SiteVet | Google SafeBrowsing
  8. AS4134 (CHINANET-BACKBONE No.31,Jin-rong Street) | SiteVet | Google SafeBrowsing
  9. AS32613 (iWeb Technologies Inc.) | SiteVet | Google SafeBrowsing
  10. AS33055 (Brinkster Communications Corporation) | SiteVet | Google SafeBrowsing
  11. AS16276 (OVH Systems) | SiteVet | Google SafeBrowsing
  12. AS25577 (C4L – Connections 4 London Ltd.) | SiteVet | Google SafeBrowsing
  13. AS39869 (SITEL – Polish IP Transit Networks) | SiteVet | Google SafeBrowsing
  14. AS32244 (Liquid Web, Inc.) | SiteVet | Google SafeBrowsing
  15. AS19181 (CWIE LLC) | SiteVet | Google SafeBrowsing
  16. AS51088 (A2B Internet B.V.) | SiteVet | Google SafeBrowsing
  17. AS29550 (Simply Transit Ltd) | SiteVet | Google SafeBrowsing
  18. AS12695 (Digital Network JSC) | SiteVet | Google SafeBrowsing
  19. AS26347 (New Dream Network, LLC) | SiteVet | Google SafeBrowsing
  20. AS11388 (MAXIM – Peer 1 Dedicated Hosting) | SiteVet | Google SafeBrowsing

Wie beim letzten Mal, hier unser Hinweis: Diese Statistik sagt nicht aus, wie reaktiv die einzelnen Unternehmen auf Abuse-Complaints reagieren. Auch ist die Größe der einzelnen Unternehmen hierbei nicht berücksichtigt. Gezählt haben wir hier nur “Einzel-URLs” mit aktivem Schadcode.

Möchten Sie uns Feeden und unser Community-Projekt unterstützen? Wir würden uns freuen, wenn wir ein noch besseres, aussagekräftigeres Bild über “Badness im Netz” bekommen. Dann nehmen Sie doch mit uns Kontakt auf: Schreiben Sie uns eine E-Mail an sitesecurity@cyscon.de!

Tags: , , , ,
Posted in Information | No Comments »

C-SIRT: Burst.NET Abuse Department möchte nicht mehr als 10 Complaints pro Tag!

February 1st, 2012

Das C-SIRT der cyscon GmbH schickt täglich tausende von hochqualifizierten Hinweisen an Malware-hostende Provider, um diesen bei der Detektion von Schadsoftware behilflich zu sein. Immer wieder stoßen wir dabei auf amüsante Reaktionen, wie aktuell von Burst.NET (AS 21788), welche sich selbst als “A World-Wide Leader in Webhosting & Internet Solutions” bezeichnen:

Hello,
Your ticket has not been entered into the ticket system due to
more than 10 tickets from your email address in 24 hours have been
submitted.
Please wait and try again.

Do not reply to this email.

Ah, jetzt, ja! ;) Da wundert mich dann gar nichts mehr: http://sitevet.com/db/asn/AS21788

Tags: , , ,
Posted in Information | No Comments »

C-SIRT: Top 10 der Malware-Hoster (weltweit) / ein kleiner Überblick

January 27th, 2012

Die Sicherheits-Experten der cyscon GmbH prüfen und analysieren täglich mehrere zehntausend WebSeiten auf Kompromittierungen. Findet unser C-SIRT hierbei eine aktive Kompromittierung, senden wir automatisierte Take-Down-Notices (sogenannte Abuse Complaints) an die hierfür zuständigen Sicherheitsabteilungen (Abuse Departments) der Netzbetreiber. Hierfür haben wir eine aufwendige Infrastruktur errichtet.

Bricht man die von uns erkannten Malware-Spreeding-WebSites auf AS’e (Autonome Systeme) herunter, ergibt sich für uns folgendes Bild (dargestellt in einer Bad 10-Liste):

Bad 01: AS36351 (Softlayer Technolgie Ltd.)
Bad 02: AS26496 (GoDaddy .com, Ltd.)
Bad 03: AS21844 (ThePlanet.com Internet Services Ltd.)
Bad 04: AS46562 (Colo at 55, Ltd.)
Bad 05: AS16276 (OVH Systems)
Bad 06: AS4808 (CHINA169-BJ CNCGROUP)
Bad 07: AS33182 (HostDime.com, Inc.)
Bad 08: AS32613 (iWeb Technologies Inc.)
Bad 09: AS32475 (SINGLEHOP-INC – SingleHop)
Bad 10: AS23352 (SERVERCENTRAL – Server Central Network)

Hinweis: Diese Statistik sagt nicht aus, wie reaktiv die einzelnen Unternehmen auf Abuse-Complaints reagieren. Auch ist die Größe der einzelnen Unternehmen hierbei nicht berücksichtigt. Gezählt haben wir hier nur “Einzel-URLs” mit aktivem Schadcode!

Möchten Sie uns Feeden und unser Community-Projekt unterstützen? Wir würden uns freuen, wenn wir ein noch besseres, aussagekräftigeres Bild über “Badness im Netz” bekommen. Dann nehmen Sie doch mit uns Kontakt auf: Schreiben Sie uns eine E-Mail an sitesecurity@cyscon.de!

Tags: , , ,
Posted in Allgemein, Information, Know-How | No Comments »

cyscon GmbH stellt universellen DNSChanger-Check bereit!

January 18th, 2012

Beide Tests (www.dns-ok.de & www.dnschanger.eu) funktionieren mit unterschiedlichen Techniken – beide Tests haben ihre Vor- und Nachteile! So kann z.B. ein Enduser, der zuhause ein kleines Heimnetzwerk betreibt, und mit nur einem Computer seinen Anschluss auf DNS-Manipulation prüft, durch die “Rückmeldung” des Services bei www.dns-ok.de in falscher Sicherheit gewogen werden, da nicht dieser Rechner sondern der seiner Ehefrau infiziert ist! Und bei der Abfrage auf www.dns-changer.eu wird ein Firmennetzwerk mit hunderten Rechnern als “kompromittiert” angezeigt, obwohl nur ein Client dahinter manipulierte DNS-Einstellungen hat!

Aus diesem Grund ist aus unserer Sicht eine Kombination von beiden Tests ratsam; holt man darüber doch das Optimum beider Selbsttest heraus!

In einem Foren-Beitrag hat Thorsten Kraft erklärt, wie beide WebServices genau funktionieren und den Unterschied zwischen dns-changer.eu und dns-ok.de erklärt!

Unser universeller Check
Die cyscon hat einen Check erarbeitet, der beide Varianten prüft und die Ergebnisse beider Services visualisiert.

Mgl. war uns dies über eine kleine, aber feine Eigenschaft der Webseite dns-ok.de. Schaut dazu einfach mal ganz genau auf das Telekom-Logo. ;) Es ist leicht erklärt: Das Telekom-Logo hat auf der Seite ‘Ihre DNS Konfiguration ist korrekt’ einen anderen Namen als auf der Seite ‘ACHTUNG: Ihre DNS Konfiguration ist manipuliert’. Diese Unterschied machen wir uns zu nutzen. Wir prüfen also, nach Erlaubnis, welches der beiden Telekom-Logo’s für den PC zur Verfügung steht … it’s that easy!

Kurz zur Symbolik der Abfrage:

  • Das Fragezeichen: Der Test wurde noch nicht ausgeführt.
  • Das grüne Häkchen: Die IP-Adresse oder der Computer wird von dem Test als sauber gemeldet.
  • Das rote X: Die IP Adresse oder der Computer wird von dem Test als infiziert gemeldet.

Wer Fragen zu unserer Umsetzung hat, oder den Dienst gerne auf seiner WebSeite einbauen möchte, kann uns gerne Anschreiben. Nutzt dazu einfach die E-Mail-Adresse sitesecurity@cyscon.de!

Posted in Allgemein | No Comments »

C-SIRT: Helfen Sie mit – und melden Sie uns schädliche/fragwürdige WebSeiten

November 14th, 2011

In den zurückliegenden 4 Wochen hat cyscon’s SIRT (C-SIRT) mehr als 85.000 Incidents verarbeitet, und konnte teilweise binnen weniger Minuten Schadsoftware aus dem Netz entfernen. Heute möchten wir Sie um Ihre mithilfe bitten und stellen Ihnen ein Kontaktformular zur Verfügung, über welches Sie schädliche bzw. bösartige WebSeiten bei uns zur weiteren Verarbeitung einliefern können.

Sofern Sie daran interessiert sind uns durch regelmäßige Reports zu unterstützen, bitten wir Sie sich mit uns (sitesecurity@cyscon.de) in Verbindung zu setzen und einen sogenannten TrustKey bei uns zu beantragen. Wir stellen Ihnen dann auch eine Schnittstelle zur maschinellen Einlieferung zur Verfügung!

Posted in Ankündigung | No Comments »

blocklist.de: cyscon reportet SSH-Attacken an Community-Projekt

September 29th, 2011

Nahezu im Stundentakt werden die hochfrequentierten Server unserer Bestandskunden mit Attacken übersät. Ist der Angriff erst einmal abgewehrt, werden im Hintergrund eine Vielzahl an Maßnahmen ergriffen, um das Angreifer-System zu identifizieren, zu tracken und dauerhaft auszusperren. Um die Geschichte abzurunden, informieren wir den hostenden ISP über den vereitelten Einbruchsversuch und bitten ihn sich das System mal näher anzusehen und ggf. vom Netz zu nehmen.

Hierzu bedienen wir uns im Falle von SSH-Attacken u.a. auch dem Community-Projekt http://www.blocklist.de/de/index.html, ins Leben gerufen von Martin Schiftan.

Gemeinsam gegen Netzmissbrauch

Durch das zentrale Sammeln und Austauschen von Daten – und der Teilnahme an solchen Projekten – sichern wir nicht nur nachhaltig die Verfügbarkeit unserer Infrastruktur, sondern leisten auch einen Beitrag im “Kampf gegen Netzmissbrauch” (durch Alarmierung des beherbergenden ISPs).

Tags: , , ,
Posted in Allgemein | No Comments »

« Older Entries