Ботнет Bredolab - Bredolab botnet - Wikipedia

В Ботнет Bredolab, также известный под псевдонимом Oficla,[1] был русский[2] ботнет в основном участвует в популярный спам в электронной почте. До того, как ботнет был окончательно демонтирован в ноябре 2010 года за счет захвата его управления и контроля. серверы, по оценкам, он состоял из миллионов зомби-компьютеры.[3][4][5]

Операции

Хотя самые ранние сообщения о ботнете Bredolab относятся к маю 2009 г. (когда первые образцы вредоносного ПО Bredolab троянский конь были обнаружены) сам ботнет не был известен до августа 2009 года, когда размер ботнета резко увеличился.[6][7] Основная форма распространения Bredonet заключалась в рассылке вредоносных электронных писем, содержащих вредоносное ПО вложения, которые могут заразить компьютер при открытии, фактически превратив компьютер в другого зомби, управляемого ботнетом. На пике своего развития ботнет был способен отправлять 3,6 миллиарда зараженных писем каждый день.[8] Другой основной способ распространения - использование попутные загрузки - метод, который использует уязвимости безопасности в программном обеспечении. Этот метод позволил ботнету обойти защиту программного обеспечения, чтобы упростить загрузку без ведома пользователя.[9]

Основной доход ботнета был получен за счет сдачи в аренду частей ботнета третьим сторонам, которые впоследствии могли использовать эти зараженные системы в своих целях, и по оценкам исследователей безопасности, владелец ботнета зарабатывал до 139 000 долларов в месяц от деятельности, связанной с ботнетом.[4][10][11] Благодаря стратегии арендного бизнеса, полезная нагрузка Bredolab была очень разнообразной и варьировалась от пугающее ПО к вредоносное ПО и спам в электронной почте.[12]

Демонтаж и ликвидация последствий

25 октября 2010 года группа агентов голландских правоохранительных органов захватила контроль над 143 серверами, которые содержали три сервера управления, один сервер базы данных и несколько серверов управления из ботнета Bredolab в г. дата-центр из LeaseWeb,[13] эффективное устранение ботнет пастухов возможность централизованного управления ботнетом.[2][12][14] Пытаясь восстановить контроль над своим ботнетом, пастух ботнета использовал 220 000 компьютеров, которые все еще находились под его контролем, чтобы развернуть DDoS атака на серверы LeaseWeb, хотя в конечном итоге эти попытки оказались тщетными.[15] Получив контроль над ботнетом, правоохранительные органы использовали сам ботнет, чтобы отправить сообщение владельцам зараженных компьютеров, заявив, что их компьютер был частью ботнета.[8][16]

Впоследствии Армянский правоохранители задержали гражданина Армении, Георгий Аванесов,[4][17] на основании того, что он был подозреваемым вдохновителем ботнета. Подозреваемый отрицал какую-либо причастность к ботнету.[11][12] В мае 2012 года он был приговорен к четырем годам лишения свободы.[18]

Хотя захват командных и контрольных серверов серьезно нарушил способность ботнета работать,[19] сам ботнет по-прежнему частично не поврежден, а серверы управления и контроля находятся в России и Казахстане.[16] Охранная фирма FireEye считает, что вторичная группа пастухов ботнета захватила оставшуюся часть ботнета для своих целей, возможно, предыдущий клиент, который реконструированный части исходного кода создателя ботнета. Несмотря на это, группа отметила, что размер и мощность ботнета были серьезно уменьшены вмешательством правоохранительных органов.[10][13][20]

Рекомендации

  1. ^ Искать в энциклопедии вредоносных программ: Bredolab, Microsoft.com
  2. ^ а б Дэн Рейвуд (26 октября 2010 г.). «Ботнет Bredolab отключен после вмешательства Нидерландов». SC Magazine UK. Получено 28 января 2012.
  3. ^ Джеймс Рэй и Ульф Стаб (28 октября 2010 г.). «Исследователи: Бредолаб все еще скрывается, хотя и серьезно ранен (Обновление 3) - Безопасность». Thetechherald.com. Архивировано из оригинал 3 октября 2011 г.. Получено 28 января 2012.
  4. ^ а б c «Infosecurity (Великобритания) - BredoLab отключил ботнет, связанный со Spamit.com». Infosecurity-magazine.com. 1 ноября 2010 г.. Получено 28 января 2012.
  5. ^ Help Net Security (2 ноября 2010 г.). «Последствия остановки ботнета Bredolab». Net-security.org. Получено 28 января 2012.
  6. ^ «Отчеты об угрозах безопасности - анализ исследований - Trend Micro USA» (PDF). Us.trendmicro.com. Получено 28 января 2012.
  7. ^ "Троян.Бредолаб". Symantec. Получено 28 января 2012.
  8. ^ а б «Infosecurity (США) - правительство Нидерландов закрывает ботнет Bredolab». Infosecurity-us.com. 26 октября 2010 г.. Получено 28 января 2012.
  9. ^ "Технические подробности Trojan.Bredolab". Symantec. Получено 28 января 2012.
  10. ^ а б Bredolab не работает, но далеко не ушел после удаления ботнета, 28 октября 2010 г.
  11. ^ а б «Могут произойти и другие аресты Bredolab, - говорят голландские прокуроры - Techworld.com». News.techworld.com. Получено 28 января 2012.
  12. ^ а б c Шварц, Мэтью Дж. (29 октября 2010 г.). "Ботнет Bredolab продолжает распространять вредоносное ПО - ботнет Bredolab". Информационная неделя. Получено 28 января 2012.
  13. ^ а б де Грааф, JD (2012). "БРЕДОЛАБ: Покупки в преступном мире киберпреступности" (PDF). Конференция ICDF2C. Springer-Verlag.
  14. ^ Джош Холлидей (26 октября 2010 г.). «В Армении арестован подозреваемый в создании червя Bredolab | Технологии». Лондон: guardian.co.uk. Получено 28 января 2012.
  15. ^ «В Армении арестован подозреваемый в запуске ботнета Bredolab - Softpedia». News.softpedia.com. 26 октября 2010 г.. Получено 28 января 2012.
  16. ^ а б Сеть зомби Undead Bredolab выбегает из могилы, 29 октября 2010 г.
  17. ^ «Вдохновитель Bredolab был ключевым партнером Spamit.com - Krebs on Security». Krebsonsecurity.com. 30 октября 2010 г.. Получено 28 января 2012.
  18. ^ «Российский вдохновитель спама заключен в тюрьму за создание ботнета». Новости BBC. 24 мая 2012. Получено 24 мая 2012.
  19. ^ «Бредолаб, мертв, умирает или бездействует?» Контрмеры ». Countermeasures.trendmicro.eu. 26 октября 2010 г.. Получено 28 января 2012.
  20. ^ Атиф Муштак от 26 октября 2010 г. (26 октября 2010 г.). «Лаборатория FireEye Malware Intelligence: Bredolab - тяжело ранен, но не мертв». Blog.fireeye.com. Получено 28 января 2012.