Ботнет Srizbi - Srizbi botnet

Сризби Ботнет считается одним из крупнейших в мире ботнеты, и отвечает за рассылку более половины всех спам рассылается всеми основными ботнетами вместе взятыми.[1][2][3] Ботнеты состоят из компьютеров, зараженных вирусом Srizbi. троян, который по команде рассылал спам. В ноябре 2008 года Srizbi потерпел неудачу, когда хостинг-провайдер Janka Cartel был закрыт; в результате этого глобальный объем спама снизился до 93%.

Размер

Размер ботнета Srizbi оценивался примерно в 450 000[4] скомпрометированные машины, при этом различия в оценках среди различных источников составляют менее 5%.[2][5] Сообщается, что ботнет способен отправлять около 60 триллионов угроз Janka в день, что составляет более половины от общего количества примерно 100 триллионов угроз Janka, отправляемых каждый день. Для сравнения, широко разрекламированные Штормовой ботнет удается достичь лишь около 20% от общего количества спама, отправляемого в периоды пиковой нагрузки.[2][6]

Ботнет Srizbi продемонстрировал относительное снижение после агрессивного роста количества спам-сообщений, рассылаемых в середине 2008 года. 13 июля 2008 г. считалось, что ботнет отвечает примерно за 40% всего спама в сети, что резко снизилось с почти 60% в мае.[7]

Происхождение

Самые ранние сообщения о вспышках троянских программ Srizbi поступили примерно в июне 2007 г. с небольшими различиями в датах обнаружения в разных странах. антивирусное программное обеспечение продавцы.[8][9] Однако отчеты показывают, что первая выпущенная версия уже была собрана 31 марта 2007 года.[10]Ботнет Srizbi некоторыми экспертами считается вторым по величине ботнетом в Интернете. Тем не менее, существует противоречие вокруг Ботнет Kraken.[11][12][13][14] По состоянию на 2008 г., возможно, Srizbi - самый крупный ботнет.

Спред и состав ботнета

Ботнет Srizbi состоит из компьютеров, зараженных вирусом Srizbi. троянский конь. Этот троянский конь развертывается на компьютере жертвы через Mpack вредоносное ПО Комплект.[15] В прошлых выпусках для распространения использовался набор вредоносных программ «n404 web exploit kit», но использование этого набора не рекомендуется в пользу Mpack.[10]

Распространение этих вредоносных программ частично достигается за счет использования самого ботнета. Известно, что ботнет рассылает спам, содержащий ссылки на поддельные видеоролики о знаменитости, которые включают ссылку на комплект вредоносных программ. Подобные попытки были предприняты и с другими темами, такими как незаконная продажа программного обеспечения и личные сообщения.[16][17][18] Помимо этого самораспространения, комплект MPack также известен гораздо более агрессивной тактикой распространения, в первую очередь компрометацией около 10 000 веб-сайтов в июне 2007 года.[19] Эти домены, которые включали удивительное количество порнографических сайтов,[20] закончилось тем, что ничего не подозревающего посетителя отправили на веб-сайты, содержащие программу MPack.

Как только компьютер заражается троянским конем, компьютер становится известен как зомби, который затем будет находиться под управлением контроллера ботнета, обычно называемого пастухом ботнета.[21] Работа ботнета Srizbi основана на нескольких серверах, которые контролируют использование отдельных ботов в ботнете. Эти серверы являются дублирующими копиями друг друга, что защищает ботнет от выхода из строя в случае сбоя системы или судебного иска, который выйдет из строя.

Reactor Mailer

В на стороне сервера ботнета Srizbi обрабатывается программой Reactor Mailer, которая является Python -основан веб-компонент отвечает за координацию спама, рассылаемого отдельными ботами в ботнете. Reactor Mailer существует с 2004 года и в настоящее время находится в третьем выпуске, который также используется для управления ботнетом Srizbi. Программное обеспечение обеспечивает безопасный вход[требуется разъяснение ] и позволяет использовать несколько учетных записей, что убедительно свидетельствует о том, что доступ к ботнету и его объему спама продается внешним сторонам (Программное обеспечение как сервис ). Это дополнительно подтверждается данными, показывающими, что ботнет Srizbi одновременно обрабатывает несколько пакетов спама; блоки IP-адреса можно наблюдать за рассылкой различных типов спама одновременно. После того, как пользователю был предоставлен доступ, он или она могут использовать программное обеспечение для создания сообщения, которое они хотят отправить, проверить его на предмет SpamAssassin оценка и после этого отправьте его всем пользователям в списке адресов электронной почты.

Возникло подозрение, что автором программы Reactor Mailer может быть тот же человек, который ответственен за троян Srizbi, поскольку анализ кода показывает отпечаток кода, который совпадает между двумя программами. Если это утверждение действительно верно, то этот кодировщик вполне может быть ответственным за трояна, стоящего за другим ботнетом с именем Rustock. В соответствии с Symantec, код трояна Srizbi очень похож на код трояна Rustock и вполне может быть его улучшенной версией.[22]

Srizbi троян

Троян Srizbi - это сторона клиента программа, отвечающая за рассылку спама с зараженных машин. Трояну приписывают исключительную эффективность в решении этой задачи, что объясняет, почему Srizbi способен рассылать такие большие объемы спама, не имея огромного численного преимущества по количеству зараженных компьютеров.

Помимо наличия эффективного механизма обработки спама, троянец также очень способен скрываться как от пользователя, так и от самой системы, включая любые продукты, предназначенные для удаления трояна из системы. Сам троян полностью исполняется в режим ядра и было отмечено использование руткит технологии для предотвращения любых форм обнаружения.[23] Путем исправления NTFS файловая система водители, троян сделает свои файлы невидимыми для обоих Операционная система и любой пользователь-человек, использующий систему. Троян также способен скрывать сетевой трафик он генерируется путем прямого присоединения NDIS и TCP / IP драйверов в собственный процесс, функция, в настоящее время уникальная для этого трояна. Доказано, что эта процедура позволяет трояну обходить оба брандмауэр и сниффер защита обеспечивается локально в системе.[22]

Как только бот будет установлен и заработает, он свяжется с одним из жестко запрограммированный серверы из списка, который он несет с собой. Затем этот сервер предоставит боту застегивать файл, содержащий ряд файлов, необходимых боту для начала рассылки спама. Были определены следующие файлы для загрузки:

  1. 000_data2 - домены почтового сервера
  2. 001_ncommall - список имен
  3. 002_senderna - список возможных имён отправителей
  4. 003_sendersu - список возможных фамилий отправителей
  5. config - Основной файл конфигурации спама
  6. сообщение - HTML-сообщение в спам
  7. список - Почтовые адреса получателей
  8. mxdata - данные записи MX

Когда эти файлы будут получены, бот сначала инициализирует программную процедуру, которая позволяет ему удалять файлы, важные для обнаружения спам и руткит Приложения. [22] После завершения этой процедуры троян начнет рассылать спам-сообщение, полученное с управляющего сервера.

Инциденты

Ботнет Srizbi стал причиной нескольких инцидентов, получивших освещение в СМИ. Некоторые из наиболее примечательных будут описаны ниже. Это далеко не полный список происшествий, а лишь список основных.

Инцидент с "Роном Полом"

В октябре 2007 г. несколько антиспам фирмы заметили необычный политический спам кампания появляется. В отличие от обычных сообщений о поддельных часах, товарах или увеличении пениса, письмо содержало рекламную информацию о Соединенные Штаты кандидат в президенты Рон Пол. Лагерь Рона Пола отклонил этот спам как не имеющий отношения к официальной президентской кампании. Представитель заявил прессе: «Если это правда, то это может быть сделано благонамеренным, но заблуждающимся сторонником или кем-то с плохими намерениями, пытающимся помешать кампании. В любом случае, это независимая работа, и у нас нет никакой связи».[24]

В конечном итоге было подтверждено, что спам пришел из сети Srizbi.[25] Благодаря захвату одного из задействованных серверов управления,[26] следователи выяснили, что спам-сообщение было отправлено 160 миллионам адрес электронной почты всего на 3000 бот-компьютеров. Спамер был идентифицирован только его Интернетом ручка "ненастный" (Ненастный, означает «дождливый» или «непогода», как в русском языке «дождливый день, непогода»); их настоящая личность не установлена.

Объем вредоносного спама увеличился втрое за неделю

За неделю с 20 июня 2008 года Srizbi удалось утроить количество рассылаемого вредоносного спама с 3% до 9,9%, в основном благодаря собственным усилиям.[27] Эта конкретная волна спама была агрессивной попыткой увеличить размер ботнета Srizbi путем рассылки электронных писем пользователям, в которых их предупреждали, что их снимали на видео голыми.[28] Отправка этого сообщения, представляющего собой разновидность спама, называемого «глупой темой», была попыткой заставить людей щелкнуть вредоносную ссылку, содержащуюся в письме, прежде чем они осознали, что это сообщение, скорее всего, было спам. Пока старый, это социальная инженерия Техника остается проверенным методом заражения спамеров.

Размер этой операции показывает, что мощность и денежный доход от ботнета тесно связаны с его объемом спама: чем больше зараженных компьютеров, тем выше доход для контроллера ботнета. Это также показывает, что силовые ботнеты должны увеличивать свой собственный размер, в основном за счет использования части своей силы в числах.[29]

Перенос сервера

После удаления управляющих серверов, размещенных на МакКоло в конце ноября 2008 г. контроль над ботнетом был передан серверам, размещенным в Эстония. Это было достигнуто с помощью механизма в троянском коне, который запрашивал алгоритмически сгенерированный набор доменные имена, один из которых был зарегистрирован лицами, контролирующими ботнет. В Соединенные Штаты фирма компьютерной безопасности FireEye, Inc. не допустил попадания системы в руки контролеров в течение двух недель, предварительно зарегистрировав сгенерированные доменные имена, но был не в состоянии поддерживать эти усилия. Однако после переноса управляющего сервера активность рассылки спама значительно снизилась.[30]

Смотрите также

Рекомендации

  1. ^ Джексон Хиггинс, Келли (8 мая 2008 г.). "Ботнет Srizbi рассылает более 60 миллиардов спама в день". Темное чтение. Получено 2008-07-20.[мертвая ссылка ]
  2. ^ а б c Паули, Даррен (8 мая 2008 г.). «Ботнет Srizbi устанавливает новые рекорды по спаму». Компьютерный мир. Получено 2008-07-20.
  3. ^ Ковач, Эдуард (28 августа 2014 г.). «Попытка киберпреступников возродить спам-ботнет Srizbi». SecurityWeek. Получено 2016-01-05.
  4. ^ "Спам растет после короткой отсрочки". Новости BBC. 2008-11-26. Получено 2010-05-23.
  5. ^ Попа, Богдан (10 апреля 2008 г.). "Встречайте Srizbi, самый большой ботнет в истории". Софтпедия. Получено 2008-07-20.
  6. ^ Э. Данн, Джон (13 мая 2008 г.). «Srizbi становится крупнейшим ботнетом в мире». CSO Online. Получено 2008-07-20.
  7. ^ «Статистика спама от TRACE». Маршалл. 13 июля 2008 г.. Получено 2008-07-20.
  8. ^ "Троян.Сризби". Symantec. 23 июля 2007 г.. Получено 2008-07-20.
  9. ^ «Troj / RKAgen-A Trojan (Rootkit.Win32.Agent.ea, Trojan.Srizbi) - анализ безопасности Sophos». Sophos. Август 2007 г.. Получено 2008-07-20.
  10. ^ а б Стюарт, Джо. "Внутри спам-ботнета" Рона Пола ". Secureworks.com. SecureWorks. Получено 9 марта 2016.
  11. ^ Хиггинс, Келли Джексон (07.04.2008). «Новый массивный ботнет в два раза больше шторма». darkreading.com. Лондон, Великобритания: UBM plc. Получено 2014-01-09.
  12. ^ Хиггинс, Келли Джексон (2008-05-08). "Ботнет Srizbi рассылает более 60 миллиардов спама в день". darkreading.com. Лондон, Великобритания: UBM plc. Получено 2014-01-09.
  13. ^ «Система Интернет-репутации». TrustedSource. 2013-09-17. Получено 2014-01-09.
  14. ^ «Kraken, не новинка, но все же заслуживающая внимания? - Журнал F-Secure: новости из лаборатории». F-secure.com. 2008-04-09. Получено 2014-01-09.
  15. ^ Кейзер, Грегг (5 июля 2007 г.). «Mpack устанавливает ультра-невидимый троян». ComputerWorld. Архивировано из оригинал 22 мая 2008 г.. Получено 20 июля, 2008.
  16. ^ Блог, TRACE (7 марта 2008 г.). «Srizbi использует многоаспектную атаку для распространения вредоносного ПО». Маршал Лимитед. Получено 2008-07-20.
  17. ^ Маккензи, Грей (25 июня 2008 г.). «Ботнет Srizbi несет большую ответственность за недавний резкий рост спама». Национальная кибербезопасность. Архивировано из оригинал 28 августа 2008 г.. Получено 2008-07-20.
  18. ^ "Спам Srizbi использует знаменитостей как приманку". Блог TRACE. 20 февраля 2008 г.. Получено 2008-07-20.
  19. ^ Кейзер, Грегг (10 июня 2007 г.). «Хакеры взломали 10 тысяч сайтов, запустили феноменальную атаку». ComputerWorld. Архивировано из оригинал 16 мая 2008 г.. Получено 20 июля, 2008.
  20. ^ Кейзер, Грегг (22 июня 2007 г.). «Порно сайты подавайте MPACK атаки». ComputerWorld. Архивировано из оригинал 16 мая 2008 г.. Получено 20 июля, 2008.
  21. ^ «Шпионить за бот-сетями становится все труднее». SecurityFocus. 12 октября 2006 г.. Получено 2008-07-20.
  22. ^ а б c Хаяси, Каору (29 июня 2007 г.). «Спам из ядра: вредоносное ПО для всего ядра, установленное MPack». Symantec. Получено 2008-07-20.[постоянная мертвая ссылка ]
  23. ^ Дэн Гудин (11 февраля 2009 г.). «Microsoft приносит ножницы Сризби». Сан-Франциско: Регистр. Получено 2009-02-10.
  24. ^ Ченг, Жаки (31 октября 2007 г.). «Исследователи: электронные письма кампании Рона Пола, исходящие от спам-ботов». ARS Technica. Получено 2008-07-20.
  25. ^ Пол, Райан (6 декабря 2007 г.). «Исследователи отслеживают спам Рона Пола обратно в ботнет Reactor». ARS Technica. Получено 2008-07-20.
  26. ^ Стюарт, Джо. "Внутри спам-ботнета" Рона Пола ". Secureworks.com. Secureworks. Получено 9 марта 2016.
  27. ^ Салек, Негар (25 июня 2008 г.). «Одна из самых больших угроз для пользователей Интернета сегодня: Сризби». Журнал SC. Архивировано из оригинал 29 июня 2008 г.. Получено 20 июля, 2008.
  28. ^ "Голая правда о ботнете Srizbi". Защитите блог веб-форм. 19 мая 2008 г. Архивировано с оригинал 24 октября 2010 г.. Получено 20 июля, 2008.
  29. ^ Уолш, Сью (27 июня 2008 г.). «Объем спама утроится за неделю». Все заспамлено. Получено 2008-07-20.
  30. ^ Кейзер, Грегг (26 ноября 2008 г.). «Массивный ботнет возвращается из мертвых, начинает рассылать спам». Computerworld. Архивировано из оригинал на 2009-03-26. Получено 2009-01-24.