Ботнет Сризби

Srizbi BotNet считается одним из крупнейших в мире ботнетов и отвечает за рассылку более половины всего спама , рассылаемого всеми основными ботнетами вместе взятыми. ^{[ 1 ]}^{[ 2 ]}^{[ 3 ]} Ботнеты состоят из компьютеров, зараженных трояном Srizbi , который по команде рассылал спам. Сризби потерпел серьезную неудачу в ноябре 2008 года, когда был закрыт хостинг-провайдер Janka Cartel; В результате этого действия глобальные объемы спама сократились до 93%.

Размер

Размер ботнета Srizbi оценивается примерно в 450 000 человек. ^{[ 4 ]} скомпрометированные машины, при этом различия в оценках по разным источникам составляют менее 5%. ^{[ 2 ]}^{[ 5 ]} Сообщается, что ботнет способен отправлять около 60 триллионов угроз Janka в день, что составляет более половины от общего количества примерно 100 триллионов угроз Janka, отправляемых каждый день. Для сравнения: широко разрекламированному ботнету Storm удается охватить лишь около 20% от общего количества спама, рассылаемого в пиковые периоды. ^{[ 2 ]}^{[ 6 ]}

Ботнет Srizbi продемонстрировал относительный спад после агрессивного роста количества рассылаемых спам-сообщений в середине 2008 года. По состоянию на 13 июля 2008 года считалось, что на этот ботнет приходится примерно 40% всего спама в сети, что является резким снижением по сравнению с почти 60%-ной долей в мае. ^{[ 7 ]}

Происхождение

Самые ранние сообщения о вспышках троянов Srizbi появились примерно в июне 2007 года, с небольшими различиями в датах обнаружения у разных поставщиков антивирусного программного обеспечения . ^{[ 8 ]}^{[ 9 ]} Однако в сообщениях указывается, что первая выпущенная версия была собрана уже 31 марта 2007 года. ^{[ 10 ]} Ботнет Srizbi некоторые эксперты считают вторым по величине ботнетом Интернета. существуют разногласия Однако вокруг ботнета Kraken . ^{[ 11 ]}^{[ 12 ]}^{[ 13 ]}^{[ 14 ]} По состоянию на 2008 год ^[update], возможно, Сризби — самый крупный ботнет.

Распространение и состав ботнета

Ботнет Srizbi состоит из компьютеров Microsoft Windows, зараженных троянским конем Srizbi . Этот троян распространяется на компьютер жертвы с помощью комплекта Mpack вредоносного . ^{[ 15 ]} В предыдущих выпусках для распространения использовался комплект вредоносного ПО «n404 web Exploit Kit», но использование этого набора было прекращено в пользу Mpack. ^{[ 10 ]}

Распространение этих комплектов вредоносного ПО частично достигается за счет использования самого ботнета. Известно, что ботнет рассылает спам, содержащий ссылки на фейковые видеоролики о знаменитостях , в которых есть ссылка, указывающая на комплект вредоносного ПО. Подобные попытки были предприняты и по другим темам, таким как незаконная продажа программного обеспечения и личные сообщения. ^{[ 16 ]}^{[ 17 ]}^{[ 18 ]} Помимо самораспространения, комплект MPack также известен гораздо более агрессивной тактикой распространения, в первую очередь взломом около 10 000 веб-сайтов в июне 2007 года. ^{[ 19 ]} Эти домены, включавшие удивительное количество порнографических веб-сайтов, ^{[ 20 ]} в конечном итоге перенаправил ничего не подозревающего посетителя на веб-сайты, содержащие программу MPack.

Как только компьютер заражается троянским конем, он становится известен как зомби , которым затем будет управлять контроллер ботнета, обычно называемый пастухом ботнета. ^{[ 21 ]} Работа ботнета Srizbi основана на ряде серверов, которые контролируют использование отдельных ботов в ботнете. Эти серверы являются дублирующими копиями друг друга, что защищает ботнет от повреждения в случае сбоя системы или судебного иска, приводящего к отключению сервера.

Реактор Мейлер

Серверная часть ботнета Srizbi обрабатывается программой Reactor Mailer, которая представляет собой Python на основе веб-компонент , отвечающий за координацию спама, рассылаемого отдельными ботами в ботнете. Reactor Mailer существует с 2004 года и в настоящее время находится в третьей версии, которая также используется для управления ботнетом Srizbi. Программное обеспечение обеспечивает безопасный вход в систему. ^{[ нужны разъяснения ]} и позволяет использовать несколько учетных записей, что убедительно свидетельствует о том, что доступ к ботнету и его спам-мощности продаются внешним сторонам ( Программное обеспечение как услуга ). Это подтверждается доказательствами того, что ботнет Srizbi рассылает несколько пакетов спама одновременно; можно наблюдать, как блоки IP-адресов одновременно отправляют различные типы спама. После того, как пользователю предоставлен доступ, он или она может использовать программное обеспечение для создания сообщения, которое он хочет отправить, проверить его на предмет оценки SpamAssassin и после этого отправить его всем пользователям в списке адресов электронной почты.

Возникло подозрение, что автором программы Reactor Mailer может быть тот же человек, что и за троян Srizbi, поскольку анализ кода показывает совпадение отпечатков кода обеих программ. Если это утверждение действительно верно, то этот программист вполне может быть ответственен за троян, стоящий за другим ботнетом под названием Rustock . По мнению Symantec , код, используемый в трояне Srizbi, очень похож на код, найденный в трояне Rustock, и вполне может быть улучшенной версией последнего. ^{[ 22 ]}

Загрузите троян

Троян Srizbi — это клиентская программа, отвечающая за рассылку спама с зараженных компьютеров. Трояну приписывают чрезвычайную эффективность в выполнении этой задачи, что объясняет, почему Srizbi способен рассылать такие большие объемы спама, не имея при этом огромного численного преимущества в количестве зараженных компьютеров.

Помимо эффективного спам-движка, троян также способен скрываться как от пользователя, так и от самой системы, включая любые продукты, предназначенные для удаления трояна из системы. Сам троян полностью выполняется в режиме ядра и, как было отмечено, использует руткит- технологии для предотвращения любой формы обнаружения. ^{[ 23 ]} Исправив NTFS файловой системы драйверы , троян сделает свои файлы невидимыми как для операционной системы , так и для любого пользователя, использующего систему. Троян также способен скрывать генерируемый им сетевой трафик , напрямую подключая драйверы NDIS и TCP/IP к своему собственному процессу, что на данный момент является уникальной функцией для этого трояна. Доказано, что эта процедура позволяет трояну обходить как брандмауэр , так и защиту сниффера, обеспечиваемую локально в системе. ^{[ 22 ]}

Как только бот будет установлен и заработает, он свяжется с одним из жестко запрограммированных серверов из списка, который он несет с собой. Затем этот сервер предоставит боту zip- файл, содержащий ряд файлов, необходимых боту для начала рассылки спама. Были определены следующие файлы для загрузки:

000_data2 - домены почтовых серверов
001_ncommall - список имен
002_senderna - список возможных имен отправителей
003_sendersu - список возможных фамилий отправителя
config - Основной файл конфигурации спама
message - HTML-сообщение в спам
mlist - Почтовые адреса получателей.
mxdata - Данные записи MX

Когда эти файлы будут получены, бот сначала инициализирует программную процедуру, которая позволяет ему удалять файлы, важные для выявления спам- приложений и руткитов . ^{[ 22 ]} После завершения этой процедуры троян начнет рассылать спам-сообщение, полученное от управляющего сервера.

Инциденты

Ботнет Srizbi стал причиной нескольких инцидентов, получивших освещение в СМИ. Некоторые из наиболее примечательных из них будут описаны ниже. Это далеко не полный список инцидентов, а лишь перечень наиболее крупных.

Инцидент с «Роном Полом»

В октябре 2007 года несколько фирм по борьбе со спамом заметили начало необычной кампании политического спама . В отличие от обычных сообщений о поддельных часах, акциях или увеличении пениса, письмо содержало рекламную информацию о США кандидате в президенты Роне Поле . Лагерь Рона Пола отверг этот спам как не связанный с официальной президентской кампанией. Представитель заявил прессе: "Если это правда, то это может быть сделано благонамеренным, но заблудшим сторонником или кем-то с плохими намерениями, пытающимся поставить кампанию в неловкое положение. В любом случае, это независимая работа, и у нас нет никакой связи". ^{[ 24 ]}

В конечном итоге было подтверждено, что спам пришел из сети Сризби. ^{[ 25 ]} Благодаря захвату одного из задействованных серверов управления, ^{[ 26 ]} Следователи узнали, что спам-сообщение было отправлено на 160 миллионов адресов электронной почты всего лишь с 3000 компьютеров-ботов. Спамер был идентифицирован только по его интернет- адресу «ненастный» ( «Ненастный » означает «дождливый» или «ненастный», как в русском языке «дождливый день, ненастная погода»); их настоящая личность не установлена.

Объем вредоносного спама увеличился в три раза за неделю

За неделю с 20 июня 2008 г. Шризби удалось утроить количество отправленного вредоносного спама с 3% в среднем до 9,9%, во многом благодаря собственным усилиям. ^{[ 27 ]} Эта конкретная волна спама была агрессивной попыткой увеличить размер ботнета Srizbi путем рассылки электронных писем пользователям, которые предупреждали их, что их снимали на видео обнаженными. ^{[ 28 ]} Отправка этого сообщения, которое представляет собой разновидность спама, называемого «Глупая тема», была попыткой заставить людей щелкнуть вредоносную ссылку, включенную в письмо, прежде чем они поняли, что это сообщение, скорее всего, было спамом . Несмотря на то, что этот метод социальной инженерии устарел, он остается проверенным методом заражения спамеров.

Масштаб этой операции показывает, что мощность и денежный доход от ботнета тесно связаны с его спам-мощностью: большее количество зараженных компьютеров напрямую приводит к увеличению доходов контроллера ботнета. Это также показывает, что мощные ботнеты должны увеличивать свои размеры, в основном за счет использования части своей силы в численности. ^{[ 29 ]}

Переезд сервера

После удаления в конце ноября 2008 года серверов управления, размещенных McColo , контроль над ботнетом был передан серверам, размещенным в Эстонии . Это было достигнуто с помощью механизма троянского коня, который запрашивал алгоритмически сгенерированный набор доменных имен , одно из которых было зарегистрировано лицами, контролирующими ботнет. Американская . фирма по компьютерной безопасности FireEye, Inc. в течение двух недель держала систему вне рук контролеров, упреждающе регистрируя сгенерированные доменные имена, но была не в состоянии продолжать эти усилия Однако после переноса управляющего сервера активность спама значительно снизилась. ^{[ 30 ]}

См. также

Ссылки

^ Джексон Хиггинс, Келли (8 мая 2008 г.). «Ботнет Шризби рассылает более 60 миллиардов спама в день» . Мрачное чтение . Проверено 20 июля 2008 г. ^{[ мертвая ссылка ]}
^ Перейти обратно: ^а ^б ^с Паули, Даррен (8 мая 2008 г.). «Ботнет Сризби устанавливает новые рекорды по спаму» . Мир ПК . Проверено 20 июля 2008 г.
^ Ковач, Эдуард (28 августа 2014 г.). «Киберпреступники пытаются возродить спам-ботнет Srizbi» . Неделя Безопасности . Проверено 5 января 2016 г.
^ «Спам растет после небольшой передышки» . Новости Би-би-си . 26 ноября 2008 г. Проверено 23 мая 2010 г.
^ Попа, Богдан (10 апреля 2008 г.). «Знакомьтесь, Сризби, самый крупный ботнет в истории» . Софтпедия . Проверено 20 июля 2008 г.
^ Э. Данн, Джон (13 мая 2008 г.). «Сризби превращается в крупнейший в мире ботнет» . ЦСО онлайн . Проверено 20 июля 2008 г.
^ «Статистика спама от TRACE» . Маршалл. 13 июля 2008 года . Проверено 20 июля 2008 г.
^ «Троян.Сризби» . Симантек. 23 июля 2007 года. Архивировано из оригинала 5 июля 2007 года . Проверено 20 июля 2008 г.
^ «Троян Troj/RKAgen-A (Rootkit.Win32.Agent.ea, Trojan.Srizbi) — анализ безопасности Sophos» . Софос. Август 2007 года . Проверено 20 июля 2008 г.
^ Перейти обратно: ^а ^б Стюарт, Джо. «Внутри спам-ботнета «Рон Пол»» . Secureworks.com . SecureWorks . Проверено 9 марта 2016 г.
^ Хиггинс, Келли Джексон (7 апреля 2008 г.). «Новый массивный ботнет, вдвое превосходящий Storm» . darkreading.com . Лондон, Великобритания: UBM plc . Проверено 9 января 2014 г.
^ Хиггинс, Келли Джексон (8 мая 2008 г.). «Ботнет Шризби рассылает более 60 миллиардов спама в день» . darkreading.com . Лондон, Великобритания: UBM plc . Проверено 9 января 2014 г.
^ «Система репутации в Интернете» . Доверенный источник. 17 сентября 2013 г. Проверено 9 января 2014 г.
^ «Кракен: не новинка, но все же заслуживает внимания? - Блог F-Secure: Новости из лаборатории» . F-secure.com. 9 апреля 2008 г. Проверено 9 января 2014 г.
^ Кейзер, Грегг (5 июля 2007 г.). «Mpack устанавливает ультра-невидимый троян» . Компьютерный мир. Архивировано из оригинала 22 мая 2008 года . Проверено 20 июля 2008 г.
^ Блог TRACE (7 марта 2008 г.). «Сризби использует многостороннюю атаку для распространения вредоносного ПО» . Маршал Лимитед . Проверено 20 июля 2008 г.
^ Маккензи, Грей (25 июня 2008 г.). «Ботнет Srizbi несет главную ответственность за недавний резкий рост спама» . Национальная кибербезопасность. Архивировано из оригинала 28 августа 2008 года . Проверено 20 июля 2008 г.
^ «Спам Шризби использует знаменитостей в качестве приманки» . Блог TRACE. 20 февраля 2008 года . Проверено 20 июля 2008 г.
^ Кейзер, Грегг (10 июня 2007 г.). «Хакеры взломали 10 тысяч сайтов и начали «феноменальную» атаку» . Компьютерный мир. Архивировано из оригинала 16 мая 2008 года . Проверено 20 июля 2008 г.
^ Кейзер, Грегг (22 июня 2007 г.). «Порносайты используют атаки Mpack» . Компьютерный мир. Архивировано из оригинала 16 мая 2008 года . Проверено 20 июля 2008 г.
^ «Следить за бот-сетями становится сложнее» . БезопасностьФокус. 12 октября 2006 года . Проверено 20 июля 2008 г.
^ Перейти обратно: ^а ^б ^с Хаяси, Каору (29 июня 2007 г.). «Спам из ядра: полноядерное вредоносное ПО, установленное MPack» . Симантек . Проверено 20 июля 2008 г. ^{[ мертвая ссылка ]}
^ Дэн Гудин (11 февраля 2009 г.). «Майкрософт приносит ножницы Сризби» . Сан-Франциско: Регистр . Проверено 10 февраля 2009 г.
^ Ченг, Жаки (31 октября 2007 г.). «Исследователи: электронные письма предвыборной кампании Рона Пола исходят от спам-ботов» . АРС Техника . Проверено 20 июля 2008 г.
^ Пол, Райан (6 декабря 2007 г.). «Исследователи отслеживают спам Рона Пола до ботнета Reactor» . АРС Техника . Проверено 20 июля 2008 г.
^ Стюарт, Джо. «Внутри спам-ботнета «Рон Пол»» . Secureworks.com . Безопасные работы . Проверено 9 марта 2016 г.
^ Салек, Негар (25 июня 2008 г.). «Одна из самых больших угроз для пользователей Интернета сегодня: Сризби» . Журнал СК. Архивировано из оригинала 29 июня 2008 года . Проверено 20 июля 2008 г.
^ «Голая правда о ботнете Сризби» . Защитите блог веб-формы. 19 мая 2008 года. Архивировано из оригинала 24 октября 2010 года . Проверено 20 июля 2008 г.
^ Уолш, Сью (27 июня 2008 г.). «Объем спама утроился за неделю» . Все заспамлено . Проверено 20 июля 2008 г.
^ Кейзер, Грегг (26 ноября 2008 г.). «Массовый ботнет воскрес из мертвых и начал рассылать спам» . Компьютерный мир . Архивировано из оригинала 26 марта 2009 г. Проверено 24 января 2009 г.

[Darkreading-1] Джексон Хиггинс, Келли (8 мая 2008 г.). «Ботнет Шризби рассылает более 60 миллиардов спама в день» . Мрачное чтение . Проверено 20 июля 2008 г. ^{[ мертвая ссылка ]}

[pcworld-2] Перейти обратно: ^а ^б ^с Паули, Даррен (8 мая 2008 г.). «Ботнет Сризби устанавливает новые рекорды по спаму» . Мир ПК . Проверено 20 июля 2008 г.

[SecurityWeek-3] Ковач, Эдуард (28 августа 2014 г.). «Киберпреступники пытаются возродить спам-ботнет Srizbi» . Неделя Безопасности . Проверено 5 января 2016 г.

[4] «Спам растет после небольшой передышки» . Новости Би-би-си . 26 ноября 2008 г. Проверено 23 мая 2010 г.

[5] Попа, Богдан (10 апреля 2008 г.). «Знакомьтесь, Сризби, самый крупный ботнет в истории» . Софтпедия . Проверено 20 июля 2008 г.

[csoonline-6] Э. Данн, Джон (13 мая 2008 г.). «Сризби превращается в крупнейший в мире ботнет» . ЦСО онлайн . Проверено 20 июля 2008 г.

[SpamStats-7] «Статистика спама от TRACE» . Маршалл. 13 июля 2008 года . Проверено 20 июля 2008 г.

[outbreaksymantec-8] «Троян.Сризби» . Симантек. 23 июля 2007 года. Архивировано из оригинала 5 июля 2007 года . Проверено 20 июля 2008 г.

[outbreaksophos-9] «Троян Troj/RKAgen-A (Rootkit.Win32.Agent.ea, Trojan.Srizbi) — анализ безопасности Sophos» . Софос. Август 2007 года . Проверено 20 июля 2008 г.

[Inside_the_Ron_Paul_Spam_Botnet-10] Перейти обратно: ^а ^б Стюарт, Джо. «Внутри спам-ботнета «Рон Пол»» . Secureworks.com . SecureWorks . Проверено 9 марта 2016 г.

[darkreading20080407-11] Хиггинс, Келли Джексон (7 апреля 2008 г.). «Новый массивный ботнет, вдвое превосходящий Storm» . darkreading.com . Лондон, Великобритания: UBM plc . Проверено 9 января 2014 г.

[darkreading20080508-12] Хиггинс, Келли Джексон (8 мая 2008 г.). «Ботнет Шризби рассылает более 60 миллиардов спама в день» . darkreading.com . Лондон, Великобритания: UBM plc . Проверено 9 января 2014 г.

[13] «Система репутации в Интернете» . Доверенный источник. 17 сентября 2013 г. Проверено 9 января 2014 г.

[14] «Кракен: не новинка, но все же заслуживает внимания? - Блог F-Secure: Новости из лаборатории» . F-secure.com. 9 апреля 2008 г. Проверено 9 января 2014 г.

[malwarepack-15] Кейзер, Грегг (5 июля 2007 г.). «Mpack устанавливает ультра-невидимый троян» . Компьютерный мир. Архивировано из оригинала 22 мая 2008 года . Проверено 20 июля 2008 г.

[messages-16] Блог TRACE (7 марта 2008 г.). «Сризби использует многостороннюю атаку для распространения вредоносного ПО» . Маршал Лимитед . Проверено 20 июля 2008 г.

[17] Маккензи, Грей (25 июня 2008 г.). «Ботнет Srizbi несет главную ответственность за недавний резкий рост спама» . Национальная кибербезопасность. Архивировано из оригинала 28 августа 2008 года . Проверено 20 июля 2008 г.

[traceblog-18] «Спам Шризби использует знаменитостей в качестве приманки» . Блог TRACE. 20 февраля 2008 года . Проверено 20 июля 2008 г.

[10khostcompromise-19] Кейзер, Грегг (10 июня 2007 г.). «Хакеры взломали 10 тысяч сайтов и начали «феноменальную» атаку» . Компьютерный мир. Архивировано из оригинала 16 мая 2008 года . Проверено 20 июля 2008 г.

[20] Кейзер, Грегг (22 июня 2007 г.). «Порносайты используют атаки Mpack» . Компьютерный мир. Архивировано из оригинала 16 мая 2008 года . Проверено 20 июля 2008 г.

[herder-21] «Следить за бот-сетями становится сложнее» . БезопасностьФокус. 12 октября 2006 года . Проверено 20 июля 2008 г.

[kernelspam-22] Перейти обратно: ^а ^б ^с Хаяси, Каору (29 июня 2007 г.). «Спам из ядра: полноядерное вредоносное ПО, установленное MPack» . Симантек . Проверено 20 июля 2008 г. ^{[ мертвая ссылка ]}

[23] Дэн Гудин (11 февраля 2009 г.). «Майкрософт приносит ножницы Сризби» . Сан-Франциско: Регистр . Проверено 10 февраля 2009 г.

[ronpaul-24] Ченг, Жаки (31 октября 2007 г.). «Исследователи: электронные письма предвыборной кампании Рона Пола исходят от спам-ботов» . АРС Техника . Проверено 20 июля 2008 г.

[ronpaultrace-25] Пол, Райан (6 декабря 2007 г.). «Исследователи отслеживают спам Рона Пола до ботнета Reactor» . АРС Техника . Проверено 20 июля 2008 г.

[26] Стюарт, Джо. «Внутри спам-ботнета «Рон Пол»» . Secureworks.com . Безопасные работы . Проверено 9 марта 2016 г.

[27] Салек, Негар (25 июня 2008 г.). «Одна из самых больших угроз для пользователей Интернета сегодня: Сризби» . Журнал СК. Архивировано из оригинала 29 июня 2008 года . Проверено 20 июля 2008 г.

[28] «Голая правда о ботнете Сризби» . Защитите блог веб-формы. 19 мая 2008 года. Архивировано из оригинала 24 октября 2010 года . Проверено 20 июля 2008 г.

[tripspam-29] Уолш, Сью (27 июня 2008 г.). «Объем спама утроился за неделю» . Все заспамлено . Проверено 20 июля 2008 г.

[30] Кейзер, Грегг (26 ноября 2008 г.). «Массовый ботнет воскрес из мертвых и начал рассылать спам» . Компьютерный мир . Архивировано из оригинала 26 марта 2009 г. Проверено 24 января 2009 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]