Srizbi botnet
|
De este artículo precisión factual puede estar comprometida debido a información desactualizada. (Enero de 2012) |
El Srizbi botnet, también conocido por sus alias de Cbeplay y Intercambiador, es el segundo más grande o más grande del mundo botnet Según informes periciales y es responsable de enviar a más de la mitad de todos los spam Enviado por todos los grandes botnets combinado.[1][2] Los botnets consisten en ordenadores infectados por la Srizbi troyano, que envía spam en comando. La botnet sufrió un importante revés en noviembre de 2008 cuando el proveedor de alojamiento McColo fue tomada volúmenes de spam mundial reducidos hasta un 75% como resultado de esta acción.
Contenido
- 1 Tamaño
- 2 Orígenes
- 3 Composición de propagación y botnet
- 3.1 Reactor Mailer
- 3.2 Srizbi trojan
- 4 Incidentes
- 4.1 El incidente de "Ron Paul"
- 4.2 Spam malicioso triplicando volúmenes en una semana
- 4.3 Reubicación del servidor
- 5 Véase también
- 6 Referencias
Tamaño
El tamaño de la botnet Srizbi se estima que alrededor de 450.000[3] en peligro las máquinas, con diferencias de estimación es inferior al 5% entre diversas fuentes.[2][4] La botnet se divulga para ser capaz de enviar correo basura alrededor 60 billones mensajes al día, que es más de la mitad del total los aproximadamente 100 billones de mensajes de spam cada día. Como comparación, la muy publicitada Storm botnet Sólo consigue alcanzar aproximadamente el 20% de la cantidad total de spam enviado durante sus períodos.[2][5]
La botnet Srizbi está mostrando un relativo declive después de un crecimiento agresivo en la cantidad de mensajes de spam enviado a mediados de 2008. Desde el 13 de julio, la botnet se cree que es responsable de aproximadamente el 40% de todo el spam en la red, un brusco descenso de la participación de casi el 60% en mayo.[6]
Orígenes
Los primeros informes sobre brotes troyanos Srizbi fueron alrededor de junio de 2007, con pequeñas diferencias en las fechas de detección a través de software antivirus vendedores.[7][8] Sin embargo, los informes indican que la primera versión ya había sido reunida en 31 de marzo de 2007.[9] Allí no está implicado en la botnet ninguna señal de disminución en el número de bots.
La botnet Srizbi por algunos expertos es considerada el segundo mayor botnet de Internet. Sin embargo, hay controversia rodea la Botnet Kraken.[10][11][12][13] A partir de 2008[actualización], puede ser que Srizbi es la botnet más grande.
Composición de propagación y botnet
La botnet Srizbi consiste en computadoras que han sido infectados por la Srizbi caballo de Troya. Este caballo de Troya se despliega en su ordenador de la víctima a través de la MPack malware Kit.[14] Ediciones pasadas han utilizado el kit de malware "n404 web explotar kit" para difundir, pero el uso de este kit ha sido desaprobado a favor de Mpack.[9]
La distribución de estos kits de malware se logra parcialmente mediante la utilización de la botnet sí mismo. La botnet se ha sabido para enviar spam que contiene enlaces a falsos vídeos sobre celebridades, que incluya un enlace apuntando al kit de malware. Intentos similares han sido tomados con otros temas tales como mensajes personales y ventas de software ilegal.[15][16][17] Aparte esta autopropagación, el kit MPack es también conocido por tácticas se separa mucho más agresivas, más en particular el compromiso de unos 10.000 sitios web en junio de 2007.[18] Estos dominios, que incluyó un sorprendente número de sitios web pornográfico,[19] terminó el visitante desprevenido a sitios web que contengan el programa MPack de reenvío.
Una vez que una computadora infectada por el caballo de Troya, el equipo llega a ser conocido como un Zombie, que será en el comando del regulador de la botnet, comúnmente conocido como el pastor de botnet.[20] La operación de la botnet Srizbi se basa en un número de servidores que controlan la utilización de los robots individuales en la botnet. Estos servidores son copias redundantes de uno al otro, que protege la botnet de ser paralizado en el caso de un fallo del sistema o acción legal descuelga un servidor. Estos servidores se colocan generalmente en países tales como Rusia, donde está limitado el cumplimiento de la ley contra el crimen digital.
Reactor Mailer
El lado del servidor de la Srizbi botnet es manejado por un programa llamado "Reactor Mailer", que es un Python-base componente Web responsable de coordinar el spam enviado por los bots individuales en la botnet. Reactor Mailer ha existido desde el año 2004 y está actualmente en su tercera versión, que también se utiliza para el control de la botnet Srizbi. El software permite inicio de sesión seguro[aclaración necesitado] y permite múltiples cuentas, lo que sugiere fuertemente que el acceso a la botnet y su capacidad de spam se vende a terceros (Software como un servicio). Esto es reforzado por pruebas que demuestran que la botnet Srizbi ejecuta varios lotes de spam a la vez; bloques de Direcciones IP se pueden observar diferentes tipos de spam a enviar en cualquier momento. Una vez que un usuario se haya concedido acceso, él o ella puede utilizar el software para crear el mensaje que quieren enviar, para probar su SpamAssassin puntuación y luego enviarlo a todos los usuarios de una lista de direcciones de correo electrónico.[9]
Sospecha se ha planteado que el escritor del programa de correo del Reactor podría ser la misma persona responsable por el troyano Srizbi, como análisis de código muestran una huella de código que los partidos entre los dos programas.[9] Si esta afirmación es verdad, entonces este codificador bien podría ser responsable por el troyano detrás de otro botnet, llamado Rustock. Según Symantec, el código utilizado en el troyano Srizbi es muy similar al código que se encuentra en el troyano Rustock y bien podría ser una versión mejorada de este último.[21]
Srizbi trojan
El troyano Srizbi es la del lado del cliente programa encargado de enviar el spam desde equipos infectados. El troyano ha sido acreditado con ser extremadamente eficiente en esta tarea, que explica por qué Srizbi es capaz de enviar tales altos volúmenes de spam sin tener una gran ventaja numérica en el número de ordenadores infectados.
Aparte de tener un motor eficiente spam, el troyano también es muy capaz de ocultarse tanto el usuario como el propio sistema, incluyendo cualquier producto diseñado para eliminar al troyano en el sistema. El troyano en sí mismo se ejecuta completamente en modo de núcleo y se ha observado a emplear Rootkit tecnologías para evitar cualquier forma de detección.[22] Parcheando el NTFS sistema de archivos Controladores, el troyano hará que sus archivos invisible tanto para el Sistema operativo y cualquier usuario humano utilizando el sistema. El troyano también es capaz de esconderse tráfico de red genera conectando directamente NDIS y TCP/IP Controladores para su proceso, una característica única actualmente para este troyano. Este procedimiento ha sido probado para permitir el troyano eludir ambos cortafuegos y Sniffer protección proporcionada localmente en el sistema.[21]
Una vez que el robot está en su lugar y operacional, hará contacto con uno de los hardcoded servidores de una lista que lleva con él. Este servidor luego suministrará el bot con un zip archivo que contiene una serie de archivos necesarios por el bot para iniciar su negocio de "spamming". Se han identificado los siguientes archivos para ser descargados:
000_data2
-Dominios de servidor de correo001_ncommall
-lista de nombres002_senderna
-lista de nombres de posibles remitente003_sendersu
-lista de apellidos posible remitenteconfig
-Archivo de configuración de spam principalMensaje
-Mensaje HTML al spamMList
-Direcciones de correo receptoresmxdata
-Datos del registro MX
Cuando estos archivos se han recibido, el bot inicializará primero una rutina de software que le permite eliminar archivos críticos para revelar spam y Rootkit aplicaciones. [21] Después de este procedimiento se realiza, el troyano entonces comenzará enviando el mensaje de spam que ha recibido desde el servidor de control.
Incidentes
La botnet Srizbi ha sido la base para varios incidentes que han recibido cobertura de los medios. Varios de los más notables se describirán a continuación aquí. Esto no es una lista completa de los incidentes, pero sólo una lista de las más importantes.
El incidente de "Ron Paul"
En octubre de 2007, varios anti-spam las empresas notó un inusual spam político campaña emergente. A diferencia de los habituales mensajes sobre relojes, acciones o la ampliación del pene, el correo contenía información promocional sobre Estados Unidos candidato presidencial Ron Paul. El campamento de Ron Paul desestimó el spam no estar relacionados con la campaña presidencial oficial. Un portavoz dijo a la prensa: "Si bien es cierto, podría hacerse por un partidario bienintencionado pero equivocado o alguien con malas intenciones intentando avergonzar a la campaña. Ya sea cierto, es un trabajo independiente, y no tenemos conexión."[23]
El spam fue confirmado en última instancia, como haber venido desde la red Srizbi.[24] A través de la captura de uno de los servidores de control involucrados,[9] los investigadores aprendieron que se envió el mensaje de spam hasta 160 millones direcciones de correo electrónico por tan sólo 3.000 ordenadores bot. El spammer sólo ha sido identificado por su Internet mango ("nenastnyj"НЕНАСТНЫЙsignifica "lluvia" o "falta", como "día de lluvia, mal tiempo" en ruso); No se ha determinado su identidad real.
Spam malicioso triplicando volúmenes en una semana
En la semana del 20 de junio de 2008 Srizbi logró triplicar la cantidad de spam malicioso enviado desde un promedio de 3% al 9,9%, en gran parte debido a su propio esfuerzo.[25] Esta ola de spam particular era un agresivo intento de aumentar el tamaño de la botnet Srizbi enviando correos electrónicos a los usuarios que les advirtieron que había sido grabadas desnuda.[26] Enviando este mensaje, que es una especie de spam que se refiere como "Tema estúpido", fue un intento de que la gente haga clic en el enlace malicioso incluido en el correo, antes de darse cuenta que este mensaje era más probable spam. Mientras que viejo, esto Ingeniería social técnica sigue siendo un método probado de infección para los spammers.
El tamaño de esta operación muestra que los ingresos monetarios y poder de una botnet estrechamente se basan en su capacidad de spam: más infectados ordenadores se traducen directamente en mayores ingresos para el controlador de botnet. También muestra que los poder botnets tienen que aumentar su propio tamaño, principalmente mediante el uso de una parte de su fuerza en números.[27]
Reubicación del servidor
Después del retiro de los servidores de control McColo a finales de noviembre de 2008, el control de la botnet fue transferido a los servidores alojados en Estonia. Esto se logró a través de un mecanismo en el caballo de Troya que consultar un conjunto algorítmico generado de nombres de dominio, uno de los cuales fue registrado por los individuos controlando la botnet. El Estados Unidos empresa de seguridad informática FireEye, Inc. mantener el sistema en manos de los controladores por un período de dos semanas por preventivamente registro del dominio generado nombres pero no estaba en condiciones de sostener este esfuerzo. Sin embargo la actividad "spamming" se redujo considerablemente después de esta transferencia de servidor de control.[28]
Véase también
- Botnet
- Storm botnet
- Kit de malware MPack
- E-mail-spam
- Crimen de Internet
- Seguridad en Internet
- Operación: Bot Roast
- Shadowserver
Referencias
- ^ Jackson Higgins, Kelly (08 de mayo de 2008). "Srizbi Botnet enviando más 60 billones Spams un día". Lectura oscuro. 2008-07-20.[link muerto]
- ^ a b c Pauli, Darren (08 de mayo de 2008). "Srizbi Botnet establece nuevos récords de Spam". PC World. 2008-07-20.
- ^ "Spam" en alza tras breve respiro". Noticias de BBC. 2008-11-26. 2010-05-23.
- ^ Popa, Bogdan (10 de abril de 2008). "Conoce a Srizbi, la Botnet más grande jamás". Softpedia. 2008-07-20.
- ^ E. Dunn, John (13 de mayo de 2008). "Srizbi crece en Botnet más grande del mundo". CSO en línea. 2008-07-20.
- ^ "Las estadísticas del rastro de spam". Marshall. 13 de julio de 2008. 2008-07-20.
|first1 =
falta|last1 =
en autores de la lista)Ayuda) - ^ "Trojan.Srizbi". Symantec. 23 de julio de 2007. 2008-07-20.
- ^ "Troj/RKAgen-A Troya (Rootkit.Win32.Agent.ea, Trojan.Srizbi) - Análisis de seguridad de Sophos". Sophos. Agosto de 2007. 2008-07-20.
- ^ a b c d e Stewart, Joe (04 de diciembre de 2007). "Dentro de la"Ron Paul"Spam" Botnet". SecureWorks. 2008-07-20.
- ^ Higgins, Kelly Jackson (2008-04-07). "Nueva Botnet masiva dos veces el tamaño de la tormenta". DarkReading.com. Londres, Reino Unido: UBM plc. 2014-01-09.
- ^ Higgins, Kelly Jackson (2008-05-08). "Srizbi Botnet enviando más 60 billones Spams un día". DarkReading.com. Londres, Reino Unido: UBM plc. 2014-01-09.
- ^ "Sistema de reputación de Internet". TrustedSource. 17 / 09 / 2013. 2014-01-09.
- ^ ¿"Kraken, no nuevo pero todavía valen la pena? -F - Secure Weblog: noticias del laboratorio ". F-secure.com. 2008-04-09. 2014-01-09.
- ^ Keizer, Gregg (05 de julio de 2007). "Mpack instala a Trojan ultra invisible". ComputerWorld. 2008-07-20.
- ^ Blog, TRACE (07 de marzo de 2008). "Srizbi usa ataque diversificado para propagar malware". Mariscal Limited. 2008-07-20.
- ^ McKenzie, gris (25 de junio de 2008). "Srizbi Botnet es en gran parte responsable del reciente aumento de Spam". Seguridad cibernética nacional. 2008-07-20.[link muerto]
- ^ "Srizbi spam usa a celebridades como señuelos". Blog de rastro. 20 de febrero de 2008. 2008-07-20.
- ^ Keizer, Gregg (10 de junio de 2007). "Los hackers comprometer 10 sitios k, lanzar ataque 'fenomenal'". ComputerWorld. 2008-07-20.
- ^ Keizer, Gregg (22 de junio de 2007). "Servir a sitios porno Mpack ataques". ComputerWorld. 2008-07-20.
- ^ "Espiando a bot redes cada vez más difícil". SecurityFocus. 12 de octubre de 2006. 2008-07-20.
- ^ a b c Hayashi, Kaoru (29 de junio de 2007). "Spam desde el Kernel: núcleo completo Malware instalado por MPack". Symantec. 2008-07-20.
- ^ Dan Goodin (2009-02-11). "Microsoft lleva las tijeras a Srizbi". San Francisco: El registro. 2009-02-10.
- ^ Cheng, Jacqui (31 de octubre de 2007). "Los investigadores: Ron Paul campaña e-mails procedentes de spam". ARS Technica. 2008-07-20.
- ^ Paul, Ryan (06 de diciembre de 2007). "Los investigadores rastrear spam Ron Paul hasta Reactor botnet". ARS Technica. 2008-07-20.
- ^ Salek, Negar (25 de junio de 2008). "Una de las mayores amenazas para los usuarios de Internet hoy: Srizbi". SC Magazine. 2008-07-20.
- ^ "The Naked Truth About la Srizbi Botnet". Proteger formulario Web Blog. 19 de mayo de 2008. 2008-07-20.
- ^ Walsh, Sue (27 de junio de 2008). "Spam" volumen Triples en una semana". Todos arriba de spam. 2008-07-20.
- ^ Keizer, Gregg (26 de noviembre de 2008). «Masivo botnet regresa de entre los muertos, comienza spam». Computerworld. 2009-01-24.
|