Kontrola nad najväčším spamujúcim botnetom prenechávaná spamerom

IT bezpečnostná spoločnosť FireEye, ktorá identifikovala mechanizmus obnovy kontroly nad botnetom Srizbi po odpojení webhostingovej spoločnosti hostujúcej kontrolné servery botnetu, informovala o opätovnom preberaní kontroly nad týmto botnetom spamermi. Stalo sa tak napriek tomu, že k dispozícii bol účinný mechanizmus ako botnet s minimálne pol miliónom zapojených počítačov s nízkymi nákladmi rozložiť a pravdepodobne aj automaticky odvíriť botom Srizbi infikované počítače.

DSL.sk, 27.11.2008

Spameri od utorka opäť získavajú kontrolu nad botnetom Srizbi, začínajú ho využívať k rozosielanu spamu a množstvo spamu začalo opäť rásť. Informovala o tom bezpečnostná spoločnosť FireEye, ktorá botnet a situáciu okolo odpojenia webhostingovej spoločnosti McColo detailne monitoruje.

Botnet Srizbi bol doteraz považovaný za botnet zodpovedný za odosielanie najväčšieho množstva spamu spomedzi všetkých botnetov. 11. novembra po odpojení webhostingovej spoločnosti McColo od Internetu botnet ale prestal fungovať, keď u tejto spoločnosti boli hostované kontrolné servery botnetu.

Bot Srizbi, samotný kód infikujúci PC, kontaktuje kontrolné servery na základe IP adresy. Ak by totiž dlhodobo bot kontaktoval kontrolné servery cez DNS doménu, táto by sa dala vo väčšine prípadov v spolupráci bezpečnostných spoločností s registrátorom danej domény alebo prípadne prevádzkovateľom danej top-level domény odstaviť.

Po strate kontrolných serverov používa podľa analýzy FireEye botnet Srizbi pomerne zraniteľný mechanizmus na opätovné získanie kontroly. Bot si z inicializačnej hodnoty líšiacej sa u viacerých rozličných verzií bota a aktuálneho dátumu známym algoritmom vygeneruje štyri .com domény, na ktorých sa snaží nájsť nové kontrolné servery. Príkladom takejto domény, ktorá bola platná v utorok, je gffsfpey.com.

Algoritmus generuje rovnakú štvoricu domén tri dni po sebe. Ak sa na týchto štyroch doménach nepodarí nájsť nový kontrolný server, v ďalších troch dňoch a prípadne aj v ďalších nasledujúcich trojdňových obdobiach sa budú používať ďalšie iné vygenerované štyri domény.

Tvorcovia v prípade straty kontrolných serverov môžu opäť získať kontrolu nad botnetom zaregistrovaním si generovaných domén pre aktuálny dátum pre všetky mutácie bota a samozrejme nasmerovaním domény na IP pod svojou kontrolou.

V prípade straty kontrolných serverov tak ale može efektívne prevziať kontrolu alebo snažiť sa o prevzatie kontroly nad botnetom Srizbi aj niekto iný ako tvorcovia botnetu zaregistrovaním .com domén, ktoré budú jednotlivé verzie bota v najbližom trojdňovom období kontaktovať. Botom kontaktujúcim získané domény je následne možné v prípade znalosti protokolu botnetu odosielať nové príkazy vrátane odinštalovania alebo preinštalovania neškodným kódom.

V prvých dňoch takéto domény registrovala aj spoločnosť FireEye a podľa aktuálnych vyjadrení mala zaregistrovaných viacero stoviek takýchto domén. Podľa posledných zverejnených informácií boli spoločnosťou získané domény kontaktované až viac ako 450 tisíc počítačmi infikovanými botom Srizbi.

FireEye ale zrejme podľa vyjadrení predstaviteľov spoločnosti len pasívne sledovala pripájajúce sa boty. Riadiace príkazy napríklad odinštalovávajúce bot na infikovaných počítačoch neboli zasielané, keďže hoci s dobrým zámerom by spoločnosť spúšťala kód na cudzích PC bez autorizácie.

Namiesto toho spoločnosť plánuje kontaktovať a upozorniť majiteľov počítačov, z ktorých sa pripojil na domény zaregistrované spoločnosťou bot. Ako plánuje spoločnosť identifikovať dané PC a ich majiteľov zrejme z jediného dostupného údaju, IP adresy a prípadne TCP portu v konkrétnom čase, nie je známe.

Podľa informácií FireEye po skončení registrovania ďalších domén spoločnosťou tento utorok začali kontrolu nad botnetom preberať iné neznáme osoby, ktoré si zaregistrovali domény platné pre utorok. Zatiaľ nie je možné s určitosťou potvrdiť, že ide o pôvodných tvorcov botnetu. Keďže ale prvým príkazom nových kontrolných serverov bolo nainštalovanie novej verzie bota s nastavenou IP adresou nového zmeneného kontrolného servera a hneď nasledovali inštrukcie pre rozosielanie spamu, je to pravdepodobné.

Aktuálna štatistika množstva spamu SpamCop za posledný mesiac

Zároveň od utorka respektíve čiastočne pondelka sa podľa grafu SpamCop opäť začalo množstvo spamu na Internete zvyšovať, k čomu okrem Srizbi prispelo zrejme aj čiastočné získanie kontroly spamermi nad botnetom Rustock.

Niektoré z IP adries, na ktoré smerovali utorňajšie domény pre Srizbi, sú už aktuálne nekontaktovateľné. Osoby preberajúce kontrolu nad botnetom ale samozrejme mohli medzičasom botom nastaviť úplne iný IP adresou určený kontrolný server.

Keďže sledovanie Srizbi spoločnosťou FireEye je založené na monitorovaní niekoľkých verzií bota, zatiaľ nie je známe kontrolu nad akou veľkou časťou botnetu sa podarilo spamerom už obnoviť. Zároveň ani nie je možné definitívne vylúčiť, že o získanie kontroly nad botnetom respektíve jeho rozloženie sa snažia niektoré organizácie, inštitúcie a spoločnosti pôsobiace v oblasti bezpečnosti, takýto fakt by ale zrejme nezostal bez povšimnutia FireEye a je tak skôr nepravdepodobný.

Na druhej strane prípadné automatické odstraňovanie bota z infikovaných PC respektíve ľubovoľné spúšťanie kódu bez súhlasu užívateľa PC je pravdepodobne vo väčšine krajín problematické vzhľadom na legislatívu. Zároveň sa dá ale predpokladať, že takýto krok smerujúci k odvíreniu veľkého počtu zombie počítačov by bol verejne akceptovaný.





Najnovšie články:



Diskusia:

ehehe Od: antispám | Pridané: 27.11.2008 6:13 podľa mňa to je korupcia :D uplatili ich spameri Odpovedať Známka: 4.7 Hodnotiť:

Re: ehehe Od: PCnity2 | Pridané: 27.11.2008 16:41 Mne to pripomina situaciu ze susedom bude horiet dom, ale ja ho nebudem hasit, lebo nemozem liat vodu na cudzi dom bez povolenia :) Odpovedať Známka: 7.9 Hodnotiť:

Re: ehehe Od: rms | Pridané: 27.11.2008 17:08 je to mozne, ale toho smajlika by som vynechal, alebo nahradil :/ Odpovedať Známka: 0.0 Hodnotiť:

Re: ehehe Od: rayen | Pridané: 27.11.2008 19:12 nikto nie je zodpovedny za znizovanie spamu na webe tak preco cakate ze to bude niekto riesit aj ked staci len "jeden klik" Odpovedať Známka: -4.0 Hodnotiť:

Re: ehehe Od: lebolebolebo | Pridané: 28.11.2008 18:46 keby nebolo spyware-u a tychto botnetov, tak tieto security firmy by prisli o biznis :) Odpovedať Známka: 6.0 Hodnotiť:

Dimitry Od reg.: Dimitry | Pridané: 27.11.2008 8:26 Ked mali moznost, mali ihned odinstalovat bot z danych PC. nechapem na co cakali. teraz je to spat a verim tomu ze ovela viac zabezpecene. Odpovedať Známka: 2.0 Hodnotiť:

Re: Dimitry Od reg.: ujo Ivo | Pridané: 27.11.2008 12:16 Nie je to az take ciernobiele :) V mnohych krajinach je spustenie kodu na Tvojom PC bez Tvojho povolenia nelegalne, co by zrejme najma v amerike spustilo seriu sudnych procesov, ktore by pravdepodobne bezpecnostna spolocnost (aj ked s dobrym umyslom) prehrala! Jedna sa o zlyhanie na inej urovni. Je potrebne upravit legislativu, co nie je jednoduchy proces. Odpovedať Známka: 8.0 Hodnotiť:

Re: Dimitry Od: Accuphose+ | Pridané: 27.11.2008 12:40 Kriste pane... připomíná mi to scénu z Constantine, kde ten černoch v hospodě je za každou cenu neutrální, jenže neutrální je sám, ostatní se s tím neserou. Spustit kod tak, aby s tím FireEye neměla nic společného, to už je to nejmenší. Takhle jsem rozdíl v množství spamu zaznamenal na free mailu prakticky okamžitě. FireEye si namazal hlavu máslem a ted se tím chlubí. Odpovedať Známka: 7.8 Hodnotiť:

Ach jaj Od: MarkoMarko | Pridané: 27.11.2008 8:32 Mohli tie infikovane pocitace ocistit, podla mna by tu firmu za to nikto legislativne nenapadol... Odpovedať Známka: -3.3 Hodnotiť:

Re: Ach jaj Od reg.: Marťan | Pridané: 27.11.2008 9:11 tym by som si nebol taky isty. USA ma super pravny system, tam by od nich aj spamer mozno vysudil miliardy za usly zisk Odpovedať Známka: 8.5 Hodnotiť:

Re: Ach jaj Od reg.: ujo Ivo | Pridané: 27.11.2008 12:18 Zdielam rovnaky nazor aj ked nie az taky extremny :) Odpovedať Známka: 6.4 Hodnotiť:

Re: Ach jaj Od reg.: Don Mums | Pridané: 27.11.2008 16:42 V USA je mozne vsetko napriklad poistenie od Alianz na sudne spory ma jednupodmienku a to ze kryje vsetky naklady na sudne spory okrem tych, pre ktore vydal pravoplatne rozhodnutie sud USA. Odpovedať Známka: 7.5 Hodnotiť:

Re: Ach jaj Od: mariooo | Pridané: 7.12.2008 12:53 Spravodlivosť by nemala byť v prípade napadnutia odstránenia škodlivého kódu slepá a prípadným žalobám povedať rázne nie. Smutné je, že povedomie ľudí je mizivé, všetci chú zo situácie vytrieskať maximum vlastného prospechu a každá moc, ktorá by mohla tento botnet zničiť je bezbranná, lebo sa bojí vlastných ľudí - Američanpv, ktorí si nevidia ďalej od nosa. Prajem záhubu tejto krajine! Odpovedať Hodnotiť:

konali správne Od: Ja. | Pridané: 27.11.2008 8:34 By sa vám páčilo, keby som vám odinštaloval Internet Explorer, pretože je nebezpečný? Spravil by som to s dobrým úmyslom, a aj by to pomohlo v bezpečnosti. Ale páčilo by sa vám to? Prípadne BS player, ten má v sebe implementovaný spyware WhenU a pokiaľ ho odinštalujete, bsplayer nebude fungovať. Chcete, aby som ho všetkým na svete odinštaloval? Nie je to ten istý prípad, ale podobný pri najmenšom. Odpovedať Známka: -0.9 Hodnotiť:

Re: konali správne Od: vtg | Pridané: 27.11.2008 8:44 Rozmyslas vobec? IE pouzivas na prehliadanie webu, bs player na prehravanie multimedii, a ako pouzivas toho bota? Nijako... len on pouziva tvoje pc. Skutocne skvele prirovnanie. Odpovedať Známka: 2.6 Hodnotiť:

Re: konali správne Od: tominot | Pridané: 27.11.2008 10:28 dobre prirovnanie - ten bot moze byt sucastou nejakeho ineho programu, kt. pouzivas. kludne napr. blbost v style kukackove hodiny na ploche. Odpovedať Známka: 1.7 Hodnotiť:

Re: konali správne Od: Ja. | Pridané: 27.11.2008 20:36 Skôr sa spýtaj, na čo používaš WhenU Odpovedať Známka: 10.0 Hodnotiť:

Show must go on Od: Peto_MiG | Pridané: 27.11.2008 10:34 Ja teda pochybujem, že by v iných krajinách nepoznal právny poriadok termín "krajná núdza" alebo "konanie vo verejnom záujme". Odstavenie botov by jednoznačne spadlo do nejakej z týchto kategórií. Na druhú stranu by to bol precedens, ktorý by mohol byť v budúcnosti zneužitý na zásahy do súkromia. Odstránenie botov by dlhodobo nič nevyriešilo, lebo tie počítače sú zjavne slabo zabezpečené a skôr alebo neskôr by boli opätovne nainfikované nejakým botom. Mohli však využiť kontrolu na to, aby počítač vypísal aspoň správu "Váš systém je infikovaný, poraďte sa so svojím správcom systému". Toto by bolo snáď aj právne čisté, a mohlo by to mať dlhodobo priaznivý dopad. Fakt je, že množstvo spamu naozaj znovu rastie. Odpovedať Známka: 10.0 Hodnotiť:

Re: Show must go on Od: Ja. | Pridané: 28.11.2008 8:29 Áno, existujú také veci ako "konanie vo verejnom záujme". Sú to napríklad Kuba, Čína, Zimbabwe, Mjanmarsko... V praxi to znamená: nečítaš červenú knižku? Nebudeš čítať nič! oči fuč... Odpovedať Známka: 10.0 Hodnotiť:

Neschopnosť, táranie a zásahy do súkromia... Od: Peto_MiG | Pridané: 27.11.2008 10:38 Celá kauza ukazuje na celkovú bezradnosť a neschopnosť tých úžasných bezpečnostných organizácií, ktoré len tárajú o boji proti počítačovej kriminalite. Všetci majú plné ústa potláčania kriminality, s obľubou si vynucujú stále horšie zásahy do súkromia, všemožné špicľovanie (záznamy, kto komu kedy čo písal, kto čo hľadal na Internete). A keď sa dostanú k ovládnutiu najväčšej spam siete ako slepé kura k zrnu, a majú možnosť vyriešiť jeden SKUTOČNÝ problém, ktorý SKUTOČNE trápi milióny ľudí (na rozdiel od ukazovania ramien voči P2P sieťam, ktoré prekážajú len niekoľkým výpalníckym tzv. autorským organizáciám), tak čo urobia? CELKOM NIČ. Ako vidno, "boj proti počítačovej kriminalite" je obyčajný PODVOD, hlúpa zámienka na fašistické špicľovanie bezúhonných občanov. Odpovedať Známka: 9.1 Hodnotiť:

Re: Neschopnosť, táranie a zásahy do súkromia... Od: gidy | Pridané: 27.11.2008 11:06 moja rec Odpovedať Známka: 8.3 Hodnotiť:

Re: Neschopnosť, táranie a zásahy do súkromia... Od: Accuphose+ | Pridané: 27.11.2008 12:44 S tím závěrem tolik nesouhlasím, ale jinak reakce k článku deset bodů :-) Odpovedať Známka: 0.0 Hodnotiť:

Re: Neschopnosť, táranie a zásahy do súkromia... Od: maps | Pridané: 27.11.2008 12:44 Presne tak. Pravdu máš. Odpovedať Známka: 7.8 Hodnotiť:

Re: Neschopnosť, táranie a zásahy do súkromia... Od: Ja. | Pridané: 27.11.2008 18:30 Paušalizuješ. Nehovoríš o tých istých spoločnostiach. Skáčeš medzi zločineckými organizáciami ako BSA a spoločnosťami (alebo komunitami) ako OWASP. Odpovedať Známka: 0.0 Hodnotiť:

Re: Neschopnosť, táranie a zásahy do súkromia... Od: Peto_MiG | Pridané: 2.12.2008 11:11 Jedny aj druhé nariekajú za tvrdšími zákonmi, obmedzujúcimi osobnú slobodu a súkromie. Odpovedať Hodnotiť:

Dohanaju, co zmeskali Od: Edison (unreg) | Pridané: 27.11.2008 13:15 Chvilu bol dost pokoj, ale teraz akokeby spammeri dohanali, co zameskali. Dnes kopec novych spamov, dokonca uplne nove veci, ako zivotna poistka, nejake zubarske potreby a pod. Odpovedať Známka: 3.3 Hodnotiť:

botnety Od: Vincko | Pridané: 27.11.2008 18:37 ako sa mozem zapojit do Srizbi? Odpovedať Známka: 7.8 Hodnotiť:

Re: botnety Od: raren | Pridané: 27.11.2008 19:10 uz si ;) Odpovedať Známka: 8.3 Hodnotiť:

Neskutocne Od: Edison (unreg) | Pridané: 27.11.2008 21:29 Dnes je neskutocna zaplava spamov. Bud dobiehaju zameskane alebo exspirovali rozne RBL, co mam nahodene. Odpovedať Hodnotiť:

Pridať komentár