neprihlásený Sobota, 20. júla 2024, dnes má meniny Eliáš, Iľja
Kontrola nad najväčším spamujúcim botnetom prenechávaná spamerom

IT bezpečnostná spoločnosť FireEye, ktorá identifikovala mechanizmus obnovy kontroly nad botnetom Srizbi po odpojení webhostingovej spoločnosti hostujúcej kontrolné servery botnetu, informovala o opätovnom preberaní kontroly nad týmto botnetom spamermi. Stalo sa tak napriek tomu, že k dispozícii bol účinný mechanizmus ako botnet s minimálne pol miliónom zapojených počítačov s nízkymi nákladmi rozložiť a pravdepodobne aj automaticky odvíriť botom Srizbi infikované počítače.

DSL.sk, 27.11.2008


Spameri od utorka opäť získavajú kontrolu nad botnetom Srizbi, začínajú ho využívať k rozosielanu spamu a množstvo spamu začalo opäť rásť. Informovala o tom bezpečnostná spoločnosť FireEye, ktorá botnet a situáciu okolo odpojenia webhostingovej spoločnosti McColo detailne monitoruje.

Botnet Srizbi bol doteraz považovaný za botnet zodpovedný za odosielanie najväčšieho množstva spamu spomedzi všetkých botnetov. 11. novembra po odpojení webhostingovej spoločnosti McColo od Internetu botnet ale prestal fungovať, keď u tejto spoločnosti boli hostované kontrolné servery botnetu.

Bot Srizbi, samotný kód infikujúci PC, kontaktuje kontrolné servery na základe IP adresy. Ak by totiž dlhodobo bot kontaktoval kontrolné servery cez DNS doménu, táto by sa dala vo väčšine prípadov v spolupráci bezpečnostných spoločností s registrátorom danej domény alebo prípadne prevádzkovateľom danej top-level domény odstaviť.

Po strate kontrolných serverov používa podľa analýzy FireEye botnet Srizbi pomerne zraniteľný mechanizmus na opätovné získanie kontroly. Bot si z inicializačnej hodnoty líšiacej sa u viacerých rozličných verzií bota a aktuálneho dátumu známym algoritmom vygeneruje štyri .com domény, na ktorých sa snaží nájsť nové kontrolné servery. Príkladom takejto domény, ktorá bola platná v utorok, je gffsfpey.com.

Algoritmus generuje rovnakú štvoricu domén tri dni po sebe. Ak sa na týchto štyroch doménach nepodarí nájsť nový kontrolný server, v ďalších troch dňoch a prípadne aj v ďalších nasledujúcich trojdňových obdobiach sa budú používať ďalšie iné vygenerované štyri domény.

Tvorcovia v prípade straty kontrolných serverov môžu opäť získať kontrolu nad botnetom zaregistrovaním si generovaných domén pre aktuálny dátum pre všetky mutácie bota a samozrejme nasmerovaním domény na IP pod svojou kontrolou.

V prípade straty kontrolných serverov tak ale može efektívne prevziať kontrolu alebo snažiť sa o prevzatie kontroly nad botnetom Srizbi aj niekto iný ako tvorcovia botnetu zaregistrovaním .com domén, ktoré budú jednotlivé verzie bota v najbližom trojdňovom období kontaktovať. Botom kontaktujúcim získané domény je následne možné v prípade znalosti protokolu botnetu odosielať nové príkazy vrátane odinštalovania alebo preinštalovania neškodným kódom.

V prvých dňoch takéto domény registrovala aj spoločnosť FireEye a podľa aktuálnych vyjadrení mala zaregistrovaných viacero stoviek takýchto domén. Podľa posledných zverejnených informácií boli spoločnosťou získané domény kontaktované až viac ako 450 tisíc počítačmi infikovanými botom Srizbi.

FireEye ale zrejme podľa vyjadrení predstaviteľov spoločnosti len pasívne sledovala pripájajúce sa boty. Riadiace príkazy napríklad odinštalovávajúce bot na infikovaných počítačoch neboli zasielané, keďže hoci s dobrým zámerom by spoločnosť spúšťala kód na cudzích PC bez autorizácie.

Namiesto toho spoločnosť plánuje kontaktovať a upozorniť majiteľov počítačov, z ktorých sa pripojil na domény zaregistrované spoločnosťou bot. Ako plánuje spoločnosť identifikovať dané PC a ich majiteľov zrejme z jediného dostupného údaju, IP adresy a prípadne TCP portu v konkrétnom čase, nie je známe.

Podľa informácií FireEye po skončení registrovania ďalších domén spoločnosťou tento utorok začali kontrolu nad botnetom preberať iné neznáme osoby, ktoré si zaregistrovali domény platné pre utorok. Zatiaľ nie je možné s určitosťou potvrdiť, že ide o pôvodných tvorcov botnetu. Keďže ale prvým príkazom nových kontrolných serverov bolo nainštalovanie novej verzie bota s nastavenou IP adresou nového zmeneného kontrolného servera a hneď nasledovali inštrukcie pre rozosielanie spamu, je to pravdepodobné.


Aktuálna štatistika množstva spamu SpamCop za posledný mesiac



Zároveň od utorka respektíve čiastočne pondelka sa podľa grafu SpamCop opäť začalo množstvo spamu na Internete zvyšovať, k čomu okrem Srizbi prispelo zrejme aj čiastočné získanie kontroly spamermi nad botnetom Rustock.

Niektoré z IP adries, na ktoré smerovali utorňajšie domény pre Srizbi, sú už aktuálne nekontaktovateľné. Osoby preberajúce kontrolu nad botnetom ale samozrejme mohli medzičasom botom nastaviť úplne iný IP adresou určený kontrolný server.

Keďže sledovanie Srizbi spoločnosťou FireEye je založené na monitorovaní niekoľkých verzií bota, zatiaľ nie je známe kontrolu nad akou veľkou časťou botnetu sa podarilo spamerom už obnoviť. Zároveň ani nie je možné definitívne vylúčiť, že o získanie kontroly nad botnetom respektíve jeho rozloženie sa snažia niektoré organizácie, inštitúcie a spoločnosti pôsobiace v oblasti bezpečnosti, takýto fakt by ale zrejme nezostal bez povšimnutia FireEye a je tak skôr nepravdepodobný.

Na druhej strane prípadné automatické odstraňovanie bota z infikovaných PC respektíve ľubovoľné spúšťanie kódu bez súhlasu užívateľa PC je pravdepodobne vo väčšine krajín problematické vzhľadom na legislatívu. Zároveň sa dá ale predpokladať, že takýto krok smerujúci k odvíreniu veľkého počtu zombie počítačov by bol verejne akceptovaný.


      Zdieľaj na Twitteri


Považujete pravdepodobné nevyužitie možnosti ovládnutia a rozloženia botnetu Srizbi za zlyhanie príslušných organizácií, inštitúcií a významných spoločností pôsobiacich v oblasti počítačovej bezpečnosti? (hlasov: 480)

Áno      85%
Nie      15%


Najnovšie články:

Sci-fi seriál na základe hry Microsoftu zrušený
Windows BSOD kvôli aktualizácii bezpečnostného softvéru spôsobila IT výpadky, postihnutý je aj Telekom
Šurany neschválili predaj pozemkov pre veľkú baterkáreň, môžu byť vyvlastnené
Google definitívne ukončuje skracovač adries goo.gl, odkazy prestanú fungovať
Vydaná nová verzia emailového klienta Thunderbird 128
O2 oznámilo ďalšie zvýšenie pokrytia 5G, pridalo takmer 200 obcí
Pätica AMD AM5 bude používaná minimálne do roku 2027, možno dlhšie
Uvedený výkonný miniatúrny 2 TB SSD
V nomináciách na TV ceny Emmy vedie Netflix, výrazne uspela Apple. HBO je až tretia
FBI sa dostala do mobilu útočníka na exprezidenta za 40 minút


Diskusia:
                               
 

podľa mňa to je korupcia :D uplatili ich spameri
Odpovedať Známka: 4.7 Hodnotiť:
 

Mne to pripomina situaciu ze susedom bude horiet dom, ale ja ho nebudem hasit, lebo nemozem liat vodu na cudzi dom bez povolenia :)
Odpovedať Známka: 7.9 Hodnotiť:
 

je to mozne, ale toho smajlika by som vynechal, alebo nahradil :/
Odpovedať Známka: 0.0 Hodnotiť:
 

nikto nie je zodpovedny za znizovanie spamu na webe tak preco cakate ze to bude niekto riesit aj ked staci len "jeden klik"
Odpovedať Známka: -4.0 Hodnotiť:
 

keby nebolo spyware-u a tychto botnetov, tak tieto security firmy by prisli o biznis :)
Odpovedať Známka: 6.0 Hodnotiť:
 

Ked mali moznost, mali ihned odinstalovat bot z danych PC. nechapem na co cakali. teraz je to spat a verim tomu ze ovela viac zabezpecene.
Odpovedať Známka: 2.0 Hodnotiť:
 

Nie je to az take ciernobiele :)
V mnohych krajinach je spustenie kodu na Tvojom PC bez Tvojho povolenia nelegalne, co by zrejme najma v amerike spustilo seriu sudnych procesov, ktore by pravdepodobne bezpecnostna spolocnost (aj ked s dobrym umyslom) prehrala! Jedna sa o zlyhanie na inej urovni. Je potrebne upravit legislativu, co nie je jednoduchy proces.
Odpovedať Známka: 8.0 Hodnotiť:
 

Kriste pane... připomíná mi to scénu z Constantine, kde ten černoch v hospodě je za každou cenu neutrální, jenže neutrální je sám, ostatní se s tím neserou. Spustit kod tak, aby s tím FireEye neměla nic společného, to už je to nejmenší. Takhle jsem rozdíl v množství spamu zaznamenal na free mailu prakticky okamžitě. FireEye si namazal hlavu máslem a ted se tím chlubí.
Odpovedať Známka: 7.8 Hodnotiť:
 

Mohli tie infikovane pocitace ocistit, podla mna by tu firmu za to nikto legislativne nenapadol...
Odpovedať Známka: -3.3 Hodnotiť:
 

tym by som si nebol taky isty. USA ma super pravny system, tam by od nich aj spamer mozno vysudil miliardy za usly zisk
Odpovedať Známka: 8.5 Hodnotiť:
 

Zdielam rovnaky nazor aj ked nie az taky extremny :)
Odpovedať Známka: 6.4 Hodnotiť:
 

V USA je mozne vsetko napriklad poistenie od Alianz na sudne spory ma jednupodmienku a to ze kryje vsetky naklady na sudne spory okrem tych, pre ktore vydal pravoplatne rozhodnutie sud USA.
Odpovedať Známka: 7.5 Hodnotiť:
 

Spravodlivosť by nemala byť v prípade napadnutia odstránenia škodlivého kódu slepá a prípadným žalobám povedať rázne nie.

Smutné je, že povedomie ľudí je mizivé, všetci chú zo situácie vytrieskať maximum vlastného prospechu a každá moc, ktorá by mohla tento botnet zničiť je bezbranná, lebo sa bojí vlastných ľudí - Američanpv, ktorí si nevidia ďalej od nosa.

Prajem záhubu tejto krajine!
Odpovedať Hodnotiť:
 

By sa vám páčilo, keby som vám odinštaloval Internet Explorer, pretože je nebezpečný? Spravil by som to s dobrým úmyslom, a aj by to pomohlo v bezpečnosti. Ale páčilo by sa vám to? Prípadne BS player, ten má v sebe implementovaný spyware WhenU a pokiaľ ho odinštalujete, bsplayer nebude fungovať. Chcete, aby som ho všetkým na svete odinštaloval?
Nie je to ten istý prípad, ale podobný pri najmenšom.
Odpovedať Známka: -0.9 Hodnotiť:
 

Rozmyslas vobec? IE pouzivas na prehliadanie webu, bs player na prehravanie multimedii, a ako pouzivas toho bota?
Nijako... len on pouziva tvoje pc. Skutocne skvele prirovnanie.
Odpovedať Známka: 2.6 Hodnotiť:
 

dobre prirovnanie - ten bot moze byt sucastou nejakeho ineho programu, kt. pouzivas.

kludne napr. blbost v style kukackove hodiny na ploche.
Odpovedať Známka: 1.7 Hodnotiť:
 

Skôr sa spýtaj, na čo používaš WhenU
Odpovedať Známka: 10.0 Hodnotiť:
 

Ja teda pochybujem, že by v iných krajinách nepoznal právny poriadok termín "krajná núdza" alebo "konanie vo verejnom záujme". Odstavenie botov by jednoznačne spadlo do nejakej z týchto kategórií.

Na druhú stranu by to bol precedens, ktorý by mohol byť v budúcnosti zneužitý na zásahy do súkromia.

Odstránenie botov by dlhodobo nič nevyriešilo, lebo tie počítače sú zjavne slabo zabezpečené a skôr alebo neskôr by boli opätovne nainfikované nejakým botom.

Mohli však využiť kontrolu na to, aby počítač vypísal aspoň správu "Váš systém je infikovaný, poraďte sa so svojím správcom systému". Toto by bolo snáď aj právne čisté, a mohlo by to mať dlhodobo priaznivý dopad.

Fakt je, že množstvo spamu naozaj znovu rastie.
Odpovedať Známka: 10.0 Hodnotiť:
 

Áno, existujú také veci ako "konanie vo verejnom záujme". Sú to napríklad Kuba, Čína, Zimbabwe, Mjanmarsko... V praxi to znamená: nečítaš červenú knižku? Nebudeš čítať nič! oči fuč...
Odpovedať Známka: 10.0 Hodnotiť:
 

Celá kauza ukazuje na celkovú bezradnosť a neschopnosť tých úžasných bezpečnostných organizácií, ktoré len tárajú o boji proti počítačovej kriminalite.

Všetci majú plné ústa potláčania kriminality, s obľubou si vynucujú stále horšie zásahy do súkromia, všemožné špicľovanie (záznamy, kto komu kedy čo písal, kto čo hľadal na Internete).

A keď sa dostanú k ovládnutiu najväčšej spam siete ako slepé kura k zrnu, a majú možnosť vyriešiť jeden SKUTOČNÝ problém, ktorý SKUTOČNE trápi milióny ľudí (na rozdiel od ukazovania ramien voči P2P sieťam, ktoré prekážajú len niekoľkým výpalníckym tzv. autorským organizáciám), tak čo urobia? CELKOM NIČ.

Ako vidno, "boj proti počítačovej kriminalite" je obyčajný PODVOD, hlúpa zámienka na fašistické špicľovanie bezúhonných občanov.
Odpovedať Známka: 9.1 Hodnotiť:
 

moja rec
Odpovedať Známka: 8.3 Hodnotiť:
 

S tím závěrem tolik nesouhlasím, ale jinak reakce k článku deset bodů :-)
Odpovedať Známka: 0.0 Hodnotiť:
 

Presne tak. Pravdu máš.
Odpovedať Známka: 7.8 Hodnotiť:
 

Paušalizuješ. Nehovoríš o tých istých spoločnostiach. Skáčeš medzi zločineckými organizáciami ako BSA a spoločnosťami (alebo komunitami) ako OWASP.
Odpovedať Známka: 0.0 Hodnotiť:
 

Jedny aj druhé nariekajú za tvrdšími zákonmi, obmedzujúcimi osobnú slobodu a súkromie.
Odpovedať Hodnotiť:
 

Chvilu bol dost pokoj, ale teraz akokeby spammeri dohanali, co zameskali. Dnes kopec novych spamov, dokonca uplne nove veci, ako zivotna poistka, nejake zubarske potreby a pod.
Odpovedať Známka: 3.3 Hodnotiť:
 

ako sa mozem zapojit do Srizbi?
Odpovedať Známka: 7.8 Hodnotiť:
 

uz si ;)
Odpovedať Známka: 8.3 Hodnotiť:
 

Dnes je neskutocna zaplava spamov. Bud dobiehaju zameskane alebo exspirovali rozne RBL, co mam nahodene.
Odpovedať Hodnotiť:

Pridať komentár