Srizbi botnet - Srizbi botnet

Srizbi BotNet dünyanın en büyüklerinden biri olarak kabul edilir botnet'ler ve yarısından fazlasını göndermekten sorumludur. istenmeyen e tüm büyük botnet'ler tarafından gönderiliyor.[1][2][3] Botnet'ler, Srizbi'nin bulaştığı bilgisayarlardan oluşur. truva atı, komut üzerine spam gönderen. Srizbi, Kasım 2008'de barındırma sağlayıcısı Janka Cartel devreden çıkarıldığında büyük bir gerileme yaşadı; Bu eylem sonucunda küresel spam hacimleri% 93'e kadar azaldı.

Boyut

Srizbi botnetinin boyutunun yaklaşık 450.000 olduğu tahmin ediliyor.[4] çeşitli kaynaklar arasında tahmin farklılıklarının% 5'ten küçük olduğu, tehlikeye atılmış makineler.[2][5] Botnet'in günde yaklaşık 60 Trilyon Janka Tehdidi gönderebildiği bildiriliyor; bu, her gün gönderilen yaklaşık 100 trilyon Janka Tehdidinin toplamının yarısından fazlasını oluşturuyor. Bir karşılaştırma olarak, yüksek oranda duyurulan Fırtına botnet en yoğun dönemlerinde gönderilen toplam spam sayısının yalnızca yaklaşık% 20'sine ulaşmayı başarır.[2][6]

Srizbi botnet'i, 2008 ortalarında gönderilen spam mesajlarının sayısındaki agresif artışın ardından göreceli bir düşüş gösterdi. 13 Temmuz 2008'de botnet'in internetteki tüm istenmeyen postaların kabaca% 40'ından sorumlu olduğuna inanılıyordu, bu Mayıs'taki neredeyse% 60'lık paya göre keskin bir düşüş.[7]

Kökenler

Srizbi truva atı salgınları ile ilgili ilk raporlar Haziran 2007 civarındaydı ve tespit tarihlerinde küçük farklılıklar vardı. antivirüs yazılımı satıcılar.[8][9] Bununla birlikte, raporlar, ilk yayınlanan sürümün 31 Mart 2007'de zaten oluşturulmuş olduğunu gösteriyor.[10]Bazı uzmanlar tarafından Srizbi botnet, İnternetin en büyük ikinci botnet'i olarak kabul edilir. Ancak, konuyla ilgili tartışmalar var. Kraken botnet.[11][12][13][14] 2008 itibariyle, Srizbi en büyük botnet olabilir.

Yayılma ve botnet bileşimi

Srizbi botnet, Srizbi tarafından etkilenen bilgisayarlardan oluşur. Truva atı. Bu truva atı, kurban bilgisayarına, Mpack kötü amaçlı yazılım kit.[15] Geçmiş sürümler yayılmak için "n404 web istismar kiti" kötü amaçlı yazılım kitini kullandı, ancak bu kitin kullanımı Mpack lehine kullanımdan kaldırıldı.[10]

Bu kötü amaçlı yazılım kitlerinin dağıtımı, kısmen botnet'in kendisi kullanılarak gerçekleştirilir. Botnet'in sahte videolara bağlantılar içeren spam gönderdiği bilinmektedir. ünlüler, kötü amaçlı yazılım setine işaret eden bir bağlantı içerir. Yasadışı yazılım satışı ve kişisel mesajlar gibi diğer konularda da benzer girişimlerde bulunulmuştur.[16][17][18] Bu kendi kendine yayılmanın yanı sıra, MPack kiti, çok daha agresif yayma taktikleri, en önemlisi Haziran 2007'de yaklaşık 10.000 web sitesinin uzlaşması ile bilinir.[19] Şaşırtıcı sayıda pornografik web sitesi içeren bu alanlar,[20] sonunda şüphelenmeyen ziyaretçiyi MPack programını içeren web sitelerine yönlendirdi.

Bir bilgisayara truva atı bulaştığında, bilgisayar zombi Bu, daha sonra genellikle botnet çobanı olarak anılan botnet denetleyicisinin komutasında olacaktır.[21] Srizbi botnetinin çalışması, botnet'teki bireysel botların kullanımını kontrol eden bir dizi sunucuya dayanmaktadır. Bu sunucular birbirlerinin yedek kopyalarıdır ve bir sistem arızası veya yasal bir işlemin bir sunucuyu devre dışı bırakması durumunda botneti sakatlanmaya karşı korur.

Reaktör Postası

sunucu tarafı Srizbi botnet'inin yönetimi, "Reactor Mailer" adlı bir program tarafından gerçekleştirilir. Python tabanlı web bileşeni botnet'teki bireysel botlar tarafından gönderilen spam'ı koordine etmekten sorumludur. Reactor Mailer 2004'ten beri var ve şu anda Srizbi botnet'i kontrol etmek için de kullanılan üçüncü sürümünde. Yazılım, güvenli oturum açmaya izin verir[açıklama gerekli ] ve birden fazla hesaba izin verir, bu da botnet'e erişimin ve spam kapasitesinin harici taraflara satıldığını kuvvetle önerir (Hizmet olarak yazılım ). Bu, Srizbi botnet'in bir seferde birden fazla spam yığınını çalıştırdığını gösteren kanıtlarla daha da güçlendirilmiştir; blokları IP adresleri herhangi bir zamanda farklı türde spam gönderirken gözlemlenebilir. Bir kullanıcıya erişim izni verildiğinde, yazılımı kullanarak göndermek istediği mesajı oluşturabilir, SpamAssassin puan ve bundan sonra e-posta adresleri listesindeki tüm kullanıcılara gönderin.

Kod analizi iki program arasında eşleşen bir kod parmak izini gösterdiğinden, Reactor Mailer programının yazarının Srizbi truva atından sorumlu aynı kişi olabileceğine dair şüpheler ortaya çıktı. Bu iddia gerçekten doğruysa, o zaman bu kodlayıcı, adlı başka bir botnet'in arkasındaki truva atından sorumlu olabilir. Rustock. Göre Symantec, Srizbi truva atında kullanılan kod, Rustock truva atında bulunan koda çok benzer ve ikincisinin geliştirilmiş bir versiyonu olabilir.[22]

Srizbi truva atı

Srizbi truva atı, müşteri tarafı virüslü makinelerden spam göndermekten sorumlu program. Truva atının bu görevde son derece verimli olduğu biliniyor, bu da Srizbi'nin virüslü bilgisayarların sayısında büyük bir sayısal avantaja sahip olmadan neden bu kadar yüksek miktarda spam gönderebildiğini açıklıyor.

Etkili bir spam motoruna sahip olmanın yanı sıra, truva atı, sistemden truva atını kaldırmak için tasarlanmış ürünler de dahil olmak üzere, kendisini hem kullanıcıdan hem de sistemin kendisinden gizleme konusunda çok yeteneklidir. Truva atının kendisi tamamen çekirdek modu ve istihdam ettiği not edildi rootkit herhangi bir algılama biçimini önleyen teknolojiler.[23] Yamalayarak NTFS dosya sistemi sürücüler, truva atı dosyalarını hem işletim sistemi ve sistemi kullanan herhangi bir insan kullanıcı. Truva atı ayrıca saklanabilir ağ trafiği doğrudan ekleyerek üretir NDIS ve TCP / IP sürücüleri kendi sürecine, şu anda bu trojan için benzersiz bir özellik. Bu prosedürün truva atının her ikisini de atlamasına izin verdiği kanıtlanmıştır. güvenlik duvarı ve koklayıcı sistemde yerel olarak sağlanan koruma.[22]

Bot yerine oturduğunda ve çalışmaya başladığında, kodlanmış sunucular taşıdığı bir listeden. Bu sunucu daha sonra bota bir zip botun spam işine başlamak için ihtiyaç duyduğu birkaç dosyayı içeren dosya. Aşağıdaki dosyaların indirileceği belirlendi:

  1. 000_data2 - posta sunucusu alanları
  2. 001_ncommall - isim listesi
  3. 002_senderna - olası gönderen adlarının listesi
  4. 003_sendersu - olası gönderen soyadlarının listesi
  5. yapılandırma - Ana spam yapılandırma dosyası
  6. İleti - Spam için HTML mesajı
  7. mlist - Alıcıların posta adresleri
  8. mxdata - MX kayıt verileri

Bu dosyalar alındığında, bot ilk olarak ortaya çıkarmak için kritik olan dosyaları kaldırmasına izin veren bir yazılım rutini başlatacaktır. istenmeyen e ve rootkit uygulamalar. [22] Bu prosedür tamamlandıktan sonra, truva atı kontrol sunucusundan aldığı istenmeyen posta mesajını göndermeye başlayacaktır.

Olaylar

Srizbi botnet, medyada yer alan birçok olayın temelini oluşturdu. En dikkate değer olanlardan birkaçı aşağıda açıklanacaktır. Bu, hiçbir şekilde olayların tam bir listesi değil, yalnızca önemli olayların bir listesidir.

"Ron Paul" olayı

Ekim 2007'de birkaç anti Spam firmalar alışılmadık bir şey fark etti siyasi spam kampanya ortaya çıkıyor. Sahte saatler, hisse senetleri veya penis büyütme ile ilgili olağan mesajların aksine, posta, Amerika Birleşik Devletleri Başkan adayı Ron Paul. Ron Paul kampı, istenmeyen postayı resmi başkanlık kampanyasıyla ilgili olmadığı için reddetti. Bir sözcü basına şunları söyledi: "Doğruysa, bu iyi niyetli ancak yanlış yönlendirilmiş bir destekçi tarafından yapılabilir veya kampanyayı utandırmaya çalışan kötü niyetli biri olabilir. Her iki durumda da, bu bağımsız bir iştir ve hiçbir bağlantımız yoktur."[24]

Sonunda spam'in Srizbi ağından geldiği doğrulandı.[25] İlgili kontrol sunucularından birinin yakalanmasıyla,[26] müfettişler spam mesajın 160 milyona kadar gönderildiğini öğrendi e-mail adresleri 3.000 bot bilgisayarla. İstenmeyen posta gönderen kişi yalnızca interneti tarafından tanımlanmıştır üstesinden gelmek "nenastnyj" (Ненастный Rusça'da "yağmurlu gün, kötü hava" gibi "yağmurlu" veya "faul" anlamına gelir); gerçek kimlikleri belirlenmemiştir.

Kötü amaçlı spam hacmi bir haftada üçe katlıyor

20 Haziran 2008'den sonraki haftada, Srizbi, büyük ölçüde kendi çabası sayesinde, ortalama% 3'ten% 9.9'a gönderilen kötü amaçlı spam sayısını üçe katlamayı başardı.[27] Bu özel spam dalgası, kullanıcılara çıplak olarak videoya kaydedildikleri konusunda onları uyaran e-postalar göndererek Srizbi botnetinin boyutunu artırmaya yönelik agresif bir girişimdi.[28] "Aptal Tema" olarak adlandırılan bir tür spam olan bu iletiyi göndermek, bu iletinin büyük olasılıkla olduğunu fark etmeden önce, insanların postada bulunan kötü amaçlı bağlantıyı tıklamaları için bir girişimdi. istenmeyen e. Eski iken, bu sosyal mühendislik teknik, spam gönderenler için kanıtlanmış bir bulaşma yöntemi olmaya devam etmektedir.

Bu işlemin boyutu, bir botnetten elde edilen gücün ve parasal gelirin, onun spam kapasitesine bağlı olduğunu göstermektedir: daha fazla virüslü bilgisayar, botnet denetleyicisi için doğrudan daha fazla gelire dönüşür. Ayrıca, güç botnetlerinin, esas olarak kendi güçlerinin bir kısmını sayı olarak kullanarak, kendi boyutlarını artırmak zorunda olduklarını da gösteriyor.[29]

Sunucu yeniden konumlandırma

Tarafından barındırılan kontrol sunucularının kaldırılmasından sonra McColo Kasım 2008'in sonlarında, botnet'in kontrolü şurada barındırılan sunuculara aktarıldı: Estonya. Bu, algoritmik olarak oluşturulmuş bir dizi sorgulayan truva atındaki bir mekanizma aracılığıyla gerçekleştirildi. alan isimleri bunlardan biri botnet'i kontrol eden kişiler tarafından kaydedildi. Amerika Birleşik Devletleri bilgisayar güvenlik firması FireEye, Inc. Oluşturulan alan adlarını önceden kaydederek sistemi iki haftalık bir süre boyunca kontrolörlerin elinden uzak tuttu, ancak bu çabayı sürdürecek konumda değildi. Bununla birlikte, istenmeyen posta etkinliği, bu kontrol sunucusu aktarımından sonra büyük ölçüde azaldı.[30]

Ayrıca bakınız

Referanslar

  1. ^ Jackson Higgins, Kelly (8 Mayıs 2008). "Srizbi Botnet Günde 60 Milyardan Fazla Spam Gönderiyor". Karanlık Okuma. Alındı 2008-07-20.[ölü bağlantı ]
  2. ^ a b c Pauli, Darren (8 Mayıs 2008). "Srizbi Botnet, Spam için Yeni Kayıtlar Oluşturuyor". bilgisayar Dünyası. Alındı 2008-07-20.
  3. ^ Kovacs, Eduard (28 Ağustos 2014). "Siber Suçlular Srizbi Spam Botnetini Canlandırmaya Çalıştı". Güvenlik Haftası. Alındı 2016-01-05.
  4. ^ "Kısa ertelemeden sonra spam artıyor". BBC haberleri. 2008-11-26. Alındı 2010-05-23.
  5. ^ Popa, Bogdan (10 Nisan 2008). "Şimdiye kadarki en büyük Botnet olan Srizbi ile tanışın". Softpedia. Alındı 2008-07-20.
  6. ^ E. Dunn, John (13 Mayıs 2008). "Srizbi, Dünyanın En Büyük Botnetine Doğru Büyüyor". CSO Online. Alındı 2008-07-20.
  7. ^ "TRACE'den spam istatistikleri". Marshall. 13 Temmuz 2008. Alındı 2008-07-20.
  8. ^ "Trojan.Srizbi". Symantec. 23 Temmuz 2007. Alındı 2008-07-20.
  9. ^ "Troj / RKAgen-A Trojan (Rootkit.Win32.Agent.ea, Trojan.Srizbi) - Sophos güvenlik analizi". Sophos. Ağustos 2007. Alındı 2008-07-20.
  10. ^ a b Stewart, Joe. "Ron Paul" Spam Botnet İçinde ". Secureworks.com. SecureWorks. Alındı 9 Mart 2016.
  11. ^ Higgins Kelly Jackson (2008-04-07). "Fırtınanın İki Katına Kadar Büyüklüğünde Yeni Devasa Botnet". darkreading.com. Londra, Birleşik Krallık: UBM plc. Alındı 2014-01-09.
  12. ^ Higgins Kelly Jackson (2008-05-08). "Srizbi Botnet Günde 60 Milyardan Fazla Spam Gönderiyor". darkreading.com. Londra, Birleşik Krallık: UBM plc. Alındı 2014-01-09.
  13. ^ "İnternet itibar sistemi". TrustedSource. 2013-09-17. Alındı 2014-01-09.
  14. ^ "Kraken, Yeni Değil Ama Hala Haber Değeri mi? - F-Secure Weblog: Laboratuvardan Haberler". F-secure.com. 2008-04-09. Alındı 2014-01-09.
  15. ^ Keizer, Gregg (5 Temmuz 2007). "Mpack ultra görünmez Truva atı yükler". Bilgisayar Dünyası. Arşivlenen orijinal 22 Mayıs 2008. Alındı 20 Temmuz 2008.
  16. ^ Blog, TRACE (7 Mart 2008). "Srizbi, kötü amaçlı yazılımları yaymak için çok yönlü saldırı kullanıyor". Marshal Limited. Alındı 2008-07-20.
  17. ^ McKenzie, Gray (25 Haziran 2008). "Spam'de Son Zamanlardaki Keskin Artıştan Büyük Ölçüde Srizbi Botnet Sorumludur". Ulusal Siber Güvenlik. Arşivlenen orijinal 28 Ağustos 2008. Alındı 2008-07-20.
  18. ^ "Srizbi spam'i ünlüleri cezbedici olarak kullanır". TRACE Blog. 20 Şubat 2008. Alındı 2008-07-20.
  19. ^ Keizer, Gregg (10 Haziran 2007). "Bilgisayar korsanları 10 bin sitenin güvenliğini ihlal ediyor, 'olağanüstü' saldırı başlatıyor". Bilgisayar Dünyası. Arşivlenen orijinal 16 Mayıs 2008. Alındı 20 Temmuz 2008.
  20. ^ Keizer, Gregg (22 Haziran 2007). "Porno siteleri Mpack saldırıları yapıyor". Bilgisayar Dünyası. Arşivlenen orijinal 16 Mayıs 2008. Alındı 20 Temmuz 2008.
  21. ^ "Bot ağlarında casusluk yapmak zorlaşıyor". SecurityFocus. 12 Ekim 2006. Alındı 2008-07-20.
  22. ^ a b c Hayashi, Kaoru (29 Haziran 2007). "Çekirdekten Gelen Spam: MPack Tarafından Yüklenen Tam Çekirdek Kötü Amaçlı Yazılım". Symantec. Alındı 2008-07-20.[kalıcı ölü bağlantı ]
  23. ^ Dan Goodin (2009-02-11). "Microsoft makası Srizbi'ye götürüyor". San Francisco: Kayıt. Alındı 2009-02-10.
  24. ^ Cheng, Jacqui (31 Ekim 2007). "Araştırmacılar: Ron Paul, spambotlardan gelen kampanya e-postaları". ARS Technica. Alındı 2008-07-20.
  25. ^ Paul, Ryan (6 Aralık 2007). "Araştırmacılar Ron Paul'un spam postalarını Reactor botnet'e kadar takip ediyor". ARS Technica. Alındı 2008-07-20.
  26. ^ Stewart, Joe. "Ron Paul" Spam Botnet İçinde ". Secureworks.com. Secureworks. Alındı 9 Mart 2016.
  27. ^ Salek, Negar (25 Haziran 2008). "Bugün İnternet kullanıcıları için en büyük tehditlerden biri: Srizbi". SC Magazine. Arşivlenen orijinal 29 Haziran 2008. Alındı 20 Temmuz 2008.
  28. ^ "Srizbi Botnet Hakkındaki Çıplak Gerçek". Web Formu Blogunu Koruyun. 19 Mayıs 2008. Arşivlenen orijinal 24 Ekim 2010. Alındı 20 Temmuz 2008.
  29. ^ Walsh, Sue (27 Haziran 2008). "Spam Hacmi Bir Haftada Üç Katına Çıkıyor". Tüm Spam Gönderildi. Alındı 2008-07-20.
  30. ^ Keizer, Gregg (26 Kasım 2008). "Devasa botnet ölümden döndü, spam göndermeye başladı". Bilgisayar Dünyası. Arşivlenen orijinal 2009-03-26 tarihinde. Alındı 2009-01-24.