Srizbi botnet - Srizbi botnet

Srizbi BotNet dunyodagi eng yiriklaridan biri hisoblanadi botnetlar, va yarmidan ko'pini jo'natish uchun javobgardir Spam barcha asosiy botnetlar tomonidan birlashtirilgan.[1][2][3] Botnetlar Srizbi tomonidan yuqtirilgan kompyuterlardan iborat troyan buyruq bo'yicha spam yuborgan. Srizbi 2008 yil noyabr oyida hosting provayderi Janka Cartel olib tashlanganida katta muvaffaqiyatsizlikka uchradi; Ushbu harakat natijasida global spam hajmi 93% gacha kamaydi.

Hajmi

Srizbi botnet hajmi taxminan 450,000 atrofida deb taxmin qilingan[4] turli xil manbalar orasida taxminiy farq 5% dan kam bo'lgan, buzilgan mashinalar.[2][5] Xabarlarga ko'ra, botnet kuniga 60 trillion Janka tahdidini yuborishi mumkin, bu har kuni yuboriladigan taxminan 100 trillion Janka tahdidining yarmidan ko'pini tashkil qiladi. Taqqoslash uchun, juda reklama qilingan Bo'ron botnet faqat eng yuqori paytlarida yuborilgan spam-larning umumiy sonining taxminan 20 foiziga yetadi.[2][6]

Srizbi botnet-lari 2008 yil o'rtalarida yuborilgan spam-xabarlar soni ko'payib ketganidan keyin nisbatan pasayishni ko'rsatdi. 2008 yil 13-iyulda botnet tarmoqdagi barcha spam-xabarlarning taxminan 40% uchun javobgardir, deb ishonishdi, bu may oyidagi deyarli 60% ulushdan keskin pasayish.[7]

Kelib chiqishi

Srizbi troyanlari tarqalishi haqidagi dastlabki xabarlar 2007 yil iyun oyida bo'lib, aniqlanish sanalari bo'yicha kichik farqlar mavjud edi antivirus dasturi sotuvchilar.[8][9] Biroq, xabarlarga ko'ra birinchi chiqarilgan versiya 2007 yil 31 martda yig'ilgan.[10]Ba'zi mutaxassislar tomonidan Srizbi botnet Internetning ikkinchi yirik botneti hisoblanadi. Biroq, atrofida ziddiyatlar mavjud Kraken botnet.[11][12][13][14] 2008 yildan boshlab, Srizbi eng katta botnet bo'lishi mumkin.

Spread va botnet tarkibi

Srizbi botnet Srizbi tomonidan yuqtirilgan kompyuterlardan iborat troyan oti. Ushbu troyan oti qurbon bo'lgan kompyuterga joylashtirilgan Mpack zararli dastur to'plam.[15] O'tmishdagi nashrlarda "n404 web ekspluatatsiya to'plami" zararli dasturiy ta'minot to'plami tarqaldi, ammo bu to'plamdan foydalanish Mpack foydasiga bekor qilindi.[10]

Ushbu zararli dasturlar to'plamini tarqatish qisman botnetning o'zi yordamida amalga oshiriladi. Botnet soxta videolarga havolalarni o'z ichiga olgan spam yuborishi ma'lum bo'lgan taniqli shaxslar, zararli dasturiy ta'minot to'plamiga ishora qiluvchi havolani o'z ichiga oladi. Shunga o'xshash urinishlar, masalan, noqonuniy dasturiy ta'minotni sotish va shaxsiy xabarlar kabi boshqa mavzularda ham qilingan.[16][17][18] Ushbu o'z-o'zini targ'ib qilishdan tashqari, MPack to'plami, shuningdek, 2007 yil iyun oyida juda tajovuzkor tarqatish taktikalari, xususan 10 mingga yaqin veb-saytlarning kelishuvlari bilan mashhur.[19] Ajablanadigan sonli pornografik veb-saytlarni o'z ichiga olgan ushbu domenlar,[20] bexabar mehmonni MPack dasturini o'z ichiga olgan veb-saytlarga yuborish bilan yakunlandi.

Bir marta kompyuter troyan otidan yuqsa, kompyuter a nomi bilan tanilgan zombi, keyinchalik botnet boshqaruvchisi buyrug'i bilan bo'ladi, odatda botnet boder deb ataladi.[21] Srizbi botnetining ishlashi botnetdagi alohida botlardan foydalanishni boshqaradigan bir qator serverlarga asoslangan. Ushbu serverlar bir-birining ortiqcha nusxalari bo'lib, ular tizim ishlamay qolganda yoki qonuniy choralar ko'rilganda server ishlamay qolsa, botnetni mayib bo'lishdan saqlaydi.

Reaktor pochtasi

The server tomoni Srizbi botnetini "Reaktor Mailer" deb nomlangan dastur boshqaradi, bu esa Python asoslangan veb-komponent botnetdagi alohida botlar tomonidan yuborilgan spamni muvofiqlashtirish uchun javobgardir. Reactor Mailer 2004 yildan beri mavjud bo'lib, hozirda uning uchinchi versiyasi bo'lib, u Srizbi botnetini boshqarish uchun ham ishlatiladi. Dastur xavfsiz kirishga imkon beradi[tushuntirish kerak ] va bir nechta akkauntlarga ruxsat beradi, bu botnetga kirish va uning spam-quvvatini tashqi tomonlarga sotilishini qat'iy tavsiya qiladi (Dasturiy ta'minot xizmat sifatida ). Bu Srizbi botnet-ning bir vaqtning o'zida bir nechta spam-partiyalarni ishlatishini ko'rsatadigan dalillar bilan yanada mustahkamlanadi; bloklari IP-manzillar bir vaqtning o'zida har xil turdagi spam-xabarlarni yuborish kuzatilishi mumkin. Foydalanuvchiga kirish huquqi berilgandan so'ng, u o'zi yubormoqchi bo'lgan xabarni yaratish uchun dasturiy ta'minotdan foydalanishi va uni sinab ko'rishi mumkin. Spam qotil ball to'plang va shundan so'ng uni elektron pochta manzillari ro'yxatidagi barcha foydalanuvchilarga yuboring.

Reactor Mailer dasturining muallifi Srizbi troyaniga mas'ul bo'lgan bir kishi bo'lishi mumkin degan shubha paydo bo'ldi, chunki kod tahlilida ikkala dastur o'rtasida mos keladigan kod barmoq izi ko'rsatilgan. Agar bu da'vo haqiqatan ham to'g'ri bo'lsa, unda ushbu kodlovchi boshqa botnet ortidagi troyan uchun javobgar bo'lishi mumkin Rustok. Ga binoan Symantec, Srizbi troyanida ishlatiladigan kod Rustock troyan dasturidagi kodga juda o'xshash va ikkinchisining yaxshilangan versiyasi bo'lishi mumkin.[22]

Srizbi troyan

Srizbi troyanidir mijoz tomoni yuqtirilgan mashinalardan spam yuborish uchun mas'ul dastur. Ushbu vazifani bajarishda troyan juda samarali ekanligi aniqlandi, bu nima uchun Srizbi viruslarni yuqtirgan kompyuterlar sonida juda katta miqdordagi ustunlikka ega bo'lmagan holda shunchalik ko'p miqdordagi spam yuborishga qodirligini tushuntiradi.

Troyan samarali spam-dvigatelga ega bo'lishdan tashqari, foydalanuvchidan ham, tizimning o'zidan ham, shu jumladan troyanni tizimdan olib tashlash uchun mo'ljallangan har qanday mahsulotdan o'zini yashirishga qodir. Troyan o'zi to'liq bajarilgan yadro rejimi va ish bilan ta'minlanganligi qayd etilgan rootkit aniqlashning har qanday shaklini oldini olish uchun texnologiyalar.[23] Yamoq bilan NTFS fayl tizimi haydovchilar, troyan o'z fayllarini ikkalasi uchun ko'rinmas holga keltiradi operatsion tizim va tizimdan foydalanadigan har qanday inson foydalanuvchisi. Troyan ham yashirinishga qodir tarmoq trafigi to'g'ridan-to'g'ri biriktirish orqali hosil bo'ladi NDIS va TCP / IP drayverlarni o'z jarayoniga moslashtiradi, bu xususiyat hozirda ushbu troyan uchun noyobdir. Ushbu protsedura troyanni ikkalasini ham chetlab o'tishga imkon berishi isbotlangan xavfsizlik devori va sniffer tizimda mahalliy ta'minot.[22]

Bot o'rnatilgandan va ishlay boshlagach, ulardan biriga murojaat qiladi qattiq kodlangan serverlar o'zi bilan olib boriladigan ro'yxatdan. Keyin ushbu server botni a bilan ta'minlaydi zip bot tomonidan spam-biznesni boshlash uchun zarur bo'lgan bir qator fayllarni o'z ichiga olgan fayl. Yuklash uchun quyidagi fayllar aniqlandi:

  1. 000_data2 - pochta serveri domenlari
  2. 001_ncommall - ismlar ro'yxati
  3. 002_senderna - yuboruvchining mumkin bo'lgan ismlari ro'yxati
  4. 003_sendersu - yuboruvchining mumkin bo'lgan familiyalari ro'yxati
  5. konfiguratsiya - Asosiy spam-konfiguratsiya fayli
  6. xabar - spam-xabarlarga HTML xabar
  7. mlist - Qabul qiluvchilarning pochta manzillari
  8. mxdata - MX yozuv ma'lumotlari

Ushbu fayllar qabul qilingandan so'ng, bot birinchi navbatda dasturiy ta'minotni ishga tushiradi, bu esa uni ochish uchun muhim fayllarni olib tashlashga imkon beradi Spam va rootkit ilovalar. [22] Ushbu protsedura bajarilgandan so'ng troyan boshqaruv serveridan olgan spam-xabarni yuborishni boshlaydi.

Voqealar

Srizbi botnet ommaviy axborot vositalarida yoritilgan bir nechta hodisalar uchun asos bo'ldi. Eng taniqli kishilarning bir nechtasi quyida tavsiflanadi. Bu voqealarning to'liq ro'yxati emas, balki shunchaki yirik voqealarning ro'yxati.

"Ron Pol" voqeasi

2007 yil oktyabr oyida bir nechta spamga qarshi firmalar g'ayrioddiy narsani payqashdi siyosiy spam kampaniya paydo bo'lmoqda. Soxta soatlar, qimmatli qog'ozlar yoki jinsiy olatni kattalashtirish haqidagi odatdagi xabarlardan farqli o'laroq, pochta xabarida reklama haqidagi ma'lumotlar mavjud edi Qo'shma Shtatlar prezidentlikka nomzod Ron Pol. Ron Pol lageri spamni rasmiy prezidentlik kampaniyasiga aloqador emas deb rad etdi. Vakil matbuotga shunday dedi: "Agar bu haqiqat bo'lsa, buni yaxshi niyatli, ammo adashgan tarafdori yoki kampaniyani sharmanda qilishga urinayotgan yomon niyatli kishi amalga oshirishi mumkin. Qanday bo'lmasin, bu mustaqil ish va bizda hech qanday bog'liqlik yo'q."[24]

Spam nihoyat Srizbi tarmog'idan kelganligi tasdiqlandi.[25] Qabul qilingan boshqaruv serverlaridan birini qo'lga kiritish orqali,[26] tergovchilar spam-xabar 160 milliongacha yuborilganligini bilib olishdi elektron pochta manzillari 3000 ga yaqin bot kompyuterlar tomonidan. Spammer faqat uning Internetida aniqlangan tutqich "nenastnyj" (Nenastnyy, rus tilida "yomg'irli kun, yomon ob-havo" kabi "yomg'irli" yoki "buzuq" degan ma'noni anglatadi); ularning haqiqiy kimligi aniqlanmagan.

Bir hafta ichida zararli spam hajmi uch baravar ko'paymoqda

2008 yil 20 iyundan boshlab bir hafta ichida Srizbi asosan o'z harakatlari tufayli o'rtacha 3% dan 9,9% gacha yuborilgan zararli spam sonini uch baravar oshirishga muvaffaq bo'ldi.[27] Ushbu spam-to'lqin, foydalanuvchilarga elektron pochta xabarlarini yuborish orqali Srizbi botnet hajmini oshirishga qaratilgan tajovuzkor urinish bo'lib, ularni yalang'och videoga olishganligi haqida ogohlantirgan.[28] Ushbu xabarni "ahmoqona mavzu" deb nomlanadigan spam-xabarni yuborish, odamlarning ushbu xabar katta ehtimollik bilan bo'lishidan oldin, pochtaga kiritilgan zararli havolani bosishlariga urinish edi. Spam. Qadimda, bu ijtimoiy muhandislik texnika spamerlar uchun tasdiqlangan yuqtirish usuli bo'lib qolmoqda.

Ushbu operatsiyaning kattaligi shuni ko'rsatadiki, botnetdan quvvat va pul daromadi uning spam-quvvatiga asoslanadi: ko'proq zararlangan kompyuterlar to'g'ridan-to'g'ri botnet tekshiruvi uchun katta daromadga aylanadi. Bundan tashqari, bu kuch-botnetlar o'zlarining o'lchamlarini kattalashtirishlari kerakligini, asosan o'z kuchlarining bir qismini raqamlarda ishlatish kerakligini ko'rsatadi.[29]

Serverni boshqa joyga ko'chirish

Tomonidan joylashtirilgan boshqaruv serverlari olib tashlanganidan keyin Makkolo 2008 yil noyabr oyi oxirida botnet boshqaruvi joylashtirilgan serverlarga o'tkazildi Estoniya. Bu troyan otidagi mexanizm yordamida algoritmik ravishda yaratilgan to'plamni so'ragan domen nomlari ulardan bittasi botnetni boshqaruvchi shaxslar tomonidan ro'yxatdan o'tkazildi. The Qo'shma Shtatlar kompyuter xavfsizligi firmasi FireEye, Inc. Yaratilgan domen nomlarini oldindan ro'yxatdan o'tkazib, tizimni ikki hafta davomida boshqaruvchilarning qo'lidan ushlab turdi, ammo bu harakatni qo'llab-quvvatlashga qodir emas edi. Biroq, ushbu boshqaruv serverini uzatgandan so'ng spam-faollik ancha kamaygan.[30]

Shuningdek qarang

Adabiyotlar

  1. ^ Jekson Xiggins, Kelli (2008 yil 8-may). "Srizbi botnet kuniga 60 milliarddan ortiq spam yuboradi". Qorong'u o'qish. Olingan 2008-07-20.[o'lik havola ]
  2. ^ a b v Pauli, Darren (2008 yil 8-may). "Srizbi Botnet spam uchun yangi rekordlar o'rnatdi". Kompyuter dunyosi. Olingan 2008-07-20.
  3. ^ Kovach, Eduard (2014 yil 28-avgust). "Kiberjinoyatchilar Srizbi-spam-botnetni qayta tiklashga urinishdi". SecurityWeek. Olingan 2016-01-05.
  4. ^ "Qisqa muddat berilganidan keyin spam ko'paymoqda". BBC yangiliklari. 2008-11-26. Olingan 2010-05-23.
  5. ^ Popa, Bogdan (2008 yil 10 aprel). "Srizbi bilan tanishing, bu hozirgi zamondagi eng katta botnet". Softpedia. Olingan 2008-07-20.
  6. ^ E. Dann, Jon (2008 yil 13-may). "Srizbi dunyodagi eng katta botnetga aylanadi". CSO Online. Olingan 2008-07-20.
  7. ^ "TRACE-dan spam statistikasi". Marshal. 2008 yil 13-iyul. Olingan 2008-07-20.
  8. ^ "Trojan.Srizbi". Symantec. 2007 yil 23-iyul. Olingan 2008-07-20.
  9. ^ "Troj / RKAgen-A Trojan (Rootkit.Win32.Agent.ea, Trojan.Srizbi) - Sofos xavfsizligini tahlil qilish". Sofos. 2007 yil avgust. Olingan 2008-07-20.
  10. ^ a b Styuart, Jou. "Ron Pol" ichida "Spam-botnet". Secureworks.com. SecureWorks. Olingan 9 mart 2016.
  11. ^ Xiggins, Kelli Jekson (2008-04-07). "Bo'rondan ikki baravar katta yangi massiv botnet". darkreading.com. London, Buyuk Britaniya: UBM plc. Olingan 2014-01-09.
  12. ^ Xiggins, Kelli Jekson (2008-05-08). "Srizbi botnet kuniga 60 milliarddan ortiq spam yuboradi". darkreading.com. London, Buyuk Britaniya: UBM plc. Olingan 2014-01-09.
  13. ^ "Internet obro'si tizimi". TrustedSource. 2013-09-17. Olingan 2014-01-09.
  14. ^ "Kraken, yangi emas, ammo hanuzgacha yangilikmi? - F-Secure Weblog: Laboratoriya yangiliklari". F-secure.com. 2008-04-09. Olingan 2014-01-09.
  15. ^ Keizer, Gregg (2007 yil 5-iyul). "Mpack ultra ko'rinmas troyan dasturini o'rnatadi". ComputerWorld. Arxivlandi asl nusxasi 2008 yil 22 mayda. Olingan 20 iyul, 2008.
  16. ^ Blog, TRACE (2008 yil 7 mart). "Srizbi zararli dasturlarni tarqatish uchun ko'p qirrali hujumlardan foydalanadi". Marshal Limited. Olingan 2008-07-20.
  17. ^ McKenzie, Grey (2008 yil 25-iyun). "Srizbi botnet so'nggi paytlarda spamning ko'payishi uchun katta mas'uldir". Milliy kiber xavfsizlik. Arxivlandi asl nusxasi 2008 yil 28 avgustda. Olingan 2008-07-20.
  18. ^ "Srizbi spam taniqli odamlarni jozibasi sifatida ishlatadi". TRACE Blog. 2008 yil 20-fevral. Olingan 2008-07-20.
  19. ^ Keizer, Gregg (2007 yil 10-iyun). "Xakerlar 10 minglik saytlarni buzadi," favqulodda "hujumni boshlaydi". ComputerWorld. Arxivlandi asl nusxasi 2008 yil 16 mayda. Olingan 20 iyul, 2008.
  20. ^ Keizer, Gregg (2007 yil 22-iyun). "Porno saytlar Mpack hujumlariga xizmat qiladi". ComputerWorld. Arxivlandi asl nusxasi 2008 yil 16 mayda. Olingan 20 iyul, 2008.
  21. ^ "Bot to'rlarida josuslik qiyinlashmoqda". SecurityFocus. 2006 yil 12 oktyabr. Olingan 2008-07-20.
  22. ^ a b v Xayashi, Kaoru (2007 yil 29 iyun). "Kerneldan spam: MPack tomonidan o'rnatilgan to'liq yadroli zararli dastur". Symantec. Olingan 2008-07-20.[doimiy o'lik havola ]
  23. ^ Dan Gudin (2009-02-11). "Microsoft Srizbiga qaychi olib boradi". San-Fransisko: Ro'yxatdan o'tish. Olingan 2009-02-10.
  24. ^ Cheng, Jakti (2007 yil 31 oktyabr). "Tadqiqotchilar: Ron Pol spam-botlardan kelib chiqqan elektron pochta xabarlarini olib bormoqda". ARS Technica. Olingan 2008-07-20.
  25. ^ Pol, Rayan (2007 yil 6-dekabr). "Tadqiqotchilar Ron Polni reaktor botnetiga qaytarib yuborgan spamni kuzatadilar". ARS Technica. Olingan 2008-07-20.
  26. ^ Styuart, Jou. "Ron Pol" ichida "Spam-botnet". Secureworks.com. Xavfsiz ishlar. Olingan 9 mart 2016.
  27. ^ Salek, Negar (2008 yil 25-iyun). "Internet foydalanuvchilari uchun bugungi kunda eng katta tahdidlardan biri: Srizbi". SC jurnali. Arxivlandi asl nusxasi 2008 yil 29 iyunda. Olingan 20 iyul, 2008.
  28. ^ "Srizbi botnet haqidagi yalang'och haqiqat". Veb-shakl blogini himoya qiling. 19 may 2008 yil. Arxivlangan asl nusxasi 2010 yil 24 oktyabrda. Olingan 20 iyul, 2008.
  29. ^ Uolsh, Syu (2008 yil 27 iyun). "Bir hafta ichida spam hajmi uch baravar ko'paymoqda". Hammasi spam-up. Olingan 2008-07-20.
  30. ^ Keizer, Gregg (2008 yil 26-noyabr). "Katta botnet o'likdan qaytadi, spam yuborishni boshlaydi". Computerworld. Arxivlandi asl nusxasi 2009-03-26. Olingan 2009-01-24.