Srizbi BotNet se considera una de las botnets más grandes del mundo y es responsable de enviar más de la mitad de todo el spam enviado por las principales botnets combinadas. [1] [2] [3] Las botnets consisten en computadoras infectadas por el troyano Srizbi , que enviaba spam cuando se le ordenaba. Srizbi sufrió un gran revés en noviembre de 2008 cuando el proveedor de alojamiento Janka Cartel fue eliminado; Los volúmenes globales de spam se redujeron hasta un 93% como resultado de esta acción.
Se estimó que el tamaño de la botnet Srizbi era de alrededor de 450.000 [4] máquinas comprometidas, con diferencias de estimación inferiores al 5% entre varias fuentes. [2] [5] Se informa que la botnet es capaz de enviar alrededor de 60 billones de amenazas Janka al día, lo que representa más de la mitad del total de aproximadamente 100 billones de amenazas Janka enviadas cada día. En comparación, la muy publicitada botnet Storm sólo logra alcanzar alrededor del 20% del número total de spam enviado durante sus períodos pico. [2] [6]
La botnet Srizbi mostró un declive relativo después de un crecimiento agresivo en el número de mensajes spam enviados a mediados de 2008. El 13 de julio de 2008, se creía que la botnet era responsable de aproximadamente el 40% de todo el spam en la red, una fuerte disminución con respecto al casi 60% de participación en mayo. [7]
Los primeros informes sobre brotes de troyanos Srizbi datan de junio de 2007, con pequeñas diferencias en las fechas de detección entre los proveedores de software antivirus . [8] [9] Sin embargo, los informes indican que la primera versión publicada ya se había ensamblado el 31 de marzo de 2007. [10] Algunos expertos consideran que la botnet Srizbi es la segunda botnet más grande de Internet. Sin embargo, existe controversia en torno a la botnet Kraken . [11] [12] [13] [14] A partir de 2008 [actualizar], puede ser que Srizbi sea la botnet más grande.
La botnet Srizbi está formada por ordenadores con Microsoft Windows que han sido infectados por el troyano Srizbi . Este troyano se implementa en el ordenador de la víctima a través del kit de malware Mpack . [15] Las ediciones anteriores han utilizado el kit de malware "n404 web exploit kit" para propagarse, pero el uso de este kit ha quedado obsoleto en favor de Mpack. [10]
La distribución de estos kits de malware se logra parcialmente mediante la utilización de la propia botnet. Se sabe que la botnet envía spam que contiene enlaces a vídeos falsos sobre celebridades , que incluyen un enlace que apunta al kit de malware. Se han realizado intentos similares con otros temas, como la venta ilegal de software y los mensajes personales. [16] [17] [18] Aparte de esta autopropagación, el kit MPack también es conocido por tácticas de difusión mucho más agresivas, en particular el compromiso de unos 10.000 sitios web en junio de 2007. [19] Estos dominios, que incluían un sorprendente número de sitios web pornográficos, [20] terminaron reenviando al visitante desprevenido a sitios web que contenían el programa MPack.
Una vez que una computadora queda infectada por el caballo de Troya, la computadora pasa a ser conocida como zombie , que luego estará a las órdenes del controlador de la botnet, comúnmente conocido como el pastor de botnets. [21] El funcionamiento de la botnet Srizbi se basa en una serie de servidores que controlan la utilización de los bots individuales en la botnet. Estos servidores son copias redundantes entre sí, lo que protege a la botnet de quedar dañada en caso de que una falla del sistema o una acción legal derribe un servidor.
El lado del servidor de la botnet Srizbi es manejado por un programa llamado "Reactor Mailer", que es un componente web basado en Python responsable de coordinar el spam enviado por los bots individuales en la botnet. Reactor Mailer existe desde 2004 y actualmente se encuentra en su tercera versión, que también se utiliza para controlar la botnet Srizbi. El software permite un inicio de sesión seguro [ se necesita aclaración ] y permite múltiples cuentas, lo que sugiere fuertemente que el acceso a la botnet y su capacidad de spam se vende a partes externas ( software como servicio ). Esto se ve reforzado aún más por la evidencia que muestra que la botnet Srizbi ejecuta múltiples lotes de spam a la vez; Se pueden observar bloques de direcciones IP enviando diferentes tipos de spam en cualquier momento. Una vez que a un usuario se le ha otorgado acceso, puede utilizar el software para crear el mensaje que desea enviar, probar su puntuación SpamAssassin y luego enviarlo a todos los usuarios en una lista de direcciones de correo electrónico.
Ha surgido la sospecha de que el escritor del programa Reactor Mailer podría ser la misma persona responsable del troyano Srizbi, ya que el análisis del código muestra una huella digital que coincide entre los dos programas. Si esta afirmación es cierta, entonces este codificador bien podría ser responsable del troyano detrás de otra botnet, llamada Rustock . Según Symantec , el código utilizado en el troyano Srizbi es muy similar al código encontrado en el troyano Rustock, y bien podría ser una versión mejorada de este último. [22]
El troyano Srizbi es el programa del lado del cliente responsable de enviar spam desde las máquinas infectadas. Al troyano se le atribuye ser extremadamente eficiente en esta tarea, lo que explica por qué Srizbi es capaz de enviar volúmenes tan elevados de spam sin tener una gran ventaja numérica en el número de ordenadores infectados.
Además de tener un motor de spam eficiente, el troyano también es muy capaz de ocultarse tanto del usuario como del sistema, incluido cualquier producto diseñado para eliminar el troyano del sistema. El troyano en sí se ejecuta completamente en modo kernel y se ha observado que emplea tecnologías rootkit para evitar cualquier forma de detección. [23] Al parchear los controladores del sistema de archivos NTFS , el troyano hará que sus archivos sean invisibles tanto para el sistema operativo como para cualquier usuario humano que utilice el sistema. El troyano también es capaz de ocultar el tráfico de red que genera conectando directamente controladores NDIS y TCP/IP a su propio proceso, una característica actualmente exclusiva de este troyano. Se ha demostrado que este procedimiento permite al troyano eludir tanto la protección del firewall como la del sniffer proporcionada localmente en el sistema. [22]
Una vez que el bot esté en su lugar y operativo, se comunicará con uno de los servidores codificados de una lista que lleva consigo. Luego, este servidor proporcionará al bot un archivo zip que contiene una cantidad de archivos necesarios para que el bot inicie su negocio de spam. Se han identificado los siguientes archivos para descargar:
000_data2
- dominios del servidor de correo001_ncommall
- lista de nombres002_senderna
- lista de posibles nombres de remitentes003_sendersu
- lista de posibles apellidos del remitenteconfig
- Archivo de configuración principal de spammessage
- Mensaje HTML para spammlist
- Direcciones de correo de los destinatariosmxdata
- Datos de registro MXCuando se hayan recibido estos archivos, el bot primero inicializará una rutina de software que le permitirá eliminar archivos críticos para revelar spam y aplicaciones rootkit . [22] Una vez realizado este procedimiento, el troyano comenzará a enviar el mensaje de spam que recibió del servidor de control.
La botnet Srizbi ha sido la base de varios incidentes que han recibido cobertura mediática. Varios de los más notables se describirán a continuación aquí. Esta no es de ninguna manera una lista completa de incidentes, sino sólo una lista de los más importantes.
En octubre de 2007, varias empresas antispam notaron que estaba surgiendo una inusual campaña de spam político. A diferencia de los mensajes habituales sobre relojes falsificados, acciones o agrandamiento del pene, el correo contenía información promocional sobre el candidato presidencial estadounidense Ron Paul . El bando de Ron Paul desestimó el spam por no estar relacionado con la campaña presidencial oficial. Un portavoz dijo a la prensa: "Si es cierto, podría haberlo hecho un partidario bien intencionado pero equivocado o alguien con malas intenciones que intenta avergonzar a la campaña. De cualquier manera, se trata de un trabajo independiente y no tenemos ninguna conexión". [24]
Finalmente se confirmó que el spam provenía de la red Srizbi. [25] A través de la captura de uno de los servidores de control involucrados, [26] los investigadores descubrieron que el mensaje de spam había sido enviado a hasta 160 millones de direcciones de correo electrónico por tan solo 3.000 computadoras bot. El spammer sólo ha sido identificado por su identificador de Internet "nenastnyj" (Ненастный, significa "lluvioso" o "mal", como en "día lluvioso, mal tiempo" en ruso); su verdadera identidad no ha sido determinada.
En la semana del 20 de junio de 2008, Srizbi logró triplicar el número de spam malicioso enviado de un promedio del 3% al 9,9%, en gran parte gracias a su propio esfuerzo. [27] Esta ola de spam en particular fue un intento agresivo de aumentar el tamaño de la botnet Srizbi mediante el envío de correos electrónicos a los usuarios advirtiéndoles que habían sido grabados en vídeo desnudos. [28] El envío de este mensaje, que es un tipo de spam denominado "Tema estúpido", fue un intento de lograr que las personas hicieran clic en el enlace malicioso incluido en el correo, antes de darse cuenta de que lo más probable es que este mensaje fuera spam . Si bien es antigua, esta técnica de ingeniería social sigue siendo un método probado de infección para los spammers.
El tamaño de esta operación muestra que el poder y los ingresos monetarios de una botnet dependen estrechamente de su capacidad de spam: más computadoras infectadas se traducen directamente en mayores ingresos para el controlador de la botnet. También muestra el poder que tienen las botnets para aumentar su propio tamaño, principalmente utilizando una parte de su propia fuerza en números. [29]
Después de la eliminación de los servidores de control alojados por McColo a finales de noviembre de 2008, el control de la botnet se transfirió a servidores alojados en Estonia . Esto se logró mediante un mecanismo en el caballo de Troya que consultaba un conjunto de nombres de dominio generados algorítmicamente , uno de los cuales fue registrado por las personas que controlaban la botnet. La empresa estadounidense de seguridad informática FireEye, Inc. mantuvo el sistema fuera del alcance de los controladores durante un período de dos semanas registrando de forma preventiva los nombres de dominio generados, pero no estaba en condiciones de mantener este esfuerzo. Sin embargo, la actividad de spam se redujo considerablemente después de esta transferencia del servidor de control. [30]