stringtranslate.com

Red de bots Srizbi

Srizbi BotNet se considera una de las botnets más grandes del mundo y es responsable de enviar más de la mitad de todo el spam enviado por las principales botnets combinadas. [1] [2] [3] Las botnets consisten en computadoras infectadas por el troyano Srizbi , que enviaba spam cuando se le ordenaba. Srizbi sufrió un gran revés en noviembre de 2008 cuando el proveedor de alojamiento Janka Cartel fue eliminado; Los volúmenes globales de spam se redujeron hasta un 93% como resultado de esta acción.

Tamaño

Se estimó que el tamaño de la botnet Srizbi era de alrededor de 450.000 [4] máquinas comprometidas, con diferencias de estimación inferiores al 5% entre varias fuentes. [2] [5] Se informa que la botnet es capaz de enviar alrededor de 60 billones de amenazas Janka al día, lo que representa más de la mitad del total de aproximadamente 100 billones de amenazas Janka enviadas cada día. En comparación, la muy publicitada botnet Storm sólo logra alcanzar alrededor del 20% del número total de spam enviado durante sus períodos pico. [2] [6]

La botnet Srizbi mostró un declive relativo después de un crecimiento agresivo en el número de mensajes spam enviados a mediados de 2008. El 13 de julio de 2008, se creía que la botnet era responsable de aproximadamente el 40% de todo el spam en la red, una fuerte disminución con respecto al casi 60% de participación en mayo. [7]

Orígenes

Los primeros informes sobre brotes de troyanos Srizbi datan de junio de 2007, con pequeñas diferencias en las fechas de detección entre los proveedores de software antivirus . [8] [9] Sin embargo, los informes indican que la primera versión publicada ya se había ensamblado el 31 de marzo de 2007. [10] Algunos expertos consideran que la botnet Srizbi es la segunda botnet más grande de Internet. Sin embargo, existe controversia en torno a la botnet Kraken . [11] [12] [13] [14] A partir de 2008 , puede ser que Srizbi sea la botnet más grande.

Distribución y composición de botnets

La botnet Srizbi está formada por ordenadores con Microsoft Windows que han sido infectados por el troyano Srizbi . Este troyano se implementa en el ordenador de la víctima a través del kit de malware Mpack . [15] Las ediciones anteriores han utilizado el kit de malware "n404 web exploit kit" para propagarse, pero el uso de este kit ha quedado obsoleto en favor de Mpack. [10]

La distribución de estos kits de malware se logra parcialmente mediante la utilización de la propia botnet. Se sabe que la botnet envía spam que contiene enlaces a vídeos falsos sobre celebridades , que incluyen un enlace que apunta al kit de malware. Se han realizado intentos similares con otros temas, como la venta ilegal de software y los mensajes personales. [16] [17] [18] Aparte de esta autopropagación, el kit MPack también es conocido por tácticas de difusión mucho más agresivas, en particular el compromiso de unos 10.000 sitios web en junio de 2007. [19] Estos dominios, que incluían un sorprendente número de sitios web pornográficos, [20] terminaron reenviando al visitante desprevenido a sitios web que contenían el programa MPack.

Una vez que una computadora queda infectada por el caballo de Troya, la computadora pasa a ser conocida como zombie , que luego estará a las órdenes del controlador de la botnet, comúnmente conocido como el pastor de botnets. [21] El funcionamiento de la botnet Srizbi se basa en una serie de servidores que controlan la utilización de los bots individuales en la botnet. Estos servidores son copias redundantes entre sí, lo que protege a la botnet de quedar dañada en caso de que una falla del sistema o una acción legal derribe un servidor.

Anuncio publicitario del reactor

El lado del servidor de la botnet Srizbi es manejado por un programa llamado "Reactor Mailer", que es un componente web basado en Python responsable de coordinar el spam enviado por los bots individuales en la botnet. Reactor Mailer existe desde 2004 y actualmente se encuentra en su tercera versión, que también se utiliza para controlar la botnet Srizbi. El software permite un inicio de sesión seguro [ se necesita aclaración ] y permite múltiples cuentas, lo que sugiere fuertemente que el acceso a la botnet y su capacidad de spam se vende a partes externas ( software como servicio ). Esto se ve reforzado aún más por la evidencia que muestra que la botnet Srizbi ejecuta múltiples lotes de spam a la vez; Se pueden observar bloques de direcciones IP enviando diferentes tipos de spam en cualquier momento. Una vez que a un usuario se le ha otorgado acceso, puede utilizar el software para crear el mensaje que desea enviar, probar su puntuación SpamAssassin y luego enviarlo a todos los usuarios en una lista de direcciones de correo electrónico.

Ha surgido la sospecha de que el escritor del programa Reactor Mailer podría ser la misma persona responsable del troyano Srizbi, ya que el análisis del código muestra una huella digital que coincide entre los dos programas. Si esta afirmación es cierta, entonces este codificador bien podría ser responsable del troyano detrás de otra botnet, llamada Rustock . Según Symantec , el código utilizado en el troyano Srizbi es muy similar al código encontrado en el troyano Rustock, y bien podría ser una versión mejorada de este último. [22]

troyano srizbi

El troyano Srizbi es el programa del lado del cliente responsable de enviar spam desde las máquinas infectadas. Al troyano se le atribuye ser extremadamente eficiente en esta tarea, lo que explica por qué Srizbi es capaz de enviar volúmenes tan elevados de spam sin tener una gran ventaja numérica en el número de ordenadores infectados.

Además de tener un motor de spam eficiente, el troyano también es muy capaz de ocultarse tanto del usuario como del sistema, incluido cualquier producto diseñado para eliminar el troyano del sistema. El troyano en sí se ejecuta completamente en modo kernel y se ha observado que emplea tecnologías rootkit para evitar cualquier forma de detección. [23] Al parchear los controladores del sistema de archivos NTFS , el troyano hará que sus archivos sean invisibles tanto para el sistema operativo como para cualquier usuario humano que utilice el sistema. El troyano también es capaz de ocultar el tráfico de red que genera conectando directamente controladores NDIS y TCP/IP a su propio proceso, una característica actualmente exclusiva de este troyano. Se ha demostrado que este procedimiento permite al troyano eludir tanto la protección del firewall como la del sniffer proporcionada localmente en el sistema. [22]

Una vez que el bot esté en su lugar y operativo, se comunicará con uno de los servidores codificados de una lista que lleva consigo. Luego, este servidor proporcionará al bot un archivo zip que contiene una cantidad de archivos necesarios para que el bot inicie su negocio de spam. Se han identificado los siguientes archivos para descargar:

  1. 000_data2- dominios del servidor de correo
  2. 001_ncommall- lista de nombres
  3. 002_senderna- lista de posibles nombres de remitentes
  4. 003_sendersu- lista de posibles apellidos del remitente
  5. config- Archivo de configuración principal de spam
  6. message- Mensaje HTML para spam
  7. mlist- Direcciones de correo de los destinatarios
  8. mxdata- Datos de registro MX

Cuando se hayan recibido estos archivos, el bot primero inicializará una rutina de software que le permitirá eliminar archivos críticos para revelar spam y aplicaciones rootkit . [22] Una vez realizado este procedimiento, el troyano comenzará a enviar el mensaje de spam que recibió del servidor de control.

Incidentes

La botnet Srizbi ha sido la base de varios incidentes que han recibido cobertura mediática. Varios de los más notables se describirán a continuación aquí. Esta no es de ninguna manera una lista completa de incidentes, sino sólo una lista de los más importantes.

El incidente de "Ron Paul"

En octubre de 2007, varias empresas antispam notaron que estaba surgiendo una inusual campaña de spam político. A diferencia de los mensajes habituales sobre relojes falsificados, acciones o agrandamiento del pene, el correo contenía información promocional sobre el candidato presidencial estadounidense Ron Paul . El bando de Ron Paul desestimó el spam por no estar relacionado con la campaña presidencial oficial. Un portavoz dijo a la prensa: "Si es cierto, podría haberlo hecho un partidario bien intencionado pero equivocado o alguien con malas intenciones que intenta avergonzar a la campaña. De cualquier manera, se trata de un trabajo independiente y no tenemos ninguna conexión". [24]

Finalmente se confirmó que el spam provenía de la red Srizbi. [25] A través de la captura de uno de los servidores de control involucrados, [26] los investigadores descubrieron que el mensaje de spam había sido enviado a hasta 160 millones de direcciones de correo electrónico por tan solo 3.000 computadoras bot. El spammer sólo ha sido identificado por su identificador de Internet "nenastnyj" (Ненастный, significa "lluvioso" o "mal", como en "día lluvioso, mal tiempo" en ruso); su verdadera identidad no ha sido determinada.

El spam malicioso triplica su volumen en una semana

En la semana del 20 de junio de 2008, Srizbi logró triplicar el número de spam malicioso enviado de un promedio del 3% al 9,9%, en gran parte gracias a su propio esfuerzo. [27] Esta ola de spam en particular fue un intento agresivo de aumentar el tamaño de la botnet Srizbi mediante el envío de correos electrónicos a los usuarios advirtiéndoles que habían sido grabados en vídeo desnudos. [28] El envío de este mensaje, que es un tipo de spam denominado "Tema estúpido", fue un intento de lograr que las personas hicieran clic en el enlace malicioso incluido en el correo, antes de darse cuenta de que lo más probable es que este mensaje fuera spam . Si bien es antigua, esta técnica de ingeniería social sigue siendo un método probado de infección para los spammers.

El tamaño de esta operación muestra que el poder y los ingresos monetarios de una botnet dependen estrechamente de su capacidad de spam: más computadoras infectadas se traducen directamente en mayores ingresos para el controlador de la botnet. También muestra el poder que tienen las botnets para aumentar su propio tamaño, principalmente utilizando una parte de su propia fuerza en números. [29]

Reubicación del servidor

Después de la eliminación de los servidores de control alojados por McColo a finales de noviembre de 2008, el control de la botnet se transfirió a servidores alojados en Estonia . Esto se logró mediante un mecanismo en el caballo de Troya que consultaba un conjunto de nombres de dominio generados algorítmicamente , uno de los cuales fue registrado por las personas que controlaban la botnet. La empresa estadounidense de seguridad informática FireEye, Inc. mantuvo el sistema fuera del alcance de los controladores durante un período de dos semanas registrando de forma preventiva los nombres de dominio generados, pero no estaba en condiciones de mantener este esfuerzo. Sin embargo, la actividad de spam se redujo considerablemente después de esta transferencia del servidor de control. [30]

Ver también

Referencias

  1. ^ Jackson Higgins, Kelly (8 de mayo de 2008). "Srizbi Botnet envía más de 60 mil millones de spam al día". Lectura oscura . Consultado el 20 de julio de 2008 . [ enlace muerto ]
  2. ^ abc Pauli, Darren (8 de mayo de 2008). "Srizbi Botnet establece nuevos récords de spam". Mundo PC . Consultado el 20 de julio de 2008 .
  3. ^ Kovacs, Eduard (28 de agosto de 2014). "Los ciberdelincuentes intentan revivir la botnet de spam Srizbi". Semana de la seguridad . Consultado el 5 de enero de 2016 .
  4. ^ "El spam va en aumento después de un breve respiro". Noticias de la BBC . 2008-11-26 . Consultado el 23 de mayo de 2010 .
  5. ^ Popa, Bogdan (10 de abril de 2008). "Conozca a Srizbi, la botnet más grande de todos los tiempos". Softpedia . Consultado el 20 de julio de 2008 .
  6. ^ E. Dunn, John (13 de mayo de 2008). "Srizbi se convierte en la botnet más grande del mundo". OSC en línea . Consultado el 20 de julio de 2008 .
  7. ^ "Estadísticas de spam de TRACE". Mariscal. 13 de julio de 2008 . Consultado el 20 de julio de 2008 .
  8. ^ "Troyano.Srizbi". Symantec. 23 de julio de 2007. Archivado desde el original el 5 de julio de 2007 . Consultado el 20 de julio de 2008 .
  9. ^ "Trojano Troj/RKAgen-A (Rootkit.Win32.Agent.ea, Trojan.Srizbi) - Análisis de seguridad de Sophos". Sofos. Agosto de 2007 . Consultado el 20 de julio de 2008 .
  10. ^ ab Stewart, Joe. "Dentro de la botnet de spam" Ron Paul "". Secureworks.com . Trabajos seguros . Consultado el 9 de marzo de 2016 .
  11. ^ Higgins, Kelly Jackson (7 de abril de 2008). "Nueva botnet masiva dos veces más grande que una tormenta". darkreading.com . Londres, Reino Unido: UBM plc . Consultado el 9 de enero de 2014 .
  12. ^ Higgins, Kelly Jackson (8 de mayo de 2008). "Srizbi Botnet envía más de 60 mil millones de spam al día". darkreading.com . Londres, Reino Unido: UBM plc . Consultado el 9 de enero de 2014 .
  13. ^ "Sistema de reputación en Internet". Fuente confiable. 2013-09-17 . Consultado el 9 de enero de 2014 .
  14. ^ "Kraken, ¿no es nuevo pero sigue siendo de interés periodístico? - Weblog de F-Secure: noticias del laboratorio". F-secure.com. 2008-04-09 . Consultado el 9 de enero de 2014 .
  15. ^ Keizer, Gregg (5 de julio de 2007). "Mpack instala un troyano ultra-invisible". Mundo de la informática. Archivado desde el original el 22 de mayo de 2008 . Consultado el 20 de julio de 2008 .
  16. ^ Blog, TRACE (7 de marzo de 2008). "Srizbi utiliza ataques multifacéticos para difundir malware". Mariscal Limitado . Consultado el 20 de julio de 2008 .
  17. ^ McKenzie, Gray (25 de junio de 2008). "Srizbi Botnet es en gran parte responsable del reciente fuerte aumento del spam". Ciberseguridad Nacional. Archivado desde el original el 28 de agosto de 2008 . Consultado el 20 de julio de 2008 .
  18. ^ "El spam de Srizbi utiliza celebridades como señuelos". Blog TRAZA. 20 de febrero de 2008 . Consultado el 20 de julio de 2008 .
  19. ^ Keizer, Gregg (10 de junio de 2007). "Los piratas informáticos comprometen 10.000 sitios y lanzan un ataque 'fenomenal'". Mundo de la informática. Archivado desde el original el 16 de mayo de 2008 . Consultado el 20 de julio de 2008 .
  20. ^ Keizer, Gregg (22 de junio de 2007). "Los sitios pornográficos ofrecen ataques Mpack". Mundo de la informática. Archivado desde el original el 16 de mayo de 2008 . Consultado el 20 de julio de 2008 .
  21. ^ "Espiar redes de bots es cada vez más difícil". Enfoque de seguridad. 12 de octubre de 2006 . Consultado el 20 de julio de 2008 .
  22. ^ abc Hayashi, Kaoru (29 de junio de 2007). "Spam del kernel: malware de kernel completo instalado por MPack". Symantec . Consultado el 20 de julio de 2008 .[ enlace muerto ]
  23. ^ Dan Goodin (11 de febrero de 2009). "Microsoft lleva las tijeras a Srizbi". San Francisco: El Registro . Consultado el 10 de febrero de 2009 .
  24. ^ Cheng, Jacqui (31 de octubre de 2007). "Investigadores: correos electrónicos de la campaña de Ron Paul procedentes de robots de spam". Técnica ARS . Consultado el 20 de julio de 2008 .
  25. ^ Paul, Ryan (6 de diciembre de 2007). "Los investigadores rastrean el spam de Ron Paul hasta la botnet Reactor". Técnica ARS . Consultado el 20 de julio de 2008 .
  26. ^ Stewart, Joe. "Dentro de la botnet de spam" Ron Paul "". Secureworks.com . Trabajos seguros . Consultado el 9 de marzo de 2016 .
  27. ^ Salek, Negar (25 de junio de 2008). "Una de las mayores amenazas para los usuarios de Internet en la actualidad: Srizbi". Revista SC. Archivado desde el original el 29 de junio de 2008 . Consultado el 20 de julio de 2008 .
  28. ^ "La verdad desnuda sobre la botnet Srizbi". Proteger el blog de formulario web. 19 de mayo de 2008. Archivado desde el original el 24 de octubre de 2010 . Consultado el 20 de julio de 2008 .
  29. ^ Walsh, Sue (27 de junio de 2008). "El volumen de spam se triplica en una semana". Todo enviado como spam . Consultado el 20 de julio de 2008 .
  30. ^ Keizer, Gregg (26 de noviembre de 2008). "Una botnet masiva regresa de entre los muertos y comienza a enviar spam". Mundo de la informática . Archivado desde el original el 26 de marzo de 2009 . Consultado el 24 de enero de 2009 .