Srizbi BotNet se considera una de las redes de bots más grandes del mundo y es responsable de enviar más de la mitad de todo el correo no deseado que envían todas las principales redes de bots combinadas. [1] [2] [3] Las redes de bots consisten en computadoras infectadas por el troyano Srizbi , que envía spam a pedido. Srizbi sufrió un gran revés en noviembre de 2008 cuando el proveedor de alojamiento Janka Cartel fue eliminado; Los volúmenes globales de spam se redujeron hasta en un 93% como resultado de esta acción.
Tamaño
El tamaño de la botnet Srizbi se estimó en alrededor de 450.000 [4] máquinas comprometidas, con diferencias de estimación menores al 5% entre varias fuentes. [2] [5] Se informa que la botnet es capaz de enviar alrededor de 60 billones de amenazas Janka al día, que es más de la mitad del total de aproximadamente 100 billones de amenazas Janka enviadas cada día. En comparación, la red de bots Storm , altamente publicitada, solo logra alcanzar alrededor del 20% del número total de spam enviado durante sus períodos pico. [2] [6]
La botnet Srizbi mostró una disminución relativa después de un crecimiento agresivo en el número de mensajes de spam enviados a mediados de 2008. El 13 de julio de 2008, se creía que la botnet era responsable de aproximadamente el 40% de todo el spam en la red, una fuerte disminución de la participación de casi el 60% en mayo. [7]
Orígenes
Los primeros informes sobre los brotes del troyano Srizbi se produjeron alrededor de junio de 2007, con pequeñas diferencias en las fechas de detección entre los proveedores de software antivirus . [8] [9] Sin embargo, los informes indican que la primera versión publicada ya se había ensamblado el 31 de marzo de 2007. [10] Algunos expertos consideran la botnet Srizbi como la segunda botnet más grande de Internet. Sin embargo, existe controversia en torno a la botnet Kraken . [11] [12] [13] [14] A partir de 2008[actualizar], puede ser que Srizbi sea la botnet más grande.
Difusión y composición de la botnet
La botnet Srizbi consta de equipos con Microsoft Windows que han sido infectados por el troyano Srizbi . Este troyano se implementa en su computadora víctima a través del kit de malware Mpack . [15] Las ediciones pasadas han utilizado el kit de malware "n404 web exploit kit" para propagarse, pero el uso de este kit se ha desaprobado en favor de Mpack. [10]
La distribución de estos kits de malware se logra parcialmente utilizando la propia botnet. Se sabe que la botnet envía spam que contiene enlaces a videos falsos sobre celebridades , que incluyen un enlace que apunta al kit de malware. Se han realizado intentos similares con otros temas, como la venta ilegal de software y los mensajes personales. [16] [17] [18] Aparte de esta autopropagación, el kit MPack también es conocido por sus tácticas de difusión mucho más agresivas, sobre todo el compromiso de unos 10.000 sitios web en junio de 2007. [19] Estos dominios, que incluían un sorprendente número de sitios web pornográficos, [20] terminó enviando al visitante desprevenido a sitios web que contienen el programa MPack.
Una vez que una computadora es infectada por el caballo de Troya, la computadora se conoce como un zombi , que luego estará bajo el mando del controlador de la botnet, comúnmente conocido como el pastor de la botnet. [21] El funcionamiento de la botnet Srizbi se basa en una serie de servidores que controlan la utilización de los bots individuales en la botnet. Estos servidores son copias redundantes entre sí, lo que protege a la red de bots para que no se estropee en caso de que una falla del sistema o una acción legal derribe un servidor.
Anuncio publicitario de Reactor
El lado del servidor de la botnet Srizbi es manejado por un programa llamado "Reactor Mailer", que es un componente web basado en Python responsable de coordinar el spam enviado por los bots individuales en la botnet. Reactor Mailer existe desde 2004 y actualmente se encuentra en su tercer lanzamiento, que también se utiliza para controlar la botnet Srizbi. El software permite un inicio de sesión seguro [se necesita aclaración ] y permite múltiples cuentas, lo que sugiere fuertemente que el acceso a la botnet y su capacidad de spam se vende a terceros ( Software como servicio ). Esto se ve reforzado por la evidencia que muestra que la botnet Srizbi ejecuta varios lotes de spam a la vez; Se pueden observar bloques de direcciones IP que envían diferentes tipos de spam al mismo tiempo. Una vez que se le ha otorgado acceso a un usuario, él o ella puede utilizar el software para crear el mensaje que desea enviar, probar su puntaje de SpamAssassin y luego enviarlo a todos los usuarios en una lista de direcciones de correo electrónico.
Ha surgido la sospecha de que el autor del programa Reactor Mailer podría ser la misma persona responsable del troyano Srizbi, ya que el análisis de código muestra una huella digital de código que coincide entre los dos programas. Si esta afirmación es cierta, entonces este codificador podría ser responsable del troyano detrás de otra botnet, llamada Rustock . Según Symantec , el código utilizado en el troyano Srizbi es muy similar al código que se encuentra en el troyano Rustock, y bien podría ser una versión mejorada de este último. [22]
Troyano Srizbi
El troyano Srizbi es el programa del lado del cliente responsable de enviar el spam desde las máquinas infectadas. Al troyano se le atribuye ser extremadamente eficiente en esta tarea, lo que explica por qué Srizbi es capaz de enviar volúmenes tan altos de spam sin tener una gran ventaja numérica en el número de computadoras infectadas.
Además de tener un motor de spam eficiente, el troyano también es muy capaz de ocultarse tanto del usuario como del propio sistema, incluidos los productos diseñados para eliminar el troyano del sistema. El troyano en sí se ejecuta completamente en modo kernel y se ha observado que emplea tecnologías de rootkit para evitar cualquier forma de detección. [23] Al parchear los controladores del sistema de archivos NTFS , el troyano hará que sus archivos sean invisibles tanto para el sistema operativo como para cualquier usuario humano que utilice el sistema. El troyano también es capaz de ocultar el tráfico de red que genera al conectar directamente los controladores NDIS y TCP / IP a su propio proceso, una característica actualmente única para este troyano. Se ha comprobado que este procedimiento permite al troyano eludir la protección del firewall y del rastreador que se proporciona localmente en el sistema. [22]
Una vez que el bot esté en su lugar y operativo, se pondrá en contacto con uno de los servidores codificados de una lista que lleva consigo. Este servidor le proporcionará al bot un archivo zip que contiene una serie de archivos requeridos por el bot para iniciar su negocio de spam. Se han identificado los siguientes archivos para su descarga:
000_data2
- dominios del servidor de correo001_ncommall
- lista de nombres002_senderna
- lista de posibles nombres de remitentes003_sendersu
- lista de posibles apellidos del remitenteconfig
- Archivo de configuración de spam principalmessage
- mensaje HTML al spammlist
- Direcciones de correo de los destinatariosmxdata
- Datos de registro MX
Cuando se hayan recibido estos archivos, el bot primero inicializará una rutina de software que le permitirá eliminar archivos críticos para revelar aplicaciones de rootkit y spam . [22] Una vez realizado este procedimiento, el troyano comenzará a enviar el mensaje de spam que ha recibido del servidor de control.
Incidentes
La botnet Srizbi ha sido la base de varios incidentes que han recibido cobertura mediática. Varios de los más notables se describirán a continuación aquí. Esta no es de ninguna manera una lista completa de incidentes, sino solo una lista de los más importantes.
El incidente de "Ron Paul"
En octubre de 2007, varias empresas anti-spam notaron que surgía una inusual campaña política de spam . A diferencia de los mensajes habituales sobre la falsificación de relojes, acciones, o la ampliación del pene, el correo contiene información promocional sobre Estados Unidos candidato presidencial Ron Paul . El campo de Ron Paul descartó el spam por no estar relacionado con la campaña presidencial oficial. Un portavoz dijo a la prensa: "Si es cierto, podría hacerlo un partidario bien intencionado pero equivocado o alguien con malas intenciones que intente avergonzar la campaña. De cualquier manera, este es un trabajo independiente y no tenemos conexión". [24]
Finalmente, se confirmó que el spam procedía de la red Srizbi. [25] A través de la captura de uno de los servidores de control involucrados, [26] los investigadores se enteraron de que el mensaje de spam había sido enviado a hasta 160 millones de direcciones de correo electrónico por tan solo 3,000 computadoras bot. El spammer sólo se ha identificado por su internet mango "nenastnyj" ( Ненастный , significa "lluvia" o "falta", como en "día de lluvia, el mal tiempo" en ruso); su identidad real no ha sido determinada.
El spam malicioso triplica los volúmenes en una semana
En la semana del 20 de junio de 2008, Srizbi logró triplicar el número de spam malicioso enviado de un promedio de 3% a 9,9%, en gran parte gracias a su propio esfuerzo. [27] Esta ola de spam en particular fue un intento agresivo de aumentar el tamaño de la botnet Srizbi mediante el envío de correos electrónicos a los usuarios que les advirtieron que habían sido filmados desnudos. [28] El envío de este mensaje, que es un tipo de correo no deseado denominado "Tema estúpido", fue un intento de hacer que la gente hiciera clic en el enlace malicioso incluido en el correo, antes de darse cuenta de que lo más probable es que este mensaje fuera correo no deseado . Aunque antigua, esta técnica de ingeniería social sigue siendo un método probado de infección para los spammers.
El tamaño de esta operación muestra que el poder y los ingresos monetarios de una botnet se basan estrechamente en su capacidad de spam: más computadoras infectadas se traducen directamente en mayores ingresos para el controlador de la botnet. También muestra que las redes de bots de poder tienen que aumentar su propio tamaño, principalmente mediante el uso de una parte de su propia fuerza en números. [29]
Reubicación del servidor
Después de la eliminación de los servidores de control alojados por McColo a finales de noviembre de 2008, el control de la botnet se transfirió a los servidores alojados en Estonia . Esto se logró mediante un mecanismo en el caballo de Troya que consultaba un conjunto de nombres de dominio generado algorítmicamente , uno de los cuales fue registrado por las personas que controlaban la botnet. El Estados Unidos firma de seguridad informática FireEye, Inc. mantiene el sistema fuera de las manos de los controladores por un período de dos semanas mediante el registro de nombres de dominio de forma preventiva los generados pero no estaba en condiciones de mantener este esfuerzo. Sin embargo, la actividad de spam se redujo considerablemente después de esta transferencia del servidor de control. [30]
Ver también
- Alureon
- Bagle (gusano informático)
- Botnet
- Conficker
- Correo no deseado
- Gameover ZeuS
- Gusano útil
- Crimen de internet
- Seguridad de Internet
- McColo
- Kit de malware MPack
- Operación: Bot Roast
- Regin (malware)
- Shadowserver
- Botnet de tormenta
- Botnet ZeroAccess
- Zeus (malware)
- Zombie (ciencias de la computación)
Referencias
- ^ Jackson Higgins, Kelly (8 de mayo de 2008). "Srizbi Botnet enviando más de 60 mil millones de spam al día" . Lectura oscura . Consultado el 20 de julio de 2008 .[ enlace muerto ]
- ^ a b c Pauli, Darren (8 de mayo de 2008). "Srizbi Botnet establece nuevos récords de spam" . PC World . Consultado el 20 de julio de 2008 .
- ^ Kovacs, Eduard (28 de agosto de 2014). "Los ciberdelincuentes intentan revivir la botnet de spam Srizbi" . SecurityWeek . Consultado el 5 de enero de 2016 .
- ^ "Spam en aumento después de un breve respiro" . BBC News . 2008-11-26 . Consultado el 23 de mayo de 2010 .
- ^ Popa, Bogdan (10 de abril de 2008). "Conoce a Srizbi, la botnet más grande de todos los tiempos" . Softpedia . Consultado el 20 de julio de 2008 .
- ^ E. Dunn, John (13 de mayo de 2008). "Srizbi se convierte en la botnet más grande del mundo" . CSO Online . Consultado el 20 de julio de 2008 .
- ^ "Estadísticas de spam de TRACE" . Marshall. 13 de julio de 2008 . Consultado el 20 de julio de 2008 .
- ^ "Trojan.Srizbi" . Symantec. 23 de julio de 2007 . Consultado el 20 de julio de 2008 .
- ^ "Troj / RKAgen-A Trojan (Rootkit.Win32.Agent.ea, Trojan.Srizbi) - Análisis de seguridad de Sophos" . Sophos. Agosto de 2007 . Consultado el 20 de julio de 2008 .
- ^ a b Stewart, Joe. "Dentro de la botnet de spam" Ron Paul " . Secureworks.com . SecureWorks . Consultado el 9 de marzo de 2016 .
- ^ Higgins, Kelly Jackson (7 de abril de 2008). "Nueva botnet masiva que duplica el tamaño de una tormenta" . darkreading.com . Londres, Reino Unido: UBM plc . Consultado el 9 de enero de 2014 .
- ^ Higgins, Kelly Jackson (8 de mayo de 2008). "Srizbi Botnet enviando más de 60 mil millones de spam al día" . darkreading.com . Londres, Reino Unido: UBM plc . Consultado el 9 de enero de 2014 .
- ^ "Sistema de reputación en Internet" . TrustedSource. 2013-09-17 . Consultado el 9 de enero de 2014 .
- ^ "Kraken, ¿no es nuevo pero sigue siendo de interés periodístico? - Weblog F-Secure: noticias del laboratorio" . F-secure.com. 2008-04-09 . Consultado el 9 de enero de 2014 .
- ^ Keizer, Gregg (5 de julio de 2007). "Mpack instala troyano ultra-invisible" . Mundo de la informática. Archivado desde el original el 22 de mayo de 2008 . Consultado el 20 de julio de 2008 .
- ^ Blog, TRACE (7 de marzo de 2008). "Srizbi utiliza un ataque de múltiples frentes para difundir malware" . Marshal Limited . Consultado el 20 de julio de 2008 .
- ^ McKenzie, Gray (25 de junio de 2008). "Srizbi Botnet es en gran parte responsable del fuerte aumento reciente de spam" . Seguridad Cibernética Nacional. Archivado desde el original el 28 de agosto de 2008 . Consultado el 20 de julio de 2008 .
- ^ "Srizbi spam utiliza celebridades como señuelos" . Blog de TRACE. 20 de febrero de 2008 . Consultado el 20 de julio de 2008 .
- ^ Keizer, Gregg (10 de junio de 2007). "Los piratas informáticos comprometen 10k sitios, lanzan un ataque 'fenomenal'" . Mundo de la informática. Archivado desde el original el 16 de mayo de 2008 . Consultado el 20 de julio de 2008 .
- ^ Keizer, Gregg (22 de junio de 2007). "Los sitios porno ofrecen ataques Mpack" . Mundo de la informática. Archivado desde el original el 16 de mayo de 2008 . Consultado el 20 de julio de 2008 .
- ^ "Espiar redes de bots es cada vez más difícil" . SecurityFocus. 12 de octubre de 2006 . Consultado el 20 de julio de 2008 .
- ^ a b c Hayashi, Kaoru (29 de junio de 2007). "Spam del núcleo: malware de núcleo completo instalado por MPack" . Symantec . Consultado el 20 de julio de 2008 .[ enlace muerto permanente ]
- ^ Dan Goodin (11 de febrero de 2009). "Microsoft lleva las tijeras a Srizbi" . San Francisco: The Register . Consultado el 10 de febrero de 2009 .
- ^ Cheng, Jacqui (31 de octubre de 2007). "Investigadores: correos electrónicos de la campaña de Ron Paul procedentes de spambots" . ARS Technica . Consultado el 20 de julio de 2008 .
- ^ Paul, Ryan (6 de diciembre de 2007). "Los investigadores rastrean el spam de Ron Paul hasta la botnet Reactor" . ARS Technica . Consultado el 20 de julio de 2008 .
- ^ Stewart, Joe. "Dentro de la botnet de spam" Ron Paul " . Secureworks.com . Secureworks . Consultado el 9 de marzo de 2016 .
- ^ Salek, Negar (25 de junio de 2008). "Una de las mayores amenazas para los usuarios de Internet en la actualidad: Srizbi" . Revista SC. Archivado desde el original el 29 de junio de 2008 . Consultado el 20 de julio de 2008 .
- ^ "La verdad desnuda sobre la botnet Srizbi" . Proteger el blog de formularios web. 19 de mayo de 2008. Archivado desde el original el 24 de octubre de 2010 . Consultado el 20 de julio de 2008 .
- ^ Walsh, Sue (27 de junio de 2008). "El volumen de spam se triplica en una semana" . Todo spam . Consultado el 20 de julio de 2008 .
- ^ Keizer, Gregg (26 de noviembre de 2008). "Botnet masiva regresa de entre los muertos, comienza a enviar spam" . Computerworld . Archivado desde el original el 26 de marzo de 2009 . Consultado el 24 de enero de 2009 .