Srizbi botnet

Srizbi BotNet je považován za jeden z největších botnetů, jaký kdy existoval. Byl zodpovědný za odesílání více než poloviny veškeré nevyžádané pošty, kterou poslali všechny velké botnety. Když byl v  listopadu 2008 vypnut,  globální objem nevyžádané pošty se podle některých odhadů snížil až o 93%.

Botnet se skládal z počítačů infikovaných trojským koněm Srizbi, které na příkaz z command and control serverů rozesílal spam. Odhadovaný počet zombie počítačů se odhaduje na 450 tisíc. Ty za den byly schopné odeslat až 60 trilionů spamu. Podle některých bezpečnostních expertů byl Srizbi druhou největší botnetovou hrozbou internetu po botnetu Kraken.

Neví se přesně, kdy vlastně Srzbi botnet začal fungovat. Bezpečnostní reporty společností zaměřených na bezpečnostní hrozby se různí . První zmínky jsou z 31. března 2007, ovšem k masivnímu šíření začalo až v červnu 2007. Největšího rozmachu dosáhl o rok později.

Srizbi botnet byl složený se zombie počítačů napadených trojským koněm Srizbi. Ten se do počítačů oběti dostal pomocí Mpack malware kit. Předchozí verze používaly n404 web exploit kit, ten však byl později nahrazen právě Mpack malware kit.

O distribuci malware se staral samotný botnet. Využíval se k tomu spam, který sliboval choulostivá videa celebrit. Ovšem odkazy vedli právě na malware kit. Další verze pak zkoušela lákat na ilegální software a soukromé zprávy. V čevnu 2007 se však také objevilo více jak 10 tisíc napadených webů. Zajímavé je, že se jednalo převážně o weby pro dospělé.

O rozesílání spamu se staral program nazvaný Reactor Mailer, který byl napsaný v Pythonu. Comand and Control server pomocí něj koordinoval odeslání spamu přes jednotlivé zombie počítače. Jen pro zajímavost první verze Reactor Mailer byla vydána v roce 2004. Bezpečnostní experti analýzou programu zjistili, že umožňoval šifrované přihlášení různých lidí. Proto se také domnívají že spamovací potenciál botnetu Srizbi mohl být předprodáván třetím stranám.

Dlouhou dobu také panovalo podezření, že by za botnetem mohl být samotný tvůrce Reactor Mailer. Bezpečnostní experti totiž v samotném kódu botnetu a Reactor Mailer našli určité podobnosti. Symantec dokonce vyslovil podezření, že by tato osoba mohla být i za dalším botnetem Rustock, který používal podobný kód jen daleko vyspělejší.

Samotný trojský kůň Srizbi byl bezpečnostními experty označován za velice jednoduchý, přesto však efektivní. Spouštěl se v kernel mode a dostal se až do root, čímž velice snížil možnost detekce. Dokázal upravit NTSF ovladače filesystému, tak že byly jeho soubory pro operační systém neviditelné. Úspěšně se mu také dařilo maskovat svůj síťový provoz. Ke svému procesu přímo připojil ovladače NDIS a TCP/IP, což je pro trojské koně unikátní. Takto byly přenosy neviditelné pro firewall a různé sniffery, které jsou provozovány lokálně.

Jakmile se dostal do systému a úspěšně v něm zabydlel, tak kontaktoval command and control severy, které byly zapsané v jeho zdrojovém kódu. Ty mu poslaly soubor komprimovaný v .zip. Ten obsahoval vše potřebné, aby mohl začít se spamováním.

Botnet utrpěl velkou ránu, když byly v listopadu  2008 vyřazeny jeho command and control servery v datacentru McColo v San José. Tehdy poklesl počet rozesílaného spamu celosvětově o 75 %. Provozovatelé botnetu se jej pokusili přestěhovat do Estonska. To se jim mělo povést díky složitým mechanizmům, které využívaly sérii generovaných domén. Společnosti FireEye, Inc. se však podařilo přijít na to jak tento mechanizmus funguje a domény si registrovali. Paralyzovali tak celý botnet na více jak dva týdny. Poté aktivita značně ustala. Předpokládá se, že část botnetu přežila a zombie počítače převzal jiný botnet.

Share Button

Tento článek byl byl přečten 191 krát

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *