This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

¿Cómo un chico normal IT ayudó a atrapar a un criminal cibernético botnet

Filed Under: Botnet, Featured, Law & order, Malware

El veterano investigador de delitos informáticos Bob Burls mira hacia atrás en un caso en que la diligencia de un chico de TI ayudó a condenar a un botmaster que había hecho decenas de miles de dólares.

No es suficiente que las autoridades de descubrir quién está detrás de un ataque de malware. Para asegurar una condena éxito, también es necesario que las víctimas informan que un crimen ha tenido lugar.

En el siguiente caso demuestra, cualquier miembro del público que utilizan ordenador podría ser la pieza fundamental del rompecabezas que ayuda a provocar la caída de un cibercriminal.

IT chico con protector de bolsillo. Imagen de Shutterstock

En noviembre de 2006, una pieza particularmente agresivo de malware llegó a conocimiento de la Unidad de Scotland Yard de Delitos Informáticos. El malware en cuestión era un IRCBot, con propiedades similares a gusanos detectados por Sophos como W32/Vanebot-R .

Un examen detallado de los programas maliciosos reveló que utilizan varios vectores de propagación para propagarse:

  • Servidores MS SQL "protegido" por contraseñas débiles
  • Recursos compartidos de red
  • Existe una vulnerabilidad de seguridad crítica en el servicio de servidor de Microsoft que podría permitir la ejecución remota de código ( MS06-040 )
  • Mensajería instantánea

El análisis reveló que el tiempo de ejecución del malware conectado a un servidor de IRC en el mang.smokedro.com dominio.

El malware conecta a un servidor IRC

El solicitante de registro de dominio para smokedro.com se muestra a continuación:

John Durst
2307 E 23rd St
Ciudad de Panamá
Florida 32405
Estados Unidos

gunit@gmail.com

(Tenga en cuenta que todas las cuentas de correo de Google requiere nombres de usuario para tener un mínimo de seis caracteres - por lo que el hecho de que la dirección de correo electrónico asociada a la domaim sólo cuenta con cinco marcas al instante sospechoso)

Sin embargo, no era un problema que había que superar antes de que una investigación podría ser iniciado.

El malware no se había tenido noticia de la policía a través de una denuncia, y con el fin de iniciar una investigación es necesario determinar si el malware se ha distribuido y que había sido puesto en libertad en la naturaleza.

Como resultado de ello, la policía estableció contacto con los expertos de SophosLabs de malware, y preguntó si algún cliente había sido alcanzado por el malware.

Sophos confirmó que había recibido muestras de malware desde sitios de los clientes, e inició el contacto con un profesional de TI ("Chris" - no es su nombre real), una de las empresas.

Como resultado, "Chris" contactó a la policía y describió cómo el malware ha afectado a la red de su empresa.

"Chris" trabajaba para una empresa de fabricación global con presencia en el Reino Unido y varios países europeos, así como de los Estados Unidos. El malware se había extendido a través de la red europea de la compañía que afecta a recursos compartidos de red y la generación de una alta incidencia de tráfico de red.

El profesional de TI tenía, por fortuna, conserva ejemplares de malware, además de los registros del incidente. Hasta este momento, el incidente no se había informado a las autoridades de cualquier víctima de un delito.

La compañía golpeado por el malware afirmó que había infectado a un número significativo de los equipos en su red europea.

Police officer, courtesy of Shutterstock A medida que el dominio del servidor smokedro.com había sido registrada en los Estados Unidos, Reino Unido, la policía no tenía poder para iniciar una investigación en Estados Unidos.

Por lo tanto, el Servicio Secreto de Estados Unidos fue notificado formalmente y comenzó una investigación conjunta entre las autoridades estadounidenses y británicas.

Este incidente constituyó delitos comprendidos en la Sección 3 de la Ley de Abusos Informáticos de 1990 en el Reino Unido, la modificación no autorizada de un ordenador.

La Ley Federal de los EE.UU. aplicables en este caso era delitos bajo el Título 18 del Código de Estados Unidos, Sección 1030 (a) (5); intencional que causa daños a una computadora protegida.

Un agente del Servicio Secreto de EE.UU. envió una solicitud oficial para el registro de dominios que informó de que el solicitante de registro fue un hombre de 21 años llamado Robert Matthew Bentley de la Ciudad de Panamá, Florida, que le había dado la dirección de correo electrónico de registro que contiene el @ lsdigital nombre y un contacto de facturación de acuerdo con lo que ocurrió para que sea su nombre real en Gmail.

Tras el trámite de las solicitudes adicionales, incluyendo órdenes de registro federales, el Servicio Secreto fue capaz de confirmar que Bentley fue LSDigital.

También reveló las comunicaciones entre Bentley y Renta Dollar, una compañía de software publicitario con sede en Holanda que pagar los afiliados para poner su software en los equipos vulnerables.

Bentley fue aparentemente benefician de infectar ordenadores mediante la participación en un programa de afiliación adware.

ingresos en dólares

"Los ingresos Dollar ofrece grandes pagos por instalación y convierte el tráfico de Internet desde cualquier país en el ingreso real. No hay mejor manera de convertir su tráfico en dinero!"

¿Qué es un plan de afiliación adware?

Empresas afiliadas adware pagar una pequeña cantidad de dinero cada vez que se instala el programa de adware en el ordenador.

Una persona que se registre como afiliado y se envía una pieza única de adware ligada a su pertenencia referencia.

Los programas de adware suelen incluir una invitación para descargar e instalar un programa gratuito que es atractivo para el usuario final.

Cada vez que se instala un programa de adware en el ordenador se transmite la referencia de pertenencia a la empresa adware y el afiliado se le paga una cantidad en función de la ubicación del equipo que oscila entre 0,30 dólares EE.UU. y 0,01 dólares EE.UU..

Dólar tasas de ingresos de pago por ordenador en los diferentes países

Esta cantidad relativamente pequeña de dinero se acumula a medida que más instalaciones de los programas de adware únicos afiliados están instalados.

Por ejemplo, si cada equipo dentro de una red de bots equipo fuerte 1000 se dirige a instalar el adware afiliado, el botmaster recibirá 1000 las tarifas de instalación, dependiendo de la ubicación geográfica de los ordenadores infectados.

Por lo tanto, si todos los ordenadores infectados se encontraban en Canadá, por ejemplo, el botmaster recibiría EE.UU. $ 200.

Este tipo de actividad afiliación fue visto como uno de los primeros modelos de botnets monetizar.

En 2007, las telecomunicaciones holandés OPTA Regulador multa Dollar ingresos un millón de euros a partir de la instalación del adware en 22 millones de computadoras.

Los esfuerzos concienzudos por "Chris" el chico de TI en la empresa víctima, quien para entonces había hecho una denuncia formal del delito, no sólo había preservado la evidencia, manteniendo copia de la IRCBot pero había ayudado en la identificación del alcance de los daños causado por el malware.

A medida que el testigo tenía archivos de registros de su anti-virus software fue posible analizarlos y determinar la propagación del malware, cuando se propaga a través de la red de la empresa. Esta información es fundamental para determinar el impacto y el alcance de la actividad maliciosa.

La conclusión de la Dependencia Común de la delincuencia informática y la Policía Metropolitana de investigación de los Estados Unidos Servicio Secreto fue:

  • Robert Bentley había registrado el dominio mang.smokedro.com, que se ha configurado con un servidor IRC y había controlado una botnet.
  • Las computadoras infectadas se conecten al servidor IRC en mang.smokedro.com se dirigieron secretamente instalar programas publicitarios procedentes de ingresos en dólares, se codifica con referencia membresía de Bentley.
  • Bentley se había beneficiado de pagos ilícitos de Ingresos Dollar

dólar-memory-dump

El 6 de marzo de 2008, Robert Matthew Bentley se declaró culpable de conspiración para cometer fraude informático y fraude informático, en contra del título 18 del Código de Estados Unidos, Sección 1030 y fue condenado a 41 meses, y dijo que pagar multas por valor de EE.UU. $ 65.000.

Comunicado de prensa sobre la convicción de Bentley

Este relato es un buen ejemplo de cómo la industria de TI, proveedores de seguridad y los organismos de aplicación de la ley pueden colaborar, compartir información y trabajar juntos con el fin de llevar a los delincuentes ante la justicia.

Nunca hay que subestimar la importancia de denunciar un delito informático a las autoridades - aunque se sospecha que el autor puede basarse mucho en el extranjero. Su informe podría hacer toda la diferencia.

Para saber más:

Seguridad Naked agradece la asistencia de la Oficina de Distrito Norte de Florida abogado de Estados Unidos y el Servicio Secreto de los Estados Unidos con este artículo.

El oficial de policía y tipo de TI con protector de bolsillo imágenes de Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Bob Burls is a UK-based IT Security consultant who has extensive experience in Computer Incident Response, the investigation of malicious code and other aspects of internet abuse following over a decade of serving as a Detective on the Metropolitan Police Computer Crime Unit, the NHTCU and the PCeU.