This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

일반 IT 남자가 cybercriminal 봇넷을 잡는 데 도움 방법

Filed Under: Botnet, Featured, Law & order, Malware

베테랑 사이버 범죄 수사관 밥 Burls는 IT 사람의 근면은 달러의 수만을했습니다 botmaster에게 유죄 판결을 도와 사건을 다시 본다.

그것은 당국이 악성 코드 공격 배후에 누가 있는지 발견하기 충분하지 않아. 피해자하기 위해 성공적으로 유죄 판결을 확보하기 위해 또한 필요한 보고 범죄 사항이 적용되었는지.

다음과 같은 경우이 설명에 따라, 컴퓨터를 사용하고 공공의 회원은 cybercriminal의 몰락을 가져 데 도움이 퍼즐의 중요한 조각이 될 수 있습니다.

포켓 프로텍터와 IT가 남자. Shutterstock에서 이미지

2006 년 11 월에 악성 코드의 특히 공격적인 조각이 스코틀랜드 야드의 컴퓨터 범죄 단위의 통지 하였다. 문제의 악성 코드는 소포스 (Sophos)에 의해 감지 웜과 같은 속성, IRCBot했다 W32/Vanebot-R .

악성 코드의 닫기 시험은 확산 위해 다양한 전파 벡터를 사용하여이 밝혀 :

  • MS SQL 서버는 취약한 암호에 의해 "보호"
  • 네트워크 공유
  • 원격 코드 실행을 허용 할 수 Microsoft 서버 서비스의 중요 보안 취약점 ( MS06-040 )
  • 인스턴트 메시징

런타임 분석은 악성 코드가 도메인 mang.smokedro.com에서 IRC 서버에 연결된 밝혔다.

악성 코드는 IRC 서버에 연결

smokedro.com의 도메인 등록자는 다음과 같이 표시되었습니다

존 더스트
2307 E 23번째 세인트
파나마 시티
플로리다 32405
미국

gunit@gmail.com

(모든 Google 메일 계정 사용자 이름은 6 자의 최소이 필요합니다 - domaim과 연결된 이메일 주소 만이 즉시 의심스러운 다섯 차종이되도록 사실을)

그러나, 조사가 시작되기 전에 극복 할 필요 문제가 발생했습니다.

악성 코드는 주장을 통해 경찰의 통보에 와서하지 않았 있으며,이 악성 코드가 배포 된 및 야생으로 출시 된 여부를 확인 할 필요 조사를 시작하기 위해 인치

그 결과, 경찰은 SophosLabs에서 악성 코드 전문가에게 연락, 모든 고객이 악성 코드의 공격을 받았다면 물었다.

소포스 (Sophos)는 고객 사이트에서 악성 코드의 샘플을받은 것을 확인하고, IT 전문가 ( "크리스"-하지 진짜 이름)과 접촉을 시작 회사 중 하나에서.

그 결과, "크리스는"경찰에 연락하고 악성 코드가 회사의 네트워크에 영향을 얼마나 설명했다.

"크리스는"뿐만 아니라 미국과, 영국과 유럽 각국에서 존재와 글로벌 제조 회사에 근무했습니다. 악성 코드는 회사의 유럽 네트워크가 네트워크 공유에 영향을 미치는 네트워크 트래픽의 높은 발생률을 생성 전체에 퍼집니다.

IT 전문가는 행운에 의해 가지고 사건의 로그에 추가 악성 코드의 복사본을 유지. 최대이 시점까지이 사건은 범죄의 피해자가 당국에보고되지 않았다.

악성 코드에 의해 공격이 회사는 유럽 네트워크에 컴퓨터의 많은 수를 감염했다고 주장했다.

Police officer, courtesy of Shutterstock smokedro.com 서버 도메인이 미국에서 등록 된 바와 같이, 영국 경찰은 미국에서 조사를 시작 할 힘이 없었다.

그래서, 미국 경호 국이 공식적으로 통지하고 미국과 영국 당국을 포함한 공동 조사가 시작되었다.

이번 사건은 영국에서 법 1990 컴퓨터 오용 제 3 항에 따라 떨어지는 범죄를 형성, 컴퓨터의 무단 변경.

이 경우 해당 미국 연방 법률 제 473 조 18 미국 코드, 제 1030 (A) (5)에서 범죄이었고, 고의적으로 보호 컴퓨터에 손상을 입었습니다.

미국 비밀 서비스 에이전트는 등록이 이름 lsdigital의 @와를 포함하는 등록 이메일 주소를 제공 한 파나마 시티의 로버트 매튜 벤틀리, 플로리다라는 이름의 21 세 남성이라고보고 도메인 등록에 공식 요청을 보냈습니다 무엇에 따라 결제 연락처는 Gmail의 진짜 이름으로 일어난.

연방 수색 영장 등의 추가 요청의 서비스에 이어, 비밀 검찰 국은 벤틀리가 LSDigital이라고 확인 할 수있었습니다.

또한 벤틀리와 달러 수익, 취약한 컴퓨터에 소프트웨어를 배치 할 계열사를 지불하는 네덜란드에 본사를 둔 애드웨어 회사 간의 통신을 공개했다.

벤틀리는 분명 애드웨어 제휴 제도에 참가하여 컴퓨터를 감염함으로써 수익을 얻는되었습니다.

달러 수익

"달러 수익은 설치 당 높은 판매 대금를 제공하며, 실제 소득에 어떤 나라에서 인터넷 트래픽을 변환합니다. 돈으로 트래픽을 변환하는 더 좋은 방법이 없습니다!"

애드웨어 제휴 계획은 무엇입니까?

제휴 애드웨어 업체들은 돈을 소량의 애드웨어 프로그램이 컴퓨터에 설치되어 때마다 비용을 지불합니다.

사람은 제휴사로서 서명 및 회원 기준에 연결된 애드웨어의 독특한 조각을 전송됩니다.

애드웨어 프로그램은 종종 최종 사용자에게 매력적입니다 무료 프로그램을 다운로드하여 설치 할 수있는 초대장이 포함되어 있습니다.

회원 참조가 애드웨어 회사와 제휴로 전송됩니다 애드웨어 프로그램이 컴퓨터에 설치되어있는 모든 시간은 US $ 0.30와 US $ 0.01 사이에 이르기까지 컴퓨터의 위치에 따라 금액을 지급됩니다.

다른 나라의 컴퓨터 당 달러 수익 지급 요금

고유 제휴 애드웨어 프로그램보다 설치가 설치되어있는대로 돈이 상대적으로 적은 금액 축적.

예를 들어, 1000 강력한 컴퓨터 봇넷에서 각 컴퓨터가 제휴 애드웨어를 설치하는 지향, botmaster는 감염된 컴퓨터의 지리적 위치에 따라 1000 설치 비용을 받게됩니다.

감염된 컴퓨터의 모든 캐나다에있을 경우, 예를 들어, botmaster은 미화 200 달러를받을 것이다.

제휴 활동의 유형은 monetising 봇넷의 첫 번째 모델 중 하나로 보였다.

2007 년, 네덜란드어 통신 레귤레이터 OPTA는 달러 수익 백만 유로의 벌금 22,000,000 컴퓨터에 애드웨어의 설치에 따라합니다.

"크리스"로 양심적 노력이 시간에 있었던 피해자 회사의 IT 남자가 범죄의 공식 주장을 만들었 만 IRCBot의 사본을 보관하여 증거를 보존하지 않았하지만 손상의 범위를 식별에 도움을했다 악성 코드로 인한.

목격자가 안티 바이러스 소프트웨어의 로그 아카이브되고 있었다이 그들을 분석하고 회사 네트워크를 통해 전파로 악성 코드의 확산을 결정하는 것이 가능했습니다. 이 정보는 악의적 인 활동의 영향과 범위를 결정하는 중요한했습니다.

공동 경시청 컴퓨터 범죄 단위와 미국 경호 국 조사의 결론은 다음과 같습니다

  • 로버트 벤틀리는 IRC 서버로 구성되었으며, 봇넷을 제어 한 도메인 mang.smokedro.com을 등록했다.
  • mang.smokedro.com의 IRC 서버에 연결 감염된 컴퓨터는 은밀히 벤틀리의 회원을 참조하여 코딩 달러 수익에서 발생하는 애드웨어를 설치하도록 지시했다.
  • 벤틀리는 달러 수익에서 불법 결제 금액에서 이득을했다

달러 메모리 덤프

2008년 3월 6일에서 로버트 매튜 벤틀리는 제목 18 미국 코드, 제 1030에 위배 컴퓨터 사기 및 컴퓨터 사기, 음모에 대해 유죄 인정 41 개월 징역을 선고 받았다, 미국 6만5천달러 to amounting 벌금을 지불했다.

벤틀리의 유죄 판결에 대한 자료를 누르십시오

이 계정은 IT 업계, 보안 업체 및 법 집행 기관이 정보를 공유 협력과 정의에 범죄자를 데려을 위해 함께 할 수있는 방법의 주요 예입니다.

당국에 컴퓨터 범죄 신고의 중요성을 과소 평가하지 마십시오 - 당신은 가해자가 지금까지 해외 기반으로 될 수 있다는 의심 경우에도 마찬가지입니다. 보고서는 모든 차이를 만들 수 있습니다.

추가 자료 :

누드 보안 감사하여이 문서에있는 플로리다 미국의 변호사 사무실과 미국의 비밀 서비스의 북부 지구에서 도움을 인정합니다.

경찰IT 포켓 프로텍터를 가진 사람 Shutterstock에서 이미지.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Bob Burls is a UK-based IT Security consultant who has extensive experience in Computer Incident Response, the investigation of malicious code and other aspects of internet abuse following over a decade of serving as a Detective on the Metropolitan Police Computer Crime Unit, the NHTCU and the PCeU.