This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Como um cara de TI regulares ajudou pegar um botnet cibercriminoso

Filed Under: Botnet, Featured, Law & order, Malware

Veterano cibercrime investigador Bob burls olha para trás em um caso em que a diligência de um cara de TI ajudou a condenar um botmaster que havia feito dezenas de milhares de dólares.

Não é o suficiente para as autoridades para descobrir quem está por trás de um ataque de malware. Para garantir uma condenação de sucesso, também é necessário para que as vítimas relatam que um crime tenha ocorrido.

Como o caso a seguir demonstra, qualquer membro do público computador usando poderia ser a peça fundamental do quebra-cabeça que ajuda a provocar a queda de um cibercriminoso.

Cara de TI com protetor de bolso. Imagem da Shutterstock

Em novembro de 2006, um pedaço de malware particularmente agressivo chegou ao conhecimento do Crime da Scotland Yard Computer Unit. O malware em questão era um IRCBot, com verme-como propriedades detectados pela Sophos como W32/Vanebot-R .

Um exame detalhado do malware revelou que ele usou vários vetores de propagação espalhar:

  • Servidores MS SQL "protegido" por senhas fracas
  • Compartilhamentos de rede
  • Uma vulnerabilidade de segurança crítica no Microsoft Server Service que pode permitir a execução remota de código ( MS06-040 )
  • Instant Messaging

A análise revelou que o tempo de execução de malwares conectado a um servidor de IRC à mang.smokedro.com domínio.

O malware conectado a um servidor de IRC

O registante domínio para smokedro.com foi mostrado como:

John Durst
2307 E 23rd St
Cidade do Panamá
Florida 32405
United States

gunit@gmail.com

(Note-se que todas as contas de correio do Google exigem nomes para ter um mínimo de seis caracteres - para o fato de que o endereço de e-mail associado com a domaim só tem cinco marcas instantaneamente suspeito)

No entanto, havia um problema que precisava ser superado antes que uma investigação poderia ser iniciada.

O malware não havia chegado ao conhecimento da polícia através de uma denúncia, e, a fim de iniciar uma investigação, foi necessário determinar se o malware foi já distribuído, tinha sido liberado na natureza.

Como resultado, a polícia contatou os especialistas de malware no SophosLabs, e perguntou se algum cliente havia sido atingido pelo malware.

Sophos confirmou que tinha recebido amostras de malware de sites de clientes, e iniciou contato com um profissional de TI ("Chris" - nome fictício), uma das empresas.

Como resultado, "Chris" contatou a polícia e descreveu como o malware afetou rede de sua empresa.

"Chris" trabalhou para uma empresa de fabricação global com presença no Reino Unido e em vários países europeus, bem como os Estados Unidos. O malware se espalhou em toda a rede europeia da empresa afetando compartilhamentos de rede e gerando uma alta incidência de tráfego de rede.

O profissional de TI teve, por sorte, manteve cópias do malware, além de registros do incidente. Até este ponto, o incidente não tinha sido comunicado às autoridades por qualquer vítima de crime.

A empresa atingiu pelo malware alegou que havia infectado um número significativo dos computadores em sua rede europeia.

Police officer, courtesy of Shutterstock Como o domínio do servidor smokedro.com haviam sido registradas nos Estados Unidos, Reino Unido polícia não tinha poder para iniciar uma investigação na América.

Assim, os Estados Unidos Serviço Secreto foi formalmente notificado e uma investigação conjunta envolvendo as autoridades americanas e britânicas começaram.

Este incidente constituiu infracções abrangidas pela Secção 3 da Computer Misuse Act de 1990, no Reino Unido; modificação não autorizada de um computador.

Os EUA Lei Federal aplicável neste caso foi crimes ao abrigo do Título 18 do Código dos Estados Unidos, Seção 1030 (a) (5); intencionalmente causar danos a um computador protegido.

Uma EUA Agente do serviço secreto enviou um pedido oficial ao registro de domínio, que informou que o requerente era um homem de 21 anos chamado Robert Matthew Bentley de Panama City, Flórida, que tinha fornecido o endereço de email de inscrição contendo o @ lsdigital nome e um contato de cobrança em que transpirou para ser seu verdadeiro nome no Gmail.

Após o serviço de pedidos adicionais, incluindo mandados de busca federais, o Serviço Secreto foi capaz de confirmar que a Bentley foi LSDigital.

Ele também revelou as comunicações entre Bentley e Receita Dólar, uma empresa de adware com sede na Holanda que paga afiliados para colocar seu software em computadores vulneráveis.

Bentley foi aparentemente lucrando infectar computadores através da participação em um esquema de afiliação adware.

dólar de receitas

"Receita Dólar oferece alto retorno, por instalação e converte o tráfego de internet de algum país em renda real. Não há melhor maneira de converter seu tráfego em dinheiro!"

O que é um esquema da filial adware?

Empresas de adware afiliados pagar uma pequena quantia de dinheiro cada vez que seu programa de adware é instalado em um computador.

Uma pessoa assina-se como uma filial e é enviada uma única peça de adware amarrado a sua referência adesão.

Programas de adware geralmente incluem um convite para baixar e instalar um programa gratuito que é atraente para o usuário final.

Toda vez que um programa de adware é instalado em um computador de referência associação é transmitida para a empresa adware e a filial é paga uma quantia, dependendo da localização do computador que variam entre US $ 0,30 e EUA EUA US $ 0,01.

Dólar taxas Receita de pagamento por computador em diferentes países

Esta quantidade relativamente pequena de dinheiro se acumula como mais instalações dos programas de adware únicas afiliados estão instalados.

Por exemplo, se cada computador dentro de um computador botnet 1000 forte é dirigida para instalar o adware filial, o botmaster receberá 1000 taxas de instalação, dependendo da localização geográfica dos computadores infectados.

Assim, se todos os computadores infectados estavam no Canadá, por exemplo, o botmaster receberia EUA $ 200.

Este tipo de atividade filiação foi visto como um dos primeiros modelos de monetização botnets.

Em 2007, o holandês Telecomunicações Regulador OPTA multado Dólar Receita um milhão de euros após a instalação de adware em 22 milhões de computadores.

Os esforços conscienciosos por "Chris" o cara de TI na empresa vítima, que teve por este tempo fez uma acusação formal de crime, não só preservou a prova por manter cópia do IRCBot mas tinha ajudado na identificação do escopo de danos causado pelo malware.

Como a testemunha tinha arquivos de logs seu software anti-vírus, foi possível analisá-los e determinar a propagação do malware como propagado através da rede da empresa. Esta informação foi crucial para determinar o impacto e alcance da atividade maliciosa.

A conclusão da Unidade de Polícia Metropolitana conjunta Crime Informático e Estados Unidos investigação do Serviço Secreto era:

  • Robert Bentley havia registrado o domínio mang.smokedro.com, que foi configurado com um servidor de IRC e tinha controlado uma botnet.
  • Computadores infectados conectando ao servidor de IRC em mang.smokedro.com foram secretamente dirigido para instalar adware originário da Receita dólar, codificados com referência Bentley adesão.
  • Bentley tinha lucrado de pagamentos ilícitos da Receita Dólar

dólar-memória-dump

Em 6 de março de 2008, Robert Matthew Bentley declarou culpado de conspiração para cometer fraude informática e fraude de computador, ao contrário do Título 18 do Código dos Estados Unidos, Seção 1030 e foi sentenciado a 41 meses de prisão, e disse a pagar multas no valor de EUA $ 65.000.

Nota de imprensa sobre a convicção da Bentley

Essa conta é um excelente exemplo de como a indústria de TI, fornecedores de segurança e agências de aplicação da lei podem colaborar, compartilhar informações e trabalhar em conjunto para trazer criminosos à justiça.

Nunca subestime a importância de relatar um crime de computador para as autoridades - mesmo se você suspeita que o autor do crime pode ser baseada tanto no exterior. Seu relatório poderia fazer toda a diferença.

Outras leituras:

Segurança nu agradece a assistência do Distrito Norte do Office Flórida advogado de Estados Unidos e Reino Unido Serviço Secreto dos Estados com este artigo.

Policial e cara de TI com pocket protector imagens da Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Bob Burls is a UK-based IT Security consultant who has extensive experience in Computer Incident Response, the investigation of malicious code and other aspects of internet abuse following over a decade of serving as a Detective on the Metropolitan Police Computer Crime Unit, the NHTCU and the PCeU.