Как регулярно ИТ-парень помог поймать злоумышленника ботнета

Это не достаточно для властей выяснить, кто стоит за вредоносные атаки. Для обеспечения успешного убеждению, это также необходимо для жертвы сообщают , что преступление имело место.

В следующий случай наглядно демонстрирует, любой член компьютер-на общественном может быть важная часть головоломки, которая помогает привести к падению злоумышленника.

В ноябре 2006 года особенно агрессивны вредоносная программа пришла в уведомлении блока компьютера преступности Скотланд-Ярда. Вредоносных программ в вопрос был IRCBot, с червеобразные свойства обнаружены Sophos как W32/Vanebot-R .

Внимательное изучение вредоносных программ показал, что он использовал различные векторы распространения распространяться:

• MS SQL сервера "защищенный" от слабых паролей
• Сеть акции
• Критическую уязвимость в службе Server Microsoft, что делает возможным удаленное выполнение кода ( MS06-040 )
• Система мгновенных сообщений

Время анализ показал, что вредоносная программа подключена к серверу IRC в области mang.smokedro.com.

Регистрации домена для smokedro.com было показано, как:

Джон Durst
2307 E 23rd St
Панама-Сити
Флорида 32405
Соединенные Штаты

gunit@gmail.com

(Заметим, что все учетные записи Google Mail требуют имя пользователя, чтобы иметь не менее шести символов - так то, что адрес электронной почты, связанный с domaim только пять делает это мгновенно подозрительно)

Тем не менее, существует проблема, которую необходимо преодолеть, прежде чем расследование может быть начато.

Вредоносного не пришел до сведения полиции с помощью утверждения, и для того, чтобы начать расследование было необходимо для определения вредоносных программ были распространены и были выпущены в дикую природу.

В результате, полиция связалась с вредоносным эксперты SophosLabs, и спросил, если клиенты были пострадавших от вредоносных программ.

Sophos подтвердил, что он получил образцы вредоносных программ с сайтов клиентов, и инициировал контакты с ИТ-специалиста ("Крис" - не его настоящее имя) в одной из фирм.

В результате, "Крис" связался с полицией и рассказал, как вредоносная программа повлияла сети своей компании.

"Крис" работал на глобальном производственная компания с присутствием в Великобритании и различных европейских стран, а также Соединенных Штатов. Вредоносного распространился по всей европейской сети компании, влияющие сетевых ресурсов и создания высокой частотой сетевого трафика.

ИТ-специалистов был, по счастью, сохранили копии вредоносной программы в дополнение к журналам инцидента. До этого момента инцидента не было сообщено в органы власти любого жертвой преступления.

Компания поражены вредоносным утверждал, что он инфицирован значительное число компьютеров, на своей европейской сети.

В области smokedro.com сервер был зарегистрирован в Соединенных Штатах, Великобритании полиция не было власти, чтобы начать расследование в Америке.

Таким образом, Секретная служба Соединенных Штатов была официально уведомлена и совместного расследования с участием американских и британских властей начались.

Этот инцидент составил преступлений, подпадающих под статьи 3 Закона о неправомерном использовании компьютерных 1990 года в Великобритании; несанкционированной модификации компьютера.

Закон Федеральной применимо в данном случае была преступлений в соответствии с раздела 18 Свода законов США, раздел 1030 () (5); умышленное повреждение защищаемого компьютера.

Секретная служба США агент направил официальный запрос регистратора доменов который сообщил, что регистрацию был 21-летний мужчина по имени Роберт Мэтью Бентли Панама-Сити, штат Флорида, который поставляется регистрации адресов электронной почты, содержащее @ имя и lsdigital платежный контакта при каких выяснилось, что его настоящее имя в Gmail.

После службы дополнительных запросов, в том числе Федеральной ордеров на обыск, Секретная служба смогла подтвердить, что Bentley была LSDigital.

Он также показал связь между Bentley и доллар дохода, рекламные компании, базирующейся в Нидерландах, которые платили членские организации размещать свои программы на уязвимые компьютеры.

Bentley видимо прибыль от заражения компьютеров, приняв участие в схеме принадлежности рекламного ПО.

"Доллар доходов предлагает высокие выплаты за установку и преобразует интернет-трафик из любой страны в реальные доходы. Существует нет лучшего способа конвертировать трафик в деньги!"

Добросовестных усилий "Крис" IT парня в жертву компании, которые к этому времени сделал официальное заявление о преступлении, не только сохранились свидетельства, сохраняя копию IRCBot но оказала помощь в идентификации масштабы ущерба вызванные вредоносными программами.

В качестве свидетеля был архивы журналов своим антивирусным программным обеспечением можно было проанализировать их и определить распространение вредоносных программ, распространяющихся через его сеть компании. Эта информация имеет решающее значение при определении воздействия и ряд вредоносных действий.

Заключение совместной митрополит блок компьютера полиции преступности и Секретная служба США исследования было:

• Роберт Бентли был зарегистрирован домен mang.smokedro.com, который был настроен на сервере IRC и контролировал ботнет.
• Зараженные компьютеры, подключенные к IRC серверу mang.smokedro.com были тайно направлены на установку рекламных происходящих из доллара дохода, закодированные с членством ссылкой Bentley.
• Bentley получил прибыль от незаконных выплат из доходов доллар

6 марта 2008 года Роберт Мэтью Бентли признал себя виновным в заговоре с целью совершения мошенничества компьютеров и компьютерного мошенничества, в отличие от раздела 18 Свода законов США, раздел 1030 и был приговорен к тюремному заключению 41 месяцев, и сказали, чтобы заплатить штрафы на сумму US $ 65,000.

Эта учетная запись является ярким примером того, как ИТ-индустрии, поставщиками безопасности и правоохранительные органы могут сотрудничать, обмениваться информацией и совместно работать в целях привлечения правонарушителей к ответственности.

Никогда не стоит недооценивать важность представления компьютерных преступлений к власти - даже если вы подозреваете, что преступник может быть основан далеко за рубежом. Ваш отчет может сделать все различие.

Дополнительная литература:

• Как сообщают фишинг-атаки
• Как сообщают SQL инъекций нападение сайт
• Как сообщают несанкционированный доступ к учетной записи электронной почты
• Как сообщить поддельные анти-вирусные атаки
• Как сообщить о нападении компьютер вредоносных программ

Naked Security выражает благодарность за помощь со стороны Северного округа штата Флорида офис прокурора Соединенных Штатов и Секретной службы Соединенных Штатов в этой статье.

_{Офицер полиции и ИТ-парень с карманными защита изображений от Shutterstock.}