This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Как регулярно ИТ-парень помог поймать злоумышленника ботнета

Filed Under: Botnet, Featured, Law & order, Malware

Ветеран киберпреступности следователя Боб капа вспоминает о случае, когда экспертиза ИТ-парень помогли осудить бот-мастер, который сделал десятки тысяч долларов.

Это не достаточно для властей выяснить, кто стоит за вредоносные атаки. Для обеспечения успешного убеждению, это также необходимо для жертвы сообщают , что преступление имело место.

В следующий случай наглядно демонстрирует, любой член компьютер-на общественном может быть важная часть головоломки, которая помогает привести к падению злоумышленника.

IT парень с карманными защитника. Изображение из Shutterstock

В ноябре 2006 года особенно агрессивны вредоносная программа пришла в уведомлении блока компьютера преступности Скотланд-Ярда. Вредоносных программ в вопрос был IRCBot, с червеобразные свойства обнаружены Sophos как W32/Vanebot-R .

Внимательное изучение вредоносных программ показал, что он использовал различные векторы распространения распространяться:

  • MS SQL сервера "защищенный" от слабых паролей
  • Сеть акции
  • Критическую уязвимость в службе Server Microsoft, что делает возможным удаленное выполнение кода ( MS06-040 )
  • Система мгновенных сообщений

Время анализ показал, что вредоносная программа подключена к серверу IRC в области mang.smokedro.com.

Вредоносного подключен к серверу IRC

Регистрации домена для smokedro.com было показано, как:

Джон Durst
2307 E 23rd St
Панама-Сити
Флорида 32405
Соединенные Штаты

gunit@gmail.com

(Заметим, что все учетные записи Google Mail требуют имя пользователя, чтобы иметь не менее шести символов - так то, что адрес электронной почты, связанный с domaim только пять делает это мгновенно подозрительно)

Тем не менее, существует проблема, которую необходимо преодолеть, прежде чем расследование может быть начато.

Вредоносного не пришел до сведения полиции с помощью утверждения, и для того, чтобы начать расследование было необходимо для определения вредоносных программ были распространены и были выпущены в дикую природу.

В результате, полиция связалась с вредоносным эксперты SophosLabs, и спросил, если клиенты были пострадавших от вредоносных программ.

Sophos подтвердил, что он получил образцы вредоносных программ с сайтов клиентов, и инициировал контакты с ИТ-специалиста ("Крис" - не его настоящее имя) в одной из фирм.

В результате, "Крис" связался с полицией и рассказал, как вредоносная программа повлияла сети своей компании.

"Крис" работал на глобальном производственная компания с присутствием в Великобритании и различных европейских стран, а также Соединенных Штатов. Вредоносного распространился по всей европейской сети компании, влияющие сетевых ресурсов и создания высокой частотой сетевого трафика.

ИТ-специалистов был, по счастью, сохранили копии вредоносной программы в дополнение к журналам инцидента. До этого момента инцидента не было сообщено в органы власти любого жертвой преступления.

Компания поражены вредоносным утверждал, что он инфицирован значительное число компьютеров, на своей европейской сети.

Police officer, courtesy of Shutterstock В области smokedro.com сервер был зарегистрирован в Соединенных Штатах, Великобритании полиция не было власти, чтобы начать расследование в Америке.

Таким образом, Секретная служба Соединенных Штатов была официально уведомлена и совместного расследования с участием американских и британских властей начались.

Этот инцидент составил преступлений, подпадающих под статьи 3 Закона о неправомерном использовании компьютерных 1990 года в Великобритании; несанкционированной модификации компьютера.

Закон Федеральной применимо в данном случае была преступлений в соответствии с раздела 18 Свода законов США, раздел 1030 () (5); умышленное повреждение защищаемого компьютера.

Секретная служба США агент направил официальный запрос регистратора доменов который сообщил, что регистрацию был 21-летний мужчина по имени Роберт Мэтью Бентли Панама-Сити, штат Флорида, который поставляется регистрации адресов электронной почты, содержащее @ имя и lsdigital платежный контакта при каких выяснилось, что его настоящее имя в Gmail.

После службы дополнительных запросов, в том числе Федеральной ордеров на обыск, Секретная служба смогла подтвердить, что Bentley была LSDigital.

Он также показал связь между Bentley и доллар дохода, рекламные компании, базирующейся в Нидерландах, которые платили членские организации размещать свои программы на уязвимые компьютеры.

Bentley видимо прибыль от заражения компьютеров, приняв участие в схеме принадлежности рекламного ПО.

доллар доходов

"Доллар доходов предлагает высокие выплаты за установку и преобразует интернет-трафик из любой страны в реальные доходы. Существует нет лучшего способа конвертировать трафик в деньги!"

Что такое схема рекламного партнера?

Партнерская компаний рекламное заплатить небольшую сумму денег каждый раз, когда их рекламная программа установлена ​​на компьютер.

Человек подписывает в качестве партнера и отправляется уникальный кусок рекламного связано с их членством ссылки.

Adware программы часто включают в себя приглашение скачать и установить бесплатную программу, которая является привлекательной для конечного пользователя.

Каждый раз, когда рекламная программа установлена ​​на компьютер членства ссылкой передается в компанию рекламное ПО и партнерской выплачивается сумма в зависимости от местоположения компьютера в диапазоне между 0,30 долл. США и 0,01 долл. США.

Доллар доходов выплата ставки за компьютером в разных странах

Это относительно небольшая сумма денег накапливается в виде нескольких установок уникальные рекламные программы партнерской установлены.

Например, если каждый компьютер в 1000-сильным ботнет компьютеров направлено на установку рекламных филиал; бот-мастер будет получать 1000 сборов установки, в зависимости от географического положения зараженных компьютеров.

Таким образом, если все зараженные компьютеры были в Канаде, например, бот-мастер будет получать 200 долларов США.

Этот тип принадлежность деятельность рассматривается как одна из первых моделей монетизации ботнетов.

В 2007 году голландский Телекоммуникации регулятор OPTA оштрафовал доллар дохода в один миллион евро после установки рекламного ПО на 22 млн компьютеров.

Добросовестных усилий "Крис" IT парня в жертву компании, которые к этому времени сделал официальное заявление о преступлении, не только сохранились свидетельства, сохраняя копию IRCBot но оказала помощь в идентификации масштабы ущерба вызванные вредоносными программами.

В качестве свидетеля был архивы журналов своим антивирусным программным обеспечением можно было проанализировать их и определить распространение вредоносных программ, распространяющихся через его сеть компании. Эта информация имеет решающее значение при определении воздействия и ряд вредоносных действий.

Заключение совместной митрополит блок компьютера полиции преступности и Секретная служба США исследования было:

  • Роберт Бентли был зарегистрирован домен mang.smokedro.com, который был настроен на сервере IRC и контролировал ботнет.
  • Зараженные компьютеры, подключенные к IRC серверу mang.smokedro.com были тайно направлены на установку рекламных происходящих из доллара дохода, закодированные с членством ссылкой Bentley.
  • Bentley получил прибыль от незаконных выплат из доходов доллар

Доллар-памяти свалку

6 марта 2008 года Роберт Мэтью Бентли признал себя виновным в заговоре с целью совершения мошенничества компьютеров и компьютерного мошенничества, в отличие от раздела 18 Свода законов США, раздел 1030 и был приговорен к тюремному заключению 41 месяцев, и сказали, чтобы заплатить штрафы на сумму US $ 65,000.

Пресс-релиз об осуждении Бентли

Эта учетная запись является ярким примером того, как ИТ-индустрии, поставщиками безопасности и правоохранительные органы могут сотрудничать, обмениваться информацией и совместно работать в целях привлечения правонарушителей к ответственности.

Никогда не стоит недооценивать важность представления компьютерных преступлений к власти - даже если вы подозреваете, что преступник может быть основан далеко за рубежом. Ваш отчет может сделать все различие.

Дополнительная литература:

Naked Security выражает благодарность за помощь со стороны Северного округа штата Флорида офис прокурора Соединенных Штатов и Секретной службы Соединенных Штатов в этой статье.

Офицер полиции и ИТ-парень с карманными защита изображений от Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Bob Burls is a UK-based IT Security consultant who has extensive experience in Computer Incident Response, the investigation of malicious code and other aspects of internet abuse following over a decade of serving as a Detective on the Metropolitan Police Computer Crime Unit, the NHTCU and the PCeU.