Mariposa botnet - The End
בימים האחרונים פורסמו הפרטים של חקירת ה-FBI וחברת Panda Security שבסופה נעצרו שלושת האחראים על
רשת הבוטים Mariposa.
רשת הבוטים Mariposa ("פרפר" בספרדית) הורכבה מכמעט 13 מליון מחשבים ממעל 190 מדינות שונות.
דרכי התפוצה שלה כללו דרכים להפצה ברשתות שיתופים קבצים (P2P), הדבקת התקני USB והנדסה חברתית-
שליחת הודעות דרך חשבונות ה-MSN על המחשבים הנגועים המכילות קישורים לעמודים אינטרנט הנגועים בקוד
זדוני המוריד למחשב את התולעת.
לאחר פריסת התולעת על המחשב, היא מורידה לעמדה הנגועה מספר כלים שיוצריה כתבו לגניבת מידע מהמערכת,
כגון Back-Doors, גרסאות של התולעת ZeuS (המבצעות מתקפות כגון Man-in-the-Browser על אתרי בנקים
גדולים), תוכנות Keyloggers ועוד רבות ורעות.
כותבי התולעת ניצלו אותה בכדי להרוויח כספים בשלל דרכים, אם זה בעזרת הקפצת פרסומות למשתמשים
במחשבים, מכירת חלקים מבוטים שלהם לרשתות Botnets אחרות, אם זה מכירת פרטי אשראי/חשבונות בנק
שנגנבו וכו'
החבר'ה מ-Defence Intelligence פרסמו באוקטובר 2009 ניתוח מרשים על התולעת וחודש שעבר (פברואר)
עדכנו אותו במידע נוסף, מי שמעוניין יוכל למצוא אותו בקישור הזה.
לפי הניתוח אפשר לראות שכותביה השתמשו במספר שרתים ציבורים כגון Rapidshare בכדי לאכסן את הכלים
שלהם, והמידע עבר בפרוטוקול יעודי שנכתב עבור התולעת המבוסס על תקשורת UDP מוצפנת.
בכדי לבצע את מתקפות ה-DDoS שלהם, הם השתמשו בכלי בשם BlackEnergy, ניתוח שלו בוצע ע"י מספר
חברים מ-Arbor Networks ואפשר לקרוא אותו בקישור הזה. - מומלץ!
החבר'ה שנהלו את רשת התולעים הזאת קראו לעצמם "DDP Team" שזה קיצור של "Nightmare Days"
בספרדית.
לפי הדיווח של Theregister הבריטי, החבר'ה היו מתחברים לשרת ה-Command & Contol של התולעת דרך
חיבורי VPN בכדי להקשות על רשויות החוק לעקוב אחריהם.
לפי דברי Luis Corrons שפורסמו בבלוג של Panda Labs, הם הצליחו לעצור את הפעילות של התולעת בעזרת
שינוי ערכי רשומות ה-DNS שאליהן פנו המחשבים הנגועים וכך הצליחו לנתק את המחשבים הנגועים משרת השליטה
של מנהלי הרשת.
מהלך זה גרם לאחד ממנהלי רשת הבוטים המכונה "Netkairo" להתחבר לשרת הבקרה של התולעת בכדי לנסות
להבין את הסיבה והסתבר שהוא עשה זאת מביתו. לאחר שה-FBI גילו זאת הם ביצעו Tracing פשוט דרך חברת
ה-ISP ופשטו על ביתו בספרד.
מניתוח שבוצע למחשבו עלו ממצאים אשר הפלילו עוד שני שותפים: Jonyloleante ו-Ostiator (ספרדים גם הם).
שניהם נעצרו בסוף חודש שעבר.
בגליון האחרון (השישי) פרסמנו מאמר בשם "Botnets - מה זאת החיה הזאת?!" שנכתב ע"י cp77fk4r המסביר
על עולם ה-Botnets, מומלץ לקרוא!
תגובות על 'Mariposa botnet - The End':
#1 |
inHaze (אורח): מגניב! אחרי כתיבת תולעת כזו, לא מצפים לטעות כזאת של חובבן. 05.03.2010 01:09:18 | |
#2 |
m1ch43l1014 (אורח): אחלה סיקור :] ותודה על הקישורים [= 05.03.2010 13:24:53 | |
#3 |
cp77fk4r: בבקשה. מומלץ מאוד לקרוא את שני הניתוחים, אפשר ללמוד מהם המון! ו-inHaze, כל אחד עושה טעויות, השאלה מתי, כמה ומי עולה עליהן ;) 05.03.2010 22:07:47 | |
#4 |
The5elEm3nT (אורח): פוסט מעולה! תודה על המידע והקישורים :) 06.03.2010 08:45:52 | |
#5 |
גדגךל (אורח): מעניין מאוד, וגם היה גילון מצוין קבלו ח"ח ותמשיכו ככה! 08.03.2010 15:53:21 | |
#6 |
cp77fk4r: תודה רבה. 08.03.2010 22:51:02 | |
#7 |
micro (אורח): כתבה מצויינת תמשיכו העבודה הטובה 10.03.2010 21:08:14 | |
#8 |
cp77fk4r: יש מצב שצריך לעדכן את הכותרת? https://blog.fireeye.com/research/2010/06/mariposa-still-alive.html 20.06.2010 10:41:11 | |
#9 |
מצויין (אורח): עולם הבוטנטים מושך בטירוף :) 27.09.2010 13:45:49 | |
#10 |
cp77fk4r: אז אני ממליץ לך בחום לעבור על המאמרים הרלוונטים בגליונות (ובעצם- על כולם) נכתבו מספר מאמרים בנושא הנ״ל. 27.09.2010 14:01:17 |
הוסף את תגובתך: