Хабрахабр

«Крест на EITest»: как ликвидировали самую крупную сеть для распространения вирусов

Ботнет EITest состоял из более чем 52 тыс. серверов и киберпреступники использовали его для распространения вредоносов. Специалисты из компаний Abuse.ch, BrillantIT и Proofpoint, занимающихся корпоративной ИБ, сумели осуществить синкхолинг (перенаправление трафика на подставной веб-сервер) управляющей инфраструктуры сети EITest и обезвредить её.

О том, как возник EITest, и как его удалось «прикрыть», расскажем под катом.


/ Flickr / Christiaan Colen / CC

Немного об EITest

Ботнет EITest считался «королем распределения трафика» и использовался злоумышленниками для распространения эксплойтов и перенаправления пользователей на вредоносные сайты и фишинговые страницы.

Сперва создатели использовали его для своих целей — в основном для маршрутизации трафика на сайты с их «доморощенным» набором эксплойтов Glazunov (он заражал устройства трояном Zaccess). EITest появился на рынке киберпреступности в 2011 году.

Однако к концу 2013 года злоумышленники «прокачали» свою инфраструктуру и уже в июле 2014-го начали сдавать EITest в аренду другим создателям вредоносных программ. В то время сеть EITest не представляла серьезной угрозы.

Причем минимальный блок для сделки составлял 50 тысяч юзеров. Как заметил один из специалистов Proofpoint, команда EITest начала продавать перехваченный трафик со взломанных сайтов по 20 долларов за тысячу пользователей.

Недавно было замечено, что EITest отправлял пользователей на сайты с фейковыми обновлениями, пакетами шрифтов и browlock-вирусами. С тех пор EITest стала ежедневной «болью» специалистов по ИБ: сеть распространяла огромное количество вирусов вымогателей из разных семейств и перенаправляла трафик на ресурсы с эксплойтами (в том числе, Angler и RIG).

Наибольшая концентрация взломанных серверов была отмечена в США, Австралии и Китае. Специалисты Proofpoint подсчитали, что вредоносная сеть состоит из 52 тысяч серверов, которые находятся в США, Бразилии, Великобритании, Казахстане, Австралии, Китае, Индии, ЮАР и других странах. С 15 марта по 4 апреля 2018 года эти серверы обработали порядка 44 млн запросов.

Как «обезвреживали» сеть

В начале года специалистам из BrillantIT удалось раскрыть метод подключения инфицированных сайтов к управляющей инфраструктуре. Анализ системы показал, что C&C-домены формировались на основании stat-dns.com. Этот домен был перенаправлен на другой IP-адрес, и были сгенерированы четыре новых C&C-домена EITest.

Теперь на него поступает трафик со всех скомпрометированных сайтов с бэкдорами, и их посетителям не угрожает вредоносное ПО и внедрение стороннего кода. Создав новые домены, ученые получили возможность заменить вредоносный сервер синкхолом. Действия специалистов по ИБ предотвратили 2 млн потенциальных переходов на вредоносные сайты в день. Структуру сети и месторасположение «сервера безопасности» в ней вы можете найти на схеме, предоставленной Proofpoint (доступна по ссылке).

Однако исследователи все же обнаружили ряд зашифрованных запросов к синкхол-серверу, которые можно расценивать как попытки захватить контроль над сетью (из-за содержавшихся в них команд). В Proofpoint сообщают, что после «перехвата» EITest, киберпреступники отключили C&C-прокси. Однако никаких подтверждений, что это были владельцы EITest, у ученых нет.

Команды Abuse.ch, BrillantIT и Proofpoint сказали, что продолжат наблюдать за активностью EITest, чтобы хакеры не смогли вновь запустить свою систему распределения трафика.


/ Flickr / Christiaan Colen / CC

Еще один крупный кейс

Как сообщают в Independent, в декабре 2017 года была обезврежена еще одна крупная вредоносная система — ботнет Andromeda (или Gamarue).

Его создатели продавали наборы инструментов, которые позволяли покупателям развертывать свою кастомную инфраструктуру для кражи пользовательских данных и установки вредоносного ПО на машины «жертв». Ботнет впервые обнаружился в сентябре 2011 года и с тех пор превратился в серьезную угрозу.

В «уничтожении» инфраструктуры участвовали Германия, США, Беларусь. Специалистам понадобилось полтора года, чтобы найти и обезвредить C&C-серверы «Андромеды». К расследованию даже подключились представители Microsoft.

По данным исследователей, он заражал 1,1 млн систем ежемесячно через социальные сети, электронную почту и мессенджеры. В Microsoft заявляют, что ботнет «Андромеда» распространял более 80 типов зловредов, в том числе Petya, Cerber, Kasidet и другие.

Посты по теме из нашего корпоративного блога:

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть