Components

Spammers die de controle over Srizbi Botnet terugwinnen

11/15/18 BCMUPNP Hunter - Spam Botnet | AT&T ThreatTraq

11/15/18 BCMUPNP Hunter - Spam Botnet | AT&T ThreatTraq
Anonim

De zombiecomputers die worden gebruikt om spam te verzenden, zijn weer tot leven te komen. Beveiligingsleveranciers zeggen dat spammers opnieuw verbinding maken met gehackte pc's die worden gebruikt voor het verzenden van spam, zoals blijkt uit een stijgend aantal spamberichten die de afgelopen dagen op internet circuleren. Spamniveaus daalden plotseling twee weken geleden na de sluiting van McColo, een rogue ISP (Internet Service Provider) in San Jose, Californië, waarvan de connectiviteit werd gebruikt om netwerken van honderdduizenden computers te besturen voor het verzenden van spam, ook wel bekend als botnets.

Computers die deel uitmaken van het Srizbi-botnet - volgens sommige schattingen bijna de helft van alle spam in de wereld - zijn blijkbaar weer actief, aldus onderzoekers van FireEye.

[Meer informatie: Hoe u malware van uw computer verwijdert Windows-pc]

"Srizbi is teruggekeerd uit de dood en is begonnen al zijn bots bij te werken met een nieuw, nieuw binair bestand", aldus een blogpost op dinsdag door Atif Mushtaq en Alex Lanstein van FireEye. "De wereldwijde update begon een paar uur geleden."

De computers van Srizbi werden gecontroleerd door spammers via McColo's netwerk. Toen McColo werd afgesloten, probeerden die computers terug te bellen en nieuwe instructies te krijgen om spam te verzenden. Maar de operatoren van het botnet zijn slim en creëerden een manier om die machines terug te krijgen als ze vastzaten.

FireEye-onderzoekers deden in essentie een autopsie op de code van Srizbi. Ze ontdekten dat de hackers een algoritme gebruiken dat dynamisch een domeinnaam genereert waaruit een gecompromitteerde computer nieuwe instructies kan ophalen.

De hackers kunnen dan die domeinnaam registreren en daar instructies plaatsen om de besmette pc te vertellen dat ze naar een andere moeten gaan command-and-control-server - niet McColo's - voor nieuwe instructies.

Sinds FireEye erachter kwam hoe het algoritme werkte, registreerde het bedrijf de brabbeltaal-domeinnamen, zoals 'auaopagr.com', die door het algoritme werden gegenereerd. Toen die machines meldden dat ze dienst hadden, waren er geen instructies. Maar FireEye kon de spammers niet voor altijd blijven binnenhalen door domeinnamen te kopen.

Nu komen de besmette computers in verbinding met door de spammers geregistreerde domeinnamen en krijgen ze bijgewerkte code, inclusief sjablonen voor nieuwe spam-campagnes. De nieuwe command-and-control-servers zijn in Estland en de domeinnamen worden gekocht van een registrar in Rusland, zei FireEye.

Srizbi bedroeg ooit meer dan 450.000 pc's, en het valt nog te bezien hoeveel van die machines hebben bijgewerkte code. Maar drie andere botnets die via McColo - Rustock, Cutwail en Asprox werden beheerd - lijken allemaal ook weer online te komen.

Dmitry Samosseiko van leverancier van computerbeveiliging Sophos schreef woensdag dat spamniveaus eerder deze week plotseling zijn gestegen, omdat gedeeltelijk aan de heropleving van het Rustock-botnet.

McColo's connectiviteit werd per abuis kort teruggezet door TeliaSonora en de kostbare paar uur online stelde spammers in staat om computers die met Rustock besmet waren te vertellen waar ze nieuwe instructies moesten kiezen.

Antispam-leverancier MessagLabs, dat onlangs werd overgenomen door Symantec, heeft geen stijging van de spam geassocieerd met Srizbi opgemerkt, zei Paul Wood, senior analist gevestigd in hun Britse kantoren.

Wood zei dat MessageLabs spam analyseert die in de inboxen van zijn 8 miljoen komt gebruikers en het kan zijn dat Srizbi het nog niet aankan of dat het de manier waarop het op mensen is gericht heeft veranderd.

Maar MessageLabs heeft gemerkt dat de spam afkomstig van Rustock, Cutwail en Asprox, die op die ets halen Srizbi's speling op.

"Zoals elke vorm van zaken als je koerier naar beneden gaat of in staking gaat, vind je een alternatieve provider," zei Wood.

Toch zijn spamniveaus ongeveer 40 procent van wat ze doen voordat McColo naar beneden ging, zei Wood.