Kelihos ботнеті - Kelihos botnet

The Kelihos ботнеті, сондай-ақ Глюкс, Бұл ботнет негізінен қатысады спам және ұрлау битокиндер.[1]

Тарих

Келихос ботнеті алғаш рет айналасында табылды Желтоқсан 2010.[2] Зерттеушілер бастапқыда екеуінің де жаңа нұсқасын тапты деп күдіктенді Дауыл немесе Валдец ұқсастықтарға байланысты ботнет жұмыс режимі және бастапқы код боттың,[3][4] бірақ ботнет талдауы оның орнына 45,000- жаңа екенін көрсеттіинфекцияланған -компьютерге берік, болжамды жіберуге қабілетті ботнет 4 млрд күніне спам хабарламалар.[5][6] Жылы Қыркүйек 2011[7] Microsoft «Operation b79» деп аталатын операцияда ботнетті түсірді.[5][8] Сонымен бірге, Microsoft dotFREE Group SRO және 22 тобындағы Доминик Александр Пиаттиге қатысты азаматтық іс қозғады Джон До 3700 шығарған ботнетке қатысы бар деген айыпталушылар қосалқы домендер ботнет қолданған.[8][9] Бұл айыптар кейінірек Microsoft аталған айыпталушылардың ботнет контроллерлеріне қасақана көмектеспегенін анықтаған кезде алынып тасталды.[10][11]

2012 жылдың қаңтарында ботнеттің жаңа нұсқасы табылды, оны кейде Kelihos.b немесе 2 нұсқасы деп атайды,[1][6][7] шамамен 110,000 вирус жұққан компьютерлерден тұрады.[1][12] Осы айда Microsoft корпорациясы Ресей азаматы, бұрынғы IT қауіпсіздік саласындағы маман Андрей Сабельниковке Kelihos Botnet жасаушысы деп айып тағылды. бастапқы код.[11][13][14] Ботнеттің екінші нұсқасын өзі жауып тастады Наурыз 2012 бойынша бірнеше жеке фирмалар бату бұл - бастапқы контроллерлерді кесіп тастағанда, компанияларға ботнетті басқаруға мүмкіндік беретін әдіс.[2][15]

Ботнеттің екінші нұсқасы өшірілгеннен кейін, жаңа нұсқасы 2 сәуірде пайда болды, дегенмен зерттеу топтары арасында ботнет жай ғана өшірілген 2-нұсқа ботнетінің қалдықтары ма, әлде жаңа нұсқасы ма деген келіспеушіліктер туындады.[16][17] Ботнеттің бұл нұсқасы қазіргі уақытта вирус жұқтырылған 70 000 компьютерден тұрады. Kelihos.c нұсқасы веб-сайттың қолданушыларына зиянды жүктеу сілтемелерін жіберу арқылы Facebook арқылы компьютерлерді көбінесе жұқтырады. Бір рет басқаннан кейін, a Трояндық ат жүктелген Fifesoc, ол компьютерді а-ға айналдырады зомби, бұл ботнеттің бөлігі.[18]

2015 жылдың 24 қарашасында Kelihos ботнет оқиғасы болды, бұл қара тізімге енгізілген IP-нің кең тараған жалған позитивтерін тудырды:

″ 24 қараша 2015 ж. Кең таралған жалған позитивтер

Бүгін ертерек Kelihos ботнетінің ауқымды оқиғасы болды - ауқымды түрде көптеген электрондық пошта қондырғылары келихос спамының 20% -дан астамын көреді, ал кейбіреулері кіріс поштасының көлемі 500% -ке секіреді. Әдетте бұл әдеттен тыс нәрсе емес, CBL / XBL көптеген жылдар бойы күн сайын осындай масштабтағы Kelihos спам-маскаларымен сәтті айналысып келеді.

Электрондық пошта АҚШ-тың Федералды резервтік жүйесінен келген, «АҚШ-тағы Федералды сымдар мен ACH онлайн төлемдеріндегі» шектеулер туралы бір нәрсе айтылған. Ескертудің өзі де жалған емес, сонымен бірге Excel электрондық кестесінде (.xls) Windows-та орындалатын вирусты, Dyreza немесе Dridex зиянды бағдарламаларын жүктеуге арналған макро нұсқаулар (жүктеуші) бар.

Бастапқыда CBL қолданған анықтау ережелері, өкінішке орай, жеткіліксіз егжей-тегжейлі сипатталған және қате ретінде бірқатар IP-адрестер келтірілген.[19]

2018 жылғы 5 ақпанда жарияланбаған мәлімдеме көрсетті Apple's ресейлік спам-корольді жауапқа тартудағы күтпеген рөл. Петр Левашов спаммерлерге және басқа киберқылмыскерлерге кіруді жалға беріп, «Севера» деген бүркеншік атпен Kelihos ботнетін басқарды. Бірақ Левашовтың жасырын болуға тырысқанына қарамастан, сот жазбаларында федералдық агенттер оны бақылағанын көрсетеді iCloud 2016 жылдың 20 мамырынан бастап оның қамауға алынуы мүмкін шешуші ақпаратты қайтару. Тұрақты iCloud федералды ордері билікке жұмыс істеуге мүмкіндік береді IP мекенжайлары есепшотқа кіретін, оны демалысқа жіберуі мүмкін еді Барселона, Испания, және АҚШ құқық қорғау органдарының өтініші бойынша қамауға алынып, қылмыстық жауапкершілікке тарту үшін АҚШ-қа экстрадицияланды.[20]

Құрылымы, жұмысы және таралуы

Kelihos ботнеті деп аталады пиринг жүйесі ботнет, мұнда жеке ботнет түйіндері бүкіл ботнет үшін командалық-басқару серверлері ретінде жұмыс істей алады. Тең-теңімен емес дәстүрлі ботнеттерде барлық түйіндер өздерінің нұсқауларын алады және шектеулі серверлер жиынтығынан «жұмыс істейді» - егер бұл серверлер жойылса немесе алынып тасталса, ботнет бұдан былай нұсқауларды алмайды және сондықтан тиімді түрде жабылады .[21] Peer-to-botnets бұл қауіпті азайтуға тырысады, әр теңдестерге бүкіл ботнетке нұсқаулар жіберуге мүмкіндік береді, осылайша оны өшіру қиынға соғады.[2]

Ботнеттің бірінші нұсқасы негізінен қатысқан қызмет көрсетуден бас тарту шабуылдары және спам Ботнеттің екінші нұсқасы ұрлау мүмкіндігін қосқан Bitcoin әмиян, сондай-ақ бұрын қолданылған бағдарлама менікі биткоиндердің өзі.[2][22] Оның спам сыйымдылығы ботнеттің жіберілу арқылы таралуына мүмкіндік береді зиянды бағдарлама пайдаланушыларға трояндық атты жұқтыру мақсатында сілтемелер жасайды, дегенмен кейінгі нұсқалары көбінесе әлеуметтік желі сайттарында, атап айтқанда Facebook арқылы таралады.[16][23] Келихос спамының толық тізімін келесі ғылыми жұмыста табуға болады.[24]

АҚШ-қа қарсы Левашовты іздеу кепілдігі (мөрленбеген)

Қамауға алу және экстрадициялау

2018 жылдың 2 ақпанында Америка Құрама Штаттарының әділет министрлігі Ресей азаматы экстрадицияланды деп жариялады Испания және сотқа беріледі Коннектикут оның Kelihos бот-желісін басқарғаны туралы айыптаулар бойынша. Петр Левашов, 37 жасар Петр Юрьевич Левашов,[25] Санкт-Петербургтен Петр Левашов, Петр Севера, Петр Севера және Сергей Астахов 2017 жылы 7 сәуірде ұсталды. Барселона Испания билігі оны Коннектикут штатының округінде шығарылған қылмыстық шағым мен қамауға алу туралы бұйрық негізінде тұтқындаған кезде.[26] 2018 жылдың 3 ақпанында ол тағылған айыптар бойынша өзінің кінәсін мойындамады сымсыз және электрондық пошта арқылы алаяқтық жасау, бұзу, жеке тұлғаны ұрлау және қастандық АҚШ-тағы федералды судьяның алдына шыққаннан кейін Коннектикут. Ол қамауда қалады.[25] 2018 жылдың қыркүйегінде Левашов кінәсін мойындады.[27]

Сондай-ақ қараңыз

Әдебиеттер тізімі

  1. ^ а б c Миллс, Элинор (28 наурыз 2012). «Компьютермен жұмыс жасайтын 110 000 келихос ботнеті шетте қалды». CNET. Алынған 28 сәуір 2012.
  2. ^ а б c г. Ортлофф, Стефан (28 наурыз 2012). «Жиі қойылатын сұрақтар: жаңа Hlux / Kelihos бот-желісін өшіру». Securelist.com. Алынған 19 мамыр 2020.
  3. ^ Адаир, Стивен (30 желтоқсан 2010). «Мерекеге арналған жаңа жылдам ағынды ботнет: бұл Storm Worm 3.0 / Waledac 2.0 болуы мүмкін бе?». Shadowserver. Алынған 28 сәуір 2012.
  4. ^ Donohue, Brian (29 наурыз 2012). «Kelihos оралады: бірдей ботнет немесе жаңа нұсқа?». Қауіпсіздік посты. Архивтелген түпнұсқа 2012 жылғы 4 сәуірде. Алынған 28 сәуір 2012.
  5. ^ а б Миллс, Элинор (2011 жылғы 27 қыркүйек). «Microsoft басқа ботнетті тоқтатады: Kelihos». CNet. Алынған 28 сәуір 2012.
  6. ^ а б Кирк, Джереми (1 ақпан 2012). «Кезінде мүгедек болған, қазір күш алып келе жатқан Kelihos ботнеті». Network World. Архивтелген түпнұсқа 2012 жылдың 5 қыркүйегінде. Алынған 28 сәуір 2012.
  7. ^ а б Константин, Люциан (28 наурыз 2012). «Қауіпсіздік фирмалары екінші Kelihos ботнетін өшіреді». PCWorld. Алынған 28 сәуір 2012.
  8. ^ а б Боскович, Ричард (27 қыркүйек 2011). «Microsoft Kelihos Botnet-ті бейтараптандырады, сотталушының аты-жөні». Microsoft TechNet. Алынған 28 сәуір 2012.
  9. ^ Microsoft (26 қыркүйек 2011). «B79 операциясы (Kelihos) және қосымша MSRT қыркүйек шығарылымы». Microsoft Technet. Алынған 28 сәуір 2012.
  10. ^ Латиф, Лоуренс (27 қазан 2011). «Microsoft Интернет-провайдер иесіне қатысты Kelihos ботнетіне қатысты айыптауларды жояды». Анықтаушы. Алынған 28 сәуір 2012.
  11. ^ а б Гонсалвес, Антон (2012 ж., 24 қаңтар). «Майкрософт экс-антивирус жасаушы ботнет айтады». CRN журналы. Алынған 28 сәуір 2012.
  12. ^ Уоррен, Том (29 наурыз 2012). «Екінші Kelihos ботнеті құлатылды, 116 000 машина босатылды». Жоғарғы жақ. Алынған 28 сәуір 2012.
  13. ^ Брюстер, Том (24 қаңтар 2012). «Майкрософт Kelihos ботнетін жасаушы экс-антивирустық қызметке күдіктенеді». IT PRO. Алынған 28 сәуір 2012.
  14. ^ Кейцер, Грегг (24 қаңтар 2012). «Айыпталушы Kelihos ботнет өндірушісі екі қауіпсіздік фирмасында жұмыс істеді | ITworld». ITworld. Алынған 28 сәуір 2012.
  15. ^ Donohue, Brian (28 наурыз 2012). «Касперский қайтадан Kelihos ботнын құлатады, бірақ қайтып оралуын күтеді». ThreatPost. Архивтелген түпнұсқа 2012 жылғы 12 сәуірде. Алынған 28 сәуір 2012.
  16. ^ а б Рэйвуд, Дэн (2 сәуір 2012). «CrowdStrike зерттеушілері Келихостың жаңа нұсқасын тудырғанын жоққа шығарады - SC Magazine UK». SC журналы. Алынған 29 сәуір 2012.
  17. ^ Лейден, Джон (29 наурыз 2012). «Ботнетпен қырғыннан кейін жаппай қабірлерден келихос зомбиі атылды». Тізілім. Алынған 28 сәуір 2012.
  18. ^ SPAMfighter News (13 сәуір 2012). «Kelihos ботнеті қайта пайда болды, бұл жолы әлеуметтік желілерге шабуыл жасайды». SPAMfighter. Алынған 28 сәуір 2012.
  19. ^ http://www.abuseat.org[толық дәйексөз қажет ]
  20. ^ «Федерациялар iCloud аккаунтының көмегімен ресейлік спам-патшаның ізіне түсті». Жоғарғы жақ. Алынған 6 ақпан 2018.
  21. ^ Гриззард, Джулиан; Дэвид Дагон; Викрам Шарма; Крис Нуннери; Brent ByungHoon Kang (3 сәуір 2007). «Тең-теңімен ботнеттер: шолу және жағдайды зерттеу». Джонс Хопкинс университетінің қолданбалы физика зертханасы. Алынған 28 сәуір 2012.
  22. ^ SPAMfighter (5 сәуір 2012). «Қауіпсіздік компаниялары Kelihos 2-нұсқасының ботнетін алып тастайды». SPAMfighter. Алынған 28 сәуір 2012.
  23. ^ Йоргенсон, Петра (6 сәуір 2012). «Kelihos ботнеті Facebook құрты арқылы қайта қалпына келуі мүмкін». Орташа Insider. Алынған 29 сәуір 2012.
  24. ^ Арора, Арш; Ганнон, Макс; Уорнер, Гари (2017 ж. 15 мамыр). «Kelihos Botnet: бітпейтін дастан». Сандық сот сараптамасы, қауіпсіздік және құқық мәселелері бойынша жыл сайынғы ADFSL конференциясы.
  25. ^ а б «Ресейге спам-желіні басқарды деп айыпталып, АҚШ-қа экстрадицияланды». Deutsche Welle. 3 ақпан 2018. Алынған 2 сәуір 2019.
  26. ^ «Испаниядан экстрадицияланған Kelihos ботнетінің операторы». www.justice.gov. 2 ақпан 2018. Алынған 3 ақпан 2018.
  27. ^ Фаривар, Кир (13 қыркүйек 2018 жыл). «Орыс адам кінәсін мойындап, атышулы Kelihos ботнетімен айналысқанын мойындады». ArsTechnica. Алынған 2 сәуір 2019.