コンポーネント

エストニアISPがSrizbi Botnetの制御サーバーを切断

Bots and Botnets - CompTIA Security+ SY0-501 - 1.1

Bots and Botnets - CompTIA Security+ SY0-501 - 1.1
Anonim

コンピュータセキュリティアナリストによると、世界中のスパムの大部分を占めるSrizbiボットネットのコマンド制御サーバーを一時的にホストしていたエストニアのISPが、エリトリアの首都タリンに本拠を置くStarline Web Servicesは、コンピュータセキュリティ会社のFireEyeの研究者によると、Srizbiのコントロールポイントとして4つのドメイン名をホストしていた。

Srizbiに感染した数十万のPCスパムを送信するために使用される、削除が困難なルートキットは、それらのドメイン内のサーバーから新しい命令を探すようにプログラムされています。

[詳しい情報:Windows PCからマルウェアを削除する方法]

より強力なボットネットの1つであり、少なくとも450,000台のPCが感染しています。世界中のスパムの半分がSrizbiに感染したコンピュータに由来すると推定されています。スパムはサイバー犯罪者にとって有益なビジネスのままです。しかし、以前はコマンド・アンド・コントロールサーバーをホストしていたISPがインターネットから切り離されたとき、スパマーはSrizbiのコントロールを失いました。カリフォルニア州サンノゼに本拠を置くサーバーのMcColo氏は、コンピュータセキュリティ専門家とワシントンポストに暴露された上で、今月初めに上流のプロバイダから切り離された。スパマーはSrizbi感染コンピュータを制御できなかった。しかし、Srizbiのコードには、そのようなシナリオが発生した場合にスパマーが孤立したマシンに再接続できる代替メカニズムが含まれていました.Srizbi内のアルゴリズムは、インターネット上に新しいドメインが存在する場合、 。その同じアルゴリズムで武装したスパマーは、適切なドメイン名を登録して、それらのサーバを指し示すだけで済みました。しかし、スパマーは、少なくともしばらくは、これらのサーバをホストするために新しいISPが必要でした。彼らは、非常に小さなISPであるStarline Web Servicesを見つけましたが、そのプロバイダーもこれを切り捨てました。 "933>「これらのサイトが閉鎖されたことを納得しました」とエストニアのコンピューター緊急対応チームのチーフセキュリティー責任者、Hillar Aarelaid CERT)、木曜日。

Starline Web Servicesへの連絡は失敗しました。しかし、Aarelaidは、CERTは同社と接触しており、虐待に関する苦情に対応しているようだと述べている。

Starline Web Servicesはエストニアの別の会社Compicからの接続性を購入する。同社の情報セキュリティ専門家ターモ・ランデル氏は、エストニアのCERTは、Webサイトに悪意のあるソフトウェアをホストしていると警告していると述べている。

CERTは、CERTがホストしているマルウェアについて「常に」通知している。 Compilicは、「どれくらい大きな音を鳴らしているか」に応じてサイトを削除する措置を講じる予定です。 Compelは、CERTが苦情メールを送信し、エストニアの刑事警察をコピーしたとき、通常早急に反応する、とRandelは述べている。

木曜日、CompicのアップストリームプロバイダLinxtelecomはエストニアISPコミュニティに電子メールを送った。 Linxtelecomは、地方のISPと通信事業者をより大規模なデータキャリアに接続するIPトランジットサービスを販売しています。 Linxtelecomは電子メールで、虐待によって受け取った苦情の99%がCompicに関連している、とRandelは言った。Linxtelecomの関係者は、電子メールについて知らなかったと述べた。 Compicは2日ほどで苦情に対応しているが、Linxtelecomは過去にCompicが主催するWebサイトへの接続を遮断したとの声明を発表した。コンピュータセキュリティの専門家によると、いくつかのISPとドメイン名のレジストラサイバー犯罪者と緊密に連携して、偽のソフトウェアやその他の詐欺を売るWebサイト、迷惑メール対策をサポートします。

国際的な性質、サイバー犯罪者がシャットダウンに反応するスピード、法執行のリソースや関心の欠如のために、業務を停止することは困難です。

McColoの調査は、調査が公開された後に行われ、同様に、AtrivoまたはIntercageとして知られている別の悪いISPも、コンピュータセキュリティコミュニティからの圧力を受けて、9月にアップストリームプロバイダーによって切断された。

最近のMcColoとAtrivo / Intercageがインターネットを奪った最近のケースでは、今後、他の既知の悪意のある人物に対して、行動を起こしたり、オフラインになったりすることへのプレッシャーをかけることが容易になります」とMcAfeeのAvert LabsのセキュリティストラテジストToralv Dirro土曜日。