Computerworld meldt dat een groot spamverspreidend botnet, dat een paar weken geleden werd uitgeschakeld, weer tot leven is gewekt en opnieuw onder controle staat van criminelen.
Het "Srizbi"-botnet kwam laat op dinsdagavond weer tot leven, aldus Fengmin Gong, chief security content officer bij FireEye Inc., toen de geïnfecteerde pc's erin slaagden opnieuw verbinding te maken met nieuwe command-and-control-servers, die nu in Estland zijn gevestigd.
Srizbi werd meer dan twee weken geleden uitgeschakeld toen McColo Corp., een hostingbedrijf dat ervan werd beschuldigd een breed scala aan criminele activiteiten te herbergen, van het internet werd gehaald door zijn upstream serviceproviders. Met McColo offline, konden pc's die geïnfecteerd waren met Srizbi en andere bot-Trojaanse paarden niet communiceren met hun commandoservers, die door McColo werden gehost. Als gevolg hiervan daalden de spamniveaus sterk.
Maar zoals andere onderzoekers vorige week opmerkten, had Srizbi een noodstrategie. Uiteindelijk betaalde die strategie zich uit voor de criminelen die het botnet controleren.
Volgens Gong probeerden Srizbi-bots, toen ze geen verbinding konden maken met de command-and-control-servers die door McColo werden gehost, verbinding te maken met nieuwe servers via domeinen die ter plekke werden gegenereerd door een intern algoritme. FireEye reverse-engineerde Srizbi, ontdekte dat algoritme en gebruikte het om verschillende honderden van de mogelijke routeringsdomeinen te voorspellen en vervolgens proactief te registreren.
De domeinnamen, aldus Gong, werden gegenereerd in een cyclus van drie dagen, en een tijdlang kon FireEye het bijhouden -- en effectief blokkeren dat de beheerders van Srizbi de controle terugkregen.
"We hebben een paar honderd domeinen geregistreerd," zei Gong, "maar we hebben besloten dat we het ons niet kunnen veroorloven zoveel geld uit te geven om zoveel [domein]namen te blijven registreren."
Zodra FireEye stopte met het proactief registreren van de domeinen voor de makers van Srizbi, sloegen deze toe en registreerden de vijf domeinen in de volgende cyclus. Die domeinen wezen op hun beurt de Srizbi-bots naar de nieuwe command-and-control-servers, die vervolgens onmiddellijk de geïnfecteerde machines bijwerkten naar een nieuwe versie van de malware.
"Zodra elke bot was bijgewerkt, was het volgende commando om spam te verzenden," zei Gong, die opmerkte dat de eerste campagne een sjabloon gebruikte dat zich richtte op Russischsprekenden.
De bijgewerkte Srizbi bevat hardgecodeerde verwijzingen naar de Estlandse command-and-control-servers, maar Gong was niet op de hoogte van een huidige poging om het bedrijf dat deze servers nu host, te overtuigen om ze van het web te halen.
Intussen werkt FireEye samen met verschillende andere bedrijven -- waaronder VeriSign Inc., Microsoft Corp. en Network Solutions Inc., een domeinregistrar -- aan manieren om de meer dan 100.000 gebruikers te bereiken van wie FireEye heeft vastgesteld dat hun pc's zijn geïnfecteerd met Srizbi.
Bron: Computerworld. Via: Beyond the Beyond.
Comments (0)
Share your thoughts and join the technology debate!
No comments yet
Be the first to share your thoughts!