- PVSM.RU - https://www.pvsm.ru -

«Крест на EITest»: как ликвидировали самую крупную сеть для распространения вирусов

Ботнет EITest состоял из более чем 52 тыс. серверов и киберпреступники использовали его для распространения вредоносов. Специалисты из компаний Abuse.ch, BrillantIT и Proofpoint, занимающихся корпоративной ИБ, сумели [1] осуществить синкхолинг (перенаправление трафика на подставной веб-сервер) управляющей инфраструктуры сети EITest и обезвредить её.

О том, как возник EITest, и как его удалось «прикрыть», расскажем под катом.

«Крест на EITest»: как ликвидировали самую крупную сеть для распространения вирусов - 1 [2]
/ Flickr / Christiaan Colen [3] / CC [4]

Немного об EITest

Ботнет EITest считался [1] «королем распределения трафика» и использовался злоумышленниками для распространения эксплойтов и перенаправления пользователей на вредоносные сайты и фишинговые страницы.

EITest появился на рынке киберпреступности в 2011 году. Сперва создатели использовали его для своих целей — в основном [5] для маршрутизации трафика на сайты с их «доморощенным» набором эксплойтов Glazunov [6] (он заражал устройства трояном Zaccess [7]).

В то время сеть EITest не представляла серьезной угрозы. Однако к концу 2013 года злоумышленники «прокачали» свою инфраструктуру и уже в июле 2014-го начали сдавать EITest в аренду другим создателям вредоносных программ.

Как заметил [1] один из специалистов Proofpoint, команда EITest начала продавать перехваченный трафик со взломанных сайтов по 20 долларов за тысячу пользователей. Причем минимальный блок для сделки составлял 50 тысяч юзеров.

С тех пор EITest стала ежедневной «болью» специалистов по ИБ: сеть распространяла огромное количество вирусов вымогателей из разных семейств и перенаправляла трафик на ресурсы с эксплойтами (в том числе, Angler [8] и RIG [9]). Недавно было замечено, что EITest отправлял пользователей на сайты с фейковыми обновлениями [10], пакетами шрифтов [11] и browlock-вирусами [12].

Специалисты Proofpoint подсчитали, что вредоносная сеть состоит из 52 тысяч серверов, которые находятся в США, Бразилии, Великобритании, Казахстане, Австралии, Китае, Индии, ЮАР и других странах. Наибольшая концентрация взломанных серверов была отмечена в США, Австралии и Китае. С 15 марта по 4 апреля 2018 года эти серверы обработали порядка 44 млн запросов.

Как «обезвреживали» сеть

В начале года специалистам из BrillantIT удалось [13] раскрыть метод подключения инфицированных сайтов к управляющей инфраструктуре. Анализ системы показал, что C&C-домены формировались на основании stat-dns.com. Этот домен был перенаправлен на другой IP-адрес, и были сгенерированы четыре новых C&C-домена EITest.

Создав новые домены, ученые получили возможность заменить вредоносный сервер синкхолом. Теперь на него поступает трафик со всех скомпрометированных сайтов с бэкдорами, и их посетителям не угрожает вредоносное ПО и внедрение стороннего кода. Структуру сети и месторасположение «сервера безопасности» в ней вы можете найти на схеме, предоставленной Proofpoint (доступна по ссылке [14]). Действия специалистов по ИБ предотвратили [14] 2 млн потенциальных переходов на вредоносные сайты в день.

В Proofpoint сообщают, что после «перехвата» EITest, киберпреступники отключили C&C-прокси. Однако исследователи все же обнаружили ряд зашифрованных запросов к синкхол-серверу, которые можно расценивать как попытки захватить контроль над сетью (из-за содержавшихся в них команд). Однако никаких подтверждений, что это были владельцы EITest, у ученых нет.

Команды Abuse.ch, BrillantIT и Proofpoint сказали, что продолжат наблюдать за активностью EITest, чтобы хакеры не смогли вновь запустить свою систему распределения трафика.

«Крест на EITest»: как ликвидировали самую крупную сеть для распространения вирусов - 2
/ Flickr / Christiaan Colen [15] / CC [4]

Еще один крупный кейс

Как сообщают [16] в Independent, в декабре 2017 года была обезврежена еще одна крупная вредоносная система — ботнет Andromeda (или Gamarue).

Ботнет впервые обнаружился в сентябре 2011 года и с тех пор превратился в серьезную угрозу. Его создатели продавали наборы инструментов, которые позволяли покупателям развертывать свою кастомную инфраструктуру для кражи пользовательских данных и установки вредоносного ПО на машины «жертв».

Специалистам понадобилось полтора года, чтобы найти и обезвредить C&C-серверы «Андромеды». В «уничтожении» инфраструктуры участвовали Германия, США, Беларусь. К расследованию даже подключились представители Microsoft.

В Microsoft заявляют [17], что ботнет «Андромеда» распространял более 80 типов зловредов, в том числе Petya, Cerber, Kasidet и другие. По данным исследователей, он заражал 1,1 млн систем ежемесячно через социальные сети, электронную почту и мессенджеры.

Посты по теме из нашего корпоративного блога:

Автор: 1cloud

Источник [22]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/279791

Ссылки в тексте:

[1] сумели: https://www.bleepingcomputer.com/news/security/researchers-take-down-network-of-52-000-infected-servers-distributing-malware/

[2] Image: https://habr.com/company/1cloud/blog/358134/

[3] Christiaan Colen: https://www.flickr.com/photos/christiaancolen/21205579608/

[4] CC: https://creativecommons.org/licenses/by-sa/2.0/

[5] основном: https://www.securitylab.ru/news/492642.php

[6] Glazunov: https://nakedsecurity.sophos.com/2013/06/24/taking-a-closer-look-at-the-glazunov-exploit-kit/

[7] Zaccess: https://www.symantec.com/security_response/writeup.jsp?docid=2011-071314-0410-99

[8] Angler: https://news.sophos.com/en-us/2015/07/21/a-closer-look-at-the-angler-exploit-kit/

[9] RIG: https://threatpost.com/inside-the-rig-exploit-kit/121805/

[10] фейковыми обновлениями: https://www.bleepingcomputer.com/news/security/malware-distribution-campaign-has-been-raging-for-more-than-four-months/

[11] пакетами шрифтов: https://www.proofpoint.com/us/threat-insight/post/EITest-Nabbing-Chrome-Users-Chrome-Font-Social-Engineering-Scheme

[12] browlock-вирусами: https://blog.malwarebytes.com/cybercrime/2017/12/tech-support-scammers-make-browser-lockers-resilient/

[13] удалось: https://blog.brillantit.com/exposing-eitest-campaign/

[14] ссылке: https://www.proofpoint.com/us/threat-insight/post/eitest-sinkholing-oldest-infection-chain

[15] Christiaan Colen: https://www.flickr.com/photos/christiaancolen/31229519675

[16] сообщают: https://www.independent.co.uk/life-style/gadgets-and-tech/news/botnet-andromeda-gamarue-infect-virus-computers-microsoft-europol-malware-a8093421.html

[17] заявляют: https://wccftech.com/microsoft-fbi-shut-andromeda-botnet/

[18] Безопасность данных в облаке: угрозы и способы защиты: https://1cloud.ru/blog/bezopasnost-dannih-v-oblake?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[19] Как обезопасить Linux-систему: 10 советов: https://1cloud.ru/blog/linux-server-security-advices?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[20] Meltdown и Spectre: новогодняя процессорная уязвимость: https://1cloud.ru/blog/uyazvimost-meltdown-spectre?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[21] 4 ключевых тренда облачной безопасности: https://1cloud.ru/blog/cloud-safety-trends?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[22] Источник: https://habr.com/post/358134/?utm_source=habrahabr&utm_medium=rss&utm_campaign=358134