「EITestでのクロス」:ウイルスの拡散のために最大のネットワークを排除する方法

EITestボットネットは52,000以上のサーバーで構成され、サイバー犯罪者はそれを使用してマルウェアを拡散しました。 Abuse.ch、BrillantIT、およびProofpointの企業セキュリティスペシャリストは、EITestネットワーク管理インフラストラクチャを同期(トラフィックを偽のWebサーバーにリダイレクト)して管理しました。



EITestがどのように生まれ、どのようにカットの下で「カバー」されたのかを説明します。





/ Flickr / christiaan colen / cc



EITestについて少し



EITestボットネット 「トラフィック分布の王」 と見なされ、サイバー犯罪者がエクスプロイトを拡散し、ユーザーを悪意のあるサイトやフィッシングページにリダイレクトするために使用されました。



EITestは2011年にサイバー犯罪市場に参入しました。 当初、作成者は、 Glazunovエクスプロイト( Zaccessトロイの木馬にデバイスを感染させた)の「自家製」セットを使用してサイトにトラフィックをルーティングするために、 に目的に使用しました。



当時、EITestネットワークは深刻な脅威にはなりませんでした。 ただし、2013年末までに、攻撃者はインフラストラクチャを「ポンプ」し、2014年7月に既に他のマルウェア作成者にEITestをリースし始めました。



Proofpointの専門家の1人が指摘したように、EITestチームは、ハッキングされたサイトから傍受したトラフィックを1,000ユーザーあたり20ドルで販売し始めました。 さらに、トランザクションの最小ブロックは5万ユーザーでした。



それ以来、EITestは情報セキュリティの専門家の日々の「苦痛」になっています。ネットワークは、さまざまなファミリーから膨大な数のランサムウェアウイルスを拡散し、トラフィックをリダイレクトしてリソース( AnglerRIGを含む)を利用します。 最近EITestが、 偽の更新フォントパッケージbrowlockウイルスを含むサイトにユーザーを送信したことがわかりました。



Proofpointの専門家は、悪意のあるネットワークは、米国、ブラジル、イギリス、カザフスタン、オーストラリア、中国、インド、南アフリカ、およびその他の国にある52,000台のサーバーで構成されていると推定しました。 ハッキングされたサーバーが最も集中しているのは、米国、オーストラリア、中国です。 2018年3月15日から4月4日まで、これらのサーバーは約4,400万のリクエストを処理しました。



ネットワークを「中和」する方法



年の初めに、BrillantITの専門家は、感染したサイトを管理インフラストラクチャに接続する方法発見することできました 。 システムの分析により、C&Cドメインはstat-dns.comに基づいて形成されたことが示されました。 このドメインは別のIPアドレスにリダイレクトされ、4つの新しいEITest C&Cドメインが生成されました。



新しいドメインを作成することで、専門家は悪意のあるサーバーをシンクホールに置き換えることができました。 現在では、バックドアを使用して侵害されたすべてのサイトからトラフィックを受信し、その訪問者はマルウェアやサードパーティのコードの導入による脅威にさらされていません。 ネットワーク構造とその中の「セキュリティサーバー」の場所は、Proofpointが提供する図で確認できます( こちらをご覧ください )。 情報セキュリティの専門家の行動により、悪意のあるサイトで1日あたり200万回の潜在的なクリックが防止されました。



Proofpointは、EITestの「傍受」の後、サイバー犯罪者がC&Cプロキシをオフにしたと報告しています。 しかし、研究者たちは同期サーバーへの暗号化されたリクエストを多数発見しました。これは、ネットワークに制御を加えようとする試みとみなすことができます(コマンドに含まれているため)。 ただし、専門家には、これらがEITestの所有者であるという証拠はありません。



Abuse.ch、BrillantIT、Proofpointの各チームは、ハッカーがトラフィック配信システムを再起動できないように、EITestの活動を引き続き監視すると述べました。





/ Flickr / christiaan colen / cc



別の大きなケース



Independentによる 、2017年12月に、別の大規模な悪意のあるシステムであるAndromedaボットネット(またはGamarue)が無効化されました。



ボットネットは2011年9月に初めて登場し、その後深刻な脅威になりました。 作成者は、ユーザーがカスタムデータを盗み、「被害者」のマシンにマルウェアをインストールするためのカスタムインフラストラクチャを展開できるツールキットを販売しました。



Andromeda C&Cサーバーを見つけて無効化するのに1年半かかりました。 インフラストラクチャの「破壊」には、ドイツ、アメリカ、ベラルーシが関与していました。 マイクロソフトの代表者も調査に参加しました。



Microsoftによると、Andromedaボットネットは、Petya、Cerber、Kasidetなど80種類以上のマルウェアを配布したという。 研究者によると、彼はソーシャルネットワーク、電子メール、インスタントメッセンジャーを介して毎月110万台のシステムに感染しました。



当社の企業ブログからの関連記事:





All Articles