«Крест На Eitest»: Как Ликвидировали Крупнейшую Сеть Распространения Вирусов

Ботнет EITest состоял из более чем 52 тысяч серверов и использовался киберпреступниками для распространения вредоносного ПО.

Специалисты компаний Abuse.ch, BrillantIT и Proofpoint, занимающихся корпоративной информационной безопасностью, удалось осуществить синкхолинг (перенаправление трафика на поддельный веб-сервер) управляющей инфраструктуры сети EITest и нейтрализовать ее.

Ниже мы расскажем, как появился EITest и как его удалось «прикрыть».

/Фликр/ Кристиан Колен / СС

Немного об EITest

EITest появился на рынке киберпреступности в 2011 году.

Поначалу создатели использовали его в своих целях — в по большей части для маршрутизации трафика на сайты со своим «доморощенным» набором эксплойтов Глазунов (он заражал устройства трояном Zaccess ).

На тот момент сеть EITest не представляла серьезной угрозы.

Однако к концу 2013 года злоумышленники модернизировали свою инфраструктуру и уже в июле 2014 года начали сдавать EITest в аренду другим создателям вредоносного ПО.

Как заметил Один из специалистов Proofpoint, команда EITest, начала продавать перехваченный трафик со взломанных сайтов по $20 за тысячу пользователей.

При этом минимальный блок для транзакции составлял 50 тысяч пользователей.

С тех пор EITest стал ежедневной «болью» для специалистов по информационной безопасности: сеть распространяла огромное количество вирусов-вымогателей разных семейств и перенаправляла трафик на ресурсы с эксплойтами (в том числе Морской черт И УСТАНОВКА ).

Недавно было замечено, что EITest отправляет пользователей на сайты с фейковые обновления , пакеты шрифтов И вирусы брови .

По оценкам экспертов Proofpoint, вредоносная сеть состоит из 52 тысяч серверов, расположенных в США, Бразилии, Великобритании, Казахстане, Австралии, Китае, Индии, Южной Африке и других странах.

Самая высокая концентрация взломанных серверов отмечена в США, Австралии и Китае.

С 15 марта по 4 апреля 2018 года эти серверы обработали около 44 миллионов запросов.

Как сеть «нейтрализовали»

Анализ системы показал, что командные домены были сформированы на базе stat-dns.com. Этот домен был перенаправлен на другой IP-адрес, и были созданы четыре новых домена EITest C&C. Создав новые домены, специалисты смогли заменить вредоносный сервер воронкой.

Теперь он получает трафик со всех взломанных сайтов с бэкдорами, а их посетителям не угрожает вредоносное ПО и внедрение стороннего кода.

Вы можете найти структуру сети и расположение «сервера безопасности» на схеме, предоставленной Proofpoint (доступна по адресу связь ).

Действия специалистов по информационной безопасности предотвращено 2 миллиона потенциальных переходов на вредоносные сайты в день.

Proofpoint сообщает, что после «перехвата» EITest киберпреступники отключили C&C-прокси.

Однако исследователи обнаружили ряд зашифрованных запросов к серверу воронки, которые можно расценивать как попытки перехватить контроль над сетью (из-за содержащихся в них команд).

Однако у экспертов нет подтверждения, что это были владельцы EITest. Команды Abuse.ch, BrillantIT и Proofpoint заявили, что продолжат следить за активностью EITest, чтобы гарантировать, что хакеры не смогут перезапустить их систему распределения трафика.

/Фликр/ Кристиан Колен / СС

Еще один большой случай

Ботнет был впервые обнаружен в сентябре 2011 года и с тех пор превратился в серьезную угрозу.

Его создатели продавали наборы инструментов, которые позволяли покупателям развертывать собственную инфраструктуру для кражи пользовательских данных и установки вредоносного ПО на компьютеры жертв.

На поиск и нейтрализацию командных серверов «Андромеды» специалистам понадобилось полтора года.

В «разрушении» инфраструктуры участвовали Германия, США и Белоруссия.

К расследованию даже присоединились представители Microsoft. В Microsoft объявить что ботнет Andromeda распространял более 80 типов вредоносного ПО, включая Petya, Cerber, Kasidet и другие.

По оценкам исследователей, ежемесячно он заражал 1,1 млн систем через социальные сети, электронную почту и мессенджеры.

Похожие посты из нашего корпоративного блога:

• Безопасность данных в облаке: угрозы и методы защиты
• Как защитить систему Linux: 10 советов
• Meltdown и Spectre: новогодняя уязвимость процессора
• 4 ключевые тенденции облачной безопасности

• Пользовательское Штрих-Кодирование И Интеграция Wms В Microsoft Dynamics Gp

  19 Oct, 24

• Использование Дизайна Шаблонов Ebay Для Увеличения Продаж

  19 Oct, 24

• Разработан Алгоритм, Который Эффективно Удаляет Из Видео Все «Скучные» Фрагменты.

  19 Oct, 24

• Неизвестный Рынок. Как Торговля Внутриигровыми Предметами Превратилась В Многомиллионную Индустрию

  19 Oct, 24

• Арифметический Числовой Аппарат. Привилегия Выдана 6 Апреля 1862 Г. На 10 Лет Коллежскому Советнику Александру Наманскому.

  19 Oct, 24

• Егаис 3.0: Различия В Реализации Учета Марок В Оптовой И Розничной Торговле

  19 Oct, 24

• Нейронная Сеть Clip Openai: Классификатор, Который Не Нужно Обучать. Да Здравствует Обучение Без Обучения

  19 Oct, 24

• Русскоязычные Домены Стали Ближе

  19 Oct, 24

• Российским Компаниям Не Хватает Сертифицированных Интернет-Маркетологов

  19 Oct, 24

• Сложная Предметная Область – У Кого Искать Ответы?

  19 Oct, 24