Mariposa botnet - The End

בימים האחרונים פורסמו הפרטים של חקירת ה-FBI וחברת Panda Security שבסופה נעצרו שלושת האחראים על רשת הבוטים Mariposa.

רשת הבוטים Mariposa (“פרפר” בספרדית) הורכבה מכמעט 13 מליון מחשבים ממעל 190 מדינות שונות. דרכי התפוצה שלה כללו דרכים להפצה ברשתות שיתופים קבצים (P2P), הדבקת התקני USB והנדסה חברתית- שליחת הודעות דרך חשבונות ה-MSN על המחשבים הנגועים המכילות קישורים לעמודים אינטרנט הנגועים בקוד זדוני המוריד למחשב את התולעת.

לאחר פריסת התולעת על המחשב, היא מורידה לעמדה הנגועה מספר כלים שיוצריה כתבו לגניבת מידע מהמערכת, כגון Back-Doors, גרסאות של התולעת ZeuS (המבצעות מתקפות כגון Man-in-the-Browser על אתרי בנקים גדולים), תוכנות Keyloggers ועוד רבות ורעות.

כותבי התולעת ניצלו אותה בכדי להרוויח כספים בשלל דרכים, אם זה בעזרת הקפצת פרסומות למשתמשים במחשבים, מכירת חלקים מבוטים שלהם לרשתות Botnets אחרות, אם זה מכירת פרטי אשראי/חשבונות בנק שנגנבו וכו’

החבר’ה מ-Defence Intelligence פרסמו באוקטובר 2009 ניתוח מרשים על התולעת וחודש שעבר (פברואר) עדכנו אותו במידע נוסף, מי שמעוניין יוכל למצוא אותו בקישור הזה.

לפי הניתוח אפשר לראות שכותביה השתמשו במספר שרתים ציבורים כגון Rapidshare בכדי לאכסן את הכלים שלהם, והמידע עבר בפרוטוקול יעודי שנכתב עבור התולעת המבוסס על תקשורת UDP מוצפנת.

בכדי לבצע את מתקפות ה-DDoS שלהם, הם השתמשו בכלי בשם BlackEnergy, ניתוח שלו בוצע ע”י מספר חברים מ-Arbor Networks ואפשר לקרוא אותו בקישור הזה. - מומלץ!

החבר’ה שנהלו את רשת התולעים הזאת קראו לעצמם “DDP Team” שזה קיצור של “Nightmare Days” בספרדית.

לפי הדיווח של Theregister הבריטי, החבר’ה היו מתחברים לשרת ה-Command & Contol של התולעת דרך חיבורי VPN בכדי להקשות על רשויות החוק לעקוב אחריהם.

לפי דברי Luis Corrons שפורסמו בבלוג של Panda Labs, הם הצליחו לעצור את הפעילות של התולעת בעזרת שינוי ערכי רשומות ה-DNS שאליהן פנו המחשבים הנגועים וכך הצליחו לנתק את המחשבים הנגועים משרת השליטה של מנהלי הרשת.

מהלך זה גרם לאחד ממנהלי רשת הבוטים המכונה “Netkairo” להתחבר לשרת הבקרה של התולעת בכדי לנסות להבין את הסיבה והסתבר שהוא עשה זאת מביתו. לאחר שה-FBI גילו זאת הם ביצעו Tracing פשוט דרך חברת ה-ISP ופשטו על ביתו בספרד.

מניתוח שבוצע למחשבו עלו ממצאים אשר הפלילו עוד שני שותפים: Jonyloleante ו-Ostiator (ספרדים גם הם). שניהם נעצרו בסוף חודש שעבר.

בגליון האחרון (השישי) פרסמנו מאמר בשם “Botnets - מה זאת החיה הזאת?!” שנכתב ע”י cp77fk4r המסביר על עולם ה-Botnets, מומלץ לקרוא!