Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Złodzieje nie mają honoru - nawet w Niemczech

Marco Preuss
Kaspersky Lab Expert
Dodany 29 marca 2010, 09:57 CEST

W podziemiu przestępczym wiele narzędzi i usług przechodzi z rąk do rąk – za pieniądze. Na przykład, za określoną kwotę oferowane są pakiety botów przez ich twórców lub ich partnerów biznesowych. Klient otrzymuje pakiet z wszystkimi potrzebnymi plikami oraz dodatkowe wsparcie, takie jak aktualizacje umożliwiające ochronę przed programami antywirusowymi. W większości przypadków istnieją różne poziomy wsparcia, jakie klient może zakupić.

Jednak nawet w świecie przestępczym proceder ten nie jest idealny.

W lutym tego roku osoba określająca się jako “Till7” zaczęła oferować swój nowy bot o nazwie “v0id Bot”. Oficjalny dystrybutor – o nazwie “3lite” – zaczął oferować ten pakiet botów na forach podziemia.

Sam bot został napisany w języku VisualBasic.Net i posiada panel sieciowy w php oferujący następujące funkcje:

  • odwiedzanie określonej strony internetowej
  • pobieranie i wykonywanie pliku z określonej strony internetowej
  • spamowanie/bombardowanie wiadomościami e-amil
  • kradzież danych uwierzytelniających (dla DynDNS, Filezilla i innych )
  • zapychanie HTTP i UDP



C&C URL



Lista „popularnych” funkcji

Śledziłem wiadomości od osób, które zakupiły ten pakiet. W połowie marca na forach pojawiły się posty od osób, które narzekały, że nie otrzymały żadnego wsparcia od twórcy tego botneta ani jego partnera.

Jeden z klientów był do tego stopnia wściekły, że publicznie udostępnił cały zakupiony pakiet. Ten wyciek oznaczał koniec komercyjnego pakietu i niedługo po tym inne osoby opublikowały zmodyfikowane pakiety tego bota z różnymi zmianami i poprawkami.

Klient, który opublikował pakiet jako pierwszy, twierdził, że “bot to syf”, „jego twórca nie przejmuje się swoimi klientami”, a „wsparcie nie było świadczone”. Drugi wyciek na innym forum spowodowany był tym, że bot był wykrywany przez kilka skanerów antywirusowych, co oznaczało, że twórca nie dotrzymał swojej gwarancji całkowitej niewykrywalności bota.

W marcu został opublikowany krótki poradnik opisujący w trzech krokach, jak „stać się właścicielem” v0id-bota – a dokładnie, w jaki sposób zmienić pewne fragmenty kodu binarnego botu, aby mógł być kontrolowany przez osobę nie będącą jego pierwotnym właścicielem.

Niestety, w całej sprawie najgorsze jest to, że bot nie zniknął. Teraz może być wykorzystywany przez każdego. Ambitni adepci w biznesie cybeprzestępczym muszą tylko pobrać udostępniony pakiet. Kilka dni temu opublikowany został cały kod źródłowy bota, tak więc teraz cyberprzestępcy mogą stworzyć swój własny bot na podstawie void-bota.



Logowanie z jednej instalacji oryginalnego C&C

W całym tym incydencie najbardziej interesująca jest szybkość cyklu i język.

Cały proces – od momentu wystawienia na sprzedaż oryginalnego pakietu do wycieku kodu źródłowego – trwał jedynie miesiąc. Przez cały czas używano tylko języka niemieckiego – co wyraźnie pokazuje, że niemieckie podziemie cyberprzestępcze jest aktywne i ma się dobrze – a nawet zbyt dobrze.