Ботнет EITest состоял из более чем 52 тыс. серверов и киберпреступники использовали его для распространения вредоносов. Специалисты из компаний Abuse.ch, BrillantIT и Proofpoint, занимающихся корпоративной ИБ, сумели осуществить синкхолинг (перенаправление трафика на подставной веб-сервер) управляющей инфраструктуры сети EITest и обезвредить её.
О том, как возник EITest, и как его удалось «прикрыть», рассказывает IAAS-провайдер 1cloud под катом.
Немного об EITest
Ботнет EITest считался «королем распределения трафика» и использовался злоумышленниками для распространения эксплойтов и перенаправления пользователей на вредоносные сайты и фишинговые страницы.
EITest появился на рынке киберпреступности в 2011 году. Сперва создатели использовали его для своих целей — в основном для маршрутизации трафика на сайты с их «доморощенным» набором эксплойтов Glazunov (он заражал устройства трояном Zaccess).
В то время сеть EITest не представляла серьезной угрозы. Однако к концу 2013 года злоумышленники «прокачали» свою инфраструктуру и уже в июле 2014-го начали сдавать EITest в аренду другим создателям вредоносных программ.
Как заметил один из специалистов Proofpoint, команда EITest начала продавать перехваченный трафик со взломанных сайтов по 20 долларов за тысячу пользователей. Причем минимальный блок для сделки составлял 50 тысяч юзеров.
С тех пор EITest стала ежедневной «болью» специалистов по ИБ: сеть распространяла огромное количество вирусов вымогателей из разных семейств и перенаправляла трафик на ресурсы с эксплойтами (в том числе, Angler и RIG). Недавно было замечено, что EITest отправлял пользователей на сайты с фейковыми обновлениями, пакетами шрифтов и browlock-вирусами.
Специалисты Proofpoint подсчитали, что вредоносная сеть состоит из 52 тысяч серверов, которые находятся в США, Бразилии, Великобритании, Казахстане, Австралии, Китае, Индии, ЮАР и других странах. Наибольшая концентрация взломанных серверов была отмечена в США, Австралии и Китае. С 15 марта по 4 апреля 2018 года эти серверы обработали порядка 44 млн запросов.
Как «обезвреживали» сеть
В начале года специалистам из BrillantIT удалось раскрыть метод подключения инфицированных сайтов к управляющей инфраструктуре. Анализ системы показал, что C&C-домены формировались на основании stat-dns.com. Этот домен был перенаправлен на другой IP-адрес, и были сгенерированы четыре новых C&C-домена EITest.
Создав новые домены, специалисты получили возможность заменить вредоносный сервер синкхолом. Теперь на него поступает трафик со всех скомпрометированных сайтов с бэкдорами, и их посетителям не угрожает вредоносное ПО и внедрение стороннего кода. Структуру сети и месторасположение «сервера безопасности» в ней вы можете найти на схеме, предоставленной Proofpoint (доступна по ссылке). Действия специалистов по ИБ предотвратили 2 млн потенциальных переходов на вредоносные сайты в день.
В Proofpoint сообщают, что после «перехвата» EITest, киберпреступники отключили C&C-прокси. Однако исследователи все же обнаружили ряд зашифрованных запросов к синкхол-серверу, которые можно расценивать как попытки захватить контроль над сетью (из-за содержавшихся в них команд). Однако никаких подтверждений, что это были владельцы EITest, у специалистов нет.
Команды Abuse.ch, BrillantIT и Proofpoint сказали, что продолжат наблюдать за активностью EITest, чтобы хакеры не смогли вновь запустить свою систему распределения трафика.
Еще один крупный кейс
Как сообщают в Independent, в декабре 2017 года была обезврежена еще одна крупная вредоносная система — ботнет Andromeda (или Gamarue).
Ботнет впервые обнаружился в сентябре 2011 года и с тех пор превратился в серьезную угрозу. Его создатели продавали наборы инструментов, которые позволяли покупателям развертывать свою кастомную инфраструктуру для кражи пользовательских данных и установки вредоносного ПО на машины «жертв».
Специалистам понадобилось полтора года, чтобы найти и обезвредить C&C-серверы «Андромеды». В «уничтожении» инфраструктуры участвовали Германия, США, Беларусь. К расследованию даже подключились представители Microsoft.
В Microsoft заявляют, что ботнет «Андромеда» распространял более 80 типов зловредов, в том числе Petya, Cerber, Kasidet и другие. По данным исследователей, он заражал 1,1 млн систем ежемесячно через социальные сети, электронную почту и мессенджеры.