Rustock

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 10. januar 2020; checks kræver 8 redigeringer .

Rustock  er et rootkit og et botnet baseret på det. Rustock dukkede op i 2006 [1] . Botnettet fungerede indtil marts 2011 [2] .

Pc'er med 32-bit Microsoft Windows blev berørt . Spam blev sendt fra inficerede computere, hastigheden på dets distribution kunne nå op på 25 tusinde beskeder i timen [3] [4] . Rustock-botnettet indeholdt mellem 150.000 og 2 millioner inficerede computere.

Historie

Kaspersky Lab mener, at den udbredte udbredelse af Rustock-virussen begyndte den 10. september 2007 [5] .

I maj 2008 blev virussen opdaget. Efter et par dage blev det genkendt af flere antivirus [5] .

I 2008, på grund af den midlertidige nedlukning af McColo- hosting ( San Jose, Californien ), som havde nogle botnet-kontrolservere installeret, faldt botnet-aktiviteten [6] .

Botnettet blev ødelagt den 16. marts 2011 [2] som en del af en fælles operation "b107" [7] udført af Microsoft , føderale retshåndhævere, FireEye og University of Washington [8] .

I maj 2011 [9] udtalte Microsoft, at en person, der brugte kaldenavnet "Cosma2k" [10] var involveret i arbejdet med botnettet . Formodentlig var nogle af arrangørerne af botnettet i Rusland [11] .

I juni 2011 appellerede Microsoft til grundlæggerne af Rustock i aviserne Delovoy Peterburg og Moskovskiye Novosti og underrettede dem om deres retssag ved District Court of Washington State [12] .

Den 18. juli 2011 blev der annonceret en stor pengebelønning for information om skaberne af virussen [12] .

Internt arrangement

Hver inficeret computer fik regelmæssigt adgang til kontrolserverne. Interaktion med dem fandt sted ved hjælp af HTTP-protokollen og anmodninger af POST-typen. Alle data blev desuden krypteret ifølge Symantec ved hjælp af RC4-algoritmen . Udvekslingssessionen bestod af to faser: udveksling af nøgler og transmission af instruktioner. Nøgleudvekslingen fandt sted ved adgang til login.php-scriptet (klienten sendte 96 bytes, serversvaret var 16 bytes). Instruktionerne blev videregivet af data.php [13] scriptet .

Virusfilen består af [13] :

• Primært deobfucation modul 0x4AF bytes i størrelse
• Bootloader Rootkit (0x476 bytes)
• Rootkit-koder.
• Spam-afsendelsesmodul.

Rootkit - indlæseren bruger ExAllocatePool, ZwQuerySystemInformation, ExFreePool, stricmp-funktioner fra ntoskrnl.exe [13] .

Variationer

Der er også fundet 3 variationer af Rustock-virussen:

• Rustock.С1-variant - oprettet den 10. september 2007.
• Rustock.С2 variant - Oprettet den 26. september.
• Variant C3 og C4 - oprettet den 9.-10. oktober 2007.

Noter

1. ↑ Chuck Miller. Rustock-botnettet spammer igen (utilgængeligt link) . SC Magazine US (25. juli 2008). Hentet 21. april 2010. Arkiveret fra originalen 15. august 2012. (ubestemt) 
2. ↑ 12 Hickins , Michael . Prolific Spam Network Is Unplugged , Wall Street Journal (17. marts 2011). Arkiveret fra originalen den 22. juli 2011. Hentet 17. marts 2011.
3. ↑ Real Viagra salgskraft global spamflod - Techworld.com (downlink) . news.techworld.com. Hentet 21. april 2010. Arkiveret fra originalen 15. august 2012. (ubestemt) 
4. ↑ Rustock: M86 Security . Dato for adgang: 13. januar 2012. Arkiveret fra originalen 25. maj 2012. (ubestemt)
5. ↑ 1 2 "Rustock og alt-alt-alt" (securelist.com)
6. ↑ https://www.theregister.co.uk/2008/11/18/short_mccolo_resurrection/ Arkiveret 13. november 2017 hos Wayback Machine Dead-netværksudbyderen væbner Rustock botnet fra det hinsidige. McColo ringer til Rusland, mens verden sover]
7. ↑ Williams, Jeff Operation b107 - Rustock Botnet Takedown (link utilgængeligt) . Hentet 27. marts 2011. Arkiveret fra originalen 15. august 2012. (ubestemt) 
8. ↑ Wingfield, Nick . Spam Network Shut Down , Wall Street Journal (18. marts 2011). Arkiveret fra originalen den 20. marts 2011. Hentet 18. marts 2011.
9. ↑ Mistænkt for Rustock Botnet søgte job hos Google-Krebs om sikkerhed . Hentet 13. januar 2012. Arkiveret fra originalen 7. januar 2012. (ubestemt)
10. ↑ Microsoft overdrager Rustock botnet-sagen til FBI Arkiveret 13. november 2011 på Wayback Machine "Ifølge CNET er Cosma2k lederen af ​​Rustock-botnettet"
11. ↑ "Microsoft: spor af arrangørerne af Rustock botnet fører til Rusland" Arkivkopi dateret 4. marts 2016 på Wayback Machine // CyberSecurity.ru "selskabet rapporterede, at i det mindste en del af Rustock-operatørerne er placeret i Rusland."
12. ↑ 1 2 Microsoft lover $250.000 for "russiske bot"-data . Dato for adgang: 13. januar 2012. Arkiveret fra originalen 6. november 2011. (ubestemt)
13. ↑ 1 2 3 Et casestudie af Rustock Rootkit og Spam Bot // HotBots

Links

• Alexander Gostev. "Rustock og alt-alt-alt" // Securelist.ru
• Ken Chiang, Levi Lloyd (Sandia). Et casestudie af Rustock Rootkit og Spam Bot // HotBots'07 Proceedings af den første konference om First Workshop on Hot Topics in Understanding Botnets
• Vyacheslav Rusakov: "Win32.Ntldrbot (aka Rustock.C) er ikke en myte, men en realitet!" (pdf)

Botnets
Akbot Asprox Bagle BASHLIT Bredolab carna Conficker Cutwail donbot Dridex Festi Gameover ZeuS Grum Gumblar Kelihos Koobface Kraken Lethic Mariposa Mega D Meris Metulji Mirai Necurs Nitol Rustock Salitet SpyEye Srizby StarDust Storm TDL-4 Torpig Virut Vulcanbot Waledac Nul adgang Zeus
Se også: Malbot Betjening: Bot Roast Malware Dosnet netværksorm

Hackerangreb fra 2000'erne
Største angreb	Operation Bot Roast Operation Red October Projekt "Kanologi" titanium regn
Grupper og fællesskaber af hackere	Anonym Enhed 61398 (PLA)
enlige hackere	Dmitry Sklyarov
Opdaget kritiske sårbarheder	Splintrede angreb
Computervirus	Agent.BTZ Anna Kournikova Asprox Bagdør.Win32.Sinoval Bagle Blaster Bredolab Cabir Careto kode rød Kode Rød II Commwarrior Conficker Cutwail donbot Festi Fizzer JEG ELSKER DIG Klez Koobface Kraken Mariposa Mega D Metulji Mocmex mydoom mytob Neshta netsky NetTraveler Nimda Penetrator At klemme Efeu RFID-virus Rustock Salitet Santy Sasser ædru Så stor SpyEye SQL Slammer Srizby Storm Orm Torpig Virut Vulcanbot Waledac Nul adgang Zeus Zobot
1990'erne • 2000'erne • 2010'erne

Hackerangreb fra 2010'erne
Største angreb	Cyber ​​​​angreb i Australien (2010) Operation Digi Notar Operation Hacking og nedlukning af PlayStation Network Operation iståge Operation Red October email LinkedIn hack (2012) Cyber ​​​​angreb på Sydkorea (2013) snapchat Driftsvarer Masse hacking af iCloud-konto Hacking af Sony Pictures Entertainment-servere Cyberangreb på den amerikanske demokratiske nationale komité Cyberangreb på Dyn Cyberangreb på Palace of Westminster WannaCry ransomware angreb Hackerangreb på Ukraine (2017)
Grupper og fællesskaber af hackere	Anonym international Anonym cyberkut Division 121 Hyggelig bjørn Derp GNAA fantasibjørn Goatse Security Lizard Squad LulzRaft LulzSec NullCrew Afdeling 61398 RedHack Syrisk elektronisk hær Yemens elektroniske hær Irans elektroniske hær TeaMp0isoN adgangsoperationer UGNazi
enlige hackere	Jeremy Hammond George Hotz Guccifer Guccifer Sabu Topiary The Jester weev
Opdaget kritiske sårbarheder	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) PUDLE (SSL, 2014) Rootpipe (OSX, 2014) JASBUG (Windows, 2015) Stagefright (Android, 2015) DROWN (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty Cow (Linux, 2016) EternalBlue ( SMBv1 , 2017) DoublePulsar (2017) KRACK (2017) ROCA (2017) BlueBorn (2017) Nedsmeltning (2018) Spectre (2018) Blue Keep (2019)
Computervirus	Asprox dårlig kanin BASHLIT Bredolab Carbanak carberp Careto carna Citadel CryptoLocker Cutwail Dexter donbot Dridex duqu EternalRocks FinFisher flamme Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye stjerner Stuxnet TDL-4 Virut Vulcanbot WannaCry Nul adgang ANT katalog
2000'erne • 2010'erne • 2020'erne