Janeiro 25, 2010, 6:04PM

Por dentro da botnet Pushdo

É muito raro que nós pesquisadores tenhamos uma chance de explorar as entranhas de uma rede botnet. Detalhes do servidor e dos componentes de comando da botne tpode nos dar informações valiosas sobre o funcionamento dela e, possivelmente, sobre as pessoas responsáveis. Mas garantir acesso a esses dados geralmente depende da boa vontade do serviço de hospedagem. Então o que fazer nesse caso?

Recentemente, enquanto eu estava monitorando logs de nossa rede MAX para encontrar a localização geográfica para o Pushdo CnCs, obtive esses resultados pelos últimos 30 dias.

SOFTLAYER TECHNOLOGIES INC, USA

74.86.100.156
74.86.100.158
74.86.198.178
74.86.100.157
74.86.187.242

LIMESTONE NETWORKS INC, USA

216.245.203.122
216.245.213.194
216.245.219.202
69.162.90.170
69.162.68.114
69.162.90.130
69.162.92.162
69.162.104.250
69.162.84.186
69.162.113.18

LEASEWEB, NETHERLANDS

94.75.233.172
94.75.233.171
94.75.233.163

THEPLANET.COM INTERNET SERVICES INC, USA

74.54.77.82

VRTSERVERS INC

70.36.100.42

Ver a SoftLayer na lista de provedores foi algo que me animou bastante. A SoftLayer tem um bom histórico de lidar com reclamações de uso abusivo de seus serviços, então eu sabia que por esses servidores offline não seria problema. Mas desta vez eu estava esperando por algo mais. Mantendo em mente a boa relação entre a FireEye e a SoftLayer, pedimos a eles acesso a uma das redes CnCs.

Uma coisa interessante que notamos nos servidores C&C abrigados em outros provedores também foram derrubados no mesmo dia. Isso é provavelmente uma combinação dos provedores ou os criminosos abandonando os servidores (como resultado da ação da Softlayer). Sobraram dois servidores abrigados, em tese na Holanda.

Eis os servidores:

94.75.233.172
94.75.233.171

O WHOIS para 94.75.233.172 é algo assim:

inetnum: 94.75.233.0 - 94.75.233.255
netname: LEASEWEB
descr:     LeaseWeb
descr:     P.O. Box 93054
descr:     1090BB AMSTERDAM
descr:     Netherlands
descr:     www.leaseweb.com
remarks: Please send email to "abuse@leaseweb.com" for complaints
remarks: regarding portscans, DoS attacks and spam.
remarks: assignment LEASEWEB 20080723
country: NL
admin-c: LSW1-RIPE
tech-c:    LSW1-RIPE
status:    ASSIGNED PA

mnt-by: LEASEWEB-MNT

source: RIPE # Filtered

De volta à história. Infiltrar a Pushdo não foi somente por diversão. Havia motivos sérios por trás.

Motivo # 1

Obter o componente do servidor e todos os arquivos relacionados. Essa informação era essencialpara entender as entranhas da botnet.

Motivo # 2

Tentasr investigar quem são os responsáveis pela Pushdo, incluindo sua origem e modelo de negócios. De acordo com os registros da Soflayer esses servidores estão baseados na Alemanha. A Softlayer nos deu detalhes como o nome da empresa e do responsável pelo registro. Uma busca rápida no Google não revelou nada importante. Isso não é surpresa, já que muitas vezes são usados dados de cartões de crédito roubados.

O que eu descobri dentro da Pushdo's CnC? Consegui alguma pista sobre os caras por trás dela? Vamos discutir isso no próximo artigo. Fiquem alertas!

Comentários

Comentar

Artigos sobre segurança apresentados

As dez perguntas que você deve fazer ao seu fornecedor de segurança de terminais

Leia este resumo informativo, preparado pela Cascadia Labs, e saiba como fazer as perguntas certas para obter as respostas certas ao buscar referências de fornecedores de segurança de terminais.
Baixar agora

fornecido pela

Conteúdo Threatpost personalizado


Junte-se à nossa comunidade no Orkut	Siga-nos no Twitter	Assine a Newsletter