Rustock

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 10 januari 2020; kontroller kräver 8 redigeringar .

Rustock är ett rootkit och ett botnät baserat på det. Rustock dök upp 2006 [1] . Botnätet fungerade fram till mars 2011 [2] .

Datorer med 32-bitars Microsoft Windows påverkades . Spam skickades från infekterade datorer, hastigheten på dess distribution kunde nå 25 tusen meddelanden per timme [3] [4] . Rustocks botnät innehöll mellan 150 000 och 2 miljoner infekterade datorer.

Historik

Kaspersky Lab tror att den utbredda spridningen av Rustock-viruset började den 10 september 2007 [5] .

I maj 2008 upptäcktes viruset. Efter några dagar kändes det igen av flera antivirus [5] .

2008, på grund av den tillfälliga avstängningen av McColo hosting ( San Jose, Kalifornien ), som hade några botnätkontrollservrar installerade, minskade botnätaktiviteten [6] .

Botnätet förstördes den 16 mars 2011 [2] som en del av en gemensam operation "b107" [7] utförd av Microsoft , federala brottsbekämpande agenter, FireEye och University of Washington [8] .

I maj 2011 [9] uppgav Microsoft att en person som använde smeknamnet "Cosma2k" [10] var involverad i arbetet med botnätet . Förmodligen fanns några av organisatörerna av botnätet i Ryssland [11] .

I juni 2011 överklagade Microsoft grundarna av Rustock i tidningarna Delovoy Peterburg och Moskovskiye Novosti och underrättade dem om deras rättegång i distriktsdomstolen i delstaten Washington [12] .

Den 18 juli 2011 tillkännagavs en stor monetär belöning för information om skaparna av viruset [12] .

Internt arrangemang

Varje infekterad dator fick regelbundet åtkomst till kontrollservrarna. Interaktion med dem skedde med hjälp av HTTP-protokollet och förfrågningar av typen POST. All data krypterades dessutom, enligt Symantec , med hjälp av RC4-algoritmen . Utbytessessionen bestod av två faser: utbyte av nycklar och överföring av instruktioner. Nyckelutbytet ägde rum vid åtkomst till login.php-skriptet (klienten skickade 96 byte, serversvaret var 16 byte). Instruktionerna skickades av skriptet data.php [13] .

Virusfilen består av [13] :

Primär deobfucation modul 0x4AF byte i storlek
Bootloader Rootkit (0x476 byte)
Rootkit-koder.
Skräppostsändningsmodul.

Rootkit - laddaren använder funktionerna ExAllocatePool, ZwQuerySystemInformation, ExFreePool, stricmp från ntoskrnl.exe [13] .

Variationer

3 varianter av Rustock-viruset har också hittats:

Rustock.С1-variant - skapad den 10 september 2007.
Rustock.С2-variant - Skapad den 26 september.
Varianterna C3 och C4 – skapade 9-10 oktober 2007.

Anteckningar

↑ Chuck Miller. Rustocks botnät spammar igen (otillgänglig länk) . SC Magazine US (25 juli 2008). Hämtad 21 april 2010. Arkiverad från originalet 15 augusti 2012. (obestämd)
^ 12 Hickins , Michael . Prolific Spam Network Is Unplugged , Wall Street Journal (17 mars 2011). Arkiverad från originalet den 22 juli 2011. Hämtad 17 mars 2011.
↑ Real Viagra säljkraft global spamflod - Techworld.com (nedlänk) . news.techworld.com. Hämtad 21 april 2010. Arkiverad från originalet 15 augusti 2012. (obestämd)
↑ Rustock: M86 Security . Tillträdesdatum: 13 januari 2012. Arkiverad från originalet den 25 maj 2012. (obestämd)
↑ 1 2 "Rustock och allt-alla-alla" (securelist.com)
↑ https://www.theregister.co.uk/2008/11/18/short_mccolo_resurrection/ Arkiverad 13 november 2017 hos Wayback Machine Dead-nätverksleverantören beväpnar Rustock botnet från det härefter. McColo ringer Ryssland medan världen sover]
↑ Williams, Jeff Operation b107 - Rustock Botnet Takedown (länk ej tillgänglig) . Hämtad 27 mars 2011. Arkiverad från originalet 15 augusti 2012. (obestämd)
↑ Wingfield, Nick . Spam Network Shut Down , Wall Street Journal (18 mars 2011). Arkiverad från originalet den 20 mars 2011. Hämtad 18 mars 2011.
↑ Rustock Botnet-misstänkt sökte jobb på Google-Krebs on Security . Hämtad 13 januari 2012. Arkiverad från originalet 7 januari 2012. (obestämd)
↑ Microsoft överlämnar Rustock botnät-fallet till FBI Arkiverad 13 november 2011 på Wayback Machine "Enligt CNET är Cosma2k huvudledaren för Rustock-botnätet"
↑ "Microsoft: spår av arrangörerna av Rustock-botnätet leder till Ryssland" Arkivkopia daterad 4 mars 2016 på Wayback Machine // CyberSecurity.ru "företaget rapporterade att åtminstone en del av Rustock-operatörerna är belägna i Ryssland."
↑ 1 2 Microsoft lovar 250 000 dollar för "ryska bot"-data . Datum för åtkomst: 13 januari 2012. Arkiverad från originalet den 6 november 2011. (obestämd)
↑ 1 2 3 En fallstudie av Rustock Rootkit och Spam Bot // HotBots

Länkar

Alexander Gostev. "Rustock och allt-alla-alla" // Securelist.ru
Ken Chiang, Levi Lloyd (Sandia). En fallstudie av Rustock Rootkit och Spam Bot // HotBots'07 Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets
Vyacheslav Rusakov: "Win32.Ntldrbot (aka Rustock.C) är inte en myt, utan en verklighet!" (pdf)

Botnät
Akbot Asprox Bagle BASHLITE Bredolab carna Conficker Cutwail donbot Dridex Festi Gameover ZeuS Grum Gumblar Kelihos Koobface Kraken Lethic Mariposa Mega D Meris Metulji Mirai Necurs Nitol Rustock Salitet SpyEye Srizby StarDust Storm TDL-4 Torpig Virut Vulcanbot Waledac Noll åtkomst Zeus
Se även: Malbot Drift: Bot Roast Skadlig programvara Dosnet nätverksmask

Hackerattacker på 2000-talet
Största attackerna	Operation Bot Roast Operation Red October Projekt "Kanologi" titan regn
Grupper och grupper av hackare	Anonym Enhet 61398 (PLA)
ensamma hackare	Dmitry Sklyarov
Upptäckte kritiska sårbarheter	Spränga attack
Datavirus	Agent.BTZ Anna Kournikova Asprox Backdoor.Win32.Sinoval Bagle Blaster Bredolab Cabir Careto kod röd Kod Röd II Commwarrior Conficker Cutwail donbot Festi Fizzer JAG ÄLSKAR DIG Klez Koobface Kraken Mariposa Mega D Metulji Mocmex mydoom mytob Neshta netsky NetTraveler Nimda Penetrator Nypa Poison Ivy RFID-virus Rustock Salitet Santy Sasser nykter Så stor SpyEye SQL Slammer Srizby Stormmask Torpig Virut Vulcanbot Waledac Noll åtkomst Zeus Zobot
1990 -tal • 2000 -tal • 2010- tal

Hackerattacker på 2010-talet
Största attackerna	Cyberattacker i Australien (2010) Operation Digi Notar Operation Hacka och stänga av PlayStation Network Operation isdimma Operation Red October e LinkedIn hack (2012) Cyberattack mot Sydkorea (2013) snapchat Drift Massiv hackning av iCloud-konto Hacka Sony Pictures Entertainment-servrar Cyberattack mot USA:s demokratiska nationella kommitté Cyberattack på Dyn Cyberattack mot Palace of Westminster WannaCry ransomware attack Hackerattacker mot Ukraina (2017)
Grupper och grupper av hackare	Anonym internationell Anonym cyberkut Division 121 Mysig björn Derp GNAA fantasibjörn Goatse Security Lizard Squad LulzRaft LulzSec NullCrew Avdelning 61398 RedHack Syriska elektroniska armén Jemens elektroniska armé Irans elektroniska armé TeaMp0isoN åtkomstoperationer UGNazi
ensamma hackare	Jeremy Hammond George Hotz Guccifer Guccifer Sabu Topiary The Jester weev
Upptäckte kritiska sårbarheter	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) PUDLE (SSL, 2014) Rootpipe (OSX, 2014) JASBUG (Windows, 2015) Stagefright (Android, 2015) DROWN (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty Cow (Linux, 2016) EternalBlue ( SMBv1 , 2017) DoublePulsar (2017) KRACK (2017) ROCA (2017) BlueBorn (2017) Meltdown (2018) Spectre (2018) Blue Keep (2019)
Datavirus	Asprox dålig kanin BASHLITE Bredolab Carbanak carberp Careto carna Citadell CryptoLocker Cutwail Dexter donbot Dridex duqu EternalRocks FinFisher flamma Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye stjärnor Stuxnet TDL-4 Virut Vulcanbot Vill gråta Noll åtkomst ANT katalog
2000 -tal • 2010 -tal • 2020-tal