브레돌랍 봇넷

Bredolab botnet

브레돌랍 봇넷오피클라라는 가명으로도 알려져 있는데 주로 바이러스성 이메일 스팸메일에 관련된 러시아의[2] 봇넷이었다.[1]2010년 11월 지휘통제 서버 압류를 통해 결국 봇넷이 해체되기 전까지 수백만 대의 좀비 컴퓨터로 구성된 것으로 추정됐다.[3][4][5]

운영

브레돌라브보트넷을 둘러싼 초기 보고는 2009년 5월(브레돌라브 트로이 목마의 첫 악성코드 샘플이 발견된 시기)부터 시작되었지만, 봇넷 자체는 봇넷 크기가 크게 급증한 2009년 8월까지 두각을 나타내지 못했다.[6][7]브레도넷의 주된 전파 형태는 악성코드를 포함한 악성 이메일을 보내는 것으로, 이 이메일을 열면 컴퓨터가 효과적으로 봇넷이 제어하는 또 다른 좀비로 변하게 된다.최고조에 달했을 때, 이 봇넷은 매일 36억 건의 감염된 이메일을 보낼 수 있었다.[8] 다른 주요 전파 형태는 소프트웨어 보안 취약점악용하는 드라이브 바이 다운로드를 사용하는 것이었다.이 방법은 봇넷이 사용자가 알지 못하는 사이에 다운로드를 용이하게 하기 위해 소프트웨어 보호를 우회할 수 있도록 했다.[9]

봇넷의 주수입은 봇넷의 일부를 제3자에게 임대하여 창출되었으며, 이후 이들 감염 시스템을 자신의 목적에 맞게 사용할 수 있는 제3자에게도 발생하였으며, 보안 연구자들은 봇넷 소유주가 봇넷 관련 활동으로 월 최대 13만 9천 달러를 벌어들인 것으로 추정하고 있다.[4][10][11]렌털 사업 전략 때문에 브레돌랍의 탑재량은 매우 다양했고, 허수아비부터 악성코드와 이메일 스팸에 이르기까지 다양했다.[12]

해체 및 후폭풍

2010년 10월 25일, 네덜란드의 사법기관 팀이 리스웹의 데이터 센터에 있는 브레돌라브 봇넷으로부터 3대의 명령 및 제어 서버, 1대의 데이터베이스 서버, 여러 대의 관리 서버를 포함하는 143대의 서버를 장악하여,[13] 봇넷 헤더가 봇넷을 중앙에서 제어하는 능력을 효과적으로 제거했다.[2][12][14]그의 봇넷에 대한 통제권을 되찾기 위한 시도로, 봇넷 허더는 여전히 그의 통제 하에 있는 22만 대의 컴퓨터를 이용하여, 비록 이러한 시도들이 결국 헛수고였지만, 리스웹 서버에 DDoS 공격을 가했다.[15]법 집행팀은 봇넷을 장악한 뒤 봇넷 자체를 활용해 감염된 컴퓨터 소유주에게 컴퓨터가 봇넷의 일부라는 내용의 메시지를 보냈다.[8][16]

그 뒤 아르메니아 사법당국은 봇넷의 배후로 지목된 배후를 근거로 아르메니아 시민 게오르기 아바네소프를 체포했다.[4][17]용의자는 봇넷에 대한 어떠한 개입도 부인했다.[11][12]2012년 5월 징역 4년을 선고받았다.[18]

지휘통제서버의 압류로 봇넷의 운영 능력이 크게 흐트러진 반면, 러시아와 카자흐스탄에서는 지휘통제 서버가 지속되는 등 봇넷 자체가 여전히 일부 온전하다.[19][16]보안업체 파이어아이(FireEye)는 2차 봇넷 목축업자들이 자신들의 목적을 위해 봇넷의 나머지 부분을 인수했는데, 아마도 기존 봇넷 크리에이터 코드의 일부를 역설계한 이전 고객일 가능성이 있다고 보고 있다.그럼에도 이 단체는 법 집행 개입으로 봇넷의 규모와 용량이 크게 줄었다고 지적했다.[10][13][20]

참조

  1. ^ 멀웨어 백과사전 검색: 브레돌랍, Microsoft.com
  2. ^ a b Dan Raywood (26 October 2010). "Bredolab botnet taken down after Dutch intervention". SC Magazine UK. Retrieved 28 January 2012.
  3. ^ James Wray and Ulf Stabe (28 October 2010). "Researchers: Bredolab still lurking, though severely injured (Update 3) - Security". Thetechherald.com. Archived from the original on 3 October 2011. Retrieved 28 January 2012.
  4. ^ a b c "Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com". Infosecurity-magazine.com. 1 November 2010. Retrieved 28 January 2012.
  5. ^ Help Net Security (2 November 2010). "The aftermath of the Bredolab botnet shutdown". Net-security.org. Retrieved 28 January 2012.
  6. ^ "Security Threat Reports - Research Analysis - Trend Micro USA" (PDF). Us.trendmicro.com. Retrieved 28 January 2012.
  7. ^ "Trojan.Bredolab". Symantec. Retrieved 28 January 2012.
  8. ^ a b "Infosecurity (USA) - Dutch government shuts down Bredolab botnet". Infosecurity-us.com. 26 October 2010. Retrieved 28 January 2012.
  9. ^ "Trojan.Bredolab Technical Details". Symantec. Retrieved 28 January 2012.
  10. ^ a b Bredolab Down but Far Out After Botnet Tatchown, 2010년 10월 28일
  11. ^ a b "More Bredolab arrests may occur, say Dutch prosecutors - Techworld.com". News.techworld.com. Retrieved 28 January 2012.
  12. ^ a b c Schwartz, Mathew J. (29 October 2010). "Bredolab Botnet Still Spewing Malware - Bredolab Botnet". InformationWeek. Retrieved 28 January 2012.
  13. ^ a b de Graaf, JD (2012). "BREDOLAB: Shopping in the Cybercrime Underworld" (PDF). ICDF2C Conference. Springer-Verlag.
  14. ^ Josh Halliday (26 October 2010). "Suspected Bredolab worm mastermind arrested in Armenia Technology". London: guardian.co.uk. Retrieved 28 January 2012.
  15. ^ "Suspected Bredolab Botnet Runner Arrested in Armenia - Softpedia". News.softpedia.com. 26 October 2010. Retrieved 28 January 2012.
  16. ^ a b 언데드 브레돌랍 좀비 네트워크는 2010년 10월 29일 무덤에서 사라진다.
  17. ^ "Bredolab Mastermind Was Key Spamit.com Affiliate — Krebs on Security". Krebsonsecurity.com. 30 October 2010. Retrieved 28 January 2012.
  18. ^ "Russian spam mastermind jailed for creating botnet". BBC News. 24 May 2012. Retrieved 24 May 2012.
  19. ^ "Bredolab, dead, dying or dormant? » CounterMeasures". Countermeasures.trendmicro.eu. 26 October 2010. Retrieved 28 January 2012.
  20. ^ Atif Mushtaq on 2010.10.26 (26 October 2010). "FireEye Malware Intelligence Lab: Bredolab - Severely Injured but not dead". Blog.fireeye.com. Retrieved 28 January 2012.