러스톡봇넷

Rustock botnet

Rustock 봇넷은 2006년경부터[1] 2011년 3월까지 운영되었던 봇넷입니다.

Microsoft Windows를 실행하는 컴퓨터로 구성되어 있으며 감염된 [2][3]PC에서 시간당 최대 25,000개의 스팸 메시지를 보낼 수 있었습니다.액티비티가 한창일 때는 손상된 머신당 [4]분당 평균 192개의 스팸 메시지를 보냈습니다.그 크기에 대한 보고되는 추정치는 출처에 따라 크게 다르며, 봇넷이 150,000대에서 2,400,000대의 [5][6][7]머신을 구성했을 가능성이 있다는 주장도 있습니다.봇넷의 크기는 대부분 자기 전파를 통해 증가 및 유지되었습니다.여기서 [8]봇넷은 머신을 봇넷에 통합하는 트로이 목마로 머신을 감염시키려는 악의적인 이메일을 많이 보냈습니다.

이 봇넷은 2008년 봇넷의 명령 및 제어 서버 대부분을 호스팅하는 ISP인 McColo가 다운된 후 큰 타격을 입었다.McColo는 몇 시간 동안 인터넷 접속을 회복했으며, 그 몇 시간 동안 초당 최대 15Mbit의 트래픽이 관찰되었으며, 이는 명령과 제어가 [9]러시아로 이전되었음을 의미할 수 있습니다.이러한 조치를 통해 일시적으로 전세계 스팸 수준이 약 75% 감소했지만, 그 효과는 오래가지 않았습니다. 스팸 수준이 2009년 1월부터 6월까지 60% 증가했으며, 그 중 40%가 Rustock [10][11]봇넷에 기인했습니다.

2011년 3월 16일, 인터넷 서비스 프로바이더와 소프트웨어 [12]벤더의 협력으로 처음 보고된 것을 통해 봇넷이 다운되었습니다.다음 날,[13][14] 작전 b107이라고 불리는 이 테이크 다운은 마이크로소프트, 미국 연방 법 집행 기관, 파이어아이, 그리고 워싱턴 [15][16]대학행동이었다는 것이 밝혀졌다.

2011년 7월 18일, Rustock 봇넷과 관련된 개인을 체포하기 위해, Microsoft는 「개인의 신원 확인, 체포, 및 유죄판결을 가져오는 새로운 정보에 대해서, 미화 25만달러의 현상금」을 내걸고 있습니다."[17]

운용

봇넷은 자신도 모르는 인터넷 사용자가 사용하는 감염된 컴퓨터로 구성됩니다.사용자와 바이러스 대책 소프트웨어로부터 존재를 숨기기 위해 Rustock 봇넷은 루트킷 기술을 채용했습니다.컴퓨터가 감염되면 봇넷 내의 좀비들에게 스팸 발송이나 분산서비스거부([19]DDoS) 공격 의 다양한 작업을 수행하도록 지시할 수 있는 2,500개의 IP 주소 및 2,500개의 도메인 및 백업[18] 도메인에 있는 명령제어 서버에 접속합니다.테이크다운 [20]당시 96대의 서버가 가동 중이었다.스팸을 송신할 때 봇넷은 존재감을 숨기기 위한 추가 보호 레이어로 약 35%의 케이스에서 TLS 암호화를 사용합니다.탐지 여부에 관계없이 스팸을 처리하는 메일 서버에 추가 오버헤드가 발생합니다.일부[when?] 전문가들은 요즘 발송되는 대부분의 이메일이 [21]스팸이기 때문에 이러한 추가 부하가 인터넷의 메일 인프라에 부정적인 영향을 미칠 수 있다고 지적했다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ Chuck Miller (2008-07-25). "The Rustock botnet spams again". SC Magazine US. Archived from the original on 2012-07-30. Retrieved 2010-04-21.
  2. ^ "Real Viagra sales power global spam flood - Techworld.com". News.techworld.com. Retrieved 2010-04-21.
  3. ^ "Marshal8e6 Releases New Insight and Analysis into Botnets". trustwave.com. Chicago, IL, USA: Trustwave Holdings. 2009-04-22. Retrieved 2014-01-09.
  4. ^ "Symantec Announces August 2010 MessageLabs Intelligence Report". symantec.com. Sunnyvale, CA, USA: Symantec. 2010-08-24. Retrieved 2014-01-09.
  5. ^ "MessageLabs intelligence" (PDF). MessageLabs. April 2010. Retrieved 20 November 2010.
  6. ^ "Biggest spammer? The Rustock botnet ". Securityinfowatch.com. 2009-02-06. Retrieved 2010-04-21.
  7. ^ "Rustock botnet responsible for 40 percent of spam". Good Gear Guide. Retrieved August 25, 2010.
  8. ^ "New Rustock Botnet Trying to Expand Itself". SPAMfighter. 2008-07-25. Retrieved 2010-04-21.
  9. ^ "Dead network provider arms Rustock botnet from the hereafter - McColo dials Russia as world sleeps". The Register. 18 November 2008. Retrieved 20 November 2010.
  10. ^ "Rustock botnet leads spam surge up 60 percent in 2009". MX Logic. 2009-07-14. Retrieved 2010-04-21.
  11. ^ "Grum and Rustock botnets drive spam to new levels > Botnet > Vulnerabilities & Exploits > News > SC Magazine Australia/NZ". securecomputing.net.au. 2010-03-02. Retrieved 2010-04-21.
  12. ^ Hickins, Michael (2011-03-17). "Prolific Spam Network Is Unplugged". Wall Street Journal. Retrieved 2011-03-17.
  13. ^ Williams, Jeff. "Operation b107 - Rustock Botnet Takedown". Retrieved 2011-03-27.
  14. ^ Bright, Peter (22 March 2011). "How Operation b107 decapitated the Rustock botnet". Ars Technica. Retrieved 2011-03-27.
  15. ^ Wingfield, Nick (2011-03-18). "Spam Network Shut Down". Wall Street Journal. Retrieved 2011-03-18.
  16. ^ Williams, Jeff. "Operation b107 - Rustock Botnet Takedown". Retrieved 2011-04-06.
  17. ^ "Microsoft Offers Reward for Information on Rustock". Retrieved 2011-07-18.
  18. ^ Microsoft 수정 임시 접근 금지 명령 신청서.케이스 11CV00222, 미국 연방.Ct. W.D. Wash. 2011년 2월 28일
  19. ^ Prince, Brian (2009-07-28). "Security: A Day in the Life of the Rustock Botnet". EWeek. Retrieved 20 November 2010.
  20. ^ "Spammers sought after botnet takedown". BBC News. 2011-03-25.
  21. ^ "Beware Botnet's Return, Security Firms Warn". PCWorld. 2010-03-28. Retrieved 2010-04-21.