Развитие сайтов знакомств для взрослых по средствам ботнета
В течение нескольких месяцев я работал над поиском информации относительно бот – сетей, которые, по-видимому, используется в основном для продвижения сайтов знакомств для взрослых. Оказавшись в тупике производя свои исследования, я решил, что было бы хорошо опубликовать то, что я раскопал на данный момент, чтобы увидеть, согласуется ли это с исследованиями других экспертов.
В конце октября 2016 года анонимный источник поделился со мной списком из почти 100 URL - адресов, которые при загрузке в браузере Firefox отображали то, что выглядело как грубая, но вполне эффективная текстовая панель, предназначенная для отчетов в режиме реального времени о проделанной ботом работе.
Вот набор архивных скриншотов тех счетчиков, которые наглядно иллюстрируют, как эти различные контроллеры ботнета содержат текущую вкладку о том, сколько «активных ботов» взломали сервера, настроенные для спама и сидят без дела в ожидании новых указаний.
Одна из более чем 100 панелей, связанных с одной и той же операцией спама в порно. В октябре 2016 года на этих 100 панелях было зарегистрировано в общей сложности 1,2 миллиона активных ботов, работающих одновременно.
В то время мне было непонятно, как этот очевидный ботнет используется, и с тех пор общее количество ботов, значительно сократилось. В течение недели были сделаны скриншоты с экрана, на которых было замечено более 1,2 миллиона зомби-машин или серверов, которые сообщают каждый день сведенья о проделанной работе (этот архив снимков экрана содержит примерно половину найденных панелей). В настоящее время общее количество серверов, сообщающих об этой спам - сети, колеблется от 50000 до 100000.
Благодаря призыву активиста по борьбе со спамом, который попросил не называть его имени, я смог убедиться, что ботнет, похоже, занят продвижением бесконечной сети сайтов знакомств для взрослых, связанных только с двумя компаниями: CyberErotica и Deniro Marketing LLC (aka AmateurMatch).
В 2001 году фирма CyberErotica урегулировала иск Федеральной комиссии по торговле США, в котором утверждалось, что партнерская программа для взрослых искажала услуги как бесплатные, в то время как она заставляла подписчиков ежемесячно вносить плату.
В 2010 году Deniro Marketing оказалась предметом судебного процесса, в котором утверждалось, что компания использовала спамеров для продвижения онлайн-службы знакомств, которая была захвачена автоматическими, поддельными профилями молодых женщин. Эти обвинения закончились нераскрытым урегулированием после того, как судья по делу отклонил иск о рассылке, поскольку срок давности по этим обвинениям истек.
Что необычно в этом ботнете, так это то, что через различные панели отчетов, которые все еще отображают данные, мы можем получать в реальном времени отчет - обновления о размере и статусе этой криминальной машины. Не требуется аутентификация или учетные данные. Столько оперативной безопасности!
В приведенном ниже «разумном плане» содержится достаточно информации для всех, кто дублирует это исследование, и включает полный список веб-адресов панелей отчетов ботнета, которые в настоящее время находятся в сети и отвечают риальными обновлениями. Мне не удалось загрузить эти панели в браузере Google Chrome (возможно, на данных XML на странице отсутствуют некоторые ключевые компоненты), но они отлично загрузились в Mozilla Firefox.
Но есть одно замечание: я настоятельно рекомендую всем, кто заинтересован в том, чтобы следить за моими исследованиями, позаботиться о себе, прежде чем посетить эти панели. Желательно сделать это с помощью одноразовой «виртуальной» машины, которая запускает нечто, отличное от Microsoft Windows.
Это связано с тем, что спамеры обычно участвуют в распространении вредоносного программного обеспечения, которое поддерживает обширные сети, видимо взломанных систем. Почти всегда участвует в создании или, по крайней мере, вводе в эксплуатацию упомянутого вредоносного ПО. Хуже того, порно - спамеры являются одними из самых низких, поэтому разумно вести себя так, как будто все их онлайн-активы враждебны или вредны.
Следуй за мной
Так как же RuOnion связывает спам, который был отправлен, чтобы продвинуть эти две схемы знакомств для взрослых в спам-бот-сети, о которых я упоминал в начале этой публикации? Я должен сказать, что это безмерно помогло, что один источник защиты от спама обладает исчерпывающей исторической коллекцией образцов спама и что он содержит более полутора десятков связанных образцов.
Весь этот спам имел аналогичную информацию, включенную в их «заголовки» - метаданные, которые сопровождали все сообщения электронной почты.
Поступило в редакцию: от minitanth.info-88.top (037008194168.suwalki.vectranet.pl [37.8.194.168])
Поступило в редакцию: от exundancyc.megabulkmessage225.com (109241011223.slupsk.vectranet.pl [109.241.11.223])
Поступило в редакцию: от disfrockinga.message-49.top (неизвестно [78.88.215.251])
Поступило в редакцию: от правонарушителей.megabulkmessage223.com (088156021226.olsztyn.vectranet.pl [88.156.21.226])
Поступило в редакцию: от snaileaterl.inboxmsg-228.top (109241018033.lask.vectranet.pl [109.241.18.33])
Поступило в редакцию: от soapberryl.inboxmsg-242.top (037008209142.suwalki.vectranet.pl [37.8.209.142])
Поступило в редакцию: от dicrostonyxc.inboxmsg-230.top (088156042129.olsztyn.vectranet.pl [88.156.42.129])
Чтобы узнать больше о том, какую информацию вы можете почерпнуть из заголовков электронной почты, смотри этот пост. Но на данный момент, это крутой курс для наших целей. Так называемые «полностью квалифицированные доменные имена» или FQDN в приведенном выше списке можно найти только справа от открытых круглых скобок в каждой строке.
Когда эта информация присутствует в заголовках (а не просто указана как «неизвестная»), это полностью подтвержденное реальное имя машины, отправившей сообщение (по крайней мере, в отношении системы имен доменов). Пунктирный адрес справа в квадратных скобках в каждой строке представляет собой числовой интернет-адрес фактического компьютера, отправившего сообщение.
Информация слева от открытых круглых скобок называется «строка HELO / EHLO», и администратор почтового сервера может установить эту информацию, чтобы отобразить все, что он хочет: это может быть набор для bush[dot]whitehouse[dot]gov. К счастью, в этом случае спамер, похоже, был последователен в соглашении об именах, используемых для идентификации отправляющих доменов и поддоменов.
Еще в октябре 2016 года (когда эти спам - сообщения были отправлены) полное доменное имя FQDN «minitanth.info-88[dot]top» было определено к конкретному IP - адресу: 37.8.194.168. Используя пассивные инструменты DNS из Farsight Security, которые хранят историческую запись о том, какие имена доменов находят на IP-адресах, я смог узнать, что спамер, который настроил домен info-88[dot]top, связал его с сотнями субдоменов третьего уровня (minithanth.info-88[dot]top, achoretsq.info-88[dot]top, и т. д.).
Было также ясно, что этот спамер контролировал большое количество доменных имен верхнего уровня и что у него было множество субдоменов третьего уровня, назначенных каждому имени. Этот тип спама известен как спам-пойнт.
Подобно снегоступам, распределяющим нагрузку путешественника по широкому снежному пространству, спам-поход - это метод, используемый спамерами для распространения по многим IP-адресам и доменам, чтобы разбавить показатели репутации и избежать фильтров», - пишет группа защиты от спама Spamhaus в своем полезном глоссарии.
Рабочие результаты
Поэтому, вооружившись всей этой информацией, потребовалось всего один или два коротких шага для определения IP-адресов соответствующих панелей отчетов ботнета. Достаточно, просто находить DNS-запросы, чтобы обнаружить имена серверов, которые предоставляли службу DNS для каждого домена этого второго спамера.
Как только у вас есть все имена, вы просто выполняете еще DNS-запросы - по одному для каждого имени сервера, чтобы получить соответствующий IP-адрес для каждого из них.
С учетом этого списка IP-адресов доверенный источник вызвался выполнить серию сканирований по ним, используя «Nmap», мощный и бесплатный инструмент, который может отобразить любые отдельные виртуальные дверные проемы или «порты», которые открыты для целевых систем. В данном случаи Nmap-сканирование по этому списку IP-адресов показало, что все они прослушивают входящие соединения через Port 10001.
Оттуда я взял список IP-адресов и поместил каждый отдельно в поле URL окна браузера в Mozilla Firefox, а затем добавил «10001» в конец. После этого каждый адрес с радостью загрузил веб - страницу, отображающую количество ботов, подключающихся к каждому IP-адресу в любой момент времени.
Вот вывод одного контроллера, который в настоящее время обрабатывается более чем 12 000 систем, настроенными на ретрансляцию порно-спама.В настоящее время весь ботнет (подсчет активных ботов со всех рабочих бот-панелей), кажется, колеблется около 80 000 систем.
В то время спам, передаваемый через эти системы, являлся рекламными сайтами, которые пытались заставить посетителей зарегистрироваться в онлайн-чатах и сайтах знакомств, которые, по-видимому, связаны с Deniro Marketing и CyberErotica.
Получая больше информации, я начал искать в интернете информацию о партнерских предложениях CyberErotica, и обнаружил, что маркетинговое подразделение партнерской программы управляется парнем, который использует адрес электронной почты [email protected].
Поиск Google быстро показывает, что [email protected] может быть доступен с помощью адреса мгновенного обмена сообщениями ICQ 55687349. Я проверил страницу поиска членов icq.com и нашел, что имя, прикрепленное к ICQ#55687349, - «Скотт Филипс».
Мистер Филипс не просил прокомментировать ситуацию. Но я не мог не задаться вопросом о подозрительном (совпадении) сходстве между этим именем и осужденным австралийским порно-спамером по имени Скотт Филлипс.
В 2010 году Скотт Грегори Филлипс был оштрафован на 2 миллиона долларов за управление бизнесом, в котором люди работали над созданием поддельных профилей на сайтах знакомств, чтобы получать номера мобильных телефонов пользователей. Организация Филлипса рассылала SMS-сообщения, такие как «введите свой номер ...», а затем со счетов людей, которые ответили, взималась плата в размере 5 долларов США.
Страница Facebook Филлипса и профиль Quora заставили бы нас поверить, что он изменился и теперь зарабатывает на жизнь с помощью обычной торговли. Связавшийся по электронной почте, Филлипс сказал, что он преданный читатель, который давно покинул спам-бизнес.
«Я не занимался спамом с 2002 года или около того. Я сделал несколько SMS-спамов в 2005 году, получил около 18 миллионов долларов штрафов за это и пошел дальше», - сказал Филлипс.
Он так же утверждает, что в настоящий момент строит «автоматизированные системы торговли товарами», и что практически весь современный спам основан на ботнетах.
«Насколько я знаю, спам-индустрия сегодня на 100% ботнет, а не жизнеспособное предложение сайтам для взрослых», - сказал он.
Наиболее неприятным аспектом этого исследования является то, что - несмотря на практически несуществующую оперативную безопасность, используемую тем, кто построил эту конкретную машину преступления, у меня все еще нет реальных данных о том, как строится ботнет, какой тип вредоносного программного обеспечения может быть или кто несет ответственность.
Если у кого-то есть дополнительные исследования или информация об этом, пожалуйста, не стесняйтесь оставлять комментарии ниже или напрямую связаться со мной.