Развитие сайтов знакомств для взрослых по средствам ботнета

НОВОСТИ
2017-07-01 09:46:10
0
2.4K

Social Media

В течение нескольких месяцев я работал над поиском информации относительно бот – сетей, которые, по-видимому, используется в основном для продвижения сайтов знакомств для взрослых. Оказавшись в тупике производя свои исследования, я решил, что было бы хорошо опубликовать то, что я раскопал на данный момент, чтобы увидеть, согласуется ли это с исследованиями других экспертов.

В конце октября 2016 года анонимный источник поделился со мной списком из почти 100 URL - адресов, которые при загрузке в браузере Firefox отображали то, что выглядело как грубая, но вполне эффективная текстовая панель, предназначенная для отчетов в режиме реального времени о проделанной ботом работе.

Вот набор архивных скриншотов тех счетчиков, которые наглядно иллюстрируют, как эти различные контроллеры ботнета содержат текущую вкладку о том, сколько «активных ботов» взломали сервера, настроенные для спама и сидят без дела в ожидании новых указаний.

Одна из более чем 100 панелей, связанных с одной и той же операцией спама в порно. В октябре 2016 года на этих 100 панелях было зарегистрировано в общей сложности 1,2 миллиона активных ботов, работающих одновременно.

В то время мне было непонятно, как этот очевидный ботнет используется, и с тех пор общее количество ботов, значительно сократилось. В течение недели были сделаны скриншоты с экрана, на которых было замечено более 1,2 миллиона зомби-машин или серверов, которые сообщают каждый день сведенья о проделанной работе (этот архив снимков экрана содержит примерно половину найденных панелей). В настоящее время общее количество серверов, сообщающих об этой спам - сети, колеблется от 50000 до 100000.

Благодаря призыву активиста по борьбе со спамом, который попросил не называть его имени, я смог убедиться, что ботнет, похоже, занят продвижением бесконечной сети сайтов знакомств для взрослых, связанных только с двумя компаниями: CyberErotica и Deniro Marketing LLC (aka AmateurMatch).

В 2001 году фирма CyberErotica урегулировала иск Федеральной комиссии по торговле США, в котором утверждалось, что партнерская программа для взрослых искажала услуги как бесплатные, в то время как она заставляла подписчиков ежемесячно вносить плату.

В 2010 году Deniro Marketing оказалась предметом судебного процесса, в котором утверждалось, что компания использовала спамеров для продвижения онлайн-службы знакомств, которая была захвачена автоматическими, поддельными профилями молодых женщин. Эти обвинения закончились нераскрытым урегулированием после того, как судья по делу отклонил иск о рассылке, поскольку срок давности по этим обвинениям истек.

Что необычно в этом ботнете, так это то, что через различные панели отчетов, которые все еще отображают данные, мы можем получать в реальном времени отчет - обновления о размере и статусе этой криминальной машины. Не требуется аутентификация или учетные данные. Столько оперативной безопасности!

В приведенном ниже «разумном плане» содержится достаточно информации для всех, кто дублирует это исследование, и включает полный список веб-адресов панелей отчетов ботнета, которые в настоящее время находятся в сети и отвечают риальными обновлениями. Мне не удалось загрузить эти панели в браузере Google Chrome (возможно, на данных XML на странице отсутствуют некоторые ключевые компоненты), но они отлично загрузились в Mozilla Firefox.

Но есть одно замечание: я настоятельно рекомендую всем, кто заинтересован в том, чтобы следить за моими исследованиями, позаботиться о себе, прежде чем посетить эти панели. Желательно сделать это с помощью одноразовой «виртуальной» машины, которая запускает нечто, отличное от Microsoft Windows.

Это связано с тем, что спамеры обычно участвуют в распространении вредоносного программного обеспечения, которое поддерживает обширные сети, видимо взломанных систем. Почти всегда участвует в создании или, по крайней мере, вводе в эксплуатацию упомянутого вредоносного ПО. Хуже того, порно - спамеры являются одними из самых низких, поэтому разумно вести себя так, как будто все их онлайн-активы враждебны или вредны.

Следуй за мной

Так как же RuOnion связывает спам, который был отправлен, чтобы продвинуть эти две схемы знакомств для взрослых в спам-бот-сети, о которых я упоминал в начале этой публикации? Я должен сказать, что это безмерно помогло, что один источник защиты от спама обладает исчерпывающей исторической коллекцией образцов спама и что он содержит более полутора десятков связанных образцов.

Весь этот спам имел аналогичную информацию, включенную в их «заголовки» - метаданные, которые сопровождали все сообщения электронной почты.

Поступило в редакцию: от minitanth.info-88.top (037008194168.suwalki.vectranet.pl [37.8.194.168])

Поступило в редакцию: от exundancyc.megabulkmessage225.com (109241011223.slupsk.vectranet.pl [109.241.11.223])

Поступило в редакцию: от disfrockinga.message-49.top (неизвестно [78.88.215.251])

Поступило в редакцию: от правонарушителей.megabulkmessage223.com (088156021226.olsztyn.vectranet.pl [88.156.21.226])

Поступило в редакцию: от snaileaterl.inboxmsg-228.top (109241018033.lask.vectranet.pl [109.241.18.33])

Поступило в редакцию: от soapberryl.inboxmsg-242.top (037008209142.suwalki.vectranet.pl [37.8.209.142])

Поступило в редакцию: от dicrostonyxc.inboxmsg-230.top (088156042129.olsztyn.vectranet.pl [88.156.42.129])

Чтобы узнать больше о том, какую информацию вы можете почерпнуть из заголовков электронной почты, смотри этот пост. Но на данный момент, это крутой курс для наших целей. Так называемые «полностью квалифицированные доменные имена» или FQDN в приведенном выше списке можно найти только справа от открытых круглых скобок в каждой строке.

Когда эта информация присутствует в заголовках (а не просто указана как «неизвестная»), это полностью подтвержденное реальное имя машины, отправившей сообщение (по крайней мере, в отношении системы имен доменов). Пунктирный адрес справа в квадратных скобках в каждой строке представляет собой числовой интернет-адрес фактического компьютера, отправившего сообщение.

Информация слева от открытых круглых скобок называется «строка HELO / EHLO», и администратор почтового сервера может установить эту информацию, чтобы отобразить все, что он хочет: это может быть набор для bush[dot]whitehouse[dot]gov. К счастью, в этом случае спамер, похоже, был последователен в соглашении об именах, используемых для идентификации отправляющих доменов и поддоменов.

Еще в октябре 2016 года (когда эти спам - сообщения были отправлены) полное доменное имя FQDN «minitanth.info-88[dot]top» было определено к конкретному IP - адресу: 37.8.194.168. Используя пассивные инструменты DNS из Farsight Security, которые хранят историческую запись о том, какие имена доменов находят на IP-адресах, я смог узнать, что спамер, который настроил домен info-88[dot]top, связал его с сотнями субдоменов третьего уровня (minithanth.info-88[dot]top, achoretsq.info-88[dot]top, и т. д.).

Было также ясно, что этот спамер контролировал большое количество доменных имен верхнего уровня и что у него было множество субдоменов третьего уровня, назначенных каждому имени. Этот тип спама известен как спам-пойнт.

Подобно снегоступам, распределяющим нагрузку путешественника по широкому снежному пространству, спам-поход - это метод, используемый спамерами для распространения по многим IP-адресам и доменам, чтобы разбавить показатели репутации и избежать фильтров», - пишет группа защиты от спама Spamhaus в своем полезном глоссарии.

Рабочие результаты

Поэтому, вооружившись всей этой информацией, потребовалось всего один или два коротких шага для определения IP-адресов соответствующих панелей отчетов ботнета. Достаточно, просто находить DNS-запросы, чтобы обнаружить имена серверов, которые предоставляли службу DNS для каждого домена этого второго спамера.

Как только у вас есть все имена, вы просто выполняете еще DNS-запросы - по одному для каждого имени сервера, чтобы получить соответствующий IP-адрес для каждого из них.

С учетом этого списка IP-адресов доверенный источник вызвался выполнить серию сканирований по ним, используя «Nmap», мощный и бесплатный инструмент, который может отобразить любые отдельные виртуальные дверные проемы или «порты», которые открыты для целевых систем. В данном случаи Nmap-сканирование по этому списку IP-адресов показало, что все они прослушивают входящие соединения через Port 10001.

Оттуда я взял список IP-адресов и поместил каждый отдельно в поле URL окна браузера в Mozilla Firefox, а затем добавил «10001» в конец. После этого каждый адрес с радостью загрузил веб - страницу, отображающую количество ботов, подключающихся к каждому IP-адресу в любой момент времени.

Вот вывод одного контроллера, который в настоящее время обрабатывается более чем 12 000 систем, настроенными на ретрансляцию порно-спама.В настоящее время весь ботнет (подсчет активных ботов со всех рабочих бот-панелей), кажется, колеблется около 80 000 систем.

В то время спам, передаваемый через эти системы, являлся рекламными сайтами, которые пытались заставить посетителей зарегистрироваться в онлайн-чатах и сайтах знакомств, которые, по-видимому, связаны с Deniro Marketing и CyberErotica.

Получая больше информации, я начал искать в интернете информацию о партнерских предложениях CyberErotica, и обнаружил, что маркетинговое подразделение партнерской программы управляется парнем, который использует адрес электронной почты [email protected].

Поиск Google быстро показывает, что [email protected] может быть доступен с помощью адреса мгновенного обмена сообщениями ICQ 55687349. Я проверил страницу поиска членов icq.com и нашел, что имя, прикрепленное к ICQ#55687349, - «Скотт Филипс».

Мистер Филипс не просил прокомментировать ситуацию. Но я не мог не задаться вопросом о подозрительном (совпадении) сходстве между этим именем и осужденным австралийским порно-спамером по имени Скотт Филлипс.

В 2010 году Скотт Грегори Филлипс был оштрафован на 2 миллиона долларов за управление бизнесом, в котором люди работали над созданием поддельных профилей на сайтах знакомств, чтобы получать номера мобильных телефонов пользователей. Организация Филлипса рассылала SMS-сообщения, такие как «введите свой номер ...», а затем со счетов людей, которые ответили, взималась плата в размере 5 долларов США.

Страница Facebook Филлипса и профиль Quora заставили бы нас поверить, что он изменился и теперь зарабатывает на жизнь с помощью обычной торговли. Связавшийся по электронной почте, Филлипс сказал, что он преданный читатель, который давно покинул спам-бизнес.

«Я не занимался спамом с 2002 года или около того. Я сделал несколько SMS-спамов в 2005 году, получил около 18 миллионов долларов штрафов за это и пошел дальше», - сказал Филлипс.

Он так же утверждает, что в настоящий момент строит «автоматизированные системы торговли товарами», и что практически весь современный спам основан на ботнетах.

«Насколько я знаю, спам-индустрия сегодня на 100% ботнет, а не жизнеспособное предложение сайтам для взрослых», - сказал он.

Наиболее неприятным аспектом этого исследования является то, что - несмотря на практически несуществующую оперативную безопасность, используемую тем, кто построил эту конкретную машину преступления, у меня все еще нет реальных данных о том, как строится ботнет, какой тип вредоносного программного обеспечения может быть или кто несет ответственность.

Если у кого-то есть дополнительные исследования или информация об этом, пожалуйста, не стесняйтесь оставлять комментарии ниже или напрямую связаться со мной.

0
2.4K