Rustock

Rustock — руткит и ботнет, созданный на его базе. Rustock появился в 2006 году^[1]. Ботнет функционировал до марта 2011 года^[2].

Поражались ПК с 32-битной ОС Microsoft Windows. С заражённых компьютеров рассылался спам, скорость его рассылки могла достигать 25 тыс. сообщений в час^[3]^[4]. Ботнет Rustock содержал от 150 тыс. до 2 миллионов заражённых компьютеров.

История

Лаборатория Касперского полагает, что широкое распространение вируса Rustock началось 10 сентября 2007 года^[5].

В мае 2008 года вирус был обнаружен. Через несколько дней он распознавался несколькими антивирусами^[5].

В 2008 в связи с временным отключением хостинга McColo (Сан-Хосе, Калифорния), у которого была установлена часть серверов управления ботнетом, активность ботнета уменьшалась^[6].

Ботнет был разрушен 16 марта 2011^[2] в рамках совместной операции «b107»^[7], проведённой Microsoft, агентами федеральных правоохранительных органов, FireEye, и университетом Вашингтона^[8].

В мае 2011^[9] года Microsoft заявляла, что к работе ботнета был причастен человек, использовавший никнейм «Cosma2k»^[10]. Предположительно, часть организаторов ботсети находилась в России^[11].

В июне 2011 года Microsoft разместила в газетах «Деловой Петербург» и «Московские новости» обращение к создателям Rustock и уведомила их о судебном процессе над ними в окружном суде штата Вашингтон^[12].

За информацию о создателях вируса 18 июля 2011 года было объявлено крупное денежное вознаграждение^[12].

Внутреннее устройство

Каждый заражённый компьютер регулярно обращался к управляющим серверам. Взаимодействие с ними происходило при помощи протокола HTTP и запросов типа POST. Все данные дополнительно шифровались, по мнению компании Symantec при помощи алгоритма RC4. Сеанс обмена состоял из двух фаз: обмен ключами и передача инструкций. Обмен ключами происходил при обращении с скрипту login.php (клиент посылал 96 байт, отклик сервера 16 байт). Инструкции передавались скриптом data.php^[13].

Файл вируса состоит из^[13]:

Модуля первичной деобсфукации размером 0x4AF байт
Загрузчика Rootkit (0x476 байт)
Кодов Rootkit.
Модуля отправки спама.

Загрузчик руткита использует функции ExAllocatePool, ZwQuerySystemInformation, ExFreePool, stricmp из ntoskrnl.exe^[13].

Вариации

Были найдены также 3 вариации вируса Rustock:

Вариант Rustock.С1 — создан 10 сентября 2007 года.
Вариант Rustock.С2 — создан 26 сентября.
Варианты C3 и С4 — созданы 9—10 октября 2007.

Примечания

↑ Chuck Miller. The Rustock botnet spams again (неопр.). SC Magazine US (25 июля 2008). Дата обращения: 21 апреля 2010. Архивировано из оригинала 15 августа 2012 года.
↑ ¹ ² Hickins, Michael (2011-03-17). "Prolific Spam Network Is Unplugged". Wall Street Journal. Архивировано 22 июля 2011. Дата обращения: 17 марта 2011.
↑ Real Viagra sales power global spam flood - Techworld.com (неопр.). News.techworld.com. Дата обращения: 21 апреля 2010. Архивировано из оригинала 15 августа 2012 года.
↑ Rustock: M86 Security (неопр.). Дата обращения: 13 января 2012. Архивировано 25 мая 2012 года.
↑ ¹ ² «Rustock и все-все-все» (securelist.com)
↑ https://www.theregister.co.uk/2008/11/18/short_mccolo_resurrection/ Архивная копия от 13 ноября 2017 на Wayback Machine Dead network provider arms Rustock botnet from the hereafter. McColo dials Russia as world sleeps]
↑ Williams, Jeff Operation b107 - Rustock Botnet Takedown (неопр.). Дата обращения: 27 марта 2011. Архивировано из оригинала 15 августа 2012 года.
↑ Wingfield, Nick (2011-03-18). "Spam Network Shut Down". Wall Street Journal. Архивировано 20 марта 2011. Дата обращения: 18 марта 2011.
↑ Rustock Botnet Suspect Sought Job at Google — Krebs on Security (неопр.). Дата обращения: 13 января 2012. Архивировано 7 января 2012 года.
↑ Microsoft turns Rustock botnet case over to the FBI Архивная копия от 13 ноября 2011 на Wayback Machine "According to CNET, Cosma2k is the ringleader of the Rustock botnet"
↑ «Microsoft: следы организаторов бот-сети Rustock ведут в Россию» Архивная копия от 4 марта 2016 на Wayback Machine // CyberSecurity.ru "в корпорации сообщили, что по крайней мере часть операторов Rustock находится в России. "
↑ ¹ ² Microsoft обещает $250 тыс. за данные о «русском боте» (неопр.). Дата обращения: 13 января 2012. Архивировано 6 ноября 2011 года.
↑ ¹ ² ³ A Case Study of the Rustock Rootkit and Spam Bot // HotBots

Ссылки

Александр Гостев. «Rustock и все-все-все» // Securelist.ru
Ken Chiang, Levi Lloyd (Sandia). A Case Study of the Rustock Rootkit and Spam Bot // HotBots’07 Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets
Вячеслав Русаков: "Win32.Ntldrbot (aka Rustock.C) – не миф, а реальность!" (pdf)

Ботнеты
Akbot Asprox Bagle BASHLITE Bredolab Carna Conficker Cutwail Donbot Dridex Festi Gameover ZeuS Grum Gumblar Kelihos Koobface Kraken Lethic Mariposa Mega-D Mēris Metulji Mirai Necurs Nitol Rustock Sality SpyEye Srizbi StarDust Storm TDL-4 Torpig Virut Vulcanbot Waledac ZeroAccess ZeuS
См. также: Malbot Операция «Bot Roast» Вредоносная программа Доснет Сетевой червь

Хакерские атаки 2000-х
Крупнейшие атаки	Операция «Bot Roast» Операция «Red October» Проект «Чанология» Титановый дождь
Группы и сообщества хакеров	Анонимус Подразделение 61398 (НОАК)
Хакеры-одиночки	Дмитрий Скляров
Обнаруженные критические уязвимости	Shatter attack
Компьютерные вирусы	Agent.BTZ Anna Kournikova Asprox Backdoor.Win32.Sinowal Bagle Blaster Bredolab Cabir Careto Code Red Code Red II Commwarrior Conficker Cutwail Donbot Festi Fizzer ILOVEYOU Klez Koobface Kraken Mariposa Mega-D Metulji Mocmex Mydoom Mytob Neshta Netsky NetTraveler Nimda Penetrator Pinch Poison Ivy RFID-вирус Rustock Sality Santy Sasser Sober Sobig SpyEye SQL Slammer Srizbi Storm Worm Torpig Virut Vulcanbot Waledac ZeroAccess ZeuS Zobot
1990-е • 2000-е • 2010-е

Хакерские атаки 2010-х
Крупнейшие атаки	Кибератаки в Австралии (2010)^[англ.] Операция «Payback»^[англ.] DigiNotar^[англ.] Операция «Тунис»^[англ.] Взлом и отключение PlayStation Network Операция «AntiSec»^[англ.] Icefog Операция «Red October» Взлом электронной почты компании Stratfor^[англ.] Взлом LinkedIn (2012)^[англ.] Кибератака на Южную Корею (2013)^[англ.] Snapchat Операция Tovar^[англ.] Массовый взлом аккаунтов iCloud Взлом серверов Sony Pictures Entertainment Кибератака на Национальный комитет Демократической партии США Кибератака на Dyn Кибератака на Вестминстерский дворец Атака шифровальщика WannaCry Хакерские атаки на Украину (2017)
Группы и сообщества хакеров	Анонимный интернационал Анонимус Киберберкут Подразделение 121 Cozy Bear Derp^[англ.] Evil Corp Fancy Bear GNAA^[англ.] Goatse Security^[англ.] Lizard Squad^[англ.] LulzRaft^[англ.] LulzSec NullCrew^[англ.] Подразделение 61398 RedHack Сирийская электронная армия Электронная армия Йемена Электронная армия Ирана TeaMp0isoN^[англ.] Tailored Access Operations^[англ.] UGNazi^[англ.]
Хакеры-одиночки	Джереми Хаммонд Джордж Хоц Guccifer^[англ.] Guccifer 2.0^[англ.] Sabu^[англ.] Topiary^[англ.] The Jester^[англ.] weev^[англ.]
Обнаруженные критические уязвимости	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) Rootpipe^[англ.] (OSX, 2014) JASBUG^[англ.] (Windows, 2015) Stagefright^[англ.] (Android, 2015) DROWN^[англ.] (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty COW (Linux, 2016) EternalBlue (SMBv1, 2017) DoublePulsar (2017) KRACK (2017) ROCA^[англ.] (2017) BlueBorne (2017) Meltdown (2018) Spectre (2018) BlueKeep (2019)
Компьютерные вирусы	Asprox Bad Rabbit BASHLITE Bredolab Carbanak Carberp Careto Carna Citadel CryptoLocker Cutwail Dexter Donbot Dridex Duqu EternalRocks FinFisher Flame Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye Stars Stuxnet TDL-4 Virut Vulcanbot WannaCry ZeroAccess Каталог ANT
2000-е 2010-е 2020-е