211service.com
Spårning av kriminella datacenter
Skadligt webbinnehåll distribueras i allt högre grad av professionella kriminella som driver sin egen infrastruktur. Dessa skurkar driver värdföretag som används för att vara värd för skadlig kod och utfärdar kommandon till kapade datorer. Vid ett föredrag som hölls denna vecka kl Källa Boston , en konferens om datorsäkerhet, beskrev en forskare taktiken ett sådant skadligt värdföretag använder för att undvika att stängas ned.
Även om spam och skadlig programvara kan tyckas finnas i oändligt utbud på nätet, spelar skadliga värdföretag en viktig roll för att sprida dessa skadedjur, säger Alex Lanstein, senior säkerhetsforskare på FireEye , ett säkerhetsföretag baserat i Milpitas, CA. Till exempel pekar han på nedläggningen i slutet av 2008 av det skadliga webbhotellet McColo. När detta ena företag lade ner sin verksamhet upphörde mer än två tredjedelar av skräpposten på Internet.
Men andra företag har rest sig för att ta McColos plats. Lanstein pekar särskilt på en pool av komprometterade datorer, eller botnät, känt som Grum, som vid vissa topppunkter förra året var ansvarig för 26 procent av världens skräppost. Lanstein säger att han spårade Grums verksamhet tillbaka till ett block av Internetprotokolladresser (IP) hos ett enda företag i Ukraina som heter SteepHost.
Lanstein fann att IP-adresserna som beordrade Grum var spridda över alla adresser som hanterades av SteepHost, vilket han tror indikerar att företaget enbart fungerar som ett kriminellt datacenter.
Men det är långt ifrån lätt att ta ner ett skadligt värdföretag. Lanstein säger att han kontaktade företagen som tillhandahåller tjänster till SteepHost. De blockerade några av de skadliga IP-adresserna som används av företaget, men Lanstein noterar att SteepHost svarade genom att avtala om en backup-anslutning från en annan leverantör. De ville inte stängas av, så de fick bättre transit, säger han. Det är frustrerande.
Även när ett skadligt värdföretag stängs, finns det inget som hindrar ett annat från att resa sig för att ersätta det. De onda är riktigt bra på att få IP-utrymme, säger Lanstein.
Problemet, säger han, är att det inte finns mekanismer på plats för att ta bort IP-adresser från dåliga aktörer. Till och med blocken av IP-adresser som ägs av McColo returnerades till poolen först för ett par månader sedan, eftersom de inte kunde konfiskeras så länge som ägarna förblev fullt betalt för deras användning. Jag kan föreställa mig varför det är brist på IP-adresser, säger Lanstein.
Skadliga värdföretag skyddar sig också ibland genom att gömma sig bakom andra företag. Tidigare i år togs en rysk internetleverantör vid namn Troyak offline efter att det stod klart att den tillhandahåller tjänster till flera värdföretag som tillhandahåller kommando- och kontrollstöd till botnät.
Hos Source Boston, HD Moore, säkerhetschef för det Boston-baserade datasäkerhetsföretaget Snabb7 , höll ett huvudtal där han påpekade hur trångt IP-adressutrymmet börjar bli: 91 procent av det användbara adressutrymmet har redan tilldelats.
Moore noterade att ett annat problem kan dyka upp som en bieffekt av ansträngningar för att lösa bristen. Efterföljaren till det nuvarande systemet, känt som IPv6, skulle öppna upp ett stort antal tillgängliga IP-adresser. I det scenariot, sa Moore, skulle det finnas så mycket tillgängligt utrymme att oseriösa värdföretag skulle kunna ta tag i stora block av IP-adresser, vilket skulle vara svårare att spåra.