Attackers Buying Own Data Centers for Botnets, Spam
December 21, 2009, 1:04PM
by Dennis Fisher
Theo: http://threatpost.com/en_us/blogs/attackers-buying-own-data-centers-botnets-spam-122109
Bài được đưa lên Internet ngày: 21/12/2009
Lời người dịch: Cùng với sự cạn kiệt các không gian địa chỉ IP của Ipv4, bọn tội phạm không gian mạng lại đang mua những khối lớn không gian IP để sử dụng tạo ra các botnet và đánh spam càng làm cho việc kiểm soát không gian IP trở nên ngày một khó khăn hơn.
Những người viết các phần mềm độc hại và bọn tội phạm mà quản lý các botnet nhiều năm đã và đang sử dụng các nền tảng hosting chia sẻ và cái gọi là các nhà cung cấp hosting làm bằng chứng bằng đạn như những cơ sở của các hoạt động cho những tội ác trực tuyến của họ. Nhưng khi các cơ quan tăng cường pháp luật và các chuyên gia an ninh đã chuyển sang nắm các nhà cung cấp này một cách phi trực tuyến, thì bọn tội phạm đã thực hiện bước tiếp theo và đã bắt đầu thiết lập những trung tâm dữ liệu ảo của riêng bọn chúng.
Sự phân bố không gian địa chỉ IP được quản lý bởi 5 nhà đăng ký Internet vùng (RIR), mỗi nơi này có trách nhiệm cho một nhóm cụ thể các quốc gia nào đó. Các RIR làm việc với các doanh nghiệp lớn, các nhà cung cấp dịch vụ Internet (ISP), các tổ chức mà họ cần các khối không gian địa chỉ IP lớn. Những tổ chức này thường phải đi qua một ứng dụng và một quá trình chiếu để có được các phân bổ này, bao gồm cả việc liệt kê các tài liệu pháp lý cho các nhân viên của công ty, việc kinh doanh của nó và vì sao không gian địa chỉ là cần thiết.
Và đó là cách mà nó đã hỗ trợ để làm việc ở mọi nơi. Những ứng viên mà không thể chỉ ra một nhu cầu cho không gian IP sẽ được nói một cách lịch sự để ra đi. Nhưng trong một số trường hợp, bọn tội phạm đã tìm được một cách quanh điều này bằng việc đi qua các đăng ký Internet bản địa (LIR) hoặc bằng việc lợi dụng các RIR mà không có các tài nguyên để điều tra mỗi ứng dụng đầy đủ như họ muốn.
Bọn tội phạm sẽ mua các máy chủ và đặt chúng vào một trung tâm dữ liệu lớn và sau đó đệ trình một đề xuất cho một khối lớn các không gian IP. Trong một số trường hợp, những ứng viên này không bị yêu cầu gì hơn là một bức thư giải thích vì sao họ cần không gian IP, các nhà nghiên cứu về an ninh nói. Không có sự thanh tra tiếp theo nào được thực hiện, và một khi bọn tội phạm có được không gian IP, chúng sẽ lấy một lớp các vấn đề tiềm tàng ra khỏi sự cân bằng.
“Hoàn toàn nằm ngoài tầm tay. Bọn xấu đang đi tới một số nhà đăng ký bản địa tại châu Âu và lấy một số lượng khổng lồ các không gian IP và sau đó chúng chỉ đi tới một nhà cung cấp dịch vụ Internet và thiết lập các trung tâm dữ liệu riêng của bọn chúng”, Alex Lanstein, nhà nghiên cứu cao cấp về an ninh tại FireEye, một nhà cung cấp chống phần mềm độc hại và chống botnet, nói.
The malware writers and criminals who run botnets for years have been using shared hosting platforms and so-called bulletproof hosting providers as bases of operations for their online crimes. But, as law enforcement agencies and security experts have moved to take these providers offline, the criminals have taken the next step and begun setting up their own virtual data centers.
IP address space allocation is handled by five regional Internet registries (RIR), each of which is responsible for a particular group of countries. The RIRs work with large enterprises, ISPs, telecoms and other organizations that need large blocks of IP space. These organizations typically have to go through an application and screening process in order to get these allocations, including providing legal documentation listing the officers of the company, its business and why the address space is needed.
And that's the way it's supposed to work everywhere. Applicants who can't show a need for the IP space are told politely to take a walk. But in some cases, criminals have found a way around this by going through local Internet registries (LIR) or by taking advantage of RIRs that don't have the resources to investigate every application as fully as they'd like.
The criminals will buy servers and place them in a large data center and then submit an application for a large block of IP space. In some cases, the applicants are asked for nothing more than a letter explaining why they need the IP space, security researchers say. No further investigation is done, and once the criminals have the IP space, they've taken a layer of potential problems out of the equation.
"It's gotten completely out of hand. The bad guys are going to some local registries in Europe and getting massive amounts of IP space and then they just go to a hosting provider and set up their own data centers," said Alex Lanstein, senior security researcher at FireEye, an antimalware and anti-botnet vendor. "It takes one more level out of it: You own your own IP space and you're your own ISP at that point.
“Nếu có một vấn đề nào đó, thì bạn sẽ nói cho ai? Đây là một trò chơi bóng khác bây giờ. Những tên này đang mua cho chúng các trung tâm dữ liệu. Những LIR và RIR này sẽ không đẩy ngược lại nếu bạn nói bạn cần /24 hoặc /16. Họ không phải là cảnh sát Internet”, Lanstein nói.
Ví dụ nổi tiếng nhất về điều này là trường hợp Mạng Doanh nghiệp Nga (Russian Business Network), trong đó một nhóm tội phạm đã có khả năng có được một số lượng lớn các không gian IP bằng việc sử dụng một LIR để có được một sự phân bổ từ RIPE, RIR châu Âu. LIR đã trao tài liệu RIPE mà được cho là đã chỉ ra một nhu cầu cho việc phân bổ, và điều đó đã qua được.
“Không thể vào giai đoạn này trong quá trình đối với RIPE NCC để xác định rằng một công ty có liên quan trong hoạt động phi pháp. Thành viên được yêu cầu chứng minh sau đó sẽ là mặt trận đối với RBN”, RIPE nói trong một tuyên bố về trường hợp này. Nhưng sự phân bổ đã được thực hiện vào năm 2006 và nó đã không cho tới tháng 05/2008 mà RIPE đã có khả năng đóng lại LIR và đưa không gian IP trở ngược lại.
Trong hầu hết các khu vực, một tổ chức yêu cầu một sự phân bổ rộng lớn sẽ phải đi qua một quá trình khá chặt chẽ để chỉ ra nhu cầu cho không gian địa chỉ. Các nhân viên của RIR thường sẽ yêu cầu việc liệt kê từng máy mà tổ chức này có và có thể đi xa hơn khi yêu cầu các hóa đơn mua các máy đó, John Curran, chủ tịch và là CEO của nhà Đăng ký Mỹ về các Số Internet (ARIN), mà là người chịu trách nhiệm cho Mỹ, Canada và các phần của vùng Caribê, nói.
“Khi bạn đệ trình một đề xuất cho chúng tôi, một khí nó được chấp nhận thì bạn sẽ có một cuộc gọi từ nhóm của chúng tôi yêu cầu chỉ cho chúng tôi một danh sách các máy tính cá nhân, các thiết lập cài đặt bộ định tuyến router của bạn, có thể cả một bản đồ mạng sao cho chúng tôi có thể chỉ ra nhu cầu cho không gian IP”, Curran nói. “Nếu bạn đã có các PC, thì các số ASN nào chúng có? Tại thời điểm này, nhiều ứng viên sẽ biến mất”.
"If there's a problem, who are you going to talk to? It's a different ball game now. These guys are buying their own data centers. These LIRs and RIRs aren't going to push back if you say you need a /24 or /16. They're not the Internet police," Lanstein said.
The most famous example of this is the Russian Business Network case, in which a group of criminals was able to get a large amount of IP space by using an LIR to get an allocation from RIPE, the European RIR. The LIR gave RIPE documentation that supposedly showed a need for the allocation, and that's as far as it went.
"It is impossible at that stage in the process for the RIPE NCC to determine that a company is involved in illegal activity. The member in question later proved to be a front for RBN," RIPE said in a statement on the case. But the allocation was made in 2006 and it wasn't until May 2008 that RIPE was able to close down the LIR and get the IP space back.
In most regions, a new organization requesting a large allocation will have to go through a fairly rigorous process to show the need for the address space. The RIR staff often will request a listing of each machine the organization has and may go as far as to request purchase receipts for the machines, as well, said John Curran, president and CEO of the American Registry for Internet Numbers (ARIN), which is responsible for the U.S., Canada and parts of the Caribbean.
"When you submit an application to us, once it's been accepted you'll get a call from our group asking to show us a list of PCs, your router configurations, maybe a network map so that wecan show the need for the IP space," Curran said. "If you already have the PCs, what ASN numbers do they have? At this point, a lot of applicants disappear."
Bọn tội phạm phá vỡ quá trình này đã trở thành một vấn đề chính trong một số vùng, đặc biệt là các phần của châu Âu và Caribê, nơi có hàng tá các ngôn ngữ khác nhau và quyền tài phán, mà có thể dẫn tới sự lộn xộn và khó khăn trong việc theo dõi chính xác ai đang làm gì trực tuyến, các chuyên gia an ninh nói.
“Có nhiều sự việc nơi mà chúng không đi qua thư chứng minh là đúng”, Lanstein nói. “Có nhiều sự phân bổ IP mà tôi có thể kéo lên và xem các miền và thấy rằng chúng hoàn toàn BS. Các trung tâm dữ liệu của Mỹ là tốt hơn nhiều, nhưng tại châu Âu có quá nhiều ngôn ngữ và quốc gia, không thể đối với họ để kiểm tra từng người một. Và bọn xấu biết điều này”.
Việc này đã trở thành một chiến thuật hữu dụng cho bọn tội phạm quản lý các botnet và spam rộng lớn và các hoạt động bằng thẻ. Những kẻ tấn công mà sở hữu các khối lớn không gian IP của chúng có một thời gian dễ dàng hơn nhiều ẩn dấu các hoạt động của chúng hơn so với bọn tội phạm mà phải đi qua các ISP hợp pháp hoặc các nhà cung cấp hosting hợp pháp. Không có chỗ để lạm dụng để kêu, không tài nguyên cho những người muốn tự tìm mình đang bị tấn công bởi một dải cho trước nào đó các địa chỉ IP.
“Các chính sách để đưa ra không gian IP và kiểm tra những người đằng sau và việc đề xuất là mang tính toàn cầu, họ đề xuất cho tất cả các RIP. Nhưng bên trong khung công việc đó, có những chỗ cho RIP cũng để thiết lập các chính sách bản địa của riêng họ”, Curran nói. “Tin xấu là, những chính sách này rất cục bộ. Làm thế nào ai đó xác minh được một tổ chức khi trong một số vùng họ có thể chỉ viết những hồ sơ và thành phố đó có 2000 người? Rất khó ở châu Phi, một số phần ở châu Âu và Caribê. Rất nhiều trường hợp mà những phần của quá trình của chúng ta là rất khó để triển khai trong những vùng khác. Những vùng khác có những cách khác ghi nhận làm thế nào một công ty được hình thành và họ nhận thức được nhiều cấu trúc không chính thức. Việc lưu giữ hồ sơ là tập trung và nó có thể mất một khoảng thời gian để xác định ai đứng đằng sau một công ty”.
Criminals subverting this process has become a major problem in some regions, particularly parts of Europe and the Caribbean, where there are dozens of jurisdictions and multiple languages, which can lead to confusion and difficulty in tracking down exactly who is doing what online, security experts say.
"There are a lot of instances where they don't go past the letter of justification," Lanstein said. "There are plenty of IP allocations I can pull up and look at the domains and see that they're total BS. U.S. data centers are much better, but in Europe there are so many languages and countries, it's impossible for them to check everyone. And the bad guys know this."
This set-up has become a useful tactic for the criminals running botnets and large spam and carding operations. Attackers who own their own large blocks of IP space have a much easier time hiding their activities than do criminals who have to go through legitimate ISPs or hosting providers. There's no abuse desk to complain to, no recourse for people who find themselves being attacked by a given range of IP addresses.
"The policies for handing out IP space and verifying the people behind and application are global, they apply to all of the RIRs. But within that framework, there's room for RIRs to set their own local policies too," said Curran. "The bad news is, those policies are very local. How does someone verify an organization when in some regions they may only have written records and it's a town of 2,000 people? It's very difficult in Africa, parts of Europe, parts of the Caribbean. It's very much the case that parts of our process are very hard to implement in other regions. Other regions have different ways of recording how a company is formed and they recognize very informal structures. The record-keeping is decentralized and it might take a while to determine who is behind a company."
Và một khi không gian IP đã được phân bổ, thì việc lấy lại nó có thể là một quá trình lâu và khó khăn. Bọn tội phạm thường sẽ sử dụng một khối IP chắc chắn nào đó mà nó càng hữu dụng và có lãi càng lâu càng tốt đối với chúng. Nhưng nếu các nhà nghiên cứu về an ninh và các ISO để ý tới hoạt động nghi vấn trong một khối nào đó, thì đôi khi chúng sẽ dừng việc chấp nhận sự giao thông từ đó và khóa bất kỳ sự giao thông nào từ các mạng của riêng chúng đối với khối đó. Điều này có thể là một chiến thuật có hiệu quả, nhưng một khi bọn tội phạm bỏ qua không gian IP đó, thì nó có thể mất lâu thời gian cho một doanh nghiệp hợp pháp để có khả năng để cho giao thông chảy lại ở đó một lần nữa.
“Đây là một phần của vấn đề mà nó đang gây ra cho khiếm khuyết của Ipv4”, Lanstein nói, tham chiếu tới sự dùng kiệt sắp xảy ra của không gian địa chỉ Ipv4, được dự đoán sẽ xảy ra trong vòng ít hơn 2 năm nữa. “Họ sẽ dừng trả tiền, không gian này trở thành không định tuyến được và sau đó nó là một mớ lộn xộn. Sự giả mạo rõ ràng sẽ có tiếp tục, nhưng ai có thể làm gì đó được về nó?”
And once the IP space has been allocated, getting it back can be a long and arduous process. Criminals often will use a certain IP block for as long as it's useful and profitable for them. But if security researchers and ISPs notice suspicious activity in a certain block, they will sometimes stop accepting traffic from it and block any traffic from their own networks to that block. This can be an effective tactic, but once the criminals abandon the IP space, it can take a long time for a legitimate business to be able to get traffic flowing there again.
"This is part of the problem that's causing the IPv4 shortage," Lanstein said, referring to the imminent exhaustion of the IPv4 address space, forecasted to occur in less than two years. "They stop paying the bills, the space gets null-routed and then it's a mess. There's clear fraud going on, but who can do something about it?"
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.