Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety •
NASK rozwiązał umowę z rejestratorem szkodliwych domen - Wersja do druku

+- Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • (https://windows7forum.pl)
+-- Dział: Windows 7 (/windows-7-4-f)
+--- Dział: Newsy i aktualności o Windows 7 (/newsy-i-aktualnosci-o-windows-7-6-f)
+---- Dział: Aktualności i wydarzenia branży IT (/aktualnosci-i-wydarzenia-branzy-it-52-f)
+---- Wątek: NASK rozwiązał umowę z rejestratorem szkodliwych domen (/nask-rozwiazal-umowe-z-rejestratorem-szkodliwych-domen-35013-t)

NASK rozwiązał umowę z rejestratorem szkodliwych domen - Portator - 02.08.2013 14:37

Spośród 641 domen zarejestrowanych za pośrednictwem firmy Domain Silver tylko jedna była nieszkodliwa. Nic dziwnego, że zespół CERT Polska postanowił przejąć te domeny, a NASK wypowiedział firmie umowę.

Istnieje duże prawdopodobieństwo, że firma Domain Silver, Inc. z siedzibą na Seszelach została założona tylko po to, by ułatwić przestępcom dostęp do rejestru domen. Swą działalność rozpoczęła w maju 2012 r., niedługo potem do CERT Polska wpłynęły pierwsze skargi. Ze wszystkich 641 domen mających status zarejestrowanych w Domain Silver (stan na 9 lipca br.) większość stanowiły domeny szkodliwe dla użytkowników, co pokazuje tabela:

CERT Polska zidentyfikował co najmniej 16 instancji botnetów wykorzystujących powyższe domeny, takich jak:

Citadel służący najczęściej do kradzieży danych logowania do instytucji finansowych oraz ataków typu man-in-the-browser,

Dorkbot (NgrBot) mający funkcje rootkita, pozwalający m.in. wykradać hasła z serwisów społecznościowych i hostingowych, infekować dyski USB oraz przeprowadzać ataki typu flood czy slowloris,

Zeus Ice IX potrafiący przechwytywać hasła użytkowników zainfekowanych systemów i dokonywać ataków typu man-in-the-middle,

Andromeda (Gamarue) będący modularnym botem, który umożliwia pobieranie dodatkowego oprogramowania, wykradanie danych logowania z różnych serwisów i tworzenie z komputera ofiary serwera proxy,

RunForestRun wycelowany w serwery WWW, wyposażony w algorytm generowania nazw domenowych (ang. Domain Generation Algorithm, w skrócie DGA).

Z pozostałych domen tylko jedna (czyli domainsilver.pl) nie zawierała szkodliwych treści, a reszta była pusta. Na 16 domenach założonych po 9 lipca 2013 r. znajdowały się serwery C&C zagrożenia z kategorii ransomware, które blokuje komputery, podszywając się pod policję i żądając zapłacenia okupu w wysokości kilkuset złotych.

W tej chwili zmiany danych domen zarejestrowanych przez seszelską spółkę są zablokowane. Domeny te będą systematycznie sinkhole'owane przez CERT Polska (tj. przekierowywane na serwery badaczy, którzy przeanalizują ruch sieciowy z zainfekowanych maszyn). Z kolei NASK podjął decyzję o natychmiastowym rozwiązaniu umowy z firmą Domain Silver.
[Obrazek: tabela_1375341945.png]
Za: DI.pl