Tag Archive for 'rbn'

Hinter den Kulissen von wsnpoem

Über wsnpoem (aka Zbot) wird derzeit viel gesprochen, da er seit Anfang Jahr aggressiver und schneller mit neuen Spam-Wellen auftritt um ahnungslose User zu infizieren. Doch wer steckt dahinter? Aus bestimmten Ecken hört man, dass angeblich das Russian Business Network (RBN) hinter wsnpoem steckt. Bestätigt hat sich diese Vermutung bis anhin jedoch nicht. Leider kann ich die Frage, wer hinter wsnpoem steckt, genau so wenig beantworten wie allen andern. Ich habe jedoch einmal ein bisschen recherchiert und habe dabei einige interessante Entdeckungen gemacht.

Schauen wir uns als erstes doch einmal die Registrierdaten der beiden Domains an, bei welchen sich wsnpoem nach der Infizierung meldet:

domain: FIXASERVER.RU
type: CORPORATE
nserver: ns1.fixaserver.ru. 91.203.92.3
nserver: ns2.fixaserver.ru. 91.203.92.3
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 933 7898898
e-mail: isupport@safe-mail.net
registrar: NAUNET-REG-RIPN
created: 2008.06.11
paid-till: 2009.06.11
source: TC-RIPN
domain: FIXBSERVER.RU
type: CORPORATE
nserver: ns1.checkyourip.ru.
nserver: ns2.checkyourip.ru.
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 933 7898898
e-mail: isupport@safe-mail.net
registrar: NAUNET-REG-RIPN
created: 2008.06.11
paid-till: 2009.06.11
source: TC-RIPN

Was sehen wir? Die Registrierdaten sind abgesehen von den zuständigen Nameserver gleich. Wir sehen ebenfalls, dass die beiden Domains am selben Tag registriert wurden. Dank einem Russischen Domain-Registrar ist es nun möglich heraus zu finden, welche Domains mit den selben Registrierdate registriert worden sind. Ich habe nicht schlecht geschaut, als ich sage und schreiben 44 Domains gefunden habe, welche mit der Telefon-Nummer +7 933 7898898 registriert worden waren. Eine weitere Telefon-Nummer welche für die Registrierung verwendet wurde, ist +7 933 7898890. Mit dieser Nummer wurden im letzten Jahr insgesamt 20 Domains registriert. Ich habe nun eine List zusammen gestellt, welche Domains noch aktiv sind und welche inaktiv (=keinen A Record haben):

Aktive domains: 18
Inaktive domains: 48
Total: 66

Aktive domains

Folgende Domains sind derzeit aktiv d.h. sie haben einen A-Record:

Domain Reg. date SBL? A Record
blatundalqik.ru 15-Jul-2008 SBL65512 91.203.92.27
baltikaredison.ru 23-Jul-2008 SBL65512 91.203.92.4
checkyourip.ru 11-Jun-2008 SBL65512 91.203.92.27
cosmo7771.ru 15-Apr-2008   202.151.177.85
fixaserver.ru 11-Jun-2008 SBL65512 91.203.92.3
fixbserver.ru 11-Jun-2008 SBL65512 91.203.92.27
fixproblems.ru 11-Jun-2008 SBL65512 91.203.92.27
fixredirector.ru 16-Jun-2008   FastFlux
fixbaserver.ru 14-Jul-2008   66.199.242.114
guns-fi-logs.ru 24-Jan-2008 SBL65112 79.135.166.132
malafikarubik.ru 15-Jul-2008 SBL65512 91.203.92.27
m5bmwfire.ru 24-Jan-2008   91.98.31.131
mbmwxxx.ru 5-Jun-2008 SBL65512 91.203.92.4
newvalarsrent.ru 29-Apr-2008 SBL65512 91.203.92.4
powerserver.ru 24-Jan-2008   216.195.58.18
superbaltikaneda.ru 23-Jul-2008 SBL65512 91.203.92.4
valarsbackuo.ru 29-Apr-2008 SBL65512 91.203.92.4
valarsmemeverzone.ru 29-Apr-2008 SBL65512 91.203.92.4
wfrules.ru 11-Jun-2008 SBL65512 91.203.92.4

Was bei den aktiven Domains sofort auffällt, ist, dass viele Domains auf die selbe (uns bereits bekannte) IP Adresse zeigen: 91.203.92.4. Scheinbar sind die IP Adressen auch bei Spamhaus bekannt, für die meisten IP Adresse gibt es nähmlich einen SBL Eintrag (Spamhaus Block List).

Schauen wir uns den SBL Eintrag SBL65512 doch einmal etwas genauer an. Der Eintrag wurde am 09-Jul-2008 um 22:49 Uhr GMT hinzugefügt mit dem Kommentar “Virus writers spreaders” (Virenschreiber Umschlagplatz). Der Eintrag listed das Subnet 91.203.92.0/22 worin sich auch die uns bekannten IP Adressen 91.203.92.3, 91.203.92.4 und 91.203.92.27 befinden. Das Subnet gehört einem Ukrainischen Provider Namens ISP UATelecom holding LLC.. Die uns bekannten IP Adressen sind in dem SBL Eintrag zwar nicht explizit erwähnt, da sie jedoch im genannten Subnet liegen sind sie trozdem geblacklistet.

Der zweite SBL Eintrag SBL65112 betrifft 79.135.166.132 (guns-fi-logs.ru). Hierbei wurde das Subnet 79.135.160.0/19 am 1-May-2008 um 21:36 Uhr GMT mit dem Kommentar “SBL62483 AbdAllah_Internet – Ukrainian cybercrime hosting” gelistet. Stop! AbdAllah Internet? Die kennen wir doch! Dem AbdAlah Internet Hizmetleri (AHI) wird eindeutig eine Zugehörigkeit zum Russian Business Network (RBN) zugesprochen (Siehe Shadowserver.org und joewein.net). Hierher stammen also die Vermutungen, dass möglicherweise das RBN hinter wsnpoem steckt.

Auch Interessant ist die Domain fixredirector.ru; diese wird nähmlich im Gegensatz zu allen anderen Domains auf einem Botnet gehosted (FastFlux):

;; ANSWER SECTION:
fixredirector.ru. 1800 IN A 221.34.239.33
fixredirector.ru. 1800 IN A 221.166.202.111
fixredirector.ru. 1800 IN A 85.26.37.224
fixredirector.ru. 1800 IN A 125.139.235.157
fixredirector.ru. 1800 IN A 219.254.85.28

Als Betreiber der FastFlux Blacklsite drone.abuse.ch überwache und Blackliste ich IP Adressen (sprich Bots), welche in solchen Botnetze tätig sind. Das Botnet welche die Domain fixredirector.ru hosted ist mir nicht unbekannt: Lookup fixredirector.ru at drone.abuse.ch. Was sehen wir denn da? Das Botnetz hosted gerade aktive auch die beiden Money Mule Domains duty-free-international.biz und duty-free-international.org. Googeld man nach den beiden Domains, wird man sehr schnell fündig:

“This Duty Free International fraud is another fairly standard spamvertised money laundering mule recruitment operation. [...] It’s currently zombie botnet hosted which pretty well confirms its criminal status even without any of the other damning evidence set out below. The website exists purely to convey a sense of legitimacy to the inevitable money mule job posted under the ‘Careers’ tab. These criminals are also spamvertising a stolen goods handling job as is becoming more common.”

Source: www.bobbear.co.uk/dutyfreeint.html

Des Weiteren werden derzeit noch einige phishing Domains in dem FastFlux Botnet gehosted: WSNPoem FastFlux Botnet Monitor

Interessant, jetzt schauen wir doch einmal zurück, welche Domains früher in dem selben Botnet gehosted wurden:

6565commerce.com
773tresman.com
bnsluns.com
cvbmncv.com
dftged.com
ejrkt.com
hwhvia.com
mnbvne.com
neryere.com
nmvbcq.com
rkj43ghi.com
uerrm.com
vcertd.com
cvbmncv.com
dftged.com
mnxcbv.com
ejrkt.com
rkj43ghi.com
vcertd.com
dftged.com
ejrkt.com
rkj43ghi.com
vcertd.com
asxoi.cn
groupdg.cn
sastop.com
uiydsr.com

Auf den ersten Blick sagen diese Domains nicht viel aus, googeld man jedoch nach den Domains, wird man sehr schnell bei den Kollegen von PhishTank fündig:

Beispiel neryere.com:

PhishTank Submission #457326
Status: Verified: Is a phish

Auch bei den anderen Domains sieht es nicht besser aus; alle Domains sind durch Phishing Aktivitäten aufgefallen.

Ebenfalls Interessant ist die Domain cosmo7771.ru welche auf die IP Adresse 202.151.177.85 zeigt. Auf diesem Server wird nämlich nicht nur eine Domain von wsnpoem gehosted sondern auch viele weitere Domains:

islaimic-bank.com
bankeofscotlands.com
froxik.com
banifs.org
jefyxx.net
relanlabs.com
sexyura.info
olan-complex.com
euro-invest-solutions.com
p-cons-group.com
persdev-center.com
job.vanlines.de

Die ersten beiden Domains sehen auf den ersten Blick legitim aus, auf den zweiten jedoch findet man je ein Schreibfehler in den Domains, wobei sofort der Verdacht auf phishing aufkommt. Googeld man nach den Domains olan-complex.com und euro-invest-solutions.com, wird man erneut fündig bei bobbear.co.uk:

olan-complex.com
“Olan Complex Co. is just another run-of-the mill fake Russian financial site that exists solely to ensnare the unwary, whether it is to ‘phish’ for bank details or mainly to recruit money mules. The clues are all there that give the criminal’s game away without a shadow of a doubt.”

Source: www.bobbear.co.uk/olancomplex.html

und

euro-invest-solutions.com
“EURO Investment Solutions is part of a huge Russian money laundering criminal network [...].”

Source: www.bobbear.co.uk/euroinvestmentsolutions.html

Aha… nochmals zwei Domains, welche verwendet werden um Money Mules anzuwerben. Bei den letzten drei Domains p-cons-group.com, persdev-center.com und job.vanlines.de sieht es nicht anders aus. Googeld man nach diesen Domains, findet man erneut Hinweise auf Geldwäscherei.

Inaktive Domains

Folgende Domains sind der Zeit Inaktiv d.h. sie haben keinen A-Record und teilweise auch keinen NS-Record mehr:

Domain Reg. date
allmoneyoftheworld.ru 7-Apr-2008
allworldinmyhands.ru 7-Apr-2008
bazuka-nl-fk.ru 24-Jan-2008
bazuka-nl-logs.ru 24-Jan-2008
bazuka-nl-reserv.ru 24-Jan-2008
bazuka-nl-reserv2.ru 24-Jan-2008
cosmo9998.ru 15-Apr-2008
firestorm-ch-fk.ru 24-Jan-2008
firestorm-ch-logs.ru 24-Jan-2008
firestorm-ch-reserv.ru 24-Jan-2008
firestorm-ch-reserv2.ru 24-Jan-2008
grob-ch-fk.ru 13-Feb-2008
grob-ch-logs.ru 13-Feb-2008
grob-ch-reserv.ru 13-Feb-2008
grob-ch-reserv2.ru 13-Feb-2008
guns-fi-fk.ru 24-Jan-2008
guns-fi-reserv.ru 24-Jan-2008
guns-fi-reserv2.ru 24-Jan-2008
helloallworld.ru 7-Apr-2008
m3bmw.ru 15-Apr-2008
m3bmwfire.ru 7-Jun-2008
m5bmw.ru 15-Apr-2008
moneyofworld.ru 7-Apr-2008
multik-nl-fk.ru 13-Feb-2008
multik-nl-logs.ru 13-Feb-2008
multik-nl-reserv.ru 13-Feb-2008
multik-nl-reserv2.ru 13-Feb-2008
theworldismine777.ru 8-Apr-2008
testingdomain.ru 22-Dec-2007
fastless.ru 22-Dec-2007
gameoverther.ru 22-Dec-2007
lobstert.ru 22-Dec-2007
lostfaq.ru 22-Dec-2007
lostfee.ru 22-Dec-2007
lostfreak.ru 22-Dec-2007
lostfrost.ru 22-Dec-2007
lostfrozen.ru 22-Dec-2007
lostgogo.ru 22-Dec-2007
lostmos.ru 22-Dec-2007
lostprost.ru 22-Dec-2007
losysfree.ru 22-Dec-2007
losysgo.ru 22-Dec-2007
loungeer.ru 22-Dec-2007
louse.ru 22-Dec-2007
mostfree.ru 22-Dec-2007
peargame.ru 22-Dec-2007
pharmgame.ru 22-Dec-2007
productthere.ru 22-Dec-2007

Fazit

Folgende Erkenntnisse ziehe ich aus meinen Recherchen:

  • Es gibt Fakten die eine Verbindung zwischen wsnpoem und dem RBN (AbdAlah Internet Hizmetleri) aufzeigen.
  • Wir wissen, dass wsnpoem eine Domain in einem Botnet hosted, welches Zeitgleich Money Mule Domains hosted.
  • Die Registrierdaten der wsnpoem Domains sind jeweils identisch.
  • Es ist bekannt, dass sich im Subnet 91.203.92.0/22 Virenschreiber tummel und dass Subnet ein Umschlagplatz für deren “Waren” (=Malware) ist.
  • Auf den Servern, auf welchen die wsnpoem Domains gehosted sind, werden ebenfalls phishing Domains gehosted.
  • Es besteht der Verdacht, dass die Ukrainische Telekom (UATelecom holding LLC) dem RBN nahe steht oder dass das RBN Maulwürfe in die Ukrainischen Telekom eingeschleust hat.
  • Nun Fragt sich jedoch, ob diese Aktivitäten von der selben kriminellen Gruppe ausgehen wie wsnpoem. Es könnte nämlich auch sein, dass z.B. das Botnet, welches die Domain fixredirector.ru hosted, gemietet ist. Bis anhin sind nämlich noch nie solche Aktivitäten von einem durch wsnpoem infizierten Rechner festgestellt worden. Es ist also wahrscheinlich, dass die wsnpoem Domains Bulletproof gehosted sind und das Botnet gemietet ist.




    economics-recluse
    Scene
    Urgent!