Nowy rozdział w walce z zagrożeniami – przejęcie domen rejestratora Domain Silver, Inc

Data publikacji: 31/07/2013, Łukasz Siewierski

Dzisiaj publikujemy raport, który zawiera opis domen rejestrowanych za pośrednictwem firmy Domain Silver, Inc rejestratora działającego w domenie .pl. Rejestrator ten rozpoczął swoje działanie w maju 2012 roku. Od tego czasu zespół CERT Polska zaczął obserwować duży wzrost liczby rejestrowanych złośliwych domen (w tym do rozpowszechniania i zarządzania złośliwym oprogramowaniem) oraz otrzymywać wiele skarg z zewnątrz na domeny rejestrowane za pośrednictwem Domain Silver. W maju 2013 doszło do przejęcia i sinkhole’owania kilkudziesięciu złośliwych domen przez CERT Polska. Większość domen .pl zawierających złośliwą treść byłą rejestrowana właśnie przez Domain Silver. Po dalszych bezskutecznych próbach naprawienia tej sytuacji, NASK 30 lipca 2013 roku podjął decyzję o wypowiedzeniu umowy z partnerem. W kolejnych rozdziałach tego dokumentu omawiamy do czego wykorzystywane były zarejestrowane za pośrednictwem Domain Silver domeny (status na 9 lipca 2013), jakie rozpowszechniano złośliwe oprogramowanie i dlaczego stanowiło to zagrożenie dla Internautów.

Najważniejsze ustalenia:

    • Ze wszystkich domen zarejestrowanych – 641 domen (stan na 9 lipca 2013 plus domeny wcześniej sinkhole’owane) – tylko jedna aktywna była nieszkodliwa (domainsilver.pl)
    • 404 domeny były jednoznacznie szkodliwe, z czego 179 służyło jako serwery C&C.
    • Domeny były wykorzystywane do zarządzania i rozpowszechniania botnetów takich jak Citadel, Dorkbot, ZeuS Ice IX, Andromeda, RunForestRun a także ransomware’u.
    • Zidentyfikowaliśmy co najmniej 16 instancji wyżej wymienionych botnetów.
    • 179 domen było używanych jako strony reklamujące farmaceutyki lub rekrutujące muły. Adresy URL tych stron były rozpowszechniane za pomocą kampanii spamowych.

Wszelkie zmiany danych domen zarejstrowanych przez Domain Silver są obecnie zablokowane. Domeny te mają jako rejestratora wpisaną nazwę vinask.

Pełen tekst raportu można znaleźć tutaj lub w dziale „Raporty”.