16:07
31/7/2013

CERT Polska właśnie opublikował interesujący raport ujawniający kulisy podejrzanej działalności jednego z partnerów NASK-u, firmy Domain Silver.

Domain Silver

Domain Silver, z siedzibą na Seszelach, od maja 2012 roku rejestrował domeny .pl pod działalność botnetów, służące m.in. do rozpowszechniania złośliwego oprogramowania lub hostowania C&C botnetów. W raporcie przeczytać można, że tylko jedna spośród 641 zarejestrowanych przez Domain Silvera domen była nieszkodliwa — domainsilver.pl.

NASK po wielu skargach na Domain Silver podjął decyzję o wypowiedzeniu umowy. Obecnie domeny zarejestrowane przez DomainSilver spoczywają w “czyścu” (registrar vinask) i czekają na sinkholowanie.

domainsilver.pl

domainsilver.pl – statstyka domen

Statstyka domen rejestrowanych przez Domain Silver przedstawia się następująco: 404 domeny jednoznacznie szkodliwe i 179 służących do hostowania C&C takich botnetów jak Citadel, Dorkbot, ZeuS Ice IX, Andromeda, RunForestRun. Część z domen wykorzystywano także do hostowania reklam farmaceutyków i rekrutowania mułów przy pomocy spamowych kampanii.

Domain Silver to rogue registrar?

Dlaczego Domain Silver stał się partnerem NASK-u, a nie kupował domen u innych rejestratorów nazw (np. w OVH?). Odpowiedź jest prosta:

Uprzywilejowana pozycja rejestratora, umozliwiająaca mu dokonywanie rejestracji nowych nazw domenowych, delegowanie ich na serwery nazw, a także kontrolę nad danymi abonenta, może być niestety nadużywana. Z pozycji rejestratora łatwo można bowiem wprowadzać
do rejestru serie nowych nazw domenowych, wykorzystywanych następnie do phishingu, spamu czy zarządzania złosliwym oprogramowaniem, jako dane abonentów podając informacje niezweryfikowane lub, w skrajnym przypadku, samodzielnie wygenerowane.

W przypadku wykrycia nadużycia, prosby o reakcję trafiają zazwyczaj w pierwszej kolejnosci do rejestratora. Pozwala mu to na ignorowanie ich przez pewien czas, lub podejmowanie działan w taki sposób, aby nie zagrażały całosci infrastruktury – na przykład usuwanie problematycznych nazw dopiero po stworzeniu nowych i odpowiedniej aktualizacji złosliwego oprogramowania.

Miejmy nadzieję, że stanowcza reakcja NASK-u ostudzi podobne zapędy wśród innych “wannabe registrarów”. Swoją drogą, ciekawe ile podobnych “fałszywych” registrarów znajduje się obecnie w innych TLD…

Przeczytaj także:

16 komentarzy

Dodaj komentarz
  1. content ?

  2. Hahaha jaki fail ;D… Fajny news ;D

    • Juz naprawili :P…

  3. rekrutowania mułów

    Wat?

    • Muł to potoczne określenie “słupa”, ale ukierunkowanego na malwaresacje finansowe.

  4. Czy jest gdzieś dostępna lista domen, które wykupiła w/w
    firma?

  5. A przez całe życie myślałem, że NASK lepiej kontroluje swoich “kontrahentów” :/ Moje życie stało się kłamstwem D:

  6. Używacie takich dziwnych “rogue registrar”, “sinkholking”, żue auż siu nourmaulniue językłów przekruńcuwa na innuę struanę.

    • Wiesz, że jesteś 12546957 osobą, która o tym pisze? I to nic nie dało. Ale ponarzekać musisz, co nie? Daj sobie spokój i zajmij się czymś ważnym.

    • @Ninja twój post w wersji niebezpiecznikowej: Wiesz, that
      jesteś 12546957 osobą, która o tym writuje? I to nothing dało. Ale
      powhinować musisz, rightnie? Daj sobie breaka i zajmij się czymś
      importantnym. Czaisz teraz dlaczego zachowanie poprawnej
      polszczyzny jest ważne?

    • nastepny polonista
      a nie wiesz czasem ze NAZW WLASNYCH sie nie tlumaczy ? podane przez ciebie nazwy sa uzywane w jezyku miedzynarodowym do okreslenia konkretnej rzeczy / osoby, wiec prosze spusc z tonu i jak wyzej kolega nadmienil, zajmij sie czyms produktywnym

      ps. mam dosc tlumaczenia wszystkiego na jezyk polski, potem polowy tekstu nie moge zrozumiec

    • Bardziej to mnie panowie chodziło o to, żeby Niebezpiecznik takie pojęcia odsyłał gdzieś na wikipedie, a nie na ich szukajkem. Ostatnio jestem zbyt leniwy żeby cokolwiek pisać. Nawet nie chce mi się iść na dół herbaty posłodzić.

    • Bo się miśkom nie chce wysilić. “Rogue registrar” to nie jest żaden problem przekładowy, po prostu “rejestrator oszust” albo jakiś synonim. Z kolei “sinkholing” to jest termin tak specjalistyczny, że co najmniej 90% informatyków się zdziwi, jak go usłyszy.

  7. @angel
    Co to jest “język międzynarodowy”? Jaki region Ziemi* zamieszkuje ludność posługująca się tym językiem?
    Od kiedy “rejestrator domen-oszust” jest nazwą własną?
    Poza tym zapomniałeś o ąęółśćźż w swojej wypowiedzi.
    I nie, nie jestem polonistą. Kultura języka świadczy o kulturze osoby. Bycie informatykiem/inżynierem nie zwalnia z posługiwania się poprawnym językiem.
    Tak samo posiadanie mózgu nie zwalnia z myślenia.

    *) Ziemia – to jest nazwa własna

  8. “czyścu”? Raczej: czyśćcu.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.