ГлавнаяНовостиСтатьиВендорыКаталог  +7 (495) 231-0169 © 

[ Список статей ] ...


ITSec.ru. Watchguard: во втором квартале 2020 года число атак уменьшилось, но вредоносное ПО стало агрессивнее

CISO CLUB. Ультимативный гайд по электронным подписям от УЦ ITCOM

WhatsBetter.ru. Лучшие антивирусы 2020

WhatsBetter.ru. Лучшие браузеры 2020

WhatsBetter.ru. Какая операционная система лучше?

WhatsBetter.ru. Что лучше: Windows 10, 8, 7, Vista или XP?

WatchGuard Technoligies. Новые возможности сервисов Network Discovery и Mobile Security позволили WatchGuard значительно увеличить "Прозрачность" cети

Илья Шабанов. Названы самые комфортные в работе антивирусы

Мария «Mifrill» Нефедова. Облава: о том, как спецслужбы ловят дропов, и не только

Алексей Кадиев. Ботнет Bredolab. Конец истории?

Юрий Ильин. «Добровольные» DDoS-атаки: комментарии экспертов

Берд Киви. За кулисами кибервойны

Берд Киви. Шифровальщик устал...

Chad Perrin. Эффективное уничтожение данных на жестких дисках и других накопителях

Н.Н. Федотов. Риски системного администратора: семь и еще один способ подвести сисадмина под монастырь

Берд Киви. Ближе к железу

Microsoft TechNet. Десять непреложных законов безопасности

Анатолий Темкин. Как карта ляжет

Андрей Сидельников. Правообладатели не придумали, как делить болваночный сбор

Антон Носик. Лохотрон в зоне .рф

Максим Букин. Лжевирусы атакуют

habr.ru. Взгляд на современные системы защиты от спама веб-форм

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

 katkovonline.com 

  

Ботнет: «был твой — стал мой» или как ботнеты работают


  Любопытная статья исследователей из университета «University of California Santa Barbara» PDF тут.

  Исследователи перехватили контроль над ботнетом Torpig и ковыряли его 10 дней, пока владельцы не накатили обновление и не вернули управление себе. За это время стало понятно какого вида информацию он собирает, как он это делает, как защищается от перехвата управления и на какое поведение юзеров он рассчитан.

  Авторы утверждают что Torpig это одно из самых продвинутых crimeware на сегодняшний день. У него самая лучшая программная архитектура, самые остроумные способы воровства данных, самая лучшая топология управления. Также Torpig наносит самый большой финансовый ущерб. Оценка экономической эффективности $3-300 млн в год. Из упражнений спамеров, ботнеты похоже становятся серьёзным бизнесом.

  Работает это всё следующим образом:

Инсталяция

  Взламываются популярные сайты и вставляется ссылка на специальный Javascript. Браузер скачивает и выполняет вредоносный Javascript, код в котором пытается залинковать свою dll в проводник (explorer.exe) используя известные уязвимости самого браузера, его плагинов или ActiveX объектов. Уязвимости перебираются по кругу пока одна из них не сработает. Дальше все операции выполняются как будто бы самим explorer.exe — вполне себе уважаемым процессом. Теперь загружается драйвер ядра, который подменяет оригинальный disk.sys на себя и затирает Master Boot Record (MBR)
Всё, шаг №1 выполнен — руткит Mebroot поставлен. Фокус тут в том, что после перезагрузки Mebroot выполняется самым первым, раньше чем загрузится OS и остается практически невидимым для антивирусного ПО.

  Сам по себе Mebroot ничего плохого не делает, но это только платформа для других модулей которые и делают всяческие гадости. Итак, сразу после перезагрузки, каждые два часа Mebroot соединятеся с Mebroot C&C server и качает модули, например Torpig. Все соединения шифруются. Теперь и шаг №2 выполнен — Torpig установлен.

  Torpig вставляет линкует свою dll в Service Control Manager (services.exe), проводник и 29 других популярных программ, например браузеры — IE, Firefox, Opera, FTP клиенты — CuteFTP, LeechFTP, e-mail клиенты — Thunderbird, Outlook, Eudora, мессенжеры — Skype, ICQ и такое прочее. Теперь Torpig может просматривать все данные которые эти программы манипулируют, выделять интересные куски, например логины с паролями. Каждые 20 минут Torpig закачивает всё что он там насобирал на сервер.

Топология управления

  Тут интересное архитектурное решение, если адрес этого C&C сервера известен и более менее постоянен, то его легко можно отфильтровать тем самым нейтрализовав утечку данных. Исторически ботнеты это делают следующим образом — имя домена статично и не меняется, но очень часто меняются IP серверов куда замаплена DNS запись — это делает блокировку по IP не эффективной. Недостаток тут очевиден — статическое доменное имя. Mebroor и Torpig вместо этого генерируют доменные имена по специальному алгоритму, если домен заблокирован, не отвечает на запросы по ботнетовскому протоколу или не существует — генерируется следующее имя и так до победного конца.
Тут надо помнить, что регистрация домена стоит денег, но владельцам ботнета нет необходимости регистрировать все имена — достаточно удерживать контроль над хотя бы одним из доменов который сгенерируют боты. В этой силе кроется и слабость. Если алгоритм известен и предсказуем, нужно зарегистрировать следующий домен которому подчинится ботнет.

  Именно так авторы статьи и перехватили управление. На 10 дней.

  К чести оригинальных программистов ботнета следует заметить, что эти 10 дней не прошли даром. Они поменяли алгоритм генерации доменных имен, усложнили и внесли недетерменизм. Это сразу сделало перехват управления экономически не выгодным, например новая версия Conficker генерирует 50,000 доменных имен в день, если все их регистрировать это выливается в большие расходы — $91 — $182 млн.

Остроумные способы воровства данных

  Тут старый добрый фишинг поднятый на новый уровень. В своём конфигурационном файле Torpig читает имена банковских сайтов. Если юзер посещает такой сайт, Torpig вставляет HTML форму прямо в страницу сайта. Это происходит прямо в DOM-e браузера. Определить это очень трудно — URL сайта верный, стили и картинки соблюдены, и даже SSL тут не спасёт. Все сертификаты верны. Пользователя просят якобы подтвердить свою личность введя номер карты, налоговый номер и прочее.

  За 10 дней, Torpig наворовал 300000 логинов с паролями, 1600 номеров кредитных карт и 8300 логинов в онлайн банкинг. Всего в забеге участвовало 180000 инфицированных хостов.

Источник: katkovonline.com  

Рейтинг @Mail.ru
Rambler''s Top100