Блог компании ESET NOD32 → Carberp, Facebook и ddos.plug
Про Carberp мы уже писали ни раз, но тут опять граждане отличились интересной активностью. Во-первых, на прошлой неделе была замечена аналитиками из Trusteer интересная вещь, что с определенной конфигурацией Carberp стал вымогать деньги у зараженных пользователей за вход в Facebook.
И причем, очень настойчиво требовал оплату в размере 20 Euro через Ukash:
Были мысли, что быть может новая модификация какая, но нет, только специальный конфигурационный файл, содержащий инжекты для Facebook. Выглядит этот конфигурационный файл так:
Причем данная модификация не использовала буткит функционал, но могла устанавливать его по запросу. При анализе модуля внедряемого в системные процессы стало понятно, что код этой библиотеки практически идентичен той, которая поставлялась сразу с буткитом. Немного смутила нас эта Facebook- активность, ведь раньше большой любви к зарубежным сервисам и банкам Carberp не питал. Но тем не менее, ранее были замечены атаки на следующие зарубежные банки: Bank of America, CityBank, HSBC, CHASE, Nordea. Возможно это далеко не все, но по крайней мере то, что лично видели в конфигах, и запомнилось. После продолжения анализа ситуации возникла идея, а не изменил ли свой вектор распространения Carberp за последнее время. Вот статистика по обнаружениям в нашем регионе:
Как видно из вышеприведенных данных, пиковым месяцем в прошлом году был декабрь, но январь не сдает своих позиций (с учетом того, что данные приведены на начало этой недели). Видимо, связка Carberp + Blackhole по-прежнему очень эффективна. С точки зрения регионализации наш регион только усилил свою долю по количеству инцидентов:
И причем, очень настойчиво требовал оплату в размере 20 Euro через Ukash:
Были мысли, что быть может новая модификация какая, но нет, только специальный конфигурационный файл, содержащий инжекты для Facebook. Выглядит этот конфигурационный файл так:
Причем данная модификация не использовала буткит функционал, но могла устанавливать его по запросу. При анализе модуля внедряемого в системные процессы стало понятно, что код этой библиотеки практически идентичен той, которая поставлялась сразу с буткитом. Немного смутила нас эта Facebook- активность, ведь раньше большой любви к зарубежным сервисам и банкам Carberp не питал. Но тем не менее, ранее были замечены атаки на следующие зарубежные банки: Bank of America, CityBank, HSBC, CHASE, Nordea. Возможно это далеко не все, но по крайней мере то, что лично видели в конфигах, и запомнилось. После продолжения анализа ситуации возникла идея, а не изменил ли свой вектор распространения Carberp за последнее время. Вот статистика по обнаружениям в нашем регионе:
Как видно из вышеприведенных данных, пиковым месяцем в прошлом году был декабрь, но январь не сдает своих позиций (с учетом того, что данные приведены на начало этой недели). Видимо, связка Carberp + Blackhole по-прежнему очень эффективна. С точки зрения регионализации наш регион только усилил свою долю по количеству инцидентов:
Телекомы → Yota, Dlink или скрытый BotNet? из песочницы
Началось все 1 месяц назад. Клиенты нашей компании стали испытывать проблему при доступе в интернет. Проблема проявляется только у клиентов использующих роутеры и приставки STB. В течение дня, в разное время на оборудование были зафиксированы всплески активности продолжительностью 5-10 минут. Всплески могли происходит в любое время суток утром днем и вечером. Пример такого всплеска я покажу.
Информационная безопасность → Полиция Испании арестовала зачинщиков массивного бот-нета
Как сообщает BBC, полиция Испании поймала троих зачинщиков бот-нета Mariposa. По оценкам бот-нет состоит из 13 миллионов зараженных машин, на территории около 190 стран. Заражённые машины принадлежат более чем половине компаний из списка Fortune 1000, а также порядка 40 крупным банкам.
Хозяева бот-нета являются гражданами Испании, ранее не привлекавшимися к судебной ответственности за кибер-преступления. Первого из них поймали в феврале, когда он управлял бот-нетом не утрудившись замаскировать свой настоящий адрес. Материалы из его копьютера навели следователей на остальных владельцев.
Возможно последуют и другие аресты.
Хозяева бот-нета являются гражданами Испании, ранее не привлекавшимися к судебной ответственности за кибер-преступления. Первого из них поймали в феврале, когда он управлял бот-нетом не утрудившись замаскировать свой настоящий адрес. Материалы из его копьютера навели следователей на остальных владельцев.
Возможно последуют и другие аресты.
Информационная безопасность → Торренты, скайп и безопасность
Дисклаймер: все нижесказанное — мои личные мысли, не ставящие целью дискредитировать упомянутые системы и их производителей.
Коротенько о себе: я занимаюсь сетевой безопасностью. 8 лет. Специализируюсь на cisco (CCIE Security).
Я сам настороженно отношусь к обоим системам (Торрент, Скайп). Но все никак не мог сформулировать, что же мне так не нравится. И вот сейчас я попробую по возможности объективно рассказать, что же меня тревожит.
Но для начала я напомню уважаемым хабрачитателям, что такое ботнет, с чем его едят и почему он так опасен.
Ботнет — объединение разрозенных компьютеров, находящихся под одним вредоносным управлением. Ботнеты делятся на активные и пассивные. Компьютеры в активном ботнете знают, что ими удаленно управляют. В пассивном — нет.
Как же компьютеры попадают в ботнет? Как правило, для этого используются трояны (устанавливаешь на компьютер одно, а параллельно тебе ставится незаказанное), рассылаемые с почтой, черви (самораспространяющийся по сети вредоносный код), программы на самозапускающихся флешках и т.д. Главная задача — установить на компьютер программу, которая будет «стучаться» (пытаться соединиться) изнутри межсетевого экрана наружу на хосты управления (call-home). Как только зараженный компьютер достукивается до сервера управления, по установленной сессии им можно поуправлять.
Коротенько о себе: я занимаюсь сетевой безопасностью. 8 лет. Специализируюсь на cisco (CCIE Security).
Я сам настороженно отношусь к обоим системам (Торрент, Скайп). Но все никак не мог сформулировать, что же мне так не нравится. И вот сейчас я попробую по возможности объективно рассказать, что же меня тревожит.
Но для начала я напомню уважаемым хабрачитателям, что такое ботнет, с чем его едят и почему он так опасен.
Ботнет — объединение разрозенных компьютеров, находящихся под одним вредоносным управлением. Ботнеты делятся на активные и пассивные. Компьютеры в активном ботнете знают, что ими удаленно управляют. В пассивном — нет.
Как же компьютеры попадают в ботнет? Как правило, для этого используются трояны (устанавливаешь на компьютер одно, а параллельно тебе ставится незаказанное), рассылаемые с почтой, черви (самораспространяющийся по сети вредоносный код), программы на самозапускающихся флешках и т.д. Главная задача — установить на компьютер программу, которая будет «стучаться» (пытаться соединиться) изнутри межсетевого экрана наружу на хосты управления (call-home). Как только зараженный компьютер достукивается до сервера управления, по установленной сессии им можно поуправлять.
Информационная безопасность → Распространение троянов через flash баннеры
Внимание: будьте бдительны при размещении flash баннеров!
Предыстория.
Я владелец довольно популярного ресурса. Некоторое время назад было несколько обращений с просьбой разместить «не приносящие никакого вреда iframe». От таких предложений отказывались, ибо карма важнее.)
Вчера обратился человек, с предложением разместить небольшой flash баннер, c рекламой БМВ-клуба. Код оказался с неприятным троянским «бонусом».
UPD!: отписался в поддержку Яндекса. Ответили. Поблагодарили и уведомили, что код отослан на анализ в соответствующий отдел. mini victory?)
остальные UPDs под катом
Предыстория.
Я владелец довольно популярного ресурса. Некоторое время назад было несколько обращений с просьбой разместить «не приносящие никакого вреда iframe». От таких предложений отказывались, ибо карма важнее.)
Вчера обратился человек, с предложением разместить небольшой flash баннер, c рекламой БМВ-клуба. Код оказался с неприятным троянским «бонусом».
UPD!: отписался в поддержку Яндекса. Ответили. Поблагодарили и уведомили, что код отослан на анализ в соответствующий отдел. mini victory?)
остальные UPDs под катом
Персональные блоги → Ботнет: «был твой — стал мой» или как ботнеты работают
По требованию модераторов убрал топик совсем.
Оригинал остался на личном сайте.
Оригинал остался на личном сайте.
Хостинг → Хостер в ответе за тех, кого приручил?
Сегодня целый день читаю форумы, в которых обсуждается горячая тема последних дней: «3FN Blackout». Эта же тема пробежала и на страницах хабрасообщества.
Меня эта проблема задела самым непосредственным образом — недоступны десятки сайтов (моих и партнёрских), не работает почта, потеряны материалы, созданные с момента последнего внешнего бэкапа, идут неустойки за рекламу, потеряны деньги по предоплате и срочно нужно найти на оплату у другого хостера плюс время на переезд.
Судя по прочитанным материалам, складывается ощущение, что рады такому развитию событий только те, у кого не было аккаунта на 3FN. Это больше похоже на смесь позиций «моя хата с краю» и «пусть уконкурента соседа корова сдохнет». Как некрасиво, а? А вот вы, умничающие сограждане, уверены что на 3FN «жили» исключительно спаммеры, вирусописатели и педофилы? А вы не задумывались что из более чем 15000 клиентов, большая часть вела вполне легальную деятельность и размещала контент, отвечающий американскому и международному законодательству? Я, и многие мои партнёры, выбрали этого хостера за быстрые сервера и грамотный саппорт. После украинских и российских хостеров, на 3FN мои сайты просто летали. За более чем год размещения — 15 минут разового простоя, связанного с падением жёсткого диска, сопровождаемые вежливыми извинениями саппорта в аське.
Меня эта проблема задела самым непосредственным образом — недоступны десятки сайтов (моих и партнёрских), не работает почта, потеряны материалы, созданные с момента последнего внешнего бэкапа, идут неустойки за рекламу, потеряны деньги по предоплате и срочно нужно найти на оплату у другого хостера плюс время на переезд.
Судя по прочитанным материалам, складывается ощущение, что рады такому развитию событий только те, у кого не было аккаунта на 3FN. Это больше похоже на смесь позиций «моя хата с краю» и «пусть у
Персональные блоги → iBotnet — справедливое название первого ботнета под Mac Os X
Обнаружен первый ботнет, компьютеры которого работают под управлением операционной системы Apple Mac OS X, сообщает eWeek со ссылкой на данные компании Symantec, занимающейся компьютерной безопасностью.Эта сеть зомбированных компьютеров получила название iBotnet. Ее формирование началось пару месяцев назад.
В iBotnet входят компьютеры, зараженные трояном OSX.iServices. Он распространяется под видом программы, снимающей защиту с Photoshop CS4 и iWork'09.
По оценке Symantec, в настоящее время в iBotnet входит несколько тысяч компьютеров. Они уже использовались для проведения DDoS-атак. Не исключено, что iBotnet будет задействован при рассылке спама.
Троян OSX.iServices был обнаружен в январе 2009 года. По оценке компании Intego, занимающейся разработкой антивирусных программ для компьютеров Apple, вместе с пиратскими iWork'09 и Photoshop CS4 этот троян попал на 20 тысяч компьютеров, работающих под управлением Mac OS X.
Информационная безопасность → Neverending story
По просьбе FkSD, ибо у него не хватает кармы.
Сегодня ночью ботнет Kido начал работать. Событие, ожидавшееся экспертами, еще с 1 апреля – произошло.
Комьютеры, зараженные Trojan-Downloader.Win32.Kido (aka Conficker.C), взаимодействуя друг с другом через P2P-соединения, дали команду зараженным машинам на загрузку новых файлов.
Новый вариант Kido (Net-Worm.Win32.Kido.js) – значительно отличается от предыдущей версий и имеет два важных отличия – это снова червь и он будет работать только до 3 мая 2009 года. Более детальный анализ его функционала проводится в настоящее время.
Кроме обновления самого себя Kido загрузил на зараженные компьютеры новые файлы и это самое интересное в этой истории.
Сегодня ночью ботнет Kido начал работать. Событие, ожидавшееся экспертами, еще с 1 апреля – произошло.
Комьютеры, зараженные Trojan-Downloader.Win32.Kido (aka Conficker.C), взаимодействуя друг с другом через P2P-соединения, дали команду зараженным машинам на загрузку новых файлов.
Новый вариант Kido (Net-Worm.Win32.Kido.js) – значительно отличается от предыдущей версий и имеет два важных отличия – это снова червь и он будет работать только до 3 мая 2009 года. Более детальный анализ его функционала проводится в настоящее время.
Кроме обновления самого себя Kido загрузил на зараженные компьютеры новые файлы и это самое интересное в этой истории.
Персональные блоги → Америка строит свой армейский botnet
Прочитал в Google Groups такую новость: "Америка строит свой армейский botnet"
далее цитата:
"Китай, возможно уже имеет свой botnet, разница заключается в том, что США будет строить свой botnet используя свои собственные машины, не "заражая" другие машины"
Это что, новый вид гонки вооружений? Или же матрица не так далеко, как это представляется обывателям?
собственно сама статья из журнала
p.s. много английского
p.p.s "Сегодня, 20 ноябра 2030 года, объедененная Китайско-Индийская армия перешла в наступление и за-DDoS-ила главный сервер объедененной Европы и Северной Америки. На Российском направлении Китайская Армия отступает"
далее цитата:
"Китай, возможно уже имеет свой botnet, разница заключается в том, что США будет строить свой botnet используя свои собственные машины, не "заражая" другие машины"
Это что, новый вид гонки вооружений? Или же матрица не так далеко, как это представляется обывателям?
собственно сама статья из журнала
p.s. много английского
p.p.s "Сегодня, 20 ноябра 2030 года, объедененная Китайско-Индийская армия перешла в наступление и за-DDoS-ила главный сервер объедененной Европы и Северной Америки. На Российском направлении Китайская Армия отступает"