Sinkholing na Hlux / Kelihos botnet - co se stalo?
16.11.2013 Viry | BotNet
Již v březnu 2012 jsme se spojili s Crowdstrike, na Honeynet Project a Dell SecureWorks v zakázání druhou verzi Hlux / Kelihos-botnetu. Mysleli jsme si, že teď by byl dobrý čas na aktualizaci o tom, co se stalo s tím sinkhole-server v průběhu posledních 19 měsíců.
To, co vidíme dnes, je to, co jsme očekávali. Botnet je stále menší a menší - oběti byly dezinfekční nebo přeinstalovat své počítače v průběhu času. V současné době máme počítat asi 1000 unikátních roboty v průměru za měsíc:
Počet jedinečných roboty od března 2012 Vzhledem k botnet je peer-to-peer-design, může stále existují nezávislé podmnožiny počáteční botnet, který nikdy připojený k našemu závrtu. Ale myslíme si, že bot-počet za takové podmnožinu by se vyvíjely podobným způsobem, protože s největší pravděpodobností bot, pastevci by nechat je na pokoji, jak dobře a soustředit se na vytvoření "Hlux 3".
Většina robotů jsou stále běží pod Windows XP. Ale také jsme viděli Někteří boti běží pod Windows Server 2008:
OS (posledních 14 dní) Většina infikovaných klientů v Polsku:
Země (posledních 14 dní) Skupina, za Hlux je známo, že adept na rychle obnovují jejich nelegální infrastruktury. Protože skupina je také známo, že za botnet Waledac , myslíme si, že je nepravděpodobné, že bude poslední slyšíme o tom gangu.
V neposlední řadě, rychlý přehled o příběhu Hlux / Kelihos:
V září 2011 jsme provedli první Takedown na Hlux. Zločinci odpovědní za tento botnet neprokázalo významný podíl při přijímání protiopatření - opustili botnet svému osudu (z toho, že pod naší kontrolou, nyní) a okamžitě začal stavět nový botnet. Takže po krátké době, Hlux 2 se objevil na radaru, a my jsme to dokázali znovu - otravují P2P sítě sinkhole ji . A opět, zločinci se rychle obnovily svou botnet a Hlux 3 se narodil - do 20 minut! V březnu 2013 byli špatní konfrontován s novou odstavení provozu - zahájena a prováděna v přímém přenosu na konferenci RSA 2013 našimi přáteli na Crowdstrike.
Athena Botnet Zobrazuje Windows XP ještě široce použitý 4.11.2013 Botnet
V poslední době jsme viděli spoustu aktivních vzorků Athena HTTP botnet. Builder nástroj pro Athena již unikly na internetových fórech, máme držet několika aktivních vzorků, které způsobily některé docela závažné infekce. Statistiky vyhledávání pro následující webové panelu ukazuje, že HTTP botnet jako Athena může být velmi efektivní při poškození počítače. Web panel vypadá jako špatně nastaven: athena_infections
Předchozí obrázek ukazuje množství nákaz ze strany tohoto botnetu. Většina z nich je stále on-line, přijímat příkazy z řídicího serveru. Ze statusů na tuto infekci, vidíme některé velmi děsivé věci: 99,6% (465 systémy) z infikovaných počítačů stále používají Windows XP 96,6% (451 admins) z infikovaných počítačů mají uživatele admin 73,4% (343 desktop) z infikovaných počítačů jsou desktopy (obecně strojů stolních zůstat on-line na delší dobu) Nejděsivější věc je, že tak mnoho lidí stále používá Windows XP na své notebooky a stolní počítače. Microsoft bude ukončena oficiální podpora pro systém Windows XP na začátku příštího roku, ale tato infekce botnet ukazuje lidé stále mají lásku k XP. S pomocí těchto infekcí, řídicí server, má nějaké aktivní DDoS příkazy zahájila proti některým IP. Zde je aktivní příkaz na stránku: athena_active_commands
Síťový provoz generovaný tímto botnet se zdá být vlastní formátování a kódování se vyhnout odhalení. Tento krok je trochu obtížné pro výzkumné pracovníky, aby okamžitě dekódovat. Binární má nějaké staré antianalysis, anti-VMware kontrol. Pokud jsou to obejít, bude to okamžitě pošle HTTP POST požadavky obsahující zakódovaná data do řídící server. Nyní se podívejme na síťový provoz generovaný tímto botnet: athena_http_post_request
Zakódovaných dat, vypadá velmi podobně jako Base64 kódovaných dat, ale nelze snadno přečíst informace, protože parametry jsou závislé na sobě nějakým způsobem upraven (Base64). Pro dekódování hlasového provozu generovaného musíme nejprve pochopit Parametry A, B a C, které jsou předávány v požadavku POST. To vyžaduje trochu reverzní inženýrství. Pojďme rozdělit řetězec do svých parametrů: “a=%63%58%4A%76%62%47%6C%71%5A%32%52%6C%59%57%4A%35%64%6E%64%30%62%6D%4E%36%64%57%31%6F%63%48%68%72%5A%6E%4D%36%63%47%31%71%61%32%68%6C%5A%6D%4E%36%64%33%68%31%63%6E%4E%70%5A%47%46%32%63%57%35%35%59%6D%78%6E%64%47%38%3D” "& B = tHR5aGU6x25tZXykY3l1wWQ6OTM0ZDZyNDBnZeNeNDElMWUuMnE3MeJg ODA2ZDYlNvI2OTZntHBuwXY6YWRiwW58YXJewDb4ODZ8Z2VqZDbgZXNmcG9st GNranVvOeF8x3M6V19YUHl2ZXI6ceEqMC44tG5kcDj0LeB8xnV3OeF8" "& C =% 68% 68% 65% 66% 62% 63% 7A% 7A% 7A% 77% 78% 75% 75% 72% 72% 73% 70% 70% 6D% 6D% 6D% 6A% 6B% 6B " Parametr Zde je, jak parametr je generován: athena_random_strings_base64
První binární generuje dva náhodné řetězce složené z 26 písmen od A do Z a připojí se tyto řetězce pomocí dvojtečky (:). Pak se převádí tuto členem řetězec do Base64 kódování formátu a později převádí Base64 řetězec do formátu hex%. Pokud tedy převést parametr (pomocí reverzní kroků) zpět do textu, dostaneme: = qrolijgdeabyvwtnczumhpxkfs: pmjkhefczwxursidavqnyblgto Tento parametr se používá pro generování Parametr B. Parametr b Parametr b je údaje, přepočtené na Base64, který je odeslán do řídicí server. Zde je kód assembleru: athena_data_convert_base64
Poté je původní Base64 řetězec upravit pomocí dvou náhodné řetězce vytvořené dříve. Níže je montáž fragment kódu: athena_modify_base64
Stručně řečeno, nahradí znaky z náhodného MNOŽINĚ1 s náhodným string2 vygenerována parametru v. Takže v našem příkladu, parametr b je: “&b=tHR5aGU6x25tZXykY3l1wWQ6OTM0ZDZyNDBnZeNeNDElMWUuMnE3MeJgODA2ZDYlNvI2OTZntHBuwXY6YWRiwW58YXJewDb4ODZ8Z2VqZDbgZXNmcG9stGNranVvOeF8x3M6V19YUHl2ZXI6ceEqMC44tG5kcDj0LeB8xnV3OeF8″ Náhodný řetězec 1 = qrolijgdeabyvwtnczumhpxkfs Náhodný řetězec 2 = pmjkhefczwxursidavqnyblgto Pokud tedy nahradit string2 postavy s Řetězec1 a dekódování Base64, parametr b se: "& B = | typ: on_exec | DIČ: 934d6a40ff3c4111e22a722d806d6172696f | priv: admin | arch: 86 | Gend: desktop | jader: 1 | OS: W_XP | ver: v1.0.8 | net: 4.0 | nové: 1 |" Bot shromažďuje informace, jako je uživatelský účet, systémové informace, verzí operačního systému, atd. a pošle to do řídicího serveru. Parametr c Parametr c je jen hex reprezentace dalších 24 bajtů náhodný řetězec slouží jako datové značce. Pokud tedy převést na text, je to, jak vypadá, c: "& C = hhefbczzzwxuurrsppmmmjkk" Base64 řetězec tohoto parametru se používá při reakci. Kontrola odezvy serveru Reakce z řídicího serveru je také vlastní kódování: "AGhlZmJjenp6d3h1dXJyc3BwbW1tamtrZgcocWRHVdkgxUZvUFRmc2ZBPT0K" První část obsahuje odpovědi Base64 řetězec parametru c, který je jen náhodná data značka řetězec. Zde je, jak botnet kontroluje Base64 hodnotu ve své odpovědi: athena_compare_base64_response
Připomeňme, že v parametru c vezmeme-li v Base64 hodnotu náhodné hodnoty budeme mít zápas v předchozím odpovědi. Zbývající část obsahuje nebezpečné příkazy. Zbývající řetězec je také vlastní Base64 a je také zakódován jako parametr b, pomocí dvou náhodně generované řetězce. Takže dekódování musíme nejprve najít a nahradit znaky pomocí dvou náhodné řetězce a dekódování Base64 řetězec. Zde je fragment kódu: athena_decode_response_commands
V předchozím obrázku vidíme, že funkce dekódování Base64 řetězec, což je další Base64 řetězec. Smyčka také naznačuje bot podporuje více příkazů. Pokud budeme dále dekódovat, dostaneme příkazy ve formátu prostého textu. Dekóduje řetězec v předchozím případě je "| Interval = 90 |", která vypráví bot ping Control Server každých 90 sekund. Botnet podporuje mnoho příkazů a může zahájit DDoS útoky proti internetovým stránkám. Můžeme konstatovat, že i v případě, že odpověď délka je větší než 60 až 70 bajtů, pak řídicí server, může posílat i jiné příkazy, protože bot může podporovat více příkazů. K prokázání příkazy shellu, tady je, jak lze calc.exe být provedeny na oběť stroji: athena_calc_exe
Botnet podporuje následující příkazy: athena_commands_create
A DDoS útoky: athena_commands_ddos
Athena HTTP web panel má plnou stránku nápovědy, které vám podrobnosti tohoto botnetu: athena_help_page
Athena se zdá být všestranně HTTP botnet-s mnoha příkazy a DDoS útok metod. Dostupnost unikly stavitele a snadné nastavení instrukcí může vést k nárůstu infekcí z tohoto botnetu. Na zakázku kódované komunikace v síti dělá to trochu obtížné pochopit příkazy tekoucí mezi obětí a řídicího serveru, ale existuje několik vzorů (pokud budete platit pozornost), které nám pomáhají rozpoznat tyto nebezpečné komunikace. Poslední, tato infekce botnet ukazuje, lidé jsou stále rád Windows XP a dosud se stěhoval do více zabezpečených operačních systémů, jako jsou Windows 7 nebo Windows 8.
Pravidelné Připojení na řídicí server, nabízet nové způsob, jak zjistit botnetů
4.11.2013 Botnet
Řada nedávných botnetů a pokročilých hrozeb pomocí HTTP jako jejich primární komunikační kanál s jejich kontrolní servery. McAfee Labs výzkum v posledních letech ukazuje, že více než 60 procent z nejlepších botnet rodiny jsou závislé na protokolu HTTP. Tyto počty se výrazně zvýšil v posledních několika čtvrtletích. Následující koláčový graf ukazuje převahu v HTTP komunikaci botnet. C & C distribuce
Proč je HTTP tak populární? Jedním z důvodů je to, že HTTP je povolena vždy na hranici sítě. Vzhledem k tomu, že škodlivý provoz směsí dobře legitimního provozu HTTP, je těžké odlišit, a nelze z bezpečnostních síťových zařízení k blokování škodlivého provozu, pokud je známo, podpis za to. Limity s tradičními podpis přístup založený na výzkumných zabezpečení disku přesunout zaměření na behaviorální přístupy založené, ale zůstává otázka: Jaké chování sítě by měly být bezpečnostní zařízení hledat? Botnety obvykle pracují v "pull" způsobem, že neustále načítat příkazy z řídicího serveru, a to buď v pravidelných intervalech nebo na stealth úrovni. Po připojení, obvykle "phone home" přes HTTP GET / POST požadavky na konkrétní server zdroje (URI). Následně by botnet spustit příkaz odeslán na server a spát pevným intervalem, než se pokusí znovu. Bezpečnostní výzkumníci se snad využívají spojení tohoto chování. Infikovaný počítač připojení pravidelně do řídícího serveru je automatizovaný provoz. Musíme udělat tlustou čáru mezi automatickou a člověkem zahájila provoz, jakož i mezi reakcí řízení serveru a legitimní odpovědí serveru. Můžeme se spolehnout na několik faktů: Je to abnormální většina uživatelů muset připojit k určitému serveru zdroj a opakovaně v pravidelných intervalech. Tam by mohlo být dynamické webové stránky, které pravidelně obnovovat obsah, ale tyto legitimní chování mohou být detekovány při pohledu na odpovědi serveru. První připojení k libovolného webového serveru bude mít vždy odpověď je větší než 1 kb, protože se jedná o webové stránky. Reakce velikost jen 100 nebo 200 bajtů, je těžké si představit, za obvyklých podmínek. Legitimní webové stránky budou mít vždy vložené obrázky, JavaScript, značky, odkazy na několik dalších oblastí, odkazy na několik cest k souborům na stejné doméně, atd. Prohlížeče zašle plné HTTP hlavičky v požadavku, pokud pochází z man-in-the-middle útok Výše uvedené body nám způsob, jakým můžeme hledat specifické chování na síti: Opakované připojení do stejných zdrojů serveru přes protokol HTTP. Pokud budeme sledovat stroj v nečinnosti podmínky, kdy není uživatel přihlášen k počítači a počítač negeneruje velké množství provozu, můžeme rozlišit aktivit robotické sítě s vysokou přesností. Za těchto podmínek, v případě, že stroj byl napaden Zeus botnet, například, by provoz z infikovaného počítače vypadat takto: Zeur Všimněte si, že Zeus se připojuje k jedné řídící domény a stále běží HTTP POST každých šest vteřin na konkrétní server zdroj. Algoritmicky při nečinnosti, budeme považovat za hostitele činnost opakovaně podezřelého za těchto podmínek: Počet unikátních domén systém se připojuje, je menší než určitý práh Počet unikátních URI systému připojí, je méně než určitý práh Pro každé jednotlivé oblasti, kolikrát unikátní URI je připojena k opakovaně je větší než určitá prahová hodnota Za předpokladu, že objem provozu od hostitele je méně, pokud budeme mít uvedené podmínky v okně řekněme dvě hodiny, mohli bychom přijít s následujícím: Počet unikátních domén = 1 (méně než je stanovený limit) Počet unikátních URI připojit = 1 (menší než prahová hodnota) Pro každé jednotlivé oblasti, unikátní URI, kolikrát je opakovaně připojen k = 13 (vyšší než prahová hodnota) Všechny hodnoty je možné nastavit jako nastavitelné parametry, v závislosti na typickém provozu v síti. Následující provozní postupy ukazuje chování botnetu SpyEye. Opakující se činnost zde dochází každých 31 sekund, jak se připojí k určitému zdroji. SpyEye
Nicméně, roztok nenařizuje, že opakující se činnosti je třeba vidět v těchto pevných intervalech. Pokud se rozhodnete sledovat v rámci většího okna. Mohli bychom zjistit více kradmé činnosti. Následující graf představuje možný posloupnost operací. Vývojový diagram Prvních pár prohlídky jsou důležité pro určení, zda je hostitel moc mluvit. Za prvé, celkem URI> Práh určuje, že máme dost provoz, aby se zabývala. Další, celkem domény k> / = Y zjistí, že počet zpřístupněných domén není příliš velký. Konečná kontrola je zjistit, zda Celkem jedinečné identifikátory URI <Z. zdroj skončí na podezřelé seznamu, pokud věříme, že to vyvolalo opakované spojení. Například, pokud je celková URI = 30, celkem domény k = 3 a Celkem unikátních URI zobrazena = 5, garantujeme opakovaný URI přístup z počítače. Nyní, pokud je počet opakovaných přístupů na konkrétní URI překročí prahovou hodnotu (například 1 URI zobrazena 15-krát v okně), lze dále zkoumat spojení a použít některé z heuristických zvýšit svou úroveň spolehlivosti a odstranění falešných poplachů. Některé heuristiky můžeme rozumí: Minimální HTTP hlavičky odeslané v žádosti Absence UA / odkazujícího záhlaví Malé odpovědi serveru chybí struktury obvykle webové stránky Podívejme se na příklad SpyEye zasílání minimální HTTP hlavičky bez referenční záhlaví: spyeye1Zavedli jsme důkaz pojetí tohoto přístupu a zjistil opakující se činnost po síti s relativní lehkostí. spyeye2 Použili jsme tento přístup k několika špičkových botnet rodin, které vykazují toto chování. Zjistili jsme, bychom mohli odhalit se střední až vysokou úrovní spolehlivosti.
results1
Behaviorální metody detekce bude klíčem k odhalení nové generace hrozeb. Vzhledem ke složitosti a propracovanost nedávných pokročilých útoků, mohou být tyto přístupy detekce hrozeb aktivně, aniž by čekal na podpis aktualizace a ukáže být mnohem rychlejší.
Win32/Napolar - Nový bot na bloku
27 září 2013 Viry | BotNet
K dispozici je nová bot na bloku . ESET označuje jako Win32/Napolar zatímco její autor nazývá solarbot . Tento kus malware přišel do naší pozornosti v polovině srpna kvůli jeho zajímavé techniky anti- ladění a kód injekce . Je to v poslední době přitahuje všeobecnou pozornost, když byla diskutována na různých fórech reverzního inženýrství .
Tento malware může sloužit více účelům . Tři hlavní z nich jsou k provádění popření servisních útoků , aby mohly působit jako SOCKS proxy server , a krást informace z infikovaných systémů. Malware je schopen připojit do různých prohlížečích ukrást informace, které jsou předloženy do webového formuláře .
Jsme odhalili mnoho podrobností o tomto bot , protože se stala aktivní na konci července , s in- the-Wild infekce začíná v polovině srpna . Tam byly zprávy o tisíc infekcí , mnoho z nich v Jižní Americe. Mezi země s nejvíce infekcí je Peru, Ekvádor a Kolumbie . Další informace o geografické rozložení na tuto hrozbu lze nalézt na virusradar .
Autor Win32/Napolar používá webové stránky na podporu to. Na webových stránkách vypadá velmi profesionální a obsahuje podrobné informace o bot , včetně nákladů ($ 200 USD za každé sestavení ) a dokonce kompletní změnu -log evoluce kódu.
Přestože jsme dosud viděli přímo Win32/Napolar distribuován ve volné přírodě , je pravděpodobné, že tato hrozba se rozšířila přes Facebook . Vzhledem k tomu, malware má schopnost ukrást Facebook pověření může jeho provozovatel použít tyto pověření k posílání zpráv z napadených účtů a snaží se infikovat oběti přátele. Níže je seznam souborů , které jsme viděli používá tento malware rodiny:
Je zajímavé, že použití zdvojených přípon souborů (* . JPG.EXE , * . TXT.EXE a tak dále) poplést u souboru skutečné rozšíření jestarý trik , který pochází z Windows 95, ale zřejmě stále v provozu. Co je legrační , o použití v tomto konkrétním případě je , že autor Win32/Napolar Nezdá se, že si uvědomit, že . Com je platná , i když poněkud starý, rozšíření pro spustitelné soubory a že tyto názvy souborů by umožnilo jejich provádění , aniž bykdy . EXE . Velmi nedávné blog od našich kolegů v AVAST potvrzuje , že také viděli podobné infekce vektorů .
V tomto blogu , ukážeme některé anti- ladění triky používané Win32/Napolar . Tyto triky byly pozorovány v prvních verzí tohoto malware rodiny. Nejnovější varianty také použít třetí strany packers vyhnout antivirový software a zpomalit ruční reverzní inženýrství .
Budeme pak vysvětlit Win32/Napolar velení a řízení (C & C ) protokol. Na závěr si ukážeme některé z informací, které byly načteny z propagační webové stránky před tím, než byl uveden do režimu offline . Anti- ladění techniky
Při analýze Win32/Napolar binární soubory , první věc, kterou musíte vědět je, že neexistuje žádný platný vstupní bod v záhlaví PE , jak je znázorněno na obrázku níže .
01_original_entrypoint_to_0
První instrukce, které jsou spouštěny při startu binární jsou uloženy v závitu místní funkce Storage ( TLS) . K dispozici jsou dvě TLS přiřazené funkce . První TLS funkce nedělá nic . Druhá funkce dešifruje více kódu pomocí šifrovací algoritmus RC4 a klíč 0xDEADBEEF . Dešifrovat kód je zapsána jako třetí funkce TLS před druhým funkce vrátí , jak je uvedeno v kódu extraktu níže .
02_inserting_third_tls
Třetí TLS Funkce dešifruje zbytek kódu před voláním hlavní část malware. Malware používá jiné triky , aby se sám obtížnější analyzovat :
Veškeré dovozy jsou řešeny v běhu s použitím hash namísto dovozového jmen. Interakce s operačním systémem se většinou provádí přímo voláním neregulérní funkce ntdll knihovny namísto použití standardního API . Vše je kód pozice nezávislé .
Chcete-li zjistitoffset vlastní kód, který bude dešifrovat , Win32/Napolar vyhledává prostřednictvím svého paměti pro operační kód 0 × 55 . Tento operační kód představuje "push EBP ", první instrukce současné funkce v jazyce symbolických instrukcí. Pokud tento pokyn nahrazuje 0xCC ,opcode pro softwarový zarážky budedešifrování kódu nebude fungovat. To je chytrý způsob, jak měnit chování malwaru , pokud je analyzován s debugger a je-li software zarážka je kladen na první instrukce z TLS .
Win32/Napolar má více anti- ladění triky. Chcete-li dynamická analýza těžší , bude Win32/Napolar vytvořit podřízenou proces sám o sobě a bude ladit tuto novou instanci . Screenshot ukazuje volání CreateProcess .
05_create_process_debug_only
Software na ochranu Technika self- ladění bylo vidět dříve, ale v případě Win32/Napolar , trik se děje v hlavní části malware , ne v balírny .
Jakmile je laděný proces zahájen, Win32/Napolar zadejte smyčku, která zpracovává události ladění vrácené funkcí WaitForDebugEvent . Pseudokódu pro smyčku manipulaci ladících událostí je uveden níže.
04_pseudo_code_debug_loop
První událost zpracována tímto kódem je CREATE_PROCESS_DEBUG_EVENT . Tato akce se koná při spuštěníladěný proces . V tomto případě se hlavní proces analyzovat MZ a PE hlavičce odladěné procesu za účelem získání offset a velikost pozice nezávislé kódu. To se pak zařadí další oblasti paměti v odladěné procesu, ve kterém k injekci kódu . Tím se vytvoří dvě kopie stejného kódu ve stejném procesu.
Další akce je EXCEPTION_DEBUG_EVENT . V tomto druhém případě je hlavní proces přepíše první TLS funkce binární tak, aby přesměrování provedení na začátku spustitelný pomocí Push - instrukce RET . To opět dešifruje hlavní tělo škodlivého softwaru a umožňuje to provést v dětském procesu. Jedná se o kód podřízeného procesu , který pak pokračuje injekci se do všech běžících procesů sub- procesy a hákování různé funkce skrýt svou přítomnost v systému a zachytit požadované informace.
Konečně, hlavní proces obdrží EXIT_PROCESS_DEBUG_EVENT událost , zastaví ladění voláním funkce DebugActiveProcessStop a ukončí svůj vlastní proces pomocí NtTerminateProcess .
graf
Jednou z hlavních charakteristik Win32/Napolar je jeho schopnost krást informace , když uživatel vyplní webový formulář ve webovém prohlížeči . Trusteer prohlížeč ochrana pravděpodobně zastaví malware z zachycení těchto informací. To je důvod, proč malware má specifické kontroly pro Trusteer produktů. To bude iterovat všech běžících procesů a zvláště zabít jakýkoliv proces, který má řetězec " Trusteer " v něm. Jsme neměli provádět žádné testy potvrdit , zda tento pokus o zakázání Trusteer produkt společnosti je úspěšný , nebo ne. síť chování
Při komunikaci s jeho velení a řízení serveru , Win32/Napolar používá protokol HTTP . První dotaz odeslán robotem na velení a řízení serveru obsahuje následující informace :
Verze bot Aktuální okna uživatelské jméno infikovaného uživatele název počítače Jedinečný identifikátor bot Verze operačního systému Typ systému , který může být 32 nebo 64 bit . Ve skutečnosti , to bot podporuje oba typy architektury .
Server pak odpoví příkazybot potřebuje vykonat . Tyto příkazy jsou šifrovány pomocí RC4 jebot jedinečný identifikátor používá jako šifrovací klíč . Bot podporuje celou řadu příkazů z informací krádeže a SOCKS proxy , aby odmítnutí služby , download , provádění a aktualizace . Každý příkaz májedinečný identifikátor uložen jako jednoho bajtu a informace po tomto bytu obsahuje parametry příkazů . Následující obrázek znázorňuje dopravní výpis komunikace mezi hostiteli infikovaných Win32/Napolar a jeho řídícím a kontrolním serverem.
06_napolar_POST
Následující obrázek ukazuje dešifrování tohoto příkazu pomocí vhodného klíče. První bajt obsahu přijímaného je 0xC , a to pokyn bot na spaní. Tento parametr je řetězec , " 600 ", který představuje počet sekund, po kterébot potřebuje spát.
07_decrypted_cnc_nop
Viděli jsme nejméně sedmi různých velitelských a kontrolních servery používané Win32/Napolar . Většina z nich zůstali jen on-line na pár dní , aby mohl provozovatel přesunula k nové síti . To by mohlo znamenat, že tato bota je aktivně používán ve volné přírodě . Níže je seznam doménových jmen , kde jsme v poslední době pozorovat velitelské a řídící servery :
dabakhost.be terra - araucania.cl xyz25.com yandafia.com elzbthfntr.com alfadente.com.br
Tam jsou některé odkazy na TVZ v malware kódu. Nejpřesněji , některé konfigurační linky a odkazy na konfigurační soubor pro TOR . Během naší analýzy malwaru , nezdálo se , aby jakékoliv použití těchto údajů. To by mohlo být nějaký spící funkce , která nebyla aktivována ve vzorcích jsme analyzovali . Propagační web
Autor Win32/Napolar se zdá být velmi upřímný , kteří chtějí prodat svůj nový malware. On dal dohromady velmi profesionálně vypadající webové stránky, kde se chlubí , že jeho bot je " profesionální shell kód založený bot " , s odkazem na skutečnostmalware je pozice nezávislé .
08_solar_website1
Na webových stránkách také poskytuje informace pro potenciální zákazníky. Například, kompletní kód pro velení a řízení serveru lze nalézt zde , php skript běží s backend SQL databáze . Kód velení a řízení serveru potvrzuje naší analýzy síťového protokolu používaného Win32/Napolar malware.
Propagační webových stránkách také poskytuje několik příkladů pluginů, které mohou být použity malware operátorů. Zásuvné moduly musí být napsány pomocí programovacího jazyka Delphi . Ukázkové pluginy ukazují, jak lze zobrazit zprávu na infikovaném oběti systému , zjistit, které verze je nainstalován antivirový program na oběti systému , a dokonce, jak ukrást Bitcoin peněženky .
Konečně, webové stránky předložil i kompletní záznam změn provedených bota zdrojového kódu , včetně informací o nových funkcí a oprav chyb . Na webových stránkách se zobrazí první položky v changelogu vyrobený 14. července . To se hodí naše časovou osu , protože jsme viděli první instance této bot ve volné přírodě na začátku srpna. Datum registrace pro název domény , kde je umístěnobsah je první den v srpnu , další náznak toho, žezačátek akce je poslední .
09_solar_website2 závěry
Win32/Napolar je nový bot, který se vynořil v červenci a začal pozorovat ve volné přírodě v srpnu . Má zajímavé techniky pro boj proti reverzní inženýrství . Nejpozoruhodnější bod o tomto malware je, jak otevřeně , že je podporován na webu jeho tvůrcem . Reklama je pravděpodobně stejný , který byl identifikován Dancho Danchev na webroot v červenci . Viděli jsme mnoho zpráv na různých fórech, které podporují tuto bot , kromě existence veřejně přístupné webové stránky. Jak již bylo výše zmíněno v případě Foxxy , to je další dobrý příklad specializace počítačové kriminality operací , kde jsme nyní jasně mít autory , které vytvářejí malware a prodávají je do jiných skupin, které budou provozovat.
Ačkoli tato bot má funkce podobné jiným rodinám jako Zeus či SpyEye , může získat na popularitě , protože její autor se aktivně údržbu, a kvůli jeho snadné použití a jednoduchost , s jakou mohou být vytvořeny pluginy . analyzované soubory
Díky Lubomíra Trebula a Joan Calvetem za pomoc při analýze tohoto malware.
Identity Prodávající používá Botnet ukrást z dat makléřů 27. září 2013. Bezpečnost | BotNet ssndobIDENTITA PRODÁVAJÍCÍ POUŽÍVÁ BOTNET UKRÁST Z DAT MAKLÉŘŮ Online prodavač čísla sociálního pojištění, úvěrů a zprávy pozadí a další informace cenné pro zloději identity se zdá, že zjištěné tato data by byly ohroženy systémy řady významných firem dat zprostředkování, podle vyšetřovací zprávy vydané bezpečnostní reportér Brian Krebs .
Na webových stránkách je SSNDOB [dot] MS a Krebs charakterizuje jako "službu krádeže identity." Koho je zodpovědný za službu Zpráva uvádí,, ohrožení a instalaci botnet malware o systémech řady významných datových firem, včetně dvou serverů v právních LexisNexis databáze firem, další dva servery na Dun & Bradstreet, New Jersey-based sběratele firemní licensure informací, a pětinu serveru patří do screeningového zaměstnání pozadí společnost s názvem Kroll pozadí America Inc
Malware infikované servery přenášet data z těchto systémů na velení a řízení serveru pod kontrolou provozovatele SSNDOB je, dodávat určité množství informací prodávané na tomto webu. Krebs běžel vzorků malwaru prostřednictvím Virus Total, webové stránky, který skenuje škodlivé soubory vidět, které antivirové produkty se odhalit, na začátku září. Žádný z 46 nástrojů používaných Virus Total zjištěna hrozba. V publikaci, Krebs řekl, že celková stoupl na šest z 46 nástrojů.
Přes léto, místo bylo ohroženo, což Krebs a ostatním přístup do celé databáze. Zkoumání této databáze bylo zjištěno, že na místě nějaké 1.300 zákazníkům, že strávil stovky tisíc dolarů shromažďování SSNs, data narození, řidičský průkaz, záznamy a úvěry a ověřením informace o více než čtyři miliony amerických občanů.
Zdrojové kódy všech těchto údajů zůstal neznámý až do skupiny hackerů zřejmě spojené s UGNazi hacktivist kolektivní použité SSNDOB narůstat data pro jiné webové stránky, exponované [dot] su, který vydává různé informace o celebrit a významných osobností veřejného života. Beyonce, Jay-Z, první dáma Michelle Obama, ředitel CIA John Brennan, a bývalý ředitel FBI Robert Mueller patří mezi osoby, jejichž informace lze nalézt na webových stránkách, v souladu s Krebs. Informace na této stránce zvýrazněny druhé důkladností SSNDOB v přístupu k citlivým informacím, ale to nebylo dokud ne místo bylo později ohrožena, že Krebs byl schopen posoudit celou databázi.
Kromě statistických informací, kompromis SSNDOB dal Krebs schopnost analyzovat síťovou aktivitu tam, což ho vedlo k existenci botnet vyostřuje služby.
SSNDOB běží již dva roky, nabízí osobní informace jako SSNs a porodní záznamy pro mezi 50 centů a 2,50 dolary a kreditní ověřením informací pro mezi $ 5 až 15 dolarů, podle zprávy.
Krebs píše, že LexisNexus potvrdil kompromis, Dun & Bradstreet řekl Krebs informace, kterou poskytl "velmi užitečné" a Kroll Background americká mateřská společnost Altegrity, ani nepotvrdil, ani nevyvrátil kompromis. Všechny tři společnosti jsou koordinaci s policií a FBI je "vědoma a případ vyšetřuje."
Vertexnet Botnet se skrývá za AutoIt
20. září 2013. BotNet | Bezpečnost | Viry
Nedávno jsme objevili nové škodlivé vzorků pomocí Autoit ukrýt. Na další analýzy jsme zjistili, že ti vzorek patří do Vertexnet botnet. Oni používají několik vrstev mlžení, jednou dekódovány, se připojují k řídící server přijímat příkazy a přenášet ukradených dat. Tento vzorek je zabalen pomocí vlastní balírny. O výkonu klesne tři soubory v složky% TEMP%.
Tyto soubory jsou zpracovány s využitím aut2exe. Další malware spustí soubor botnet.exe ze složky temp. Tento soubor je napsán v AutoIt. Můžeme snadno dekompilovat ho pomocí Exe2Aut.
Tento soubor používá různé popletl proměnné, které jsou šifrovány pomocí jednoduchého algoritmu:
Dekódování proměnné, můžeme vidět, že tento skript volá různých rozhraní API systému Windows pomocí AutoIt DLL funkce DllStructCreate, DllStructGetPtr, DllCall, atd.
Vyhledávání Google, jsme snadno najít původní kód by mohly být použity v předchozím skriptu se mlžit: http://www.autoitscript.com/forum/topic/99412-run-binary/ (Předchozí příspěvek obsahující informace o tom, jak spustit spustitelný soubor z paměti je starý. Bylo vyrobeno asi 2009 na autoitscript.com.) Technika spuštění spustitelný soubor z paměti pomocí skriptu AutoIt je dobře zdokumentováno na tento odkaz. Abychom to shrnuli, že nejprve vytvoří proces s CREATE_SUSPENDED vlajkou:
Dále se používá GetThreadContext dostat kontextu strukturu:
Následně se používá WriteProcessMemory, SetThreadContext a přiděluje paměť pro data.
Pak pokračuje nit:
Po dumping dat výběrových WriteProcessMemory, dostaneme Visual Basic soubor, který používá metodu RunPE vykonat užitečného zatížení:
Konečný náklad je VertexNet 1,2, což jsme zjistili z řetězců, které obsahuje: O provedení konečné užitečného zatížení, komunikuje s řídícím serverem:
Vidíme neustálý nárůst AutoIt malware, protože jeho snadné použití. Zjistili jsme, že autoři malware vždy ready-made nástroje a rychle se přizpůsobit novým trikům. McAfee zákazníci jsou chráněny proti této hrozbě podpisem IPS: BOT: VertexNet Bot zjištěna činnost. Rád bych poděkoval svému kolegovi Arunpreet Singha za jeho pomoc s analýzou této hrozby.
Andromeda Botnet se skrývá za AutoIt 14.9.2013 BotNet | Viry
Minulý měsíc jsem zveřejnil blog o zvýšení využívání AutoIt skript malware autorů provádět škodlivé aktivity. Útočníci používají AutoIt skripty po dlouhou dobu, a které jsou stále oblíbenější díky své flexibilní a silné povahy. Nyní jsme narazili další kus malware (který dopadá být součástí botnetu Andromeda) kompilována s AutoIt vykonat svůj škodlivý kód. Botnet využívá AutoIt skript skrýt své škodlivý kód a spustí kód pomocí AutoIt je API. Exe2Aut Program umí extrahovat obsah hlavního binárního souboru, jak je ukázáno níže: anrdomeda_autoit_decode Jak je uvedeno výše, skript je snadné pochopit, a klesne zdrojový soubor obsahující kód skriptu a dva vložené soubory-a.vbs a f.txt-, jejichž obsah je uveden níže: andromeda_files_dropped Vypadají jako jednoduché textové soubory. Skript kapky kopii sebe sama ve start-up firem s názvem config.exe. To zkopíruje klesl soubory do dočasné složky a spustí a.vbs, který obsahuje base64 řetězec a kód na dešifrování. Po proveden, bude malware klesne jiný soubor, ensambla.txt, ve složce Temp. Skript volá DllStructCreate (), která vytvoří strukturu podobnou ve stylu C / C + + pro použití v DllCall () pro f.txt a ensambla.txt. Skript spustí další dvě lokální proměnné, které obsahují binární data pomocí Execute (BinaryToString ()). Pojďme se pop-up ty proměnné pomocí AutoIt MsgBox () funkce vidět skutečný kód: andromeda_varibales Skript nastaví data DLL strukturu a provádí DLL proceduru pomocí AutoIt je DllCall () funkce. Soubor f.txt obsahuje "MZ" záhlaví, škodlivý kód, který se ukázal být nový Andromeda botnet vzorek. (Několik nedávných blogy vztahuje Andromeda, jeden z nich publikoval pěkný rozbor.) kód z publikovaných blogů vypadá velmi podobný našemu snížil souboru, ale různé CRC32 hashe pro názvy procesů, na začátku kódu přitáhl mou pozornost. Po nějaké analýze se ukázalo, že varianta Andromeda používáte vlastní algoritmus pro generování hash pro názvy procesů, jak je uvedeno níže: andromeda_custom_hash_algo Na začátku, binární kontroluje název mutex "lol", shromažďuje běh názvy procesů, vypočítá hash pomocí vlastního algoritmu, a porovnává je s natvrdo kódovaných hash. Našel jsem několik zjevných názvy procesů, ale ne všechny. (Já bych rád poděkoval kolegovi Subrat sarkar, který rychle napsal utilitku na základě předchozího algoritmu je mi vlastní hash pro názvy procesů, jak je ukázáno níže.: andromeda_custom_hash_utility Hádat všechny názvy procesů spolu s natvrdo kódovaných hash ručně by být špatný nápad. Takže myšlenka je shromáždit všechny Antimalware nástroje, VMware / VirtualBox / Sandboxie, a další jsou analytické nástroje názvy procesů, generovat a porovnat hodnoty hash. To nám pomůže určit všechny názvy procesů, tento binární hledá. Tak jsem rychle napsal skript v Perlu pro generování hash všech kandidátů, jak je uvedeno níže: andromeda_perl_hash_output Byl jsem schopen získat všechny názvy procesů používaných v této binární. Všechny pevný kódované hashe odpovídají názvy procesů, uvedených níže: andromeda_all_process_names Není-li odpovídající proces nalezen, pak to bude kontrolovat sbiedll.dll Sandboxie je. andromeda_sbiedll_check Andromeda trik nepodaří Byl jsem si vědom proti VMware a antidebugging trik používá Andromedy. Zkontroluje, zda používáte virtuální stroj tím, že hledá klíče pod "System \ CurrentControlSet \ Services \ disk \ enum" klíč registru a pak dělá řetězec odpovídající a načasování zkontrolovat pomocí "rdtsc" návod na antidebugging. Ale oba triky nepodařilo pro tento binární. Podívejme se proč. andromeda_failed_checks Trik použít k získání řetězec "vmaw", "vbox" nebo "qemu" se nezdaří, protože VMware 9 má jinou strunu v registru. Tak EAX 8 nepodaří získat požadované řetězec. I když se zjistí, trik "awmv" (opak "vmwa"), pro starší verze VMware, zkontroluje pomocí "61776D77", což v přepočtu na znaky se stane "awmw." Pevně hex řetězec je špatně v tomto případě ( protože poslední byte, 77, je v pořádku). To by mělo být "61776D76," což v přepočtu na znaky se "awmv." Binární obsahuje antidebugging kód pomocí rdtsc instrukci, která nemá instrukce skoku pro ukončení (takže můžete pokračovat v analýze bez obav). Jsem nebyl přesvědčen o těchto neúspěšných kontrol a myslel tyto nedostatky by mohla existovat pouze pro tuto konkrétní binární. Křížové kontroly Prohlédl jsem si několik vzorků generovaných Andromeda 2,06 stavitel (unikly na internetu) a našel všechny tyto nedostatky existují ve všech binárních souborů. Jakmile se obejít všechny antireversing triky, binární volá hlavní náklad, který vytváří proces Wuauclt.Exe Windows (Windows Update) v prašném režimu, jak je uvedeno níže: andromeda_createprocess Před tím, malware používá následující rozhraní API systému Windows k vytvoření různých sekcí a mapovat pomocí škodlivého kódu. andromeda_section_mapping Zajímavé je, že binární pak vstřikuje nějaký kód na vstupním bodu Wuauclt.Exe. Zde je kód injekce: andromeda_injected_code Binární vstřikuje "PUSH 000A13B9, ret" instrukce. Takže když se nazývá ZwResumeThread (), bude Wuauclt.Exe tlačit adresy "000A13B9" na zásobníku a zpět. Tímto způsobem škodlivý kód, bude spuštěn v kontextu Wuauclt.Exe procesu Windows, je uvedeno níže: andromeda_run_payload Řídicí server, je stále aktivní v době psaní tohoto blogu. Útočníci používají AutoIt skripty skrýt a nainstalovat škodlivý náklad. Tento příklad ukazuje, že AutoIt má snadný a účinný API pro spuštění škodlivého kódu. Vzorek Andromeda jsme analyzovali také nám ukazuje celou řadu metod používaných útočníky, včetně vlastní hash generace pro názvy procesů, anti-VMware/antidebugging technik a procesu vstřikování.
Masivní hrot Tor uživatelů způsobené Mevade botnetu
7.9.2013 BotNet | Zabezpečení
Při projektu Tor režisér Roger Dingledine nedávno obrátila pozornost veřejnosti k neobvyklé a značné zvýšení počtu Tor uživatelů, pozval lidi, aby spekulovat a sdílet věrohodné vysvětlení o tom, protože jeho vlastním přístupem, ale nebyli jsme schopni najít to tím, samy o sobě.
Tyto teorie předložené v rozmezí od publicity Browser Pirate pryč přes palubu a Ruska nedávné úsilí o cenzuře internetu, k reakci na dozoru NSA úsilí. Ve čtvrtek Dingledine ozval se znovu říci, že vzestupný trend pokračoval, a že sází své peníze Důvodem je to, že botnet. "Faktem je, že se růstové křivky, jako je tento, je to v podstatě žádný způsob, že je tu nový člověk za každé z těchto Tor klienty," řekl napsal . "Tito klienti Tor dostal svázané do nějakého nového softwaru, který dostal nainstalován na milionech počítačů skoro přes noc. Protože žádná velká software nebo operační systém prodejci přišli dopředu, aby nám řekli, že jen svázaný Tor se všemi jejich uživateli, že mě nechává s jedním uzavřením : tam někdo napaden miliony počítačů a jako součást jejich plánu se instalují Tor klienty na nich. " Teorie, které více než pravděpodobné obecnou pasivitou z těchto nových uživatelů, bylo potvrzeno holandský-založil firmu bezpečnostního auditu Fox-IT. "V posledních dnech jsme skutečně našel důkazy, které naznačují, že konkrétní a poměrně neznámý botnet je zodpovědný za většinu náhlé uptick v Tor uživatelů," napsal bezpečnostní specialista Yonathan Klijnsma. "Nedávné odhalení jméno, které má byl použit ve vztahu k tomuto botnetu je "Mevade.A", ale starší odkazy naznačují názvem "Sefnit", která sahá až přinejmenším do roku 2009, a také Tor připojení. Zjistili jsme, různé odkazy, že malware je interně známý jako SBC jeho provozovatele. " Takže botnet je masivní, a nic nového. Před přidáním Tor jako způsob komunikace, roboty používá HTTP a alternativní metody pro komunikaci s jejich C & C kanálu. "Jak bylo zdůrazněno v Tor týdenní zprávy, musí být verze Tor, který používá nové Tor klienti 0.2.3 . x, vzhledem k tomu, že nemají používat novou metodu. Tor handshake základě kódu, můžeme potvrdit, že verze Tor, který se používá, je 0.2.3.25, "sdílel. Fox-IT vědci nejsou zcela jisti, co je malware dělá, ale věří, že to pochází z oblasti, kde se mluví rusky, tak spekulují, že jeho pravděpodobně motivován přímou nebo nepřímou finanční trestný čin. "Zpětná vazba od Smart Protection Network ukazuje, že malware byl Mevade, opravdu, stahování Tor modul v posledních týdnech srpna a začátkem září, "odborníci Trend Micro přidal své dva centy na rozhovor. Také dodal, že provozovatelé botnetu byly sledovány až do Charkov, Ukrajiny a Izraele, ale v současné době znám pouze jejich on-line rukojeti. Mají zřejmě působí od roku 2010, a zdá se být součástí "dobře organizované a pravděpodobně dobře financované počítačové trestné činnosti gangu." Říkají, že mají podezření, botnet je vydělávat instalací adware a panely nástrojů do ohroženého systému. "To nevypadá jako nové klienty používáte Tor sítě na zasílání provoz na externí cíle (např. webové stránky). Zatím lze usuzovat, že" znovu přístup skryté služby - rychlé relé viz "Přijaté ESTABLISH_RENDEZVOUS vyžádání" mnohokrát za sekundu v jejich informací na úrovni protokolů, ale rychlý odchod relé nevykazují výrazný nárůst výstupního provozu, "poznamenal Dingledine. "Jeden přijatelné vysvětlení (za předpokladu, že je skutečně botnet), je to, že je to běh jeho velení a řízení (C & C), bod jako skrytý." Ještě je tu jedna věc, která zahřeje srdce, a to je, že Tor je síť stále pracovní navzdory masovým nárůstem Tor klientů na něj a nových obvodů Dělají. "Myslím, že všechno, co práce jsme dělali na škálovatelnost je to dobrý nápad," dodal. Přesto jsou hodně relé se maximu na CPU zatížení, a mohly by být brzy přemožen, takže sdílí seznam pravděpodobné akce pro projekt, aby se, aby se zabránilo tomu, že z děje nyní i do budoucna.
Zločinecké gangy zneužívají síť Tor k ovládání botnetů
Výzkumníci firmy ESET objevili dva nové malwary, které mají ovládací centrum skryté v anonymizační síti Tor.
Kriminalita | BotNet
Programátoři různých zločineckých gangů stále častěji využívají možností anonymizační sítě Tor jako řešení pro ukrytí skutečného umístění jejich řídících serverů. Uvedla to firma ESET, jejíž výzkumný tým v nedávné době našel dva nové malwarové programy typu „botnet“ – jejichž řídící servery byly nastaveny jako tzv. skrytá služba Tor. Protokol „Tor Hidden service“ umožňuje uživatelům nastavovat služby – většinou servery WWW –, které nemají jednoduše odhalitelnou IP adresu a lze k nim přistupovat pouze pomocí náhodně vypadajícího názvu končícího příponou .onion.
Tento protokol byl navržen s cílem zamaskovat skutečnou adresu IP ukrývané služby serveru a současně ukrýt adresy IP klientů před serverem. Je tak prakticky nemožné pro obě strany, službu provozující i službu využívající, zjistit umístění nebo identitu svého protějšku. Komunikace mezi klientem Tor a skrytou službou Tor je šifrována a náhodně směrována mezi sérií počítačů, které jsou součástí sítě a slouží jako směrovače.
Použití sítě Tor pro hostování řídících serverů není zcela nová myšlenka. Možnosti tohoto přístupu byly diskutovány v prezentaci na bezpečnostní konferenci DefCon 8 v roce 2010. Praktická implementace konceptu byla odhalena loni v prosinci, kdy bezpečnostní firma Rapid7 identifikovala botnet Skynet složený ze 12 až 15 tisíc napadených počítačů, které přijímaly příkazy ze serveru IRC (Internet Relay Chat) běžícího právě jako skrytá služba Tor. Prezentující na konferenci varovali, že taková architektura se bude objevovat stále častěji. Dva nové botnety objevené ESETem ukazují, že tato předpověď byla pravdivá.
Na rozdíl od Skynetu oba botnety (postavené na malwaru Win32/Atrax a Win32/Agent.PTA) využívají řídícího serveru WWW. Atrax stahuje, spouští a vkládá infikované soubory do webového prohlížeče. Funkce mohou být rozšiřovány pomocí zásuvných modulů, které jsou lokálně šifrovány pomocí klíče AES generovaného z hardwarových parametrů každého infikovaného počítače. Atrax obsahuje klienta sítě Tor, který moduly doinstalovává do prohlížeče napadaného počítače a další komunikace malwaru je potom směrována do sítě Tor.
Agent.PTA je součástí rodiny malwaru, která je známá od roku 2012, ale funkce související se sítí Tor jsou nové. Stejně jako Atrax Agent.PTA dokáže krást obsah formulářů a ze sítě Tor si může průběžně stahovat nové funkce.
Nicméně, i když je obtížné najít skutečné adresy IP řídících serverů, je podle bezpečnostních expertů stále ještě možné analyzovat komunikační protokol malwaru a případně nad botnetem převzít kontrolu.
Microsoft je kritizován za svou taktiku boje s botnety
Microsoft se stal terčem kritiky kvůli své operaci, která narušila botnet Citadel a hrozbu z nakažených počítačů vymazala. Někteří bezpečnostní výzkumníci tvrdí, že operace Microsoftu narušila jejich legitimní práci a na bezpečnost internetu neměla žádný dlouhodobý vliv.
BotNet
Minulý týden Microsoft přerušil více než 1 400 botnetů, které používaly malware Citadel. Ovlivněno jím bylo více než pět milionů lidí po celém světě. Microsoft zákrok proti botnetu pojmenoval Operace b54.
Malware nahrával uživatelská jména a hesla obětí. Ztráty spojené s Citadel podle Microsoftu přesáhly 500 milionů dolarů (přibližně 96 a půl milionu korun). Operace b54 byla sedmým zásahem, který Microsoft proti botnetům vedl. Někteří z bezpečnostních výzkumníků tento krok chválí, ale většina ho vidí jako pouhou reklamu, která brutálním způsobem zasáhla do jejich bitvy s botnety.
„Podle mého názoru operace Microsoftu neměla na Citadel žádný vliv, který by stál za zmínku. Místo toho narušila projekty několika bezpečnostních výzkumníků a neziskových organizací,“ řekl anonymní výzkumník ze švýcarské společnosti abuse.ch. „Podle mě nebyla Operace b54 ničím jiným než propagační kampaní.“
Infikované počítače zasílají soubory s nastavením a různými daty do řídících center. Tato data výzkumníci odchytávají společně se jmény domén, která jsou ke komunikaci s řídícími servery využívána. Poté získané informace zkoumají a nakonec je v případě abuse.ch pošlou další neziskové organizaci Shadowserver Foundation, která získané informace rozešle do 1 500 organizací a šedesáti týmům Computer Emergency Responce (CERT) po celém světě.
Microsoft slíbil, že informace, které o botnetu získal, pošle „klíčovým výzkumníkům,“ například Shadowserveru. „Jak už bylo řečeno na začátku, cílem této operace bylo ochránit veřejnost strategickým narušením operací Citadel, oběti malwaru této hrozby zbavit a kyberzločincům zajistit dražší a riskantnější podnikání,“ oznámil ve středu Richard Boscovich, asistent generálního poradce divize digitální kriminality v Microsoftu.
Chester Wisniewski, bezpečnostní poradce společnosti Sophos, sice operaci Microsoftu podporuje, ale myslí si, že by žádný dodavatel neměl upravovat osobní počítače bez svolení jejich majitele, a to ani v případě, že má dobré úmysly. Boscovich se proti tomu ohradil tím, že Microsoft počítače obětí neměnil, jen je uvedl zpátky do stavu, ve kterém byly před infekcí.
Strategie Microsoftu, která botnety narušuje zabavováním doménových jmen, však může podle výzkumníka z abuse.ch vést i k tomu, že kyberzločinci podniknou akce, které v závěru nadělají více škod. Například když v roce 2011 výzkumníci agresivně vypnuli řídící servery domény malwaru ZeuS-Licat, jeho operátoři pouze změnili architekturu na peer-to-peer a v šíření příkazů nakaženým počítačům pokračovali. Architektura P2P se dá hůře najít a je těžší ji zablokovat.
Experti souhlasí, že Microsoft Citatel poškodil, dodávají však, že jeho operátoři budou zpět. „Pro zločince je to velká rána, ale v jejich podnikání je to určitě nezastaví,“ prohlásil Wisniewski.
Výzkumy zkouška odolnosti P2P botnetů
12. června 2013. BotNet
Po zvýšené úsilí řady firem a organizací, Takedown na botnet C & C servery je nyní docela běžným jevem a cyber podvodníci reagovali decentralizovat komunikaci mezi roboty a jejich regulátory.
Většinou se rozhodli pro peer-to-peer (P2P) komunikační infrastruktury, která vyjádřila své botnety těžší narušit. Nicméně, existují způsoby, jak to udělat, a skupina výzkumníků z Ústavu pro Internet Security v Německu, VU University of Amsterdam, a tech společnosti Dell SecureWorks a Crowdstrike se rozhodli otestovat odolnost botnetů k novým útokům. uznává, že odhad P2P botnet velikost je obtížné a že v současné době žádný systematický způsob, jak analyzovat svou odolnost proti Takedown pokusy, ale přesto se podařilo uplatnit své metody v reálném světě P2P botnet a přijít s kvalitní informace. Používali procházení a snímače injekci detekovat velikost botnetů a zjistil dvě věci: že některé botnety i více než milion botů, a to čidlo vstřikování nabízí přesnější výsledky. S jejich narušení útoků - sinkholing a příček - zjistili, že, mimo jiné:
Sality P2P botnet využívá peer pověst systému, který výrazně komplikuje útoky Zeus P2P botnet využívá automatickou černou listinu sinkholing serverů, které komunikují příliš agresivně Několik P2P botnety jsou schopni odrazit zpočátku úspěšné útoky proti P2P jejich vrstev v dlouhodobém horizontu prostřednictvím využívání záložních C & C kanály. Ostatní napadl botnety byly Kelihos, ZeroAccess, Nugache, Storm a Miner, a také prozkoumat, do jaké extentall tyto botnety jsou náchylné k útokům jako velitelské místo injekce proti jejich infrastruktury. "Naše hodnocení ukázaly nedostatky, které by mohly být použity k narušení Kelihos a ZeroAccess botnety. jsme však také ukázaly, že Zeus a Sality botnety jsou velmi odolné vůči sinkholing útoků, v současné době nejpoužívanější třídy rušivých útoky proti P2P botnet ", uzavírají. "Věříme, že naše zjištění ukazují, že výzkum v oblasti alternativních metod P2P botnet zmírnění je naléhavě zapotřebí." výzkumné zprávě je skvělý čtení, a lze je stáhnout zde .