Записи с меткой «DDoS»

«Лаборатория Касперского» объявляет о начале стратегического сотрудничества с Telefonica, одним из мировых телекоммуникационных лидеров, в рамках которого клиентам оператора будет предоставлен ряд услуг по защите от киберугроз. Telefonica знакома многим пользователям по своим коммерческим брендам O2, Movistar и Vivo.

По итогам соглашения в портфолио Telefonica появятся сервисы «Лаборатории Касперского», в основе которых лежит облачная инфраструктура Kaspersky Security Network.Инструменты обеспечения безопасности клиентов Telefonica построены на внутренних разработках оператора, опыте собственного центра Global CyberSOC, а также экспертизе других вендоров защитных решений, таких как «Лаборатория Касперского». С помощью такого широкого набора услуг и сервисов, включающего в себя решений для защиты от онлайн-мошенничества и DDoS-атак, корпоративные клиенты Telefonica получат более совершенную защиту от самых актуальных киберугроз.

Технологии «Лаборатории Касперского» дополняют услуги Telefonica по обеспечению безопасности своих клиентов новыми защитными инструментами. Среди них — мониторинг в режиме реального времени ботнетов, которые нацелены на пользователей онлайн-банкинга или платежных систем. Данный сервис не только позволяет выявлять подобные ботнеты, но также и блокировать их связь с командными центрами. Помимо этого специалистам по безопасности Telefonica будут направляться данные о новых угрозах в режиме реального времени, что позволит заранее провести соответствующую подготовку IT-инфраструктуры. Дополнительно «Лаборатория Касперского» будет предоставлять аналитические отчеты, описывающие релевантные угрозы для отдельных регионов и компаний с учетом вида их деятельности, а также проводить образовательные мероприятия, передавая свой опыт специалистам Telefonica.

«Такое стратегическое сотрудничество является для нас очередным шагом к лидирующей позиции на телекоммуникационном рынке. Подобные соглашения показывают, что мы обладаем уникальным набором услуг по выявлению угроз и являемся лучшим оператором в вопросе обеспечения IT-безопасности бизнеса и государственного сектора. Включение сервисов «Лаборатории Касперского» в наше портфолио отражает стремление Telefonica предоставлять самую инновационную защиту нашим клиентам и подтверждает нашу миссию быть прогрессивным оператором», — отметил Оливер Мартинез, управляющий директор по глобальной безопасности Telefonica.

«Мы с гордостью предоставляем Telefonica подписку на набор сервисов «Лаборатории Касперского» по выявлению угроз. Это сотрудничество стало одним из важных шагов в нашей стратегической работе с операторами. С таким мощным набором инструментов специалисты Telefonica будут гораздо лучше подготовлены к реагированию на угрозы, которые нацелены на их клиентов. Мы уверены, что теперь, в кооперации с «Лабораторией Касперского», компания сможет предложить гораздо более выгодные условия своим клиентам», — прокомментировал Вениамин Левцов, вице-президент по корпоративным продажам и развитию бизнеса «Лаборатории Касперского».

«Безопасность следует рассматривать как цельную стратегию защиты, а не ограниченный набор механизмов выявления и предотвращения. Это единственный надежный способ остановить киберугрозы. Telefonica и «Лаборатория Касперского» разделяют этот подход, и мы уверены, что вместе сможем построить более конкурентоспособную и безопасную среду», — добавил Ованес Михайлов, руководитель регионального офиса «Лаборатории Касперского» в Иберии.

Этот шаг — логичное продолжение давнего сотрудничества «Лаборатории Касперского» с Telefonica: в 2006 году компания заключила соглашение с оператором на бразильском рынке.

На данный момент у «Лаборатории Касперского» имеется более 80 глобальных партнерских и технологических соглашений с ведущими IT и телекоммуникационными компаниями, включая Microsoft, IBM, Cisco, Juniuper Networks, Alcatel Lucent, Blue Coat, Check Point, D-Link, GFI, Gwava, Netgear, SonicWALL RSA, ZyXel, Alt-N, Parallels, Lenovo, Facebook, Qualcomm, Vertu и другими.

О Telefonica

Telefonica — испанская телекоммуникационная компания. Действуя главным образом на рынках Испании и Латинской Америки, Telefonica является одной из крупнейших компаний сектора традиционной и мобильной сотовой связи в мире, занимает четвертое место в мире по размеру клиентской базы и шестое по рыночной капитализации. Созданная в 1924 году Telefonica до 1997 года была единственным оператором телефонной связи в Испании и до сих пор занимает доминирующее положение на рынке. На глобальном уровне Telefonica владеет ощутимой долей рынка в 24 странах и располагает клиентской базой, насчитывающей 313 миллионов абонентов.

О «Лаборатории Касперского»

«Лаборатория Касперского» — крупнейшая в мире частная компания, специализирующаяся в области разработки программных решений для обеспечения IT-безопасности. Компания входит в четверку ведущих мировых производителей защитных систем класса Endpoint Security*. Вот уже более шестнадцати лет «Лаборатория Касперского» предлагает эффективные защитные решения для крупных корпораций, предприятий среднего и малого бизнеса и домашних пользователей. Ключевым фактором успеха компании является инновационный подход к обеспечению информационной безопасности. Технологии и решения «Лаборатории Касперского» защищают более 300 миллионов пользователей почти в 200 странах и территориях мира. Более подробная информация доступна на официальном сайте www.kaspersky.ru.

*Компания заняла четвертое место в рейтинге аналитического агентства IDC «Выручка вендоров от продажи решений класса Endpoint Security» (Worldwide Endpoint Security Revenueby Vendor) за 2012 год. Рейтинг был включен в отчет IDC «Прогноз развития мирового рынка решений класса Endpoint Security на 2013-2017 гг. и доли вендоров в 2012 г.» (Worldwide Endpoint Security 2013—2017 Forecast and 2012 Vendor Shares), опубликованный в августе 2013 года (IDC #242618). В основу рейтинга легли данные о выручке от продаж решений класса Endpoint Security в 2012 году.

Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории Касперского» пройдите, пожалуйста, по ссылке: http://www.kaspersky.ru/subscribe/.

Отменить подписку на данный новостной блок можно, посетив сайт компании по следующему адресу: http://www.kaspersky.ru/subscribe/news/unsubscribe?p=$BR1sdEIimgEE286WFpTgu4WlxHU5ytoD_yr_8rqaY0p$

Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся под новости «Лаборатории Касперского», сообщаем, что оригинальные сообщения поставляются исключительно в формате html и никогда не содержат вложенных файлов. Если вы получили письмо, не удовлетворяющее этим условиям, пожалуйста, ни в коем случае не открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, сервисом Личный кабинет. Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/.


Служба новостей «Лаборатории Касперского»

Реклама

В феврале 2014 года на популярном российском ИТ-ресурсе появилась статья с очень интересным заголовком – «Исследуем Linux Botnet «BillGates». В ней описывался троянец с довольно богатым функционалом для осуществления DDoS-атак. Особенно нас заинтересовала его способность проведения атаки типа DNS Amplification. Да и вообще, исходя из статьи, троянец имел сложную многомодульную архитектуру, чего до сих пор мы не наблюдали в мире Linux-зловредов.

Кроме того, в статье имелась ссылка, откуда все файлы троянца (полученные прямиком с зараженной машины) можно было скачать. Что мы и сделали.

Скачанный архив содержал следующие файлы, которые, по словам автора статьи, являлись модулями одного троянца:

  • atddd;
  • cupsdd;
  • cupsddh;
  • ksapdd;
  • kysapdd;
  • skysapdd;
  • xfsdxd.

В данный момент файлы cupsdd и cupsddh детектируются продуктами «Лаборатории Касперского» как Backdoor.Linux.Ganiw.a; atddd и остальные – как Backdoor.Linux.Mayday.f.

В архиве с файлами присутствовал также файл конфигурации cron – планировщика задач в Linux. В данном случае утилита используется как средство закрепления троянца в системе. С помощью cron троянец выполняет следующие задачи:

  1. Раз в минуту завершает процессы всех приложений, которые могут помещать его (троянца) работе: .IptabLes, nfsd4, profild.key, nfsd, DDosl, lengchao32, b26, codelove, node24;
  2. Примерно раз в полтора часа завершает работу всех своих процессов: kysapd, atdd, skysapd, xfsdx, ksapd;
  3. Примерно раз в два часа скачивает в папку /etc с адреса http://www.dgnfd564sdf.com:8080/%5Bmodule_name%5D все свои компоненты (module_name = имя модуля, например, cupsdd), предварительно удалив эти файлы из /etc
  4. Раз в полтора часа заново запускает все свои модули
  5. Каждую минуту затирает системные логи, историю команд bash и выполняет chmod 7777 [module_name]

При последующем анализе файлов мы не обнаружили кода, отвечающего за запись конфига cron. Скорее всего, конфиг был вручную загружен злоумышленником после получения удаленного доступа к системе.

Backdoor.Linux.Mayday.f (atddd)

Файл atddd представляет собой бэкдор, содержащий функционал для осуществления различных типов DDoS-атак на указанные сервера, и, напомним, детектируется нами как Backdoor.Linux.Mayday.f. Файлы kysapdd, skysapdd, xfsdxd, ksapdd являются практически полными копиями atddd за одним исключением, о котором ниже.

Вначале своей работы бэкдор вызывает функцию daemon(1, 0), таким образом продолжая свое выполнение в фоновом режиме и перенаправляя стандартный ввод, вывод и ошибки в /dev/null

Затем atddd собирает необходимую информацию о системе, а именно:

версию системы (вызов uname())
количество ядер процессора и их частоту (из /proc/cpuinfo)
загруженность процессора (из /proc/stat)
загруженность сети (из /proc/net/dev для интерфейсов с префиксом «eth»)
Эта информация помещается в структуру g_statBase.

bill_gates_botnet1

После этого бэкдор расшифровывает строки, содержащие IP-адрес и порт C&C сервера. Алгоритм шифрования очень простой: зашифрованная строка посимвольно перебирается и если номер символа нечетный, то к его ASCII коду добавляется 1, если четный — вычитается 1. Таким образом из строки «3/3-2/4-269-85» получается IP-адрес «202.103.178.76», а из «2/:82» порт «10991».

Далее atddd читает файл конфигурации fwke.cfg, находящийся в той же директории, что и сам зловред. Полученная информация помещается в структуру g_fakeCfg. Если файл не существует, то бэкдор пытается создать его и записать внутрь следующую информацию:

1-ая строка: 0 //флаг, если 1 — то начать атаку, если 0 — остановить атаку

2-ая строка: 127.0.0.1:127.0.0.1 //диапазон исходящих IP-адресов

3-я строка: 10000:60000 //диапазон исходящих портов для атаки

4-ая строка: пустая строка //доменное имя в случае с DNS-флудом (см. ниже)

Эта информация в дальнейшем передается C&C серверу и может обновляться при помощи команды от C&C.

Далее бэкдор запускает новый поток CThreadTaskManager::ProcessMain(), в котором команды на начало атаки и остановку атаки ставятся в очередь на выполнение. Следом запускается новый поток CThreadHostStatus::ProcessMain(). В нем каждую секунду обновляются данные о загруженности процессора и сети, которые впоследствии могут отправляться C&C серверу при запросе.

После этого запускаются 20 потоков, которые читают информацию из очереди заданий и, соответственно, начинают атаку или останавливают ее. Однако в атаке могут быть задействованы не все потоки, если команда от C&C приходит с соответствующим параметром (количеством используемых потоков).

bill_gates_botnet2_sm

Далее зловред входит в бесконечный цикл обработки сообщений от C&C. Сначала устанавливается соединение с C&C и каждые 30 секунд отправляется информация о версии системы и тактовой частоте процессора, а также данные из структуры g_fakeCfg.

В ответ сервер должен отправить 4 байта, первый из которых является порядковым номером команды — от 1 до 4.

bill_gates_botnet3_sm

Далее, если команда имеет параметры, то C&C отправляет еще 4 байта, содержащие размер данных (параметров). После этого отправляются сами параметры, размер которых должен совпадать с числом из предыдущего ответа С&С.

Подробнее о каждой из команд:

0x01. Команда запуска атаки, в параметрах передаются тип атаки, а также количество используемых потоков. Тип атаки представляет из себя байт со значением от 0x80 до 0x84. Таким образом возможны 5 видов атак:
0x80 — TCP флуд. Порт назначения передается в ответе C&C в качестве параметра. Дипазон портов отправления задан в fwke.cfg. Каждый новый запрос отправляется с нового порта в заданном диапазоне, по порядку. IP-адрес назначения так же задается в параметрах.
0x81 — UDP флуд. Тоже самое, что и 0x80, только в качестве протокола транспортного уровня используется UDP.
0x82 — ICMP флуд. Аналогично предыдущим, только через ICMP.
0x83, 0x84 – две атаки с использованием DNS флуда. Отличаются только доменным именем в DNS-запросе. В первом случае оно генерируется случайным образом, во втором — задается в параметре (4-ая строка в fwke.cfg). По сути обе похожи на 0x81, только в качестве порта назначения используется порт 53 (порт DNS службы по умолчанию).
0x02. Команда остановки атаки. Значение в первой строке fwke.cfg изменяется на 0 и атака прекращается.
0x03. Команда на обновление файла fwke.cfg. В ответе также приходит структура, аналогичная g_fakeCfg, из которой записывается файл fwke.cfg.
0x04. Команда для отправки статуса выполнения текущей команды С&C серверу.
Помимо этого бэкдор содержит несколько пустых (без кода внутри) методов с интересными названиями: CThreadAttack::EmptyConnectionAtk, CThreadAttack::FakeUserAtk, CThreadAttack::HttpAtk. Видимо, автор планировал расширить функционал зловреда и эта версия является не окончательной, а скорее тестовой. И файл cupsdd, о котором мы расскажем ниже, является этому подтверждением.

Файлы kysapdd, skysapdd, xfsdxd, ksapdd являются практически полными копиями atddd, но содержат другие адреса C&C серверов: 112.90.252.76:10991, 112.90.22.197:10991, 116.10.189.246:10991 и 121.12.110.96:10991 соответственно. Также отличаются имена файла конфигурации: fsfe.cfg, btgw.cfg, fake.cfg, xcke.cfg соответственно.

Таким образом, вопреки нашим ожиданиям, файлы atddd, kysapdd, skysapdd, xfsdxd, ksapdd являются не модулями чего-то целого, а отдельными экземплярами троянца, каждый из которых работает со своим C&C сервером. Но самое интересное еще впереди.

Backdoor.Linux.Ganiw.a (cupsdd)

Так же, как и описанные выше файлы, этот является бэкдором с функционалом для осуществления различных DDoS-атак. Но функционал cupsdd значительно богаче и сложнее, чем у его «коллег», хотя его код в некоторых местах очень похож на код файла atddd.

В начале работы бэкдор инициализирует необходимые ему переменные из строки «116.10.189.246:30000:1:1:h:578856:579372:579888» (разделитель — «:»), которую предварительно расшифровывает при помощи алгоритма RSA. Строка распределяется по переменным следующим образом:

g_strConnTgt=116.10.189.246 — IP-адрес С&C сервера

g_iGatsPort=30000 — порт С&C сервера

g_iGatsIsFx=1 и g_iIsService=1 — флаги, используемые в дальнейшем

g_strBillTail=h — постфикс для имени файла, который будет дропнут (см. ниже)

g_strCryptStart=578856, g_strDStart=579372, g_strNStart=579888 — указатели на RSA-данные (зашифрованная строка и ключ)

Далее зловред дропает и запускает файл, находящийся изначально по смещению 0xb1728 от начала файла и имеющий размер 335872 байта, если он еще не запущен. Проверка запущен ли этот файл происходит при помощи попытки забиндить сокет 127.0.0.1:10808. Если это сделать удалось, значит файл не запущен и нужно его дропнуть и запустить.

bill_gates_botnet4

Если же файл уже запущен, то его процесс, PID которого находится в файле /tmp/bill.lock, принудительно завершается (kill(pid, 9)). И потом файл все равно дропается, заменяя собой уже существующий.

Имя дропнутого файла формируется из имени текущего запущенного файла + постфикс из переменной g_strBillTail. В нашем случае файл назывался cupsddh и находился в той же директории, что и дроппер.

Далее текущий процесс форкается и в дочернем процессе происходит вызов функции system(«/path/to/cupsddh»), которая запускает дропнутый файл.

После этого вызывается функция daemon(1, 0), имеющая тот же смысл что и в предыдущем сэмпле (atddd).

Потом обрабатывается ситуация, если cupsdd был запущен ранее и активен в данный момент. Для этого проверяется, существует ли файл /tmp/gates.lock. Если он существует, то текущий процесс завершается (exit(0)). Если же нет, то он (/tmp/gates.lock) создается и в него помещается pid текущего процесса.

Далее, если флаг g_iIsService == 1, то бэкдор прописывает себя в автозагрузку при помощи создания скрипта в /etc/init.d/ с именем DbSecuritySpt следующего содержания:

#!/bin/bash

/path/to/cupsdd

И создает символьные ссылки на него в /etc/rc[1-5].1/S97DbSecuritySpt

bill_gates_botnet6_sm-2

Читает файл конфигурации conf.n (если он существует) из той же директории, что и cupsdd. Первые 4 байта файла — это размер данных идущих далее. Все данные помещаются в структуру g_cnfgDoing.

Читает файл с командами — cmd.n. Формат такой же как и в conf.n. Данные попадают в структуру g_cmdDoing.

Далее получает необходимую информацию о системе, а именно:

  • Имя системы и версию ядра (напр., Linux 3.11.0-15-generic), при помощи вызова uname()
  • Тактовую частоту процессора, из /proc/cpuinfo
  • Количество ядер процессора из /proc/cpuinfo и загруженность процессора из /proc/stat
  • Загруженность сети из /proc/net/dev
  • Размер жесткого диска в мегабайтах из /proc/meminfo
  • Информацию о сетевых интерфейсах из /proc/net/dev
  • Все данные помещаются в структуру g_statBase.

Далее создается новый поток CThreadTaskGates::ProcessMain, в котором обрабатываются следующие команды:

0x03. DoConfigCommand(). Обновить файл конфигурации conf.n.
0x05. DoUpdateCommand(). Запускает новый поток CThreadUpdate::ProcessMain, в котором обновляет один из своих компонентов. В качестве параметра команда принимает число от 1 до 3, которое ассоциируется с одной из следующей строк:
1 — «Alib» — файл /usr/lib/libamplify.so
2 — «Bill» — дропнутый модуль cupsddh
3 — «Gates» — дроппер cupsdd

bill_gates_botnet7_sm

В зависимости от параметра обновляется один из компонетов зловреда. Обновление происходит при помощи отправки C&C серверу 6 байт, содержащих строку «EF76#^». Вслед за этим отправляется одна из строк, описанных выше (в зависимости от параметра).

В ответ приходят 4 байта, содержащие длину файла (в байтах), который будет передан далее. Затем С&C передает сам файл пакетами по 1024 байта.

Сначала файл сохраняется в директории /tmp со случайным именем, состоящим из цифр. Затем, в зависимости от того что за файл был получен, заменяет уже существующий файл cupsdd (или cupsddh) или копируется в /usr/lib/libamplify.so

Далее временный файл из /tmp удаляется, а на итоговый устанавливаются права 755 с помощью команды chmod. После чего, в случае обновления cupsddh, уже запущенный процесс завершается, а новый файл запускается. В случае обновления cupsdd, завершающий этап (начиная с копирования их /tmp) осуществляет cupsddh, которому отдается соответствующая команда.

  • 0x07. DoCommandCommand(). Записывает новую команду в cmd.n.
  • 0x02. StopUpdate(). Закрывает текущее соединение, установленное для обновления модулей.

После этого бэкдор cupsdd запускает несколько потоков, в которых одновременно выполняет несколько вспомогательных действий:

  • CThreadClientStatus каждую секунду обновляет данные о загруженности процессора и сети в структуре g_statBase.
  • CThreadRecycle удаляет из очереди заданий уже завершенные.
  • — CThreadConnSender читает команды из очереди и передает их модулю cupsddh через TCP-соединение с 127.0.0.1 на порт 10808. В ответ принимает статус их выполнения.
  • CThreadMonBill каждую минуту проверяет запущен ли модуль cupsddh и если нет, то заново дропает и запускает его.
  • CThreadLoopCmd читает команды из g_cmdDoing (файл cmd.n) и выполняет их через вызов system(cmd).

Далее основной поток входит в цикл приема и обработки команд от C&C сервера. Тут в зависимости от флага g_iGatsIsFx возможны два варианта:

  1. Если флаг установлен (==1), то зловред, как и в предыдущем сэмпле (atddd), в новом потоке просто отправляет информацию о системе и текущую конфигурацию из g_cnfgDoing и ожидает поступления в ответ команд;
  2. Если флаг не установлен, то инициатором сеанса связи выступает C&C. То есть зловред ожидает подключения от C&C и только когда соединение будет установлено начинает передавать указанные выше данные.

bill_gates_botnet8_sm

Команды, поступающие от C&C распределяются в одну из двух очередей: либо на исполнение в текущем модуле (в потоке CThreadTaskGates, описанном выше), либо на передачу модулю cupsddh (поток CThreadConnSender).

Backdoor.Linux.Ganiw.a (cupsddh)

Файл упакован UPX’ом, после распаковки вызывает daemon(1,0). Создает файл /tmp/bill.lock, в который помещает PID текущего процесса. cupsddh заполняет данными о системе структуру g_statBase, точно такую же как в cupsdd.

Далее заполняет структуру g_provinceDns IP-адресами DNS-серверов приведенными к двоичному коду в сетевом порядке расположения байт функцией inet_addr(), из массива строк g_sProvinceDns (смещение в распакованном файле: 0x8f44с, размер 4608 байт).

cupsddh выполняет команду «insmod /usr/lib/xpacket.ko», пытаясь таким образом загрузить модуль ядра в ядро. Однако такой файл отсутствует на «чистой» системе, и зловред не предпринимает никаких попыток скачать его или получить каким либо еще способом.

bill_gates_botnet9_sm

Далее данные из файла /usr/libamplify.so (оказывается, это не библиотека, а очередной конфиг) загружаются в структуру g_AmpResource. Формат файла: 1-ый dword — это количество dword’ов, идущих следом. Судя по всему, содержит список IP-адресов актуальных на данный момент DNS-серверов, подходящих для DDoS-атаки типа DNS Amplification.

После этого запускает два потока: CThreadTask и CThreadRecycle. Первый выполняет команды из очереди, сформированной из пришедших от модуля cupsdd команд. Второй удаляет выполненные команды. Затем основной поток биндит сокет на 127.0.0.1:10808 и в бесконечном цикле начинает принимать команды от модуля cupsdd, которые заносятся в вышеуказанную очередь.

Возможны следующие команды:

  • 0x01. Начинает атаку в соответствии с полученными параметрами. Подробнее ниже.
  • 0x02. Останавливает текущую атаку, устанавляивая соответствующий флаг.
  • 0x03. Обновляет текущую конфигурацию в структуре g_cnfgDoing, которую использует при атаке. Так же обновляет текущий локальный мак-адрес и мак и ip адреса текущего используемого гейта (шлюза) в структуре g_statBase.
  • 0x05. Завершающий этап обновления модуля cupsdd (описан выше).

bill_gates_botnet10-2

Возможны два основных режима атаки: в нормальном режиме и режиме ядра.

Режим ядра
Для этого режима используется встроенный в Linux генератор пакетов уровня ядра pktgen. Его преимущество для злоумышленника состоит в том, что трафик генерируется с максимальной возможной для данного сетевого интерфейса скоростью. И сгенерированные таким образом пакеты нельзя увидеть с помощью обычных снифферов, например, стандартного tcpdump, т. к. пакеты генерируются на уровне ядра.

bill_gates_botnet11_sm

Управляется генератор пакетов при помощи набора скриптов/конфигов в директории /proc/net/pktgen. Но перед этим необходимо загрузить модуль pktgen в ядро при помощи вызова команды «modprobe pktgen». Однако подобные вызовы мною обнаружены не были. Судя по всему, вместо них используется вызов «insmod /usr/lib/xpacket.ko», но, как и было сказано ранее, такой файл по умолчанию отсутствует в системе. Соответственно, в данной версии зловреда режим ядра не функционирует.

Тем не менее, зловред пытается записать несколько файлов в директорию /proc/net/pktgen, а именно:

  1. файл — /proc/net/pktgen/kpktgend_%d — для каждого ядра процессора, где %d — номер ядра, начиная с 0. Содержание файла:

rem_device_all
add_device eth%d
max_before_softirq 10000

bill_gates_botnet12_sm

2. файл — /proc/net/pktgen/eth%d — для каждого ядра процессора, где %d — номер ядра, начиная с 0. Содержание файла:
count 0
clone_skb 0
delay 0
TXSIZE_RND
min_pkt_size %d
max_pkt_size %d
IPSRC_RND
src_min %s
src_max %s
UDPSRC_RND
udp_src_min %d
udp_src_max %d
dst %s
udp_dst_min %d
udp_dst_max %d
dst_mac %02x:%02x:%02x:%02x:%02x:%02x //MAC-адрес шлюза из g_statBase
is_multi %d
multi_dst %s //если адресов для атаки несколько (т. е. значение в предыдущей строке не равно 0), то они задаются в этих строках, количество которых соответствует предыдущему параметру
pkt_type %d
dns_domain %s
syn_flag %d
is_dns_random %d
dns_type %d
is_edns %d
edns_len %d
is_edns_sec %d
Значения большинства параметров pktgen передаются через параметры команды от cupsdd.

3.файл — /proc/net/pktgen/pgctrl, содержащий строку «start».

Нормальный режим атаки

Как и в atddd нормальный режим атаки работает через сокеты (raw sockets).
Здесь возможны следующие типы атак:

CAttackSyn — TCP-SYN флуд.
CAttackUdp — UDP флуд. (как и в atddd)
CAttackDns — DNS флуд. (как и в atddd)
CAttackIcmp — ICMP флуд. (как и в atddd)
CAttackCc — HTTP-флуд.
CAttackAmp — DNS Amplification.
Особенность последней заключается в том, что пакеты отправляются к уязвимым DNS-серверам с указанием адреса цели атаки в качестве IP-адреса отправителя. Таким образом, злоумышленник отправляет небольшой пакет с DNS-запросом, а DNS-сервер отвечает цели атаки значительно большим по объему пакетом. Список уязвимых DNS-серверов хранится в файле libamplify.so, который записывается после получения соответствующей команды от C&C.

bill_gates_botnet13-2

Post Scriptum. BillGates v1.5

Данная версия троянца появилась несколько позднее и на данный момент, вероятно, является последней. По сути, это все тот же cupsdd, только «доведенный до ума». Код в целом стал более логичен, плюс появилась пара новых функций.

Наиболее существенные изменения произошли в модуле «Gates», т.е. в файле cupsdd. Теперь у него есть три режима работы. Выбор режима работы осуществляется на основании того откуда был запущен файл. Конкретнее, если файл запущен из /usr/bin/pojie, то выбирается режим мониторинга, иначе – режим установки и обновления, который в дальнейшем переходит в режим управления модулем «Bill».

bill_gates_botnet14

1. Режим установки и обновлений.
Сначала завершает свой процесс, работающий в режиме мониторинга, если таковой имеется. Его PID храниться в файле /tmp/moni.lock

Далее переустанавливает и перезапускает модуль «Bill».

Затем, если существует процесс работающий в режиме управления модулем «Bill», то он завершается. Его PID хранится в файле /tmp/gates.lock

Если установлен флаг g_iIsService (получается тем же образом, что и предыдущей версии) то прописывает себя в автозагрузку тем же способом, что и ранее (в предыдущей версии).

Далее записывает путь до себя в файл /tmp/notify.file и самокопируется в файл /usr/bin/pojie. После чего запускает свою копию, которая, очевидно, будет работать уже в режиме мониторинга, а сам переходит в режим управления модулем «Bill».

2. Режим мониторинга.
Записывает PID текущего процесса в файл /tmp/moni.lock. Далее запускает два потока для мониторинга модуля «Bill» и мониторинга модуля «Gates», работающего в режиме управления. И если один из этих процессов на данный момент не запущен, то нужный файл заново создается и запускается.

3. Режим управления модулем «Bill».
Действия, совершаемые модулем Gates в этом режиме, полностью соответствуют действиям, которые совершал этот же модуль в предыдущей версии троянца (после установки модуля Bill и инициализации необходимых ему переменных и структур).

Таким образом, в новой версии троянца авторы добавили ему немного «живучести», но основной функционал остался без существенных изменений.

Стоит также отметить, что прописанный в коде IP-адрес C&C сервера остался прежним (116.10.189.246), однако изменился номер порта – 36008 вместо прежнего 30000.

ИСТОЧНИК

Не нравится: под видом программы для взлома «ВКонтакте» распространяется зловред с кросс-платформенными возможностями

Posted: Ноябрь 27, 2013 in Антивирус, Известность, Касперский, Личность, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, люди, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, человечество, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Kaspersky Lab

Эксперты «Лаборатории Касперского» обнаружили образец вредоносного ПО, написанный с использованием кроссплатформенной среды для запуска приложений Adobe AIR. В одном из выявленных случаев этот зловред, обладающий функционалом бэкдора и содержащий компоненты для проведения DDoS-атак, был выложен на файлообменном ресурсе под видом программы для взлома популярной социальной сети «ВКонтакте». Одной из целей разработчиков этого ПО было создание ботнета, а использование технологий Adobe AIR делает его угрозой для всех популярных платформ.

Специалисты «Лаборатории Касперского» предполагают, что у авторов вредоносной программы не возникло проблем с ее распространением: возможно, ссылка на выложенный файл с дистрибутивом передавалась по каналам внутри самой социальной сети «ВКонтакте» и предназначалась незащищенным пользователям, интересующимся чужой личной перепиской.

Дистрибутив вредоносной программы скачивался жертвами с файлообменного ресурса

Для усыпления бдительности пользователя установщик создавал папки, содержащие файлы, которые не несли никакой полезной нагрузки. В то же время в системной директории Windows появлялся рабочий каталог вредоноса с необходимыми для функционирования файлами. После этого запускался скрытый процесс, скачивающий с командного сервера набор дополнительных компонентов, предназначенных для проведения DDoS-атак и увеличения количества просмотров видео на хостинге YouTube, — таким образом зараженный компьютер присоединялся к ботнету злоумышленников.

Особая опасность подобных вредоносных программ, написанных с использованием AIR, заключается в том, что они могут быть запущены на нескольких платформах, для которых компания Adobe и ее партнеры реализуют среду выполнения — Microsoft Windows, Mac OS X, Linux и Android. Несмотря на то что пока специалистам «Лаборатории Касперского» удалось зарегистрировать только реализацию под Windows, не исключена вероятность появления идентичных по функционалу версий, предназначенных для других платформ, что приведет к созданию кросс-платформенного ботнета.

«Чтобы уберечь свой компьютер от этой и других угроз, мы настоятельно рекомендуем помимо использования защитного решения с актуальными антивирусными базами игнорировать ссылки, полученные от неизвестных пользователей, и, по возможности, скачивать файлы только с доверенных ресурсов», — заключил Святослав Торопчанин, антивирусный эксперт «Лаборатории Касперского».

На данный момент все решения «Лаборатории Касперского» детектируют вредоносное ПО и его компоненты как Backdoor.SWF.Airtube.a и Trojan-DDos.SWF.Airtube.a соответственно. Подробное описание особенностей организации ботнета с использованием Adobe AIR доступно по адресу: www.securelist.com/ru/blog/207768971/Airtube_mnimyy_vzlomshchik_VKontakte_na_baze_Adobe_AIR.

Предновогодние хлопоты злоумышленников: «Лаборатория Касперского» предупреждает о возможных атаках с использованием нового банковского троянца

Новый банковский троянец Neverquest может стать причиной волны атак на финансы интернет-пользователей в преддверии праздничного сезона. К такому выводу пришли эксперты «Лаборатории Касперского» после внимательного изучения этого зловреда, еще не успевшего получить большую популярность у киберпреступников, но имеющего широкий вредоносный функционал и готового, по уверениям его создателей, к атаке на «любой банк любой страны».

Вредоносная программа Neverquest содержит модуль для кражи данных, которые пользователь вводит на сайтах онлайн-банков через браузеры Internet Explorer и Mozilla Firefox. Вредоносный код внедряется в страницы банковских сайтов при их загрузке в указанные браузеры. Список сайтов, с которыми «работает» троянец, уже сегодня включает в себя порталы известных банков и платежных систем. Более того, дополнительный функционал Neverquest позволяет злоумышленникам пополнять список атакуемых банков и разрабатывать коды внедрения для новых сайтов, которые изначально не входили в перечень.

Когда пользователь зараженного компьютера заходит на любой веб-сайт из этого списка, Neverquest, контролируя соединение браузера с сервером, дает злоумышленникам возможность модифицировать содержимое загружаемой веб-страницы и перехватить все введенные пользователем данные, включая логин и пароль. Получив таким образом доступ к банковскому счету, киберпреступники переводят деньги пользователя на свои счета или, для запутывания следов, — на счета других жертв.

Neverquest также обладает возможностями самораспространения. Помимо реквизитов доступа к веб-банкингу троянец крадет данные учетных записей от FTP-серверов, с которым работает пользователь. Затем злоумышленники с помощью эксплойтов используют учетные записи для распространения Neverquest другим жертвам. В функционал этой вредоносной программы входит также кража данных от учетных записей электронной почты пользователя, которые впоследствии применяются злоумышленниками для рассылки спама с вложенной программой-установщиком троянца Neverquest. Как правило, подобные сообщения подделываются под официальные уведомления различных сервисов.

Помимо всего прочего, аналитики «Лаборатории Касперского» обнаружили, что широкий функционал Neverquest дает возможность сбора данных для доступа к аккаунтам популярных социальных сервисов: Facebook, ВКонтакте, Flickr, Twitter, MySpace и др. Такая опция предоставляет киберпреступникам дополнительные каналы для распространения троянца. До настоящего времени случаев распространения Neverquest через эти сервисы замечено не было, однако ничто не мешает злоумышленникам воспользоваться такой возможностью.

Еще одной настораживающей особенностью нового зловреда является то, что он поддерживает практически все способы обхода защиты систем онлайн-банкинга. Все эти факторы и продуманные вредоносные возможности Neverquest теоретически могут привести к резкому увеличению числа жертв этой программы.

«Этот зловред появился относительно недавно, и злоумышленники работают с ним еще не в полном объеме. Однако с учетом возможности Neverquest по самораспространению число атакованных пользователей может значительно вырасти за небольшой промежуток времени, — рассказывает Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». — Канун Нового года и Рождества — период традиционной активности злоумышленников, ворующих деньги со счетов пользователей. Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам. В свете этой тенденции мы не исключаем, что ближе к концу года могут начаться массовые атаки Neverquest, поэтому пользователям стоит проявлять особую осмотрительность в Сети и непременно обеспечивать безопасность своих финансовых транзакций специальными защитными решениями».

Более подробно о функционале нового банковского троянца Neverquest, способах его распространения и опасностях, которым он может подвергнуть интернет-пользователей, читайте в аналитической статье Сергея Голованова на сайте www.securelist.com/ru/analysis/208050821/Novaya_ugroza_dlya_onlayn_banka.

The World Leader in Information Security Software, Providing Cutting AntiVirus Computer Protection Against All Major Cyber Threats, Viruses, Hackers and Spam. The Kaspersky Lab Global Network Consists of 8 Regional Offices and Technology Channel Partners In Over 50 Countries Worldwide. Kaspersky Labs, Protecting PCs, PDAs, and Networks since 1997, Based In Moscow Russia.

Большая охота: сайты крупнейших российских банков подверглись DDoS-атакам
Веб-сайты пяти крупнейших российских банков стали жертвами серии
DDoS-атак. На протяжении недели, начиная с 1 октября 2013 года,
«Лаборатория Касперского» фиксировала последовательные и
достаточно продолжительные атаки на веб-порталы Сбербанка, Альфа-банка,
Газпромбанка, ВТБ и Центробанка России. Каждая DDoS-атака начиналась в
первой половине дня и в ряде случаев продолжалась в течение суток.

Поскольку часть банков является клиентами «Лаборатории
Касперского», компания сообщала о начале каждой новой DDoS-атаке
соответствующему банку максимально оперативно. Одновременно с этим
эксперты «Лаборатории Касперского» направляли специалистам
атакуемых банков свои рекомендации по минимизации негативных последствий
начавшейся DDoS-атаки.

Веб-сайты банков-клиентов «Лаборатории Касперского»
продолжали нормально функционировать во время DDoS-атаки благодаря
защитному сервису Kaspersky DDoS Prevention
(http://www.kaspersky.ru/ddos-prevention). Принцип защиты, реализованный
в этом сервисе, сводится к тому, что весь «мусорный» трафик,
ответственный за перегруз канала и недоступность ресурса, проходит через
распределенные центры фильтрации, где и отсекается. Таким образом,
защищаемый ресурс получает лишь легитимные запросы пользователей и
способен продолжать работу даже во время атаки.

Все DDoS-атаки этой серии инцидентов были атаками уровня приложения типа
HTTP Flood, направленными исключительно на веб-сайты. Сервисы ни одного
из банков не были затронуты, таким образом, клиенты банков не рисковали
своими счетами и персональными данными.

«Избежать серьезных проблем удалось во многом благодаря
использованию специализированных защитных инструментов и тесному
сотрудничеству служб безопасности банков с нашими экспертами, имеющими
широкий опыт в противодействии подобным угрозам, — рассказывает
Алексей Афанасьев, руководитель проекта Kaspersky DDoS Prevention
«Лаборатории Касперского». — Однако, узнав о нашем
непосредственном участии в защите большинства атакуемых банков,
злоумышленники предприняли попытку сделать недоступным наш сайт
http://www.kaspersky.ru (http://www.kaspersky.ru/). Разумеется, эту
«показательную» атаку мы нейтрализовали в самое короткое
время».

«Официальный сайт Газпромбанка действительно подвергался
DDoS-атаке со стороны злоумышленников, но при этом продолжал стабильно
работать, — подтвердил представитель Газпромбанка Сергей Перминов.
— Доступность сайта была обеспечена силами Департамента защиты
информации банка совместно с «Лабораторией Касперского»,
которой мы очень благодарны за помощь в устранении DDoS-угрозы».

«Инцидент подтвердил эффективность сервисов и служб
«Лаборатории Касперского». Та оперативность, с которой
эксперты компании сообщили нам об атаке, во многом сыграла важную роль в
устранении проблемы — ведь на начальном этапе атаку всегда легче
отразить, чем впоследствии, когда сайт уже оказывается
недоступен», — поделился своими впечатлениями Александр
Омельченко, и.о. начальника управления информационной безопасности
Альфа-банка.

На данный момент, по данным «Лаборатории Касперского»,
веб-сайты банков функционируют в полном объеме.

 

DDoS, доступный каждому

Доступность веб-ресурса является важнейшим фактором при ведении бизнеса:
длительное время отклика и недоступность приводит к прямым убыткам в
виде потерянных потенциальных клиентов. Именно поэтому разработчики и
владельцы веб-приложений уделяют особое внимание процедурам нагрузочного
и стрессового тестирования. В свою очередь, появились сервисы,
осуществляющие проверку веб-ресурсов, имитируя активность посетителей.
Эксперты «Лаборатории Касперского» рассказали о том, как эти
полезные службы могут быть использованы злоумышленниками, а также о
возможных последствиях такой неправомерной эксплуатации.

Стрессовое тестирование — это процедура оценки характеристик
работоспособности системы, проводимая за рамками предельного значения
нагрузки. Стресс-тесты в большинстве случаев ведут к аномальному
поведению системы или ее отказу в обслуживании аналогично DDoS-атакам.
Однако цели у стрессового тестирования и DDoS-атаки совершенно разные. В
первом случае задача — определить показатели предельной нагрузки
системы и проверить устойчивость к некоторым сценариям DDoS-атак, а во
втором — сделать недоступным атакуемый объект любыми эффективными
методами, нарушив тем самым работоспособность целевой инфраструктуры.

С ростом потребности подобных оценок появилось немало онлайн-сервисов,
позволяющих не утруждать себя настройкой сложных систем тестирования и
подготовкой облачной инфраструктуры: достаточно задать параметры
нагрузки и оплатить вычислительные мощности, ожидая затем отчет о
поведении ресурса. При этом некоторые службы для ознакомления бесплатно
предлагают короткий тест без регистрации. (http://www.kaspersky.ru/images/news/otchet.jpg)
Отчет о бесплатном нагрузочном тестировании, проведенном сервисом,
который не требует регистрации

Однако злоумышленники могут воспользоваться этой, на первый взгляд,
безобидной услугой в своих целях. Дело в том, что большинство сервисов
нагрузочного тестирования не требуют подтверждения того, что процедуру
заказывает его владелец — нет никаких дополнительных привязок к
телефонному номеру или кредитной карте. Так, из шести рассмотренных
специалистами «Лаборатории Касперского» сервисов только один
просит разместить на тестируемом ресурсе специальный файл — его
наличие означает гарантию того, что администратор сервера уведомлен о
процедуре. Более того, два сервиса позволили осуществить нагрузочное
тестирование вообще без регистрации — достаточно было ввести URL
ресурса. Эксперты «Лаборатории Касперского» пришли к
неутешительному прогнозу, представив несколько вариантов использования
злоумышленниками одного только бесплатного режима, не говоря уже про
более богатые платные возможности.

«Киберпреступники могут эксплуатировать подобные системы для
нанесения серьезных ударов владельцам некрупных веб-ресурсов. Во
избежание такого сценария каждый сервис нагрузочного тестирования должен
запрашивать согласие от владельца: просить его разместить уникальный код
или баннер на сайте, только после чтения которого будет запущен трафик.
В дополнение следует использовать технологию CAPTCHA при работе с
сервисом. Подобные процедуры верификации помогут избежать неправомерных
действий со стороны злоумышленников и роботов бот-сетей», —
прокомментировал Денис Макрушин, менеджер по техническому
позиционированию «Лаборатории Касперского».

Для ознакомления с возможными последствиями злонамеренного использования
сервисов нагрузочного тестирования пройдите по ссылке
http://www.securelist.com/ru/blog/207768945/Veb_pod_davleniem
(http://www.securelist.com/ru/blog/207768945/Veb_pod_davleniem).

Куда идет DDoS: эксперты «Лаборатории Касперского» о тенденциях развития этого вида киберугроз

Специалисты «Лаборатории Касперского» подвели итоги
DDoS-активност

и в Рунете за последние 12 месяцев. Сравнив данные,
полученные с помощью защитного сервиса Kaspersky DDoS Prevention и
собственной системы мониторинга ботнетов во втором полугодии 2012 года и
первой половине 2013 года, эксперты выявили две тенденции: усиление
мощности атак и увеличение их продолжительности.

Так, во второй половине 2012 года средняя мощность атаки составляла 34
Мб/с, а в начале этого года планка поднялась до 2,3 Гб/с. При этом
максимальная мощность атак в этом полугодии доходила до 60 Гб/с
«благодаря» набирающим в этому году популярность атакам типа
DNS Amplification. Для сравнения: максимальная мощность DDoS-атаки во
втором полугодии 2012 года составила всего лишь 196 Мб/с.

Продолжительность DDoS-атак в Рунете также выросла в текущем году. Если
в прошлом отчетном периоде специалисты «Лаборатории
Касперского» установили, что средняя атака на защищаемые сервисом
Kaspersky DDoS Prevention ресурсы длилась 7 часов, то в 2013 году они
отметили, что этот показатель вырос до 14 часов.

Как свидетельствуют данные, полученные экспертами «Лаборатории
Касперского» на основе срабатывания сервиса Kaspersky DDoS
Prevention, большинство ботов или хостов, атакующих веб-ресурсы Рунета,
расположены непосредственно на территории России (около 44%). Немалая
часть атак также «приходит» в русскоязычное
интернет-пространство из США (около 7,5%) и с Украины (чуть больше 5%).
В целом из 10 стран, занявших верхние строчки этого нерадостного
рейтинга, 7 находятся в Азии. Географическое распределение атакующих
хостов, ответственных за DDoS-атаки в Рунете во 1-ом полугодии 2013 года

Сегодня злоумышленники, чтобы обеспечить недоступность ресурса и
заработать деньги, используют различные виды атак, зачастую их
комбинируя. Большинство видов атак воздействуют только на конкретный
ресурс. Но в погоне за наживой злоумышленники готовы применить
инструмент, способный сделать в Интернете недоступным все, что угодно:
от отдельного провайдера до сегмента сети. Это своего рода виртуальное
оружие массового поражения.

Распространение атак типа DNS Amplification и усиление мощности и
размаха DDoS-инцидентов позволяет специалистам говорить о смене
тенденции: судя по всему, Рунет перестает быть своего рода
«заповедником», где мощные атаки были редки, а
интернет-провайдеры и хостеры могли обходиться без интеллектуального
контроля трафика. Отличие показателей по DDoS-активности в Рунете и в
остальном интернет-мире стремительно сокращается.

«В таких условиях компаниям, ведущим свой бизнес в Интернете,
может помочь наличие независимой от провайдера сети, подключение своего
веб-ресурса к нескольким провайдерам с каналами свыше 10 Гб и наличие
квалифицированных специалистов и высококачественного оборудования по
фильтрации мощных атак. Наиболее эффективную защиту от мощных атак типа
DNS Amplification дает фильтрация UDP-трафика для конкретного IP-адреса
на пограничном оборудовании вышестоящего провайдера. Основная сложность
здесь состоит в том, что пограничное оборудование многих провайдеров
таких функций просто не имеет, поэтому компаниям-клиентам они не
доступны. И если при планировании сетей провайдеры не будут учитывать
опасность DDoS-атак, ситуация будет лишь ухудшаться: мощности атак будут
расти, и мы продолжим наблюдать падение целых провайдерских сетей,
хостингов и даже сегментов Интернета», — считает Алексей
Афанасьев, руководитель проекта Kaspersky DDoS Prevention
«Лаборатории Касперского».

Подробный отчет о ситуации с DDoS-атаками в Рунете, обзор новых
тенденциях в этой сфере киберугроз, описание атак типа DNS Amplification
и наиболее яркие примеры DDoS-атак в Рунете — в статье Алексея
Афанасьева и Марии Гарнаевой, антивирусного эксперта «Лаборатории
Касперского», на сайте
www.securelist.com/ru/analysis/208050810/DDoS_ataki_pervogo_polugodiya_2013_goda.

«Лаборатория Касперского» отразила одну из мощнейших в истории Рунета DDoS-атак

«Лаборатория Касперского» объявила об успешном отражении
DDoS-атаки, которая продолжалась в течение трех дней и в пиковые периоды
превышала 60 Гбит/с. Благодаря усилиям специалистов, все это время
веб-сайт одного из заказчиков сервиса Kaspersky DDoS Prevention —
«Новой газеты» был доступен пользователям для посещения с
минимальными задержками. Исключение составляли лишь те непродолжительные
периоды, когда с нагрузкой не справлялись магистральные каналы связи.

По оценкам экспертов, данная атака была одной из самых масштабных в
истории Рунета и ее мощности вполне хватило бы для отключения части
российского интернета.

Распределенная атака типа «отказ в обслуживании»
(Distributed Denial of Service, DDoS) на сайт «Новой газеты»
началась 31 марта 2013 года в 22:00 и представляла собой плавно
нарастающую по силе атаку типа SYN-flood. Все это время сайт СМИ не
испытывал проблем с доступностью. В середине следующего дня, после того,
как был достигнут пик 700 Мбит/с, атакующие сменили тактику, реализовав
мощнейшую атаку типа DNS amplification, в результате которой каналы
нескольких крупнейших Российских провайдеров связи были блокированы, а
сайт «Новой газеты» в течение 25 минут был недоступен для
пользователей. Однако в результате оперативного взаимодействия
специалистов «Лаборатории Касперского» с провайдерами работа
сайта была восстановлена при продолжающейся атаке.

Следующим заметным шагом злоумышленников стала массированная атака,
начавшаяся 2 апреля после 16 часов и вынудившая нескольких крупнейших
операторов связи принять оперативные меры с целью прекращения перегрузки
своих магистральных каналов, что привело к блокировке маршрутов до сайта
«Новой газеты». К 19:00 экспертами «Лаборатории
Касперского» было реализовано решение, позволившее обеспечить
доступность сайта СМИ в пределах российского сегмента Сети. 3 апреля в
сотрудничестве с крупнейшими операторами связи были предприняты
действия, обеспечивающие ограничение транзита основного потока
атакующего трафика, достигающего в пике 60 Гбит/с и способного причинить
значительный ущерб всему Рунету. Это позволило полностью восстановить
доступность сайта «Новой газеты» и обеспечить его дальнейшую
эффективную защиту.

Очередная попытка повлиять на доступность ресурса началась в 13:05 с
комбинации атак типа HTTP flood и RST flood незначительной мощности.
После 40 минут атаки, никак не повлиявшей на работу веб-сайта
«Новой газеты», атака дополнилась компонентами DNS
Amplification мощностью около 5Гбит/с и SYN-flood мощностью около 3,5
миллиона пакетов/сек. Однако из-за того, что атакующие DNS-сервера
находились за пределами российского сегмента Сети, увеличить этот вид
атаки до критических значений злоумышленникам не удалось. В течение
последующих двух часов атакующие безуспешно использовали всевозможные
комбинации атак, сменяющих друг друга каждые 4-5 минут. В итоге, после
17:00 попытки заблокировать доступ к веб-сайт «Новой газеты»
прекратились: активной еще почти на сутки осталась незначительная атака
типа SYN-flood мощностью около 20000 пакетов/сек. На данный момент атака
полностью прекратилась.

«DDoS-атака, организованная на сайт «Новой газеты»,
является одной из мощнейших в истории российского Интернета: они
продолжалась в течение трех дней, в пиковые моменты достигала 60 Гбит и
4 млн пакетов/сек. Несмотря на это, большую часть времени сайт работал в
штатном режиме, а общая продолжительность недоступности составила менее
трех часов, — говорит Алексей Афанасьев, руководитель проекта
Kaspersky DDoS Prevention «Лаборатории Касперского». —
Очевидно, что подобная атака была организована профессионалами, а
затраты на ее проведение могут составлять десятки тысяч долларов
США».

«Исходя из нашего опыта, мы не верили в существование эффективной
защиты от DDoS-атак, которые случаются с нами с завидной регулярностью.
Однако данный инцидент показал, что сайт может продолжать работу, даже
находясь под мощной и продолжительной атакой, а его посетителям
обеспечивается возможность получать актуальную информацию и
новости», — сказал Сергей Соколов, заместитель главного
редактора «Новой газеты».

Сервис Kaspersky DDoS Prevention представляет собой уникальную для
российского рынка мощную систему распределенной фильтрации трафика,
состоящую из высокопроизводительных серверов, расположенных в разных
странах и подключенных к Сети по высокоскоростным каналам связи. Такое
решение позволяет выдержать DDoS-атаку практически любой мощности.

Дополнительная информация об атаке на «Новую газету»
доступна на сайте: www.novayagazeta.ru/society/57539.html.

Dr.Web

23.08.2012

banner

ГЛАВНЫЕ НОВОСТИ

«Настойчивый» СМС-троянец для Android препятствует своему удалению

23 августа 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении очередного троянца семейства Android.SmsSend (родом из Китая), предназначенного для отправки СМС-сообщений с повышенной тарифной стоимостью. Особенностью этого троянца являются его многократные требования доступа к списку администраторов мобильного устройства, что при определенных условиях может значительно затруднить его удаление.

В отличие от большинства вредоносных программ семейства Android.SmsSend, распространяющихся злоумышленниками напрямую, Android.SmsSend.186.origin попадает на мобильные устройства пользователей при помощи дроппера, содержащего внутри себя программный пакет троянца. Дроппер Android.MulDrop.5.origin скрывается в разнообразных «живых обоях» и при установке не требует специальных разрешений, поэтому у пользователей не должно возникнуть никаких подозрений.

После запуска Android.MulDrop.5.origin демонстрирует сообщение на китайском языке, в котором предлагается установить некий компонент:

Если пользователь согласится это сделать, начнется процесс установки скрытого внутри дроппера троянского приложения.

Для своей работы Android.SmsSend.186.origin требует доступ к большому числу функций, однако название приложения «Android 系统服务» (Android System Service) может ввести в заблуждение многих китайских пользователей, на которых, по большей части, и рассчитан троянец, в результате чего они продолжат установку.

Вредоносная программа не создает иконку приложения в главном меню мобильного устройства и работает в качестве сервиса. После установки она запрашивает доступ к функциям администратора мобильного устройства под предлогом того, что это позволит значительно сэкономить заряд аккумулятора. Учитывая то, что Android.SmsSend.186.origin использует имя, похожее на название одного из системных приложений, необходимые полномочия ему, скорее всего, будут предоставлены. Однако на случай, если пользователь откажется дать троянцу требуемые полномочия, он будет запрашивать их вновь и вновь, пока наконец уставший от надоедливого сообщения владелец Android-устройства не даст свое согласие.

При определенных условиях троянец может стать администратором Android-устройства и без разрешения пользователя. Это может произойти в случае работы вредоносной программы на некоторых версиях ОС Android при условии, что ранее троянец уже функционировал на том же самом мобильном устройстве в режиме администратора. В результате, если пользователь попытается избавиться от надоедливой просьбы вредоносной программы, перезагрузив мобильное устройство, его будет ждать неприятный сюрприз: после перезагрузки системы Android.SmsSend.186.origin автоматически получит необходимые полномочия, чего пользователь даже не заметит. Такой сценарий маловероятен, однако не исключен и является весьма опасным.

Помимо функции отправки СМС-сообщений с повышенной стоимостью, Android.SmsSend.186.origin имеет возможность отправлять злоумышленникам входящие СМС, что потенциально несет риск раскрытия частной информации пользователей. Однако этот троянец интересен в первую очередь тем, что в некоторых случаях с активированным режимом администратора мобильного устройства он фактически получает возможность противодействовать своему удалению, т. к. при попытках пользователя выполнить необходимые для этого действия возвращает его к главному экрану мобильного устройства. Это первый из известных случаев, когда вредоносная программа для ОС Android предпринимает попытки активного противодействия борьбе с ней.

Для того чтобы удалить этого троянца из системы, необходимо выполнить ряд действий:

  • Во-первых, следует убрать приложение с именем «Android 系统服务» из числа администраторов устройства, зайдя в системные настройки «Безопасность» –> «Выбрать администраторов устройства» и сняв соответствующую галочку.
  • После того как троянец будет лишен этих полномочий, он попытается снова их получить, выводя соответствующее сообщение, поэтому необходимо завершить работу процесса вредоносной программы, зайдя в меню «Приложения» –> «Управление приложениями», и остановить его выполнение.
  • После этого можно удалить троянца стандартным способом («Приложения» –> «Управление приложениями») либо установить антивирусную программу и произвести с ее помощью проверку системы и удаление найденных вредоносных объектов.

Как уже отмечалось ранее, при определенных условиях Android.SmsSend.186.origin может препятствовать своему удалению, возвращая пользователя из меню настроек на главный экран операционной системы. В этом случае необходимо открыть список недавно запущенных приложений, зажав функциональную кнопку «Домой», и выбрать последние вызванные системные настройки. Следует повторять этот алгоритм до тех пор, пока необходимое для удаления троянца действие не будет выполнено.

Владельцы антивирусных решений Dr.Web для Android были надежно защищены от этой вредоносной программы благодаря технологии Origins Tracing™: троянец детектировался с ее помощью еще до поступления в антивирусную лабораторию.

ИСТОЧНИК

Новый троянец крадет пароли FTP-клиентов и участвует в DDoS-атаках

20 августа 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении вредоносной программы BackDoor.IRC.Codex.1, способной запускать на инфицированной машине загруженные из Интернета файлы, участвовать в DDoS–атаках и красть пароли от популярных FTP-клиентов и данные веб-форм. Троянец функционально похож на другую популярную вредоносную программу, BackDoor.IRC.Aryan.1, заразившую большое число пользовательских компьютеров по всему миру.

Как и его предшественники, BackDoor.IRC.Codex.1 использует для координации своих действий технологию IRC (Internet Relay Chat) — протокол, предназначенный для обмена сообщениями в режиме реального времени. Запустившись на компьютере жертвы, троянец ищет в памяти и удаляет процесс командного интерпретатора Windows (cmd.exe), после чего сохраняет свою копию в одной из папок и модифицирует реестр Windows, прописывая путь к месту расположения исполняемого файла в ветвь, отвечающую за автоматическую загрузку приложений. При этом BackDoor.IRC.Codex.1 постоянно следит за состоянием этой ветви реестра и восстанавливает необходимые значения в случае их удаления.

screen

После запуска BackDoor.IRC.Codex.1 выполняет ряд манипуляций, направленных на противодействие анализу этой вредоносной программы: троянец ищет в памяти инфицированного компьютера процессы некоторых отладчиков, а также определяет, не запущен ли он в виртуальной машине. Также троянец проверяет наличие себя в операционной системе, сравнивая папку, из которой он был запущен, с директорией, в которую он сохраняет собственную копию. Затем BackDoor.IRC.Codex.1 встраивает собственную процедуру во все активные процессы, а также запускает ее в виде отдельного потока в собственном процессе.

Эта вредоносная программа обладает достаточно развитым функционалом: она способна загружать с удаленного сервера и запускать на инфицированном компьютере различные приложения, принимать участие в DDoS-атаках, передавать злоумышленникам информацию, вводимую пользователем в веб-формы, и красть пароли от популярных FTP-клиентов. Троянец не представляет серьезной угрозы для пользователей антивирусных решений производства компании «Доктор Веб», поскольку сигнатура BackDoor.IRC.Codex.1 добавлена в антивирусные базы, а сама вредоносная программа успешно определяется и удаляется ПО Dr.Web.

ИСТОЧНИК

Распространители платных архивов используют собственного троянца для загрузки вредоносного ПО

22 августа 2012 года

Несколько дней назад компания «Доктор Веб» — российский разработчик средств информационной безопасности — уже сообщала о том, что организаторы партнерской программы ZIPPRO начали распространять вместе с платными архивами вредоносное ПО. Дальнейшие исследования показали: злоумышленники не просто включают в состав своих архивов вредоносные программы, для их загрузки они используют собственного троянца, который, инфицировав компьютер пользователя, позволяет скачивать с удаленных серверов другие опасные приложения.

Мониторинг серверов партнерской программы ZIPPRO показал, что, помимо уже упомянутого ранее Trojan.Mayachok.1, пользователи, скачивающие платные архивы, получают в качестве «бесплатного дополнения» и другие вредоносные приложения. Среди них — существующее с 2011 года семейство троянцев, известное под общим именем Trojan.Zipro, авторами которых являются организаторы партнерской программы ZIPPRO.

При открытии архива Trojan.SMSSend, созданного с использованием программного обеспечения ZIPPRO, происходит загрузка зашифрованного и сжатого исполняемого файла, который запускается в момент прекращения работы основного модуля Trojan.SMSSend.

screen

screen

На приведенных выше иллюстрациях видно, что полезная нагрузка скачивается с определенного IP-адреса. Простая проверка показывает принадлежность этого адреса к партнерской программе ZIPPRO, что безусловно подтверждает авторство данного троянца.

screen

Еще одним подтверждением авторства служит то обстоятельство, что при попытке обратиться к данному IP-адресу в браузере открывается веб-страница партнерской программы ZIPPRO.

screen

Запущенное в инфицированной системе приложение пытается загрузить в память компьютера динамическую библиотеку, содержащую Trojan.Zipro. Затем уже загруженный в память модуль начитает установку троянца в операционной системе: модифицирует системный реестр, создавая ветвь HKCU\SOFTWARE\Win32ServiceApp и сохраняя туда ряд конфигурационных параметров, записывает на диск файл троянской программы, регистрирует путь к нему в ветви реестра, отвечающей за автоматическую загрузку приложений, и запускает троянца на исполнение. При этом вредоносная программа не устанавливается в операционной системе, если в ней уже установлен конструктор платных архивов ZIPPRO.

screen

Запустившись в операционной системе, Trojan.Zipro читает из реестра собственные конфигурационные данные, устанавливает соединение с принадлежащим злоумышленникам удаленным сервером и скачивает оттуда вредоносное приложение — среди таковых был замечен не только упомянутый ранее Trojan.Mayachok.1. На тех же серверах, с которых осуществляется загрузка этого вредоносного приложения, был обнаружен опасный банковский троянец семейства Trojan.Carberp. После окончания загрузки Trojan.Zipro запускает скачанную вредоносную программу. Если попытка загрузить вредоносное приложение с удаленного сайта не удалась, троянец удаляет себя из системы. На сегодняшний день специалистам компании «Доктор Веб» известно несколько модификаций Trojan.Zipro, сигнатуры которых добавлены в базы Dr.Web.

Компания «Доктор Веб» еще раз напоминает пользователям: загрузка платных архивов, детектируемых антивирусным ПО как Trojan.SMSSend, крайне опасна, поскольку заражение другими вредоносными программами может произойти уже в момент запуска такого приложения, даже если пользователь сразу закроет окно платного архива. Пользователям рекомендуется скачивать программное обеспечение только из проверенных источников, таких как, например, официальные сайты разработчиков ПО. Если вы стали жертвой злоумышленников, распространяющих созданные с помощью партнерской программы ZIPPRO приложения Trojan.SMSSend, компания «Доктор Веб» рекомендует вам обратиться в региональный отдел полиции с заявлением об уголовном преступлении, связанном с созданием и распространением партнерской программой ZIPPRO вредоносного программного обеспечения.

ИСТОЧНИК

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о распространении новой модификации IRC-бота, добавленного в вирусные базы под именем BackDoor.IRC.IMBot.2. Как и другие представители данного семейства, этот бот способен рассылать спам в сетях мгновенного обмена сообщениями, загружать на инфицированный компьютер и запускать исполняемые файлы, а также осуществлять по команде с управляющего сервера DDoS-атаки.

Существует огромное количество модификаций троянских программ, использующих в своей работе IRC (Internet Relay Chat) — протокол, позволяющий реализовать обмен сообщениями в режиме реального времени. Более того, новые версии IRC-ботов появляются с завидной регулярностью. С этой точки зрения BackDoor.IRC.IMBot.2 можно было бы назвать типичным представителем данного семейства, если бы не одно отличие.

BackDoor.IRC.IMBot.2 распространяется аналогично другим известным IRC-ботам: сохраняет себя на сменные носители под именем usb_driver.com и создает в корневой директории файл autorun.inf, с помощью которого осуществляется запуск троянца при подключении устройства (если данная функция не была заранее заблокирована в настройках операционной системы).

Запускаясь в инфицированной системе, BackDoor.IRC.IMBot.2 сохраняет себя в папку установки Windows и вносит соответствующие изменения в ветвь системного реестра, отвечающую за автозапуск приложений. Также BackDoor.IRC.IMBot.2 изменяет настройки брандмауэра Windows, для того чтобы обеспечить себе соединение с Интернетом.

Наиболее интересной чертой данного бота является встроенный в него своеобразный механизм поиска процессов с именами dumpcap, SandboxStarter, tcpview, procmon, filemon. Будучи запущенным на компьютере жертвы, троянец обращается к разделу системного реестра HKEY_PERFORMANCE_DATA, отвечающего за определение производительности ПК, и ищет с помощью размещающихся в данном разделе счетчиков запущенные в операционной системе процессы. Данный алгоритм интересен тем, что ранее он не встречался в других вредоносных программах подобного типа.

BackDoor.IRC.IMBot.2 способен загружать и запускать на инфицированном компьютере исполняемые файлы, распространять спам в сетях, использующих для обмена сообщениями программы MSN Messenger, AOL Instant Messenger, Yahoo! Messenger, а также по команде с удаленного сервера организовывать DDoS-атаки. Сигнатура данной угрозы добавлена в вирусные базы Dr.Web