Словил bot-агента для DDos

Tuesday, 09 Feb 2010

Не ловил никаких пакостей уже года 4 наверное. А тут возникла необходимость найти себе найтивного копирайтера на несколько своих английских проектов, поэтому все выходные лазил по различным копирайтерским сообществам, ну и каюсь- также прошерстил какое то количество порноведческих форумов, поскольку там эти нужные люди чаще всего и обитают.

В результате этих изысканий, других явных причин я не вижу, хотя точно и не могу понять когда именно произошло заражение (и как, учитывая приблуды вроде NoScript и прочие), бродилка Mozilla Firefox стала себя странно вести: компьютер загружается и все прекрасно, пока я не поднимаю Firefox. После этого в логе фаервола генерится порядка 200+ пакетов длиной в 63 байта на 80 порт десятка различных IP адресов, из тех что успел поймать были www.yandex.ru, www.google.ru, www.eset.com (естественно, что пакеты генерятся от антивируса, поскольку он перехватывает их отправку и не видя ничего подозрительного передает фаерволу). Если Firefox закрыть, процессы, по выполнению, завершаются и их количество стремится к нулю. Если бродилку не закрывать, то делать она ничего не может, на часть сайтов не ходит, тупит и не хочет ничего скачивать, поскольку я сперва было решил её просто тупо переставить.

По ходу дела я словил какую то пакость загнавшую меня в bot-сеть использующуюся для DDoS различных, в том числе и вышеназванных, сайтов по алгоритму HTTP flood, т.е из основных это могут быть либо BlackEnergy DDoS Bot либо Dream System DDoS Bot либо еще кто нить о ком я не имею ни малейшего представления. Самое пакостное, что антивири никого мне не смогли найти, а только грохнули Agava Spam-Filter для Bat, благодаря чему я теперь не могу даже получать почту, поскольку скачать из дома новую версию у меня естественно не вышло. Прогнав всеми имеющимися антивирями, антимальварями и антитроянами я пришел к тому, что у меня почти идеально чистая система, но поскольку проблема не исчезает, то вероятнее всего вирь крепко зашифрован, то есть как вариант было бы снести все файлы к которым система не может получить доступ.

Так что сегодня вечером, видимо, битва продолжится, и как говорил герой Никулина “Будем искать”.

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: -1 (from 1 vote)

Китайская поделка для сканирования сайтов

Monday, 18 Jan 2010

На волне скандала возникшего между компанией Google и правительством Китая, снова поднялся вопрос о китайских хакерах, которые являются наибольшей головной болью для всех специалистов по информационной безопасности во всем мире. Последнее время участились целевые атаки с использованием различных механизмов на сайты и корпоративные сети частных компаний, и в данный момент китайские умельцы предлагают абсолютно уникальный, в этом плане, продукт.

Недавно появившийся продукт- сайт iiScan предлагает своим пользователям провести анализ целевого сайта на предмет выявления уязвимостей, после чего высылает на указанный при регистрации почтовый адрес полный отчет о проведенном тестировании в формате Adobe Acrobate. Сам сервис принадлежит китайской компании NOSEC Technologies Co., Ltd и располагает так же на территории Китая.Но самое главное, что данный сервис, который является ни много ни мало как аудитом безопасности, предлагается совершенно БЕСПЛАТНО. Достаточно пройти регистрацию на сайте и после указать в форме, адрес для целевого сканирования, после завершения которого пользователю будет прислан PDF о проделанной работе и найденных уязвимостях.

Вот небольшой список уязвимостей на предмет которых проводится сканирование:

  • SQL injection
  • Cross Site Scripting (XSS)
  • File Upload Vulnerability
  • Information Leakage
  • Insecure Direct Object References
  • Buffer overflow

Появление подобного продукта на рынке конечно не может вызвать озабоченности, особенно в ключе того, что многие найденные уязвимости по прежнему остаются не закрытыми, а в это время продолжают появляются все новые и новые бреши в безопасности приложений и серверов. И даже если предположить, что компания NOSEC Technologies Co., Ltd  является законопослушной компанией, не собирающейся взламывать сайты, а занимающаяся сугубо аудитом безопасности, по запросу клиентов, остается вопрос- как долго подобному сервису понадобится времени, чтобы собрать внушительную базу открытых для публичного доступа сайтов, с полным списком их уязвимостей. Который при этом, составят пользователи интернета своими руками, то есть выбираться будут заведомо частные сайты, которые могут быть интересны, в плане безопасности, как потенциальным злоумышленникам, так и потенциальным инженерам по безопасности, пытающимися залатать бреши в обороне. Зачем сканировать миллионы сайтов на предмет поиска уязвимостей и дальнейшего выяснения вопроса, что с них можно поиметь, если бесплатные “внештатные сотрудники” могут это сделать сами, своими руками, и вроде бы для своих интересов.

И самый главный вопрос, кто воспользуется полученными данными в дальнейшем: хакеры, для получения доступа к сайтам, организации ботнетов, похищения денег со счетов клиентов, или само правительство страны, для проведения спланированных акций, по преследованию несогласных, или нанесения ударов по компаниям так или иначе вошедших в конфронтацию с официальной политикой, проводимой правительством.

VN:F [1.9.21_1169]
Rating: 6.7/10 (3 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Бот сеть на базе iPhone

Tuesday, 22 Dec 2009

На сайте Malware Threat Center появился прекрасный аналитический обзор бот клиента iKee.B (duh) Apple iPhone зарегистрированного 25 Ноября 2009 года в нескольких странах Европы, и заражавшего телефоны iPhone через литовский бот сервер. Обзор представляет собой детализацию логистики и функционала программного кода iKee, конфигурационные файлы и различные технические подробности. iKee бот является последним из обнаруженных уязвимостей для смартфонов и его целью становились телефоны iPhone, прошедшие процедуру джейлбрейка.

Сама атака была направлена на клиентов Dutch ING Direct, которые при попытке соединения с веб-порталом банка  переправлялись на японский eCommerce сайт, содержавший фишинговые страницы, выглядевшие совершенно идентично сайт ING Direct. В случае введения логина информация становилась доступной злоумышленникам, которые использовали её для коммерческих махинаций.

В это связи рассматривается потенциальная возможность тесного взаимодействия хакеров, занимающихся процедурами разблокирования устройств и злоумышленниками использующими эти устройства для своих целей.

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Патч-день у Microsoft

Wednesday, 09 Dec 2009

Вчера мелкомягкие выпустили очередной набор заплаток для всего семейства Windows и их приложений, в который вошло 6 патчей: 3 прикрывающих дырки на стороне клиента, и три закрывающие уязвимости позволяющие провести удаленную атаку. Уязвимости MS09-072, MS09-0071 и MS09-073 признаны критическими и должны быть установлены максимально быстро. Естественно, что если процессы критично важны, то первоначально стоит протестировать жизнеспособность патчей на машинах не выполняющих архиважные задачи.

Критические
MS09-071 – Уязвимость в Internet Authentication Service дающая возможность выполнения удаленного кода (974318)
MS09-072 – Кумулятивное обновление для Internet Explorer (976325)
MS09-074 – Уязвимость в Microsoft Office Project позволяющая выполнить удаленный код (967183)

Важные
MS09-069 – Уязвимость в Local Security Authority Subsystem Service приводящая к отказы в обслуживании (Denial of Service) (974392)
MS09-070 – Уязвимость в Active Directory Federation Services позволяющая выполнить удаленный код (971726)
MS09-073 – Уязвимость в WordPad и Office Text Converters позволяющие выполнить удаленный код  (975539)

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

SMB уязвимость в Windows 7

Wednesday, 18 Nov 2009

Радостная новость в стане мелкомягких, не успела появиться Windows 7, как обнаружилась DoS уязвимость, причем не абы где, а в самом сердце операционки: она базируется на реализации протокола Microsoft Server Message Block (SMB). Этой уязвимости подвержены серверные платформы Server 2008 и Windows 7, причем для последних это является первой зарегистрированной уязвимостью 0-дня (zero-day).

SMB – это протокол совместного межсетевого использования файлов (ненавижу переводить английскую терминологию) который входит в Microsoft Windows. Уязвимость вызывает ошибку SMB при обработке специально сконфигурированного SMB-пакета. Удаленный злоумышленник может использовать данную уязвимость через специально созданный особым образом сетевой пакет. Удачное использование уязвимости приведет к отказу в обслуживании атакуемой машины и её зависанию, вплоть до ручной перезагрузки системы. Данную уязвимость невозможно использовать для перехвата контроля или установки злонамерного программного обеспечения на атакуемую систему.

Со слов экспертов безопасности код эксплоита уже доступен, хотя специалисты Microsoft и высказывают сомнения относительно возможности использования этого эксплоита для атаки. Пользователям как обычно остается ждать святого дня Microsoft приходящегося на второй вторник месяца, т.е. в данном случае 8.12 и уповать на системы предотвращения вторжений IPS, которые способны предотвратить проникновение в систему не корректно сконфигурированных SMB пакетов.

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)