Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A Storm Achilles-sarka

2009.01.09. 21:46 | buherator | 2 komment

Az aacheni és a bonni egyetem diákjai állításuk szerint sikeresen visszafejtették a még ma is sok aggodalmat keltő Storm botnet forráskódját, és arra jutottak, hogy a hálózat - eddigi ismereteinkkel ellentétben - viszonylag egyszerűen térdre kényszeríthető.

A kutatók a Storm férgének hálózati kommunikációval kapcsolatos részének vizsgálata alapján elkészítettek egy, a féreg viselkedését utánzó programot, melyet fertőzött gépek hálózatába kapcsolva a számára érkező parancsokat vizsgálták. A csapat arra a meglepő eredményre jutott, hogy a botnetet irányító ún. Command&Control szervereknek nem kell hitelesíteniük magukat a kliens gépek felé, ezért létrehozhatók olyan hamis szerverek, melyek pl. egy féregírtó program letöltésére és futtatására utasítják a zombikat, így a hálózat önmagát "gyógyítaná meg". 

Van azonban néhány probléma: az eljárás pl. a Németországban érvényes (egyébként hírhedten bugyuta) kiberbűnözési törvény hatása alá eshet, bár az eljárás elindításához állampolgári feljelentés vagy a közérdek különös sérelme szükséges. Másrészt minden jóindulat ellenére előfordulhat, hogy a tisztítókúra kárt tesz a megjavítani kívánt számítógépek némelyikében, és a Storm gazdái is támadásba lendülhetnek, a következmények tehát igen kiszámíthatatlanok.

Abban minden esetre egyetérthetünk, hogy sikerült emgtalálni egy eddig legyőzhetetlennek hitt botnet gyenge pontját, bár azt hiszem a derkék bábjátékosok gyorsan tanulni fognak ebből a hibából.

A "Stormfucker" alpha változatát itt érhetitek el.

Címkék: botnet storm

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2009.01.12. 00:48:58

"visszafejtették a még ma is sok aggodalmat keltő Storm botnet forráskódját"

Forraskodot nem kell visszafejteni.

buherator · http://buhera.blog.hu 2009.01.12. 09:03:32

@synapse
"Vajat köpül" -> nem a vajat köpülöd, hanem az lesz az eredmény (a tejből)