Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A Torpig botnet betörése

2009.05.05. 07:21 | buherator | 2 komment

A santa barbarai egyetem kutatóinak sikerült beférkőzniük a Torpig - más néven Sinowal vagy Mebroot - botnet irányítórendszerébe, és 10 napon keresztül figyelték a hálózaton átmenő forgalmat.

A Torpig domain-fluxing technikát használt a hatalmára törők megfékezésére. Ez azt jelenti, hogy a hálózatba csatlakozott zombik egy megadott algoritmussal domainneveket generálnak, és ezekhez mint irányítóközpontokhoz (Command&Control szerverekhez) próbálnak sorban csatlakozni, agészen addig, amíg valamelyik név mögött élő szervert nem találnak. A kutatók úgy akaszkodtak rá a hálózatra, hogy az irányítóközpontokhoz vezető útvonalat kijelölő domaingeneráló algoritmus tanulámnyozása után előre regisztrálták azokat a neveket, melyeken a zombik a C&C szervereket keresni fogják.

Bár a fertőzött gépek számát nehéz megbecsülni, a rendszer méreteire jellemző, hogy ez alatt a tíz nap alatt a kutatók által megfigyelt irányítóközponthoz nagyjából 180.000 számítógép csatlakozott, és összesen 70GB-nyi adatforgalmat mértek.

Az összegyűjtött adatokból egyebek mellett nagyjából 600.000 e-mail postífiókok (webes, POP vagy SMTP) jelszava, 12.307 FTP belépési információ, 8.310 online bankszámla hozzáférési adat, és 1.660 kártyaszám volt kinyerhető. Utóbbiakból 30 darab feltehetően egy call-centeres ügynök fertőzött számítógépéről került ki.

A kutatók becslése szerint a tíz nap alatt összegyűjtött információ 83.000-8.3 millió dollár értéket képviselhet a feketepiacon, bár a széles intervallum jól mutatja, hogy kívülállóként igen nehéz megbecsülni az ilyen adatok valódi értékét.

A ZDNet cikke alapján. A projekt hivatalos oldalát, a részletekről beszámoló jelentést itt találjátok meg.

Kiegészítés:

T Biehn és John Lamb az FD listán egy érdekes dologra hívta fel a figyelmet: A botnetet úgy frissítették, hogy az aktuális dátum helyett a Twitter statisztikáit is alapul vegye a domaingenerálás során. Ez egyrészt egy ügyes húzás, másrészt viszont a sertésinfluenza miatt a Twitter trendjeinek entrópiája mostanában nem túl nagy: ilyen, mikor az online kártevőnek keresztbetesz egy valódi vírus :)

Címkék: botnet fast flux torpig

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

|Z| 2009.05.05. 11:16:25

Kedvenceim:

"By looking at the IP addresses in the Torpig headers we are able to determine that 144,236 (78.9%) of the infected machines were behind a NAT, VPN, proxy, or firewall. "

"We looked for reactions to the phishing mechanism used by Torpig. We found it mostly among eBay and PayPal customers. In fact, of 381 messages sent to the support contact of paypal.com, 33 were related to phishing. The senders report that, after logging in, a page asking for social security and credit card numbers is displayed. Some of the senders seem to correctly suspect a phishing attempt, others are just annoyed that PayPal asks for so much information."

"For instance, armed with information provided by social networking sites, an attacker may find pictures, personal interests, and other contact information that could be used to construct personalized phishing and spam campaigns or to blackmail victims. Furthermore, the collected data also betrays the online identities that a single user establishes in different online communities. Inseveral cases, it is likely that these identities were meant to be kept well separated and in no way linkable to one another. For example, Torpig records a user logging into his LinkedIn account. His profile presents him as the CEO of a tech company with a large number of professional contacts. Torpig also records the same user logging into three sexually explicit web sites."

És végül:
www.virustotal.com/analisis/ff4b8324259e8eff4eafc34eba21f165

Dr. Kocsis László · http://naczivadasz.com/ 2009.05.05. 14:53:06

Nagyon jó a Js a linkelt oldalon, ilyen fifikás programozó meg is érdemli azt a sok pénztet.