Показано с 1 по 19 из 19.

Год Storm: почему самый сложный ботнет остаётся непобедим

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731

    Год Storm: почему самый сложный ботнет остаётся непобедим

    17 января 2008 года, 19:14
    Текст: Юрий Ильин

    Червь Storm, который небезосновательно считают главной вирусной проблемой веба, впервые всплыл ровно год назад, 17 января 2007 года. Уже через неделю появились сообщения, что Storm заразил более полутора миллионов компьютеров по всему миру, используя уязвимости, присутствующие практически в каждой версии Windows.
    Имя Storm, под которым червь известен на Западе, ему дала финская антивирусная компания F-Secure, поскольку изначально бестия рассылала себя во вложениях к электронным письмам с заголовком "230 dead as storm batters Europe" ("230 погибших в результате бурь в странах Европы"). У Symantec червь значится как Trojan.Peacomm, у Sophos - Troj/Dorf и Mal/Dorf, у BitDefender - Trojan.Peed. А в "Лаборатории Касперского" и в F-Secure его называют W32/Zhelatin, что явно указывает на возможное происхождение этой заразы. В Сети также муссируются слухи о связи Storm с пресловутой полумифической криминальной сетью Russian Business Network.
    По инерции Storm называют "червём", хотя на самом деле эта зараза комплексного характера, и помимо метода распространения, характерного для почтовых червей, Storm Worm имеет функции трояна/бэкдора, а также может выполнять роль "DDoS-бота" - программы, используемой для проведения DDoS-атак.
    Но главной проблемой является даже не сам червь, а созданная им сеть заражённых компьютеров. Её точные размеры точно не известны, но по некоторым оценкам, количество компьютеров-"зомби" уже перевалило за несколько десятков миллионов. Таким образом, совокупная вычислительная мощь ботнета, созданного Storm, может в разы превосходить самые мощные суперкомпьютеры планеты.
    Известный специалист в области компьютерной безопасности Брюс Шнайер в октябре утверждал, что размеры ботнета по-прежнему колеблются между 1 и 50 миллионами. По мнению Шнайера, Storm - это будущее вредоносных программ как таковых. Ботнет Storm ведёт себя как колония муравьёв с чётким распределением ролей между машинами.
    Узлы сети делятся на распространителей, "командные центры" и "рабочие" компьютеры, которые в обычном режиме просто выполняют приказы, но при надобности могут брать на себя функции деактивированных "командных центров" или распространителей. Вдобавок, по словам Шнайера, код вируса постоянно меняется, что затрудняет его обнаружение.
    Меняются и способы распространения: всё начиналось с PDF-спама и рассылок по почте (причём колоссальных, - по оценкам различных специалистов ботнет может рассылать до нескольких миллиардов заражённых сообщений ежедневно), теперь в дело пошли спам в блогах и на форумах, а также мнимые рассылки с Youtube. Вдобавок создатели Storm активно и успешно используют социальную инженерию.
    Наконец, как показала практика, авторы этой заразы пристально следят за попытками противодействовать и им самим, и прочим киберпреступникам, - так что ботнет, ассоциируемый со Storm, время от времени наносит удары по антиспамерским и антивирусным ресурсам и даже по личным страницам специалистов по безопасности. Налицо попытки запугать противников - очень в духе уличных бандитов, а также террористов и наименее солидных спецслужб.
    В октябре, спустя десять дней после выхода вышеупомянутой статьи Шнайера, появились сведения, что владельцы Storm либо собрались распродавать по частям свою сеть, либо выращивают на продажу несколько новых, поменьше. Понятное дело, такое супероружие пойдёт на ура, причём не только у хакерских сообществ, но и у некоторых государств. Вспоминаются обвинения со стороны США и Великобритании в адрес китайских спецслужб, которые якобы пытались взламывать серверы государственных органов этих стран, а также история DDoS-атаки на Эстонию.
    В декабре сеть Storm продолжала разрастаться, а в январе произошёл очередной всплеск активности червя. Единственный способ разделаться с огромным ботнетом - это найти и нейтрализовать создателей и операторов Storm. Техническими средствами его побороть невозможно, как невозможно отучить пользователей открывать заражённые ссылки в "информационных" письмах с заголовками типа "Кондолиза Райс дала пинка Ангеле Меркель".

    compulenta.ru
    Left home for a few days and look what happens...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    142
    прочитал 2 раза но так и не понял почему ботнет непобедим

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    Угу, имхо статья "чтобы было". Ничего не сказано. У него есть определённая централизация, вывести из строя его не невыполнимая задача.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для maXmo
    Регистрация
    21.09.2004
    Сообщений
    1,411
    Вес репутации
    315
    Цитата Сообщение от Surfer Посмотреть сообщение
    У него есть определённая централизация
    и что? Уничтожишь один центр – другой появится.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    Безусловно, но всё можно выследить..

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1747
    раз кто-то компьютером командует, значит односторонняя связь с ним есть... значит отследить все-таки можно...
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для maXmo
    Регистрация
    21.09.2004
    Сообщений
    1,411
    Вес репутации
    315
    Можно-то можно, но не так просто, как кажется. Вы представляете, что такое Интернет? А поймаете одного командующего – появится другой. Хотя это на самом деле может быть и не предусмотрено.

  9. #8
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от ScratchyClaws Посмотреть сообщение
    раз кто-то компьютером командует, значит односторонняя связь с ним есть... значит отследить все-таки можно...
    Можно. Но до первого провайдера, который откажется выдать логи.
    ---
    С уважением,
    Borka.

  10. #9
    Geser
    Guest
    ДА просто ломануть эту сеть и форматнуть все компы на которых червь. Там же как пить дать шел одна из опций

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    В спам на гмыле падает много ссылок в виде айпишников http://99.142.66.*, там постоянно выкладывают новые версии, либо закриптованные старые =))
    Это видимо просто заражённые машины с мини-http сервером

    Вопрос - как массово бороться с ними ? =) В голову толком ничего не приходит.

  12. #11
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    4
    Вес репутации
    60
    Очень интересная тема, но трудно думать как с ним бороться незная, что там внутрях у него. Может кто скинет в ПМ ссылку дропер Storm'a для исследования ?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    Из последнего 71.79.181.56 =)

  14. #13
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    4
    Вес репутации
    60
    Цитата Сообщение от Surfer Посмотреть сообщение
    Из последнего 71.79.181.56 =)
    Эх... не успел. Может у кого есть бинарник ? А то у меня невезучка на хватание вирусов Не спам не приходит, не натыкаюсь на сайты с сплоетами нничего толкого не приходит, вообщем крокодил не ловится не растет кокос.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для maXmo
    Регистрация
    21.09.2004
    Сообщений
    1,411
    Вес репутации
    315
    Поставь себе isbar, думаю, он сторма сам найдёт и подцепит.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    76.25.161.130 пока работает, но я абузнул и наверно скоро прикроют

  17. #16
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    4
    Вес репутации
    60
    Успел, спасибо. Бегло просмотрел, бот почти не скрывается думаю для антиврусов поймать этого бота как 2 байта передать Особенно улыбнул хит IsDebuggerPresent Буду изучать подробнее. Интересно в чем же сила этого 128 кб монстра.

  18. #17
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от FoBE Посмотреть сообщение
    Успел, спасибо. Бегло просмотрел, бот почти не скрывается думаю для антиврусов поймать этого бота как 2 байта передать
    Кого поймать? Бота? Это, к сожалению, лишь ма-а-аленькая его частичка...

    Цитата Сообщение от FoBE Посмотреть сообщение
    Интересно в чем же сила этого 128 кб монстра.
    Сила - в массе.
    ---
    С уважением,
    Borka.

  19. #18
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    4
    Вес репутации
    60
    Цитата Сообщение от borka Посмотреть сообщение
    Кого поймать? Бота? Это, к сожалению, лишь ма-а-аленькая его частичка...
    В смысле маленькая ? Я так понимаю что это сам бот ? или он скачивает еще модули какие-то для работы ?
    Поймать в смысле найти сигнатуры по которым, на комьютерах пользовтелей, антивирус сможет его найти и обезвредить. Cоответсвенно уменьшится и сам ботнет :-)

    Цитата Сообщение от borka Посмотреть сообщение
    Сила - в массе.


    Не подумайте ничего плохого, у меня тема защиты "иновации в антивирусных технологиях" соответсвенно пытаюсь изучить все текущие угрозы(связанные с "вирусами") и придумать как с ними боротся. У этого код очень муторый, он или морфится примитивнейшим криптором или автор извращенец. + испорченна таблица иморта и что самое интересно работать он будет только под линейкой XP, 2000, Vista(?) так как многих используемых апи небыло в пердидущих версиях Windowzzz о чем с радостью сообщает МСДН. Еще небыло времени детально изучить, но потрейсив немного в Оле напал на SEH т.е не все так просто как показалось изначально. и не понятно то ли этот код сгенерирован компилятором с высокой оптимизацией то ли автор гуру ассемблера используются различные редкие комманды по которым собственно можно составить сигрнатуры(хотя возможно это действия полиморфного обработчика) не думаю что компилятор будет ставить 10 nop'ов и множество инструкций для перекидывания данных из регистра в другой регистр или стэк и обратно ничего при этом не меняя.
    Последний раз редактировалось FoBE; 25.01.2008 в 14:59.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    Да штормик вообще слаб в плане сокрытия присутствия.
    Как руткит вообще он неинтересен.
    Популярен из-за масс-спама.

    Кстати куда делся сризби, задача которого выносить шторм ? =)

Похожие темы

  1. Ответов: 6
    Последнее сообщение: 17.01.2009, 22:25
  2. Storm всё ещё жив?
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 08.06.2008, 18:51
  3. New Massive Botnet Twice the Size of Storm
    От HATTIFNATTOR в разделе Computer security news
    Ответов: 0
    Последнее сообщение: 08.04.2008, 13:54

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00616 seconds with 19 queries