С использованием BackDoor.DarkNess злоумышленники организовали 49 бот-сетей за четыре месяца - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

С использованием BackDoor.DarkNess злоумышленники организовали 49 бот-сетей за четыре месяца

Автор AM_Bot, в Современные угрозы и защита от них

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

5 августа 2011 года

Как известно, распространение вредоносного ПО — это отдельная сфера теневого бизнеса, в котором сосредоточены солидные финансовые потоки. На специальных интернет-площадках и хакерских форумах продаются и покупаются вирусы и троянцы, предлагаются услуги по взлому почтовых ящиков и проведению атак на различные сайты. Некоторые образцы вредоносных программ не продаются совсем — создатели используют их исключительно в личных целях, другие можно купить оптом и в розницу. Одной из таких программ является BackDoor.DarkNess, различные версии которой обходятся злоумышленникам в несколько тысяч долларов (в последнее время они появились и в свободном доступе).

BackDoor.DarkNess — не просто бэкдор, на основе которого любой желающий может построить бот-сеть, способную осуществить DDoS-атаку на выбранную цель. Это многопрофильный инструмент, с помощью которого злоумышленники реализовывают различные функции. Например, модификация BackDoor.DarkNess.25 умеет красть пользовательские данные из таких популярных программ, как Total Commander (параметры доступа к FTP), FlashFXP, FileZilla, WS_FTP, QIP, CuteFTP, The Bat!, но основное назначение бэкдора —реализация DDoS-атак по команде с удаленного сервера.

BackDoor.DarkNess написан на языке Delphi, административная часть реализована на языке PHP. Вот так выглядит страница входа в систему управления бот-сетью:

BDDN_250.jpg

А так выглядит панель администратора бот-сети изнутри:

BDDN_adminka_250.jpg

А вот реальная панель управления одной из активно действующих бот-сетей. Ее владельцы даже не догадываются, что за ними внимательно следят…

BDDN_screen2_250.jpg

Бэкдор запускается в операционной системе в качестве сервиса и отключает стандартный брандмауэр Windows. После этого он связывается с удаленным командным центром и получает от него управляющую директиву, которая среди прочего может содержать приказ на скачивание исполняемого файла либо начало DDoS-атаки на указанный злоумышленниками сервер. Атака выполняется методом отправки через заданный временной интервал GET-запросов на определенный URL в несколько потоков (числом до 100). Также возможно выполнение многопоточных атак с использованием протокола ICMP, либо атак на какой-либо выбранный порт удаленного узла. Существенным конструктивным недостатком данного бэкдора является то, что в процессе своей работы он создает значительную нагрузку на используемый инфицированной машиной интернет-канал, а также не маскирует свой процесс в операционной системе, вследствие чего относительно легко идентифицируется антивирусным ПО и удаляется.

За последние четыре месяца специалистами компании «Доктор Веб» было зафиксировано 49 бот-сетей, построенных с использованием BackDoor.DarkNess. Порядка десяти из них действуют до сих пор, и за их активностью компания продолжает внимательно следить. Всего за этот период ботам было передано 329 уникальных команд, большинство из которых инициировало DDoS-атаки; среди жертв можно отметить сайт «Новой Газеты», журнала «Катера и яхты», несколько эскорт-агентств и интернет-магазинов, торгующих поддельными копиями швейцарских часов. Среди целей DDoS-атак значительное число составляют также серверы онлайн-игр — по всей видимости, публикация BackDoor.DarkNess в открытом доступе привела к тому, что существенной долей бот-сетей в настоящее время управляют начинающие «хакеры». Одна из перехваченных специалистами «Доктор Веб» команд, отданных бот-сети, дословно выглядела следующим образом: «когда f**av.ru включат?» — здесь речь идет о популярном в узких кругах сайте, посвященном вредоносному ПО, а горе-администратор бот-сети, по всей видимости, попросту «ошибся окошком». При этом с уверенностью можно сказать, что упомянутый сервер «DDoS-ила» как раз одна из сетей, построенных на BackDoor.DarkNess, правда, происходило это чуть позже описываемых событий. Помимо этого однажды ботнет получил команду на атаку своего же собственного командного центра, что также о многом говорит.

Можно предположить, что благодаря широкой распространенности этого бэкдора (а также проникновению этой программы в свободный доступ) количество бот-сетей и их активность в ближайшем будущем вряд ли уменьшатся. Несмотря на то, что BackDoor.DarkNess известен в течение длительного времени, он все еще пользуется определенной популярностью: в месяц вирусная лаборатория «Доктор Веб» получает 30 новых сэмплов данного бэкдора, то есть в среднем по одному сэмплу в сутки. Можно также ожидать появления новых модификаций BackDoor.DarkNess, несущих дополнительную функциональную нагрузку помимо реализации основной функции DDoS-бота. Данный бэкдор распознается продуктами Dr.Web и удаляется в процессе сканирования дисков компьютера.

Источник

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано
Например, модификация BackDoor.DarkNess.25 умеет красть пользовательские данные из таких популярных программ, как Total Commander (параметры доступа к FTP), FlashFXP, FileZilla, WS_FTP, QIP, CuteFTP, The Bat!

новость из 2005 года прям

но вообще мы очень рады, что DrWeb наконец-то обнаружил Оптиму.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано
новость из 2005 года прям

но вообще мы очень рады, что DrWeb наконец-то обнаружил Оптиму.

Честно говоря, опять ни о чем.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано
Честно говоря, опять ни о чем.

ага, как и все последние "новости" от Дырвеб.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано
А вот реальная панель управления одной из активно действующих бот-сетей.

:facepalm:

(кстати, если посмотреть на скрин, то мы узнаем какими браузерами и какими плагинами пользуются те, кто писал статью :) )

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

kmd    20

kmd
Опубликовано
(кстати, если посмотреть на скрин, то мы узнаем какими браузерами и какими плагинами пользуются те, кто писал статью)

Ага, а заодно искали в яндексе, что такое fuckav :facepalm: Как бы в вирлабе то уж надо знать один из самых популярных блекхет сайтов.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано
один из самых популярных блекхет сайтов.

ну не скажите, скорее это новичок на сцене

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано
А так выглядит панель администратора бот-сети изнутри:

Я вот что-то не понял сокровенного смысла замазывания собственного локального адреса, 127.0.0.1 ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      нет
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И ещё это: https://www.comss.ru/page.php?id=18330 Это и на работе Образов с Live CD может сказаться ?
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Тема: https://www.comss.ru/page.php?id=18331    " Ошибка проявляется в том, что при закрытии окна программы с помощью кнопки Закрыть (X) процесс taskmgr.exe не завершается полностью. При повторном открытии Диспетчера задач предыдущий экземпляр продолжает работать в фоне, хотя окно не отображается. В результате со временем накапливаются несколько процессов, что приводит к избыточному потреблению ресурсов системы и снижению производительности... " и это натолкнуло на мыслю. Раз есть такая проблема с taskmgr - то это может повториться с "любой" другой программой... т.е. можно? Реализовать команды: " Обнаружить и завершить все нетипично активные экземпляры Системных процессов\программ".  и " Обнаружить и завершить все нетипично активные экземпляры не Системных...". Такое может быть и с браузерами - например Firefox - если есть две версии программы установленные в разные каталоги и пользователь их запускает - часто бывает неполное завершение. тогда жрёт всё и вся...  
    • Ego Dekker
      ESET усиливает защиту домашних устройств и малого бизнеса от онлайн-мошенничества

      От Ego Dekker · Опубликовано

      Компания ESET (/исэ́т/) ― лидер в области информационной безопасности ― сообщает об обновлении ESET HOME Security Essential и ESET HOME Security Premium, комплексных подписок для защиты устройств домашних пользователей, и ESET Small Business Security, решения для малого бизнеса.

      Среди новинок ― функция восстановления после атак программ-вымогателей, мониторинг микрофона и улучшения безопасности при просмотре веб-сайтов, а также VPN, который предотвращает нежелательное отслеживание, обеспечивая неограниченный доступ к онлайн-контенту. Поскольку мошенничество сегодня является глобальной угрозой для всех пользователей, ESET обеспечивает усовершенствованную защиту от различных мошеннических методов, противодействуя атакам из разных типов источников, включая SMS-сообщения, электронную почту, телефонные звонки, URL-адреса, QR-коды, вредоносные файлы и другие.

      Обновленная платформа ESET HOME также упрощает управление безопасностью, что облегчает пользователям защиту своих семей, а владельцам малого бизнеса позволяет точно отслеживать защищенные устройства, а также устанавливать программы безопасности на все устройства благодаря доступному и понятному интерфейсу. 

      «Как поставщик передовых решений для защиты цифровой жизни, ESET тщательно отслеживает текущую ситуацию с угрозами и соответственно разрабатывает свои решения по кибербезопасности, ― комментирует вице-президент ESET в сегменте домашних пользователей и Интернета вещей. ― Усиленная защита от мошенничества, новая функция восстановления после атак программ-вымогателей и многочисленные усовершенствования безопасности конфиденциальных данных делают продукты ESET для домашних пользователей и малых предприятий мощными комплексными решениями, которые сочетают минимальное влияние на продуктивность и простоту в использовании».

      Решения для домашних устройств и малого бизнеса защищают все основные операционные системы ― Windows, macOS, Android ― и поддерживают разные устройства умного дома. Кроме того, ESET Small Business Security также защищает серверы Windows.

      Основные улучшения для пользователей Windows:

      •    Добавлен VPN (теперь доступно в подписке ESET HOME Security Premium): функция защитит сетевое подключение благодаря анонимному IP-адресу, а безлимитная пропускная способность обеспечит неограниченный доступ к онлайн-контенту. Кроме Windows, VPN также доступен пользователям MacOS, Android и iOS.

      •    Усилена защита конфиденциальных данных (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security): новый мониторинг микрофона обнаруживает и уведомляет пользователей о несанкционированных попытках доступа к микрофону на устройствах Windows.

      •    Улучшена безопасность при использовании браузера (доступно в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security) для защиты от фишинга, мошенничества и вредоносных веб-сайтов. Эта функция сканирует воспроизводимый HTML-код в браузере, чтобы обнаружить вредоносное содержимое, которое не фиксируется на уровне сети и с помощью «черного» списка URL.

      •    Добавлено восстановление после атак программ-вымогателей (доступно в решении ESET Small Business Security): первоначально разработанная для крупного бизнеса, функция позволяет минимизировать ущерб, вызванный этими угрозами. Как только защита от программ-вымогателей выявляет потенциальную угрозу, функция восстановления после атак немедленно создает резервные копии файлов, а после устранения опасности восстанавливает файлы, эффективно возвращая систему в прежнее состояние. Основные улучшения для пользователей macOS (доступны в подписках ESET HOME Security Essential, ESET HOME Security Premium, ESET Small Business Security):

      •    Поддержка macOS 26 (Tahoe) позволяет использовать защиту на текущей версии macOS.

      •    Поддержка HTTPS & HTTP/3 улучшает безопасность пользователей в Интернете.

      •    Управление устройствами контролирует внешние устройства, подключенные к Mac. Функция помогает защитить от вредоносного программного обеспечения и несанкционированной передачи данных, ограничивая доступ к определенным типам или даже отдельным устройствам. Следует отметить, что эти усовершенствования помогут противодействовать постоянно совершенствующимся угрозам с особым акцентом на предотвращение. Компания ESET также считает чрезвычайно важным сочетание кибергигиены с удобной защитой, поскольку действительно эффективная кибербезопасность должна быть простой в настройке и управлении.

      Более подробная информация о многоуровневой защите устройств домашних пользователей и решении для малого бизнеса. Пресс-выпуск.
    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      ESET NOD32 Antivirus 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Internet Security 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Smart Security Premium 19.0.11  (Windows 10/11, 64-разрядная)
              ESET Security Ultimate 19.0.11  (Windows 10/11, 64-разрядная)
                                                                                  ● ● ● ●
              Руководство пользователя ESET NOD32 Antivirus 19  (PDF-файл)
              Руководство пользователя ESET Internet Security 19  (PDF-файл)
              Руководство пользователя ESET Smart Security Premium 19  (PDF-файл)
              Руководство пользователя ESET Security Ultimate 19  (PDF-файл)
              
      Полезные ссылки:
      Технологии ESET
      ESET Online Scanner
      Удаление антивирусов других компаний
      Как удалить антивирус 19-й версии полностью?
×