Перейти к содержанию
Danilka

MSRT March 2012: Breaking bad

Автор Danilka, в Современные угрозы и защита от них

Recommended Posts

A.    875

A.
Опубликовано
Мне лично сейчас интересно другое. А именно, куда пропал TDL и что сейчас с ботнетом, подает ли он признаки жизни.

Ему поплохело.

Кстати, сегодня поплохело еще кое-кому. Но об этом, по традиции, уже на следующей неделе, в понедельник :D

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
Непонятно зачем Group-IB (при всех ее заслугах в этой операции) начали черезчур интенсивный PR (на фейсбуке) этой операции. Какие-то "операция, не имеющая аналогов в мировой истории", "раскрытие всей цепочки"...Какой цепочки? Какие аналоги?

Скорее всего какие-то парни решили подзаработать вот таким образом, нашли по объявлениям арендаторов соответствующие услуги (коих на просторах нашего рунета пруд пруди). Заполучили что-то вроде "билдера", адаптировали его под свои цели, ну а дальше уже обычная цепь кибермошенничества с теми же "мулами" и "обналичкой".

Те семплы Carberp, которые я наблюдал в течение двух последних месяцев были только даунлоадеры, что отличает его от схемы распространения тех же ZBot и SpyEye (дропперы).

Детальный отчет о ликвидации пока не представлен.

http://www.securelist.com/ru/blog/20776388...shche_ne_konets

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано

Наверное это и есть причина ухода автора SpyEye в подполье (из материалов, опубликованных по ZBot).

asdafp.png

GROUP-IB поучится нужно :)

http://garwarner.blogspot.com/2012/03/micr...ha-vs-zeus.html

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
Наверное это и есть причина ухода автора SpyEye в подполье (из материалов, опубликованных по ZBot).

там все сложно :D

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано
там все сложно :D

Ну так поэтому в паблик и не идет.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
Ему поплохело.

Кстати, сегодня поплохело еще кое-кому. Но об этом, по традиции, уже на следующей неделе, в понедельник :D

Вместо понедельника вышло в среду

http://www.securelist.com/en/blog/20819343..._Kelihos_Botnet

http://blog.crowdstrike.com/2012/03/p2p-bo...0000-nodes.html

P.S. Да-да, совместно с тем самым КраудСтрайком :)

http://www.anti-malware.ru/forum/index.php?showtopic=21538

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано

Неплохо. А можно боту команду послать, чтобы он самоудалился? Помнится кое-кто это использовал.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
Неплохо. А можно боту команду послать, чтобы он самоудалился? Помнится кое-кто это использовал.

Можно, но у нас нет на это права.

Это будет вмешательством в работу компьютерных систем разных стран и в случае любого факапа - мы сядем. Да и без факапа тоже сядем. Такие вещи может делать только полиция - причем условно говоря полиция Польши может дать такую команду только ботам в Польше, а полиция Уругвая - только уругвайским.

Еще микрософт может - через апдейт винды. Но это процесс не быстрый, да и я думаю что там многие просто не обновляются.

вот как раз мы пишем об этом

http://www.securelist.com/en/blog/20819343..._Kelihos_Botnet

Q: The bots of both botnets are now sinkholed to machines of your control. What now?

...

Apart from this, there is one other theoretical option to ultimately get rid of Hlux: We know how the bot's update process works. We could use this knowledge and issue our own update that removes the infections and terminates itself. However, this would be illegal in most countries.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано

Мда, точно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

CatalystX    25

CatalystX
Опубликовано

Писали, что при закрытии ботнета ФБР получает в суде санкцию на доступ к админке, а уже эту санкцию юзают мелкомягкие для удаления вредоноса с компов.

да и я думаю что там многие просто не обновляются.

Многие боты отключают возможность обновления, а если не отключают, то запросы перенаправляют на свои серверы, откуда скачиваются актуальные версии бота и его компонентов.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано

Похоже Kelihos обновился и здравствует.

It's (Already) Baaack: Kelihos Botnet Rebounds With New Variant

http://www.darkreading.com/advanced-threat...ew-variant.html

Двумя постами ранее речь шла о "взятии в оборот" Kelihos.B http://www.anti-malware.ru/forum/index.php...st&p=153423.

Похоже сразу же появился Kelihos.C.

Less than one day after botnet hunters announced they had crippled the Kelihos.B/Hlux.B botnet, a new version of the tenacious botnet is now back up and running today.
Marco Preuss, head of global research and analysis in Germany for Kaspersky Lab, says the new botnet activity is coming from Hlux.C/Kelihos.C, and that the one that his firm and others took down remains offline. "We confirm that a new Hlux/Kelihos sample exists, but it has a different configuration, which means it's coming from a new Hlux botnet (Hlux C). The previous generation (Hlux B ) is under control by the sinkhole server. It is not uncommon for new versions of botnets to appear that are operated by the same group," Preuss says.

Microsoft детектирует как Backdoor:Win32/Kelihos.F и запись была создана буквально пару дней назад, так что это действительно какой-то новый вариант.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано

Не знаю читали или нет, тут недавно Гюнтер Олман написал очередной "эпичный" пост на damballa. Пост, "изобличающий технику синколинга" для борьбы с P2P ботнетами (на примере Kelihos.B ), а также "заглядывающий в будущее". По его словам, не стоит брать эту технику всерьез, вот так вот.

http://blog.damballa.com/?p=1571

Why go to all this effort? Why invest in Wac-a-mole style takedowns? While the efforts to takedown some Kelihos.A and Kelihos.B P2P botnets haven’t succeeded, they have enabled researcher to better understand the nature of the threat and hone their skills in the art of takedown. Knowing what doesn’t work (and why) is almost as valuable as knowing what does work.

I’m sure some group is going to try their hand at taking down Kelihos.C (and probably Kelihos.D) based botnets in the future. There’ll probably be the same claims of “Kelihos is dead” too. Unfortunately, if the Kelihos botnet controllers want to escape this bothersome cycle of losing a few thousand botnet victims each time, they already have the means available to them. As I discussed earlier this month, we’ve observed a growing number of criminal operators adding DGA’s to their malware families as a backup strategy should their P2P C&C fail for whatever reason. If the Kelihos operators add that feature to their next variant the wac-a-mole efforts of Kelihos-P2P-swatters truly become inconsequential.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
Не знаю читали или нет, тут недавно Гюнтер Олман написал очередной "эпичный" пост на damballa. Пост, "изобличающий технику синколинга" для борьбы с P2P ботнетами (на примере Kelihos.B ), а также "заглядывающий в будущее". По его словам, не стоит брать эту технику всерьез, вот так вот.

http://blog.damballa.com/?p=1571

синкхолили, синкхолим и будем синкхолить. все остальное - к правоохранительным органам )

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 17-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 17.1.9.
    • Ego Dekker
      Новая версия бесплатного приложения ESET Online Scanner доступна пользователям

      От Ego Dekker · Опубликовано

      ESET Online Scanner был обновлён до версии 3.7.4.0.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Предлагаю автоматически ( при формировании скрипта  ) удалять  идентичные расширения браузеров по ID т.е. удаляем расширение из одного браузера = автоматически  удаляем это расширение из всех браузеров. https://www.comss.ru/page.php?id=12970 --------------- Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру. т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.    
×