Перейти к содержанию
rkhunter

Статистика по срезу ботов Carberp из US

Recommended Posts

rkhunter

Материал был представлен на ZDNet "Research: 80% of Carberp infected computers had antivirus software installed"

http://www.zdnet.com/research-80-of-carber...led-7000001679/

Базируется на исследовании ботнета Carberp http://www.dailysafetycheck.com/v/vspfiles...2012_Botnet.pdf

Ресерчер Jim McKenney.

На примере группы ботов из Carberp, географически расположенных в Канзасе, Миссури, Оклахоме и Небраске (всего около 600 pc) удалось получить следующую статистику.

avfail.png

1. На подавляющем большинстве (80%) ботов были установлены AV.

2. Шкала показывает соотношение по каждому такому AV, который находился в состояниях отключенный/"хакнутый" (воздействие малвари).

Синий - некоторые фичи AV были отключены (защита и обновления), Красный - основные фичи были доступны, но не работали как следует.

При этом указываются возможности версии Carberp, к которой принадлежит ресерч:

- Отключение real-time сканеров, используя идентификацию запущенных процессов

- "Crippling"/"хак" защиты (через bh апдейты)

- Отключение обновлений

...

Еще один LOL - шкала показывает пропорции версий NT, на которых работали боты.

avfail1.jpg

Ориг

In late 2011 a forensics investigation led to the access of the Command & Control operations of a modified Carberp botnet composed of 603 computers. The computers were located in Kansas, Missouri, Oklahoma and Nebraska. While this network is considerably smaller than those studied by antivirus and security vendors, the investigation still yielded interesting data and raised the possibility that considerable effort was being made to bring intelligence into asset tasking and ranking. In order to verify that automated intelligence-driven decisions was being used by the Botnet administrators, a separate OLAP server was created to perform linkage and multidimensional analysis on the data collected by the Carberp botnet. The experiment was successful; replicating the asset tasking logic and assigned confidence values found on the Command and Control platform.
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Что-то я не удивлен. WinXP SP2, отключенная ав-защита. Я не удивлюсь что эти компы могут входить в ботнет TDL. Руткит TDL уже давно мертв.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
×