Ботнет, атаковавший Южную Корею, выводит из строя зомби-машины после их использования

На прошлой неделе десятки правительственных сайтов Южной Кореи подверглись DDoS-атакам. Сами по себе нападения, нацеленные на отказ в обслуживании, сегодня уже никого не удивляют, однако каждый раз что-то интересное обнаруживается в 'сопутствующих' материалах; вот и теперь исследовательская лаборатория McAfee, вскрыв бот-клиент, который использовался для направления и координации потоков мусорных запросов, нашла в нем разрушительную начинку.



Эксперт компании Георг Вичерски рассказал о находке в корпоративном блоге еще в понедельник, однако зарубежные СМИ отреагировали лишь несколько дней спустя. Тем не менее, лучше поздно, чем никогда: сообщить об опасном коде важно, поскольку он характеризуется высоким уровнем деструктивности и нацелен на необратимую порчу данных, хранящихся на инфицированном компьютере.


Итак, согласно блог-записи, после установки в систему бот-клиент создает файл noise03.dat, куда записывает отметку о дате / времени заражения, а также количество дней, которое отведено компьютеру. Оператор вредоносной сети может увеличить последний параметр с помощью особых команд, но общая продолжительность "срока дожития" не может превышать 10 дней. Как только время истечет, будет запущен деструктивный функционал:
- первые секторы всех физических жестких дисков перезаписываются нулями (т.е. уничтожается MBR),
- все файлы, хранящиеся на дисках, просматриваются и тоже перезаписываются нулями, если их расширения совпадают с указанными в специальном списке. Список невелик, но содержателен: в него входят популярные форматы документов (doc, docx, docm, xls, xlsx, pdf, eml) и файлов данных для некоторых языков программирования (c, cpp, h, java).
Любопытно, что разработчики бот-клиента предусмотрели даже защиту от перевода системной даты: если установить день, предшествующий моменту инфицирования, то разрушительные процедуры будут запущены немедленно.


Есть у ботнета и другая особенность: он обладает двухуровневой системой контрольных серверов, почти равномерно распределенных по всему миру. Серверы первого уровня указаны в файле конфигурации, который может обновляться оператором вредоносной сети; при обращении к ним инфицированный компьютер получает список серверов второго уровня, от которых уже поступают конкретные инструкции. Секторная диаграмма географического расположения контрольных точек ботнета, построенная аналитиками McAfee, говорит сама за себя.



(изображение из первоисточника blogs.mcafee.com. Щелкните для увеличения...)


При этом бот-клиент похож скорее на троянский загрузчик: он не получает от центра управления прямые команды, а "скачивает" с командных серверов конфигурационные файлы, содержимое которых считывают и приводят в исполнение вторичные компоненты вредоносной программы, работающие независимо от основной службы.


Описанная инфраструктура управления усложняет декомпозицию и обратный анализ инфекции, а также обеспечивает отказоустойчивость: трудно подавить сразу все серверы, если они находятся в не одном десятке стран мира.


McAfee

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Освободившиеся телефонные номера открывают дверь для взлома аккаунтов

Новое исследование специалистов заостряет внимание на рисках безопасности и конфиденциальности пользователей при повторном использовании телефонных номеров. По словам экспертов, такая практика может привести к фишинговым и спамерским атакам, а также к взлому учётных записей.

В ходе анализа исследователи обнаружили, что 66% номеров телефона, заново введённых в эксплуатацию, так или иначе связаны с предыдущими владельцами. Это могут быть аккаунты в соцсетях и на других сайтах, где пользователь указывал свой телефон при регистрации.

«Атакующий может просмотреть доступные телефонные номера, указанные на странице смены номера. Затем он может проверить, связаны ли эти телефоны с аккаунтами предыдущих владельцев», — пишут специалисты.

В результате, как отметили исследователи, злоумышленник может сбросить пароль от учётной записи экс-владельца номера телефона, успешно перехватив одноразовый пароль (one time password, OTP), отправленный в СМС-сообщении.

В общей сложности эксперты Принстонского университета проанализировали 259 телефонных номеров, доступных новым абонентам операторов сотовой связи. 100 таких номеров оказались связаны с почтовыми ящиками предыдущих владельцев, уже становившихся жертвами утечек данных.

Более того, специалисты отметили, что с помощью освободившихся номеров телефона атакующие могут выдавать себя за пользователей, взламывать аккаунты клиентов операторов связи и даже осуществлять DoS-атаки.

В целом новое исследование в очередной раз демонстрирует, насколько рискованной может быть аутентификация через СМС-сообщения. В случае успешной эксплуатации описанного экспертами метода злоумышленник может взломать даже те аккаунты, которые пользователь защитил с помощью 2FA.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru