Ботнет, атаковавший Южную Корею, выводит из строя зомби-машины после их использования

Николай Головко 10 Марта 2011 - 06:41

...

На прошлой неделе десятки правительственных сайтов Южной Кореи подверглись DDoS-атакам. Сами по себе нападения, нацеленные на отказ в обслуживании, сегодня уже никого не удивляют, однако каждый раз что-то интересное обнаруживается в 'сопутствующих' материалах; вот и теперь исследовательская лаборатория McAfee, вскрыв бот-клиент, который использовался для направления и координации потоков мусорных запросов, нашла в нем разрушительную начинку.

Эксперт компании Георг Вичерски рассказал о находке в корпоративном блоге еще в понедельник, однако зарубежные СМИ отреагировали лишь несколько дней спустя. Тем не менее, лучше поздно, чем никогда: сообщить об опасном коде важно, поскольку он характеризуется высоким уровнем деструктивности и нацелен на необратимую порчу данных, хранящихся на инфицированном компьютере.

Итак, согласно блог-записи, после установки в систему бот-клиент создает файл noise03.dat, куда записывает отметку о дате / времени заражения, а также количество дней, которое отведено компьютеру. Оператор вредоносной сети может увеличить последний параметр с помощью особых команд, но общая продолжительность "срока дожития" не может превышать 10 дней. Как только время истечет, будет запущен деструктивный функционал:
- первые секторы всех физических жестких дисков перезаписываются нулями (т.е. уничтожается MBR),
- все файлы, хранящиеся на дисках, просматриваются и тоже перезаписываются нулями, если их расширения совпадают с указанными в специальном списке. Список невелик, но содержателен: в него входят популярные форматы документов (doc, docx, docm, xls, xlsx, pdf, eml) и файлов данных для некоторых языков программирования (c, cpp, h, java).
Любопытно, что разработчики бот-клиента предусмотрели даже защиту от перевода системной даты: если установить день, предшествующий моменту инфицирования, то разрушительные процедуры будут запущены немедленно.

Есть у ботнета и другая особенность: он обладает двухуровневой системой контрольных серверов, почти равномерно распределенных по всему миру. Серверы первого уровня указаны в файле конфигурации, который может обновляться оператором вредоносной сети; при обращении к ним инфицированный компьютер получает список серверов второго уровня, от которых уже поступают конкретные инструкции. Секторная диаграмма географического расположения контрольных точек ботнета, построенная аналитиками McAfee, говорит сама за себя.

(изображение из первоисточника blogs.mcafee.com. Щелкните для увеличения...)

При этом бот-клиент похож скорее на троянский загрузчик: он не получает от центра управления прямые команды, а "скачивает" с командных серверов конфигурационные файлы, содержимое которых считывают и приводят в исполнение вторичные компоненты вредоносной программы, работающие независимо от основной службы.

Описанная инфраструктура управления усложняет декомпозицию и обратный анализ инфекции, а также обеспечивает отказоустойчивость: трудно подавить сразу все серверы, если они находятся в не одном десятке стран мира.

McAfee

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Апреля 2026 - 12:44

iOS Общее Защита персональных данных Защита мобильных устройств Защита мобильных устройств

ФБР восстановило сообщения Signal с iPhone через уведомления iOS

Стало известно, что ФБР смогло извлечь содержимое удалённых сообщений Signal с iPhone, используя данные из внутренней базы уведомлений iOS. Речь идёт о деле, связанном с группой людей, которых обвиняли в поджоге фейерверков и вандализме на территории центра содержания мигрантов ICE Prairieland Detention Facility в Техасе.

Об этом сообщает 404 Media со ссылкой на материалы недавнего судебного разбирательства в США.

В ходе процесса агент ФБР Кларк Уиторн рассказал о собранных доказательствах. Как следует из описания, входящие сообщения Signal удалось восстановить с телефона обвиняемой Линетт Шарп даже после того, как само приложение было удалено с устройства.

Судя по этим данным, сообщения сохранились во внутреннем хранилище уведомлений Apple. При этом речь шла только о входящих сообщениях — исходящие, как утверждается, получить не удалось.

Как отмечает 404 Media, в Signal есть настройка, которая скрывает текст сообщения в уведомлениях. Но, судя по всему, в этом случае такая защита включена не была. Именно поэтому содержимое входящих сообщений могло попасть в системную базу уведомлений и сохраниться там даже после удаления самого мессенджера.

Технических подробностей о том, как именно ФБР добралось до этих данных, пока нет. Многое зависит от состояния устройства на момент извлечения информации: был ли iPhone заблокирован, разблокирован, находился ли он в режиме до первой разблокировки или уже после неё. У iOS в каждом таком сценарии свои ограничения на доступ к данным.

Тем не менее сама история хорошо показывает, что iPhone хранит довольно много локальной информации, полагаясь на внутренние механизмы защиты. Это удобно для пользователя, но в отдельных ситуациях может сыграть и против него — особенно если уведомления содержат личный текст.

Ещё один любопытный момент связан с пуш-уведомлениями. Как подчёркивается в публикации, токен для их доставки не обязательно сразу перестаёт работать после удаления приложения. То есть сервер может продолжать отправлять уведомления, а уже сам iPhone решает, как с ними поступать. Это теоретически тоже могло повлиять на сохранение данных.

На этом фоне особенно интересно выглядит недавнее изменение в iOS 26.4, где Apple обновила механизм проверки пуш-токенов. Прямой связи с этим делом никто не подтверждал, но совпадение по времени выглядит примечательно.

Напомним, недавно ФБР столкнулось с неожиданным препятствием при расследовании утечки конфиденциальных данных: Lockdown Mode на iPhone журналистки Washington Post фактически заблокировал доступ к содержимому устройства.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!