Инструменты для проведения DDoS-атак набирают популярность

Александр Панасенко 25 Января 2013 - 18:06

...

Prolexic опубликовала информационный бюллетень, посвященный разбору itsoknoproblembro ― тулкита для проведения DDoS-атак, взятого злоумышленниками на вооружение в минувшем году. Документ содержит результаты анализа modus operandi и отдельных php-скриптов, входящих в этот комплект, топологии ботнета, построенного на его основе, а также рекомендации по обнаружению данной угрозы и предотвращению заражений.

Как мы уже писали, itsoknoproblembro активно участвовал в мощных осенних DDoS-атаках на американские банки, которые продолжились в декабре. По данным Prolexic, пиковая мощность этих атак составила 70 Гбит/с и свыше 30 млн. пакетов/с. Первые инциденты с использованием itsoknoproblembro эксперты зафиксировали год назад. По словам экспертов, эти DDoS-кампании, направленные против хостинг-провайдеров и представителей энергетической промышленности, были достаточно скромными. Примерно тогда же этот весьма опасный инструмент объявился в России.

Как показали результаты анализа, itsoknoproblembro позволяет проводить параллельные разноплановые DDoS-атаки против нескольких мишеней. Он поддерживает такие техники атак, как POST, GET, TCP и UDP flood, UDP flood,
с использованием прокси-серверов и без таковых. Атаки типа HTTP flood могут быть комбинированными (чередование GET и POST запросов), а также с использованием защищенных (https-) соединений. Чтобы максимально истощить ресурсы атакуемой мишени, бот создает много потоков, используя уникальную двухступенчатую систему командного управления. Получив команду на атаку, он многократно ее повторяет, используя штатную программу командной строки cURL на зараженной машине, пишет securelist.com.

Стремясь обеспечить большую пропускную способность при небольшом количестве зараженных машин, злоумышленники построили многотысячный ботнет на взломанных веб-серверах. Они внедрили вредоносные скрипты, используя известные уязвимости в системах управления сайтами, таких как WordPress, Joomla, AWstats, Plesk, cPanel, phpMyFAQ и проч. По оценке Prolexic, наиболее часто с этой целью используются бреши в шаблоне Bluestork (Joomla) и плагине TimThumb (WordPress). В интернете функционирует большое количество сайтов, использующих устаревшие версии CMS-продуктов, и случаи массового взлома ресурсов через эксплуатируемую уязвимость нередки.

По свидетельству экспертов, ботнет, основанный на itsoknoproblembro, многоярусный и не имеет стандартного C&C интерфейса. После загрузки на ботнет общего списка инфицированных узлов (Prolexic называет их bRobot'ы) активизируются скрипты, подающие команду на проведение атаки. На bRobot'ы устанавливаются разные комбинации файлов из общего набора, ботоводы имеют к ним доступ, проверяют статус бота и инициируют DDoS-атаки.

Все бот-серверы условно делятся на контроллеры и непосредственных исполнителей атаки: первые отсылают команды (IP-адрес мишени, продолжительность атаки, размер пакетов), адресованные конкретным скриптам на узлах второго уровня. Чтобы максимально истощить ресурсы атакуемой мишени, бот создает много потоков: получив команду с «контроллера», он многократно ее повторяет, пересылая самому себе через GET запросы. Кроме этого, «исполнители» и «контроллеры» ведут активный «одноранговый» обмен, в результате которого на каждом уровне может произойти смена состава. Еще один ярус ботнета составляют открытые http-прокси, используемые атакующими для сокрытия источников DDoS трафика.

По прогнозам Prolexic, популярность itsoknoproblembro у инициаторов DDoS кампаний продолжит расти, посему важно начать активную борьбу с этой угрозой. Как показывает статистика, время жизни bRobot в настоящее время превышает полгода. Персистентность инфекции и трудоемкость очистки зависят от числа и разнообразия вредоносных файлов, а также от количества бэкдоров, установленных злоумышленниками. Использование устаревших, уязвимых CMS-продуктов ― глобальная проблема, и эксперты призывают разработчиков упростить процедуру их обновления, чтобы после персональной настройки пользователям не приходилось менять конфигурацию при каждом апдейте. Информационный бюллетень с профилем itsoknoproblembro доступен на сайте Prolexic (требуется регистрация).

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 02 Апреля 2026 - 11:34

macOS iOS Соответствие законодательству РФ Домашние пользователи

Россияне, оплатившее доступ к Apple ID вперед, не могут сменить регион

Российские пользователи Apple, которые до 1 апреля успели пополнить Apple ID или просто не израсходовали оставшиеся на счёте средства, столкнулись с проблемой при попытке сменить страну учётной записи, чтобы продолжить оплачивать приложения и подписки. На этом фоне также появились сообщения о потере доступа к iCloud.

О проблеме сообщил телеграм-канал SHOT. По его данным, пользователи, пытавшиеся сменить страну при наличии средств на счёте Apple ID, получали уведомление о невозможности выполнить эту операцию.

Кроме того, у них якобы возникали проблемы с доступом к iCloud. Таким способом пользователи пытались обойти невозможность оплаты сервисов Apple, которую российские операторы закрыли с 1 апреля.

Однако, как отметил ведущий аналитик Mobile Research Group Эльдар Муртазин в комментарии для РИА Новости, эта проблема носит технический характер: «При смене региона пользователю нужно потратить все деньги, которые есть на счёте. То есть, если у тебя на счёте магазина приложений есть деньги, то тебе их нужно потратить».

По словам эксперта, после обнуления баланса возможность сменить регион снова появляется. По мнению Эльдара Муртазина, у Apple просто не предусмотрен механизм конвертации валют. При этом сама по себе смена региона не должна приводить к потере доступа к iCloud.

Как дополняет AppleInsider.ru, для смены региона необходимо не только потратить все средства со счёта Apple ID, но и отменить предзаказы приложений, завершить прокат фильмов, отменить либо дождаться окончания всех подписок, а также выйти из семейного доступа. Эти требования действуют для пользователей во всех странах и не связаны с санкционными ограничениями.

Между тем, как сообщили «Известия» со ссылкой на свои источники, к концу года россияне могут лишиться и возможности оплачивать аккаунты с помощью подарочных карт. Пока такие карты ещё можно купить через банковские приложения и в розничных магазинах. Однако из-за резко выросшего с 1 апреля спроса цены на них уже начали заметно расти. Так, карты номиналом 1 тыс. рублей встречаются в продаже почти за 1900 рублей. В то же время, по оценке Эльдара Муртазина, наценка у большинства продавцов всё же не превышает 40%.

Как выяснило издание, никаких предписаний о снятии подарочных карт с продажи — ни в традиционной рознице, ни в онлайне — пока не поступало. Но даже если такие ограничения появятся, как считает директор Института исследований интернета Карен Казарян, на небольших онлайн-площадках такие карты всё равно, вероятно, останутся доступными.

При этом давление на Apple, по мнению ИТ-блогера Олега Капранова, будет усиливаться: «Компания, действуя в русле санкционных ограничений, удалила из App Store приложения крупнейших российских компаний и не допустила в магазин альтернативную платформу RuStore. В результате сложилась ситуация, когда экосистема Apple выступает своеобразным денежным пылесосом, который высасывает деньги из РФ, не позволяя российским компаниям там зарабатывать. Подобное положение не может сохраняться длительное время».

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!