Обнаружен первый ботнет из инфицированных web-серверов

Александр Панасенко 14 Сентября 2009 - 13:05

...

Отечественные разработчики сервиса Unmask Parasites, ориентированного на выявление зараженных троянскими вставками web-страниц, сообщили об обнаружении ботнет-сети, состоящей из инфицированных web-серверов, работающих под управлением Linux. Все зараженные web-серверы поддерживают обмен данными между узлами и составляют единый ботнет, функционирование которого контролируется из одного центра управления.

На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx, ориентированный на обработку запросов, формируемых инфицированными страницами с троянскими JavaScript вставками. Основная задача обнаруженного ботнета - поддержание сети для доставки злонамеренного ПО на машины клиентов, пользующихся содержащими уязвимости версиями web-браузеров, поражение которых происходит при открытии инфицированных web-страниц.

Особое значение придается унификации - выполнению серверной части ботнета и заражающей web-страницы на одном хосте. Использование реально функционирующего домена в "iframe src" или "javascript src" вставке значительно повышает время жизни инфицирующей страницы, по сравнению с указанием внешних ссылок, и позволяет обойти некоторые средства антивирусной защиты, если серверный злонамеренный код обрабатывает запросы в том же домене, хотя и под другим номером порта.

В настоящий момент в ботнете зафиксировано только около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем. Код работает с правами пораженного аккаунта хостинга. Точно путь внедрения кода пока не определено, но наиболее вероятны три варианта организации загрузки и запуска кода злоумышленника на сервере:

* Использование широко известных уязвимостей в популярных web-приложениях (например, WordPress версии ниже 2.8.4);
* Огранизация словарного подбора простых паролей;
* Поражение троянским ПО одной из клиенских машин и последующая организация сниффинга FTP-паролей в локальной сети (именно так сейчас осуществляется получение паролей для подстановки троянских JavaScript вставок на сайты).

Web-мастерам и владельцам сайтов настоятельно рекомендуется проконтролировать публикацию отчетов о наличии уязвимостей в используемых общедоступных web-приложениях, произвести установку всех рекомендуемых обновлений, проверить наличие вирусов на машинах в локальной сети и провести аудит используемых паролей.

Источник

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Мая 2026 - 08:32

Шпионские программы Программы слежения Соответствие законодательству РФ Домашние пользователи Государство Соответствие требованиям регуляторов

МАКС на прослушке? Реверсер заявил о тайной записи звука во время звонков

Пользователь Хабра под ником zarazaexe опубликовал масштабный разбор APK российского мессенджера МАКС и заявил, что обнаружил в приложении функции скрытой записи звука во время звонков, сбора списка установленных приложений, отслеживания VPN, анализа адресной книги, работы с Mobile ID по открытому HTTP и серверного управления рядом важных параметров.

По словам автора реверс-инжиниринга, часть этих механизмов может использоваться без явного уведомления пользователя.

Контекст тут важный: МАКС с 1 сентября 2025 года стал обязательным для предустановки на продаваемые в России смартфоны и планшеты. В списке обязательного ПО он заменил «VK Мессенджер».

Как отметил zarazaexe, приложение собирает и отправляет на серверы VK-аналитики список установленных пользовательских приложений: packageName и время установки. Если список изменился, улетает полный обновлённый снапшот. Поставили VPN, банк, криптокошелёк или игру — приложение это заметит.

Отдельный блок — VPN. Автор пишет, что МАКС умеет определять активное VPN-соединение и по серверному флагу может ограничивать доступ к чатам, звонкам и мини-приложениям. В некоторых сценариях пользователь видит плашку «Отключите VPN, чтобы пользоваться МАКС».

Ещё веселее с адресной книгой. По словам zarazaexe, приложение следит за изменениями контактов через ContentObserver, отправляет размер телефонной книги и собирает хеши номеров, включая людей, которые вообще не зарегистрированы в МАКС. То есть даже если ваш знакомый МАКС не ставил, его номер всё равно может попасть в эту мясорубку в виде хеша.

Автор также описывает механизм принудительного обновления: серверный флаг может отправить пользователя на ForceUpdateScreen, заблокировав сообщения и звонки до установки новой версии с CDN МАКС. Формально это выглядит как защита от устаревших версий, неформально — как рубильник.

В разборе упоминаются и более экзотические вещи: управление NFC из мини-приложений, серверно включаемые фейковые чаты, возможность удалить сообщение из локальной базы пушем, проверка доступности сторонних сервисов вроде Telegram, серверные флаги для поведения TLS, Mobile ID через открытый HTTP, скрытый SDK trace_flow, сбор IP, отладочные команды, аудиодампы звонков и пр.

Самые острые заявления касаются аудио и идентификации устройства. По версии автора, в старых версиях APK присутствовал ML-стек для обработки аудио, включая ASR, KWS и распознавание динамика, а также инфраструктура загрузки моделей с сервера. Для снятия цифрового отпечатка якобы используется Widevine DRM ID — идентификатор из защищённой зоны процессора, который сложно сбросить обычными методами.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!