Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 67
хм, т.е. в идеале если алгоритм вкорне не сменили и не ввели шифрование, можно например имея этот вирус, ускорить часы в компьютере, прогнать парочку циклов смены домена, посмотреть куда он смотрит, и тоже поуправлять ботнетом :)
>владельцы ботнета могли бы снять со всех этих счетов до $8,3 млн за десять дней работы
Вот это деньги...) Мне на всю жизнь хватит)
Объясните как такие бот нэты создаются и так долго существуют, неужели у всех этих людей которые попали в бот нэт, нет файрвола или хотя б антивируса, или разработчики этих троянов, настолько круты, что их детище очень трудно обнаружить?
Вот это деньги...) Мне на всю жизнь хватит)
Объясните как такие бот нэты создаются и так долго существуют, неужели у всех этих людей которые попали в бот нэт, нет файрвола или хотя б антивируса, или разработчики этих троянов, настолько круты, что их детище очень трудно обнаружить?
Вот тут можно просветится на предмет архитектуры p2p ботнетов.
Знаете, у меня есть сосед, который каждый вечер мне звонит на тему «Кирилл, у меня тут мышка не работает». Вот пару дней назад я в который раз сбрасывал у него активацию на KIS (черт, спалился). Оказалось, что антивирус у него не работал уже около месяца. Начав проверку дисков, я обнаружил, что его компьютер находится в трех ботнет-сетях (не говорю уже о банальных червях и флешко-ауторанах). Это я к тому, что ботнеты живут за счет вот таких пассажиров, которых куда больше, чем нас, скажем, не самых отсталых пользователей.
Эти цифры обычно преувеличены и авторы статьи явно утрируют. И способ монетизации ботнета явно не снимание денег со счетов. Наверное потом эти логи будут продаваться пачками на каком-нибудь хакерском форуме.
> Вот это деньги...) Мне на всю жизнь хватит)
а если вас посадють, то можно вообще до конца жизни жить на халяву по системе все включено, только из отеля вас никуда не выпустят :)))
а если вас посадють, то можно вообще до конца жизни жить на халяву по системе все включено, только из отеля вас никуда не выпустят :)))
http/sebug.net
большая часть експлоитов, опубликованных там за последний год, не ловится ни одним антивирусом.
Не потому что такие хитрые эксплоиты, а потому, что такие куевые антивирусы.
Ты и знать не будешь, что у тебя бот в системе, хоть обложись антивирями.
большая часть експлоитов, опубликованных там за последний год, не ловится ни одним антивирусом.
Не потому что такие хитрые эксплоиты, а потому, что такие куевые антивирусы.
Ты и знать не будешь, что у тебя бот в системе, хоть обложись антивирями.
Чем ваш троянчик для того же касперского отличается от какого-нибудь чата, например?
Эвристический анализ произвести довольно сложно в данном случае.
В случае наличия подозрений и достаточного распространения вашего «приложения» у антивирусов появятся сигнатуры, которые и получат пользователи со следующим апдейтом.
Эвристический анализ произвести довольно сложно в данном случае.
В случае наличия подозрений и достаточного распространения вашего «приложения» у антивирусов появятся сигнатуры, которые и получат пользователи со следующим апдейтом.
я по названию подумал что захватили для научной темы, типа распределенное вычисление )
wizmax, бгг, в том и фишка, что не все антивирусы распознают такие вирусы. Да, они настолько круты :)
Переходите на линукс :)
Переходите на линукс :)
В ботнете не хватает линукс-машин?
ну судя по описанию в исходной pdf, это win ботнет, который…
The downloaded executable acts as an installer for Mebroot. The
installer injects a DLL into the file manager process (explor-
er.exe), and execution continues in the file manager’s context.
This makes all subsequent actions appear as if they were performed
by a legitimate system process. The installer then loads a kernel
driver that wraps the original disk driver (disk.sys).
Под линуксом такое явно не сработает…
The downloaded executable acts as an installer for Mebroot. The
installer injects a DLL into the file manager process (explor-
er.exe), and execution continues in the file manager’s context.
This makes all subsequent actions appear as if they were performed
by a legitimate system process. The installer then loads a kernel
driver that wraps the original disk driver (disk.sys).
Под линуксом такое явно не сработает…
А вы как думаете, если виндовый вирус? ппц
«также известном как Sinowal» — Синовал? Это что, украинский ботнет?
не пали контору
Я тоже так предположыл. Да и судя по резултатам конференции INFOSECURITY украинские ботнеты самые знатные. Каждый лектор расказивая о каком то там хакере который где то там сидит и как не странно у всех была одна последовательность Украина, Китай, Россия, Пакистан.
Вот интересно — авторы ботнетов умные, потому что нищие, или нищие, потому что сильно «умные»?
Я не знаком ни с одним. Полагаю программисты такого уровня не могут быть нищими…
некоторые ушлые ребята из отдела «к» охотно сотрудничают с ботнетами после их накрытия. глядишь и зарплата уже не нужна.
знаем, наслышаны.
знаем, наслышаны.
На украинском «сеновал» будет «сінник».
> прошло 70 ГБ информации: это заполняемые формы в браузере, почтовая переписка и различные пароли
Юзеры ботнета — спецслужбы…
Юзеры ботнета — спецслужбы…
Ализар, спасибо. Интересная информация
Мало что понял, но интересно. Все так «просто» — успели зарегистрировать домен, перехватили инфу…
хмм…
8 человек, работа группы поддержана грантом. Это очень похоже на то что в России называется «распил», потому как статья ниочем. По чистой случайности получили контроль над ботнетом и потом с такой же лёгкостью его потеряли. Ничего нового по теме компьютерной безопасности не узнали, будет интересно разве что медикам изучающим психологию вирусо-писателей.
8 человек, работа группы поддержана грантом. Это очень похоже на то что в России называется «распил», потому как статья ниочем. По чистой случайности получили контроль над ботнетом и потом с такой же лёгкостью его потеряли. Ничего нового по теме компьютерной безопасности не узнали, будет интересно разве что медикам изучающим психологию вирусо-писателей.
да и вообще на месте этих 8-рых я бы о таких подвигах помалкивал. Потому что очень смахивает на соучастие.
Представим, к примеру, что по чистой случайности мне удалось запереть в подвале своего дома какого-нибудь педо-зоо-фила. Мне стало интересно на него посмотреть, и место того чтобы сдать его в ментовку, я ему в подвал в течении недели запускал всяких кошечек и кроликов, и смотрел как он с ними развлекается. А через неделю этот товарищ сбежал и принялся опять за детишек…
Представим, к примеру, что по чистой случайности мне удалось запереть в подвале своего дома какого-нибудь педо-зоо-фила. Мне стало интересно на него посмотреть, и место того чтобы сдать его в ментовку, я ему в подвал в течении недели запускал всяких кошечек и кроликов, и смотрел как он с ними развлекается. А через неделю этот товарищ сбежал и принялся опять за детишек…
А что они по-вашему должны были сделать?
я по-моему ясно выразился: надо было заложить этот ботнет ментам. Сейчас если с моей карточки пропадут деньги, мне гораздо проще подать в суд на этих «учёных» за соучастие в воровстве чем против абстрактных ботнето-водителей за собственно воровство. Реально конечно физические лица к ним иски предъявлять не будут, а вот фактические пострадавшие (=банки, выдавшие засветившиеся кредитные карты) запросто предъявят иск и выиграют дело.
А вы уверены, что менты смогли бы справится с ботнетом? Плюс, опишите мне сей процесс юридически, что-то у меня большие сомнения в вашем последнем утверждении. В чем будет суть иска?
после сдачи ментам (не русским ментам конечно, и даже не полиции, а ФБР, потому как преступление федеральное если не международное) дальнейшая ответственность с заявителя в любом случае снимается. А вот в случее несдачи они становятся соучастниками и укрывателями, тем более о преступных намерениях владельцев ботнета они были более чем осведомлены, и аналогия с некро-педо-зоофилом почти прямая.
Эти парни — организаторы iCTF. Думаю у них такие вещи «случайно не случаются»)
как бы Майкрософт не изголялась с UAC в Vista/Se7en, первое что делают (псевдо?) опытные пользователи — отключают UAC. вот вам и защита от червей и троянов.
в семерке нету такого желания
хорошо. но что первым делом делает рядовой пользователь с завышенным ЧСВ? наделяет свою учетку административными правами. то бишь — «как же так? мой компьютер и я не главный? непорядок!». вот вам и раздолье для владельцев ботнетов.
Учетка и так с админскими правами :) Даже с включенным UAC $)
сдаюсь)
но, надеюсь, мысль была понятна — пока рядовые юзеры и домохозяйки сидят под учетками с правами админа — никакие UAC и прочие ухищрения не помогут.
но, надеюсь, мысль была понятна — пока рядовые юзеры и домохозяйки сидят под учетками с правами админа — никакие UAC и прочие ухищрения не помогут.
на моей памяти один хром ставится в юзер-спейс. все остальное требует прав администратора. при чем тут винда вообще?
хмм. честно говоря, не понял чем вызван ваш вопрос.
Windows здесь упоминается как минимум по причине того, что Torpig состоит из машин под управлением этой ОС. 180 тысяч зараженных машин. Согласитесь, маловероятно, что большая часть этих машин принадлежит мало-мальски «продвинутым» пользователям. И до тех пор, пока эти самые пользователи, понятия не имеют о «компьютерной гигиене», ботнеты будут цвести и здравствовать.
Windows здесь упоминается как минимум по причине того, что Torpig состоит из машин под управлением этой ОС. 180 тысяч зараженных машин. Согласитесь, маловероятно, что большая часть этих машин принадлежит мало-мальски «продвинутым» пользователям. И до тех пор, пока эти самые пользователи, понятия не имеют о «компьютерной гигиене», ботнеты будут цвести и здравствовать.
Потому дома мои родные сидят под пользовательской учеткой.
И под вистой сделать это стало намного проще :) потому что для установки программ, если такие требуются, мне достаточно удаленного доступа.
А черное окошко как никакое другое не отпугивает от необдуманных действий :)
И под вистой сделать это стало намного проще :) потому что для установки программ, если такие требуются, мне достаточно удаленного доступа.
А черное окошко как никакое другое не отпугивает от необдуманных действий :)
Я не отключаю. С ним как-то спокойнее, а неудобство некоторое можно потерпеть.
Интересно насколько уязвимы «менеджеры паролей в браузерах»?
Я поискал «firefox password recovery», количество ссылок ~42,000.
Скачал самую, субъективно, продвинутую программу, и натравил на мой броузер.
Конечно же я использую мастер пароль, но мне интересно, насколько быстро проходит брутфорс.
на моем C2D 6300 перебор займет:
6 символьного пароля из маленьких латинских букв и цифр около 3 часов.
7-ми символьного около 4-х дней и 6 часов.
8-символьного — 153 дня.
9-символьного — 15 лет.
для брутфорса с маленькими и большими буквами + цифрами:
6 символов — 3 дня
7 символов — 187 дней
8 символов — 31 год
Но программа работала только на одном ядре, так что можно результаты делить на ~2.
Однако интересно какая бы была скорость при переборе при помощи видеокарты (CUDA). На краклабе при переборе MD5 скорость в 30 раз выше чем CPU. Пусть 2 видеокарты ~50 раз.
Значит 8-символьный пароль из маленьких букв и цифр можно подобрать за 3 дня.
Вывод — не экономим на длине мастер-пароля
Я поискал «firefox password recovery», количество ссылок ~42,000.
Скачал самую, субъективно, продвинутую программу, и натравил на мой броузер.
Конечно же я использую мастер пароль, но мне интересно, насколько быстро проходит брутфорс.
на моем C2D 6300 перебор займет:
6 символьного пароля из маленьких латинских букв и цифр около 3 часов.
7-ми символьного около 4-х дней и 6 часов.
8-символьного — 153 дня.
9-символьного — 15 лет.
для брутфорса с маленькими и большими буквами + цифрами:
6 символов — 3 дня
7 символов — 187 дней
8 символов — 31 год
Но программа работала только на одном ядре, так что можно результаты делить на ~2.
Однако интересно какая бы была скорость при переборе при помощи видеокарты (CUDA). На краклабе при переборе MD5 скорость в 30 раз выше чем CPU. Пусть 2 видеокарты ~50 раз.
Значит 8-символьный пароль из маленьких букв и цифр можно подобрать за 3 дня.
Вывод — не экономим на длине мастер-пароля
Умиляют комментарии: "… а что мешало перенаправить..", "… судя по описанию это win-botnet..." и т.д.
Вы думаете исследователи из Университета Калифорнии — лохи?!
Или вы думаете вирус для ботнета делали лохи?!
Какие-же все профи! Лучше быть пионЭром (Бобук — привет), по крайней мере — казаться им ;)
Вы думаете исследователи из Университета Калифорнии — лохи?!
Или вы думаете вирус для ботнета делали лохи?!
Какие-же все профи! Лучше быть пионЭром (Бобук — привет), по крайней мере — казаться им ;)
В такого рода исследованиях очень удобно «окупить» расходы *-).
Клас часть бот нета не питоне если я не ошибаюсь написано )
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ботнет Torpig захватили для исследований