понедельник, 14 апреля 2014 г.

ДДос с вымогательством тоже вернулся. Комсомольская Правда, Аргументы и факты, ТКС и другие жертвы

Проснулось самое древнее зло. Дерзкие корсары из https://twitter.com/PumpWaterReboot решили собрать долю малую со всех более или менее известных сетевых проектов.

Возвращение банковского, террористического ддосов, а теперь еще и вымогательного как бы громко заявляет: "Законодатели, ваши эксперименты с 272 и 274 ст. УК провалились! Обратитесь к  профессионалам уже! Хватит мертворожденных уже!"

четверг, 30 января 2014 г.

Возвращение банковского ДДоСа: baltbank.ru и другие...

Ого! Появились дерзкие ребята, которые возрождают добрую старую традицию - Банковский ДДоС. Причины? Ну, вероятно хотят спровоцировать потерю доверия. Сейчас ЦБ отзывает лицензии, а может чего украли. 

вторник, 1 октября 2013 г.

Кибер терроризм вернулся. ДДоС на Сбербанк.

Смотрите какая прелесть:

https://www.youtube.com/watch?feature=player_embedded&v=ipoJuDi5T50

То, о чем размышляли теоретики отечественной ИТ-Безопасности - неожиданно воплотилось в реальности. И не важно, что их ДДоС не может никому причинить вреда, главное оно есть!

воскресенье, 7 апреля 2013 г.

ДДоС на Новую газету

Почитал коментарии к статье в самой "Новой газете" http://www.novayagazeta.ru/society/57539.html Либеральная общественность, похоже точно знает кто во всем виноват ))). Да и кстати, 60 генерировало скорее всего вовсе не ботнет, точнее не только ботнет. Где-то уютно расположилась ферма серверов. 

среда, 3 апреля 2013 г.

Возвращение сетевого DDoS ужаса

Я давно заметил, что история ДДоС атак имеет тенденцию то затухать, то становится чуть ли не ежедневным информационным поводом. Последние два года выдались спокойными, но похоже спокойствию пришел конец.

Сначало мы увидели ДДоС 300 гб/с удар по Спамхаузу Ссылка, теперь похоже на прицеле Рунет.

Похоже, мы наблюдаем спамерские ботнеты, использующие DNS Amplification Attacks, а это аналог ядерного оружия в Интернете.

вторник, 15 мая 2012 г.

Pandora DDoS Bot

На известном ресурсе onthar.in взял описание довольно распространенного типа ботнетов, знакомтесь это  Pandora:

"Анализ Pandora DDoS bot

Очередного клона Dirt Jumper, на этот раз пятой версии, «слили в паблик». То есть выложили в общий доступ. Имя этой поделке — Pandora DDoS Bot. А цена на черном рынке аж 800$.

Все как и в оригинальном зловреде — Delphi+synapse, размер около 170кб, установка в системе службой, копировнаие себя в системную папку.
Официальное описание бота, если это можно так назвать: http://pastebin.com/V0JjLUXz
Количество ошибок в тексте, как грамматических, так и технических, говорит само за себя, так же курьезные опечатки и нелепости встречаются и в коде бота.

Поехали:
File Name:  pandora.exe
File Size:  177152 bytes
MD5:        0fc3481d8b9933b7f325101949ecf5e5
SHA1:       cb1e7f1c362b5cdf5cd9151cbe2fcae7f7fe1316
PE Time:    0x2A425E19 [Fri Jun 19 22:22:17 1992 UTC]
Sections (8):
  Name      Entropy  MD5
  CODE      6.53     9805eaddcbc78a2f4f68b648bfad2978
  DATA      4.16     a1324f7532dd48f9017f46be1613826b
  BSS       0.0      d41d8cd98f00b204e9800998ecf8427e
  .idata    4.48     b254b43e6712cf8533a5306a46f242dc
  .tls      0.0      d41d8cd98f00b204e9800998ecf8427e
  .rdata    0.2      1144cf17efa7e08a7c62921375bd99ee
  .reloc    6.67     12f2747caf308a358b2e892777f79169
  .rsrc     3.48     96354dc6d5afdc8e2593cd06d037a54c

В коде и строках сразу видно, что все открыто, кроме адреса админки:


Знакомый по Dirt Jumper 5 список юзерагентов:

Расшифровка админки:



Установка в систему производится по фиксированному пути:
%windows%\system32\antivar.exe
С созданием службы ServerNabs4

Никакой защиты процесс не имеет, по этому убивается элементарно.
Лечим скриптом AVZ:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\windows\system32\antivar.exe');
 SetServiceStart('ServerNabs4', 4);
 StopService('ServerNabs4');
 DeleteFile('c:\windows\system32\antivar.exe');
 DeleteService('ServerNabs4');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После перезагрузки система чиста от этого вредоноса.
Что касается атакующих качеств и механизмов, то они идентичны DirtJumper 5. Вообще разницы между этими ботами практически никакой нет, напомню, что атаки производятся гет запросами с генерацией случайного реферерра, случайным из списка юзерагентом и заголовком HTTP/1.0.

Отстук вредоноса в панель управления:

другими словами ничего нового и интересного, очередная некачественная поделка от отечественных вирьмейкеров, которые покупают исходные коды готовых продуктов, вносят свои не всегда нужные коррективы и продают втридорога с уже новым именем."

Благодарим авторов за рассказ.

четверг, 26 апреля 2012 г.

DDoS на Stringer.ru - СМИ снова в фокусе.

Атакуют сайт газеты "Stringer".

'STRINGER' - газета собственных журналистских расследований, ориентированная на предоставление оперативной и достоверной информации о наиболее острых событиях и явлениях в общественной и политической жизни в России и в мире. Выходит два раза в месяц. Рег. свидетельство ? 77-13299, тираж 60 000 Учредитель ООО 'Агентство расследовательской информации' Главный редактор Токарева Елена

Интересно, что они там такого нарасследовали или компромат на кого "не того" выложили?


четверг, 22 марта 2012 г.

Российская армия создает "Кибер коммандование"

CNEWS опубликовала информацию о планах правительства в области защиты инфраструктуры от кибер-угроз: http://www.cnews.ru/news/top/index.shtml?2012/03/22/482544

Как патриот скажу, что давно пора. Как специалисту, становится грустно от милитаризации Интернет, только межгосударственных разборок нам тут не хватало.

среда, 21 марта 2012 г.

Ridus сообщил о ДДоС атаке на себя.

Общественно-политический ресурс неожиданно перестал отвечать и опубликовал сообщение об атаке: https://twitter.com/#!/RidusNews/status/182446739452723202

Отмечу это событие, как еще одну веху в летописи DDoS в Рунете. 

пятница, 16 марта 2012 г.

Троллер

Миша скинул отличную пятничную ссылку:

http://hh.ru/vacancy/5602127

Уровень зарплаты
Регион
Требуемый опыт работы
от 15 000 до 40 000 руб.
Москва
нет опыта
В Креативный центр «Неконтактная реклама» срочно нужны «Боевые тролли»! 

Требования:
  • Умение быстро и качественно создавать аккаунты с «историей» на форумах и в социальных сетях.
  • Умение тонко троллить активных участников (не политика).
  • Знание «инет-фени».
  • Усидчивость за компьютером, включая вечерние и ночные часы.
Условия:
  • Для лучших – работа в офисе на постоянной основе (от 35 000 рублей).
  • Для умеренных троллей – работа удаленная (можно из дома – от 15 000 рублей).
Дополнительные бонусы:
  • Бесплатная доставка пиццы, чипсов и пива (3 банки в ночь).
Обязательные условия:
  • Мы не платим «кешем», и не переводим деньги на Яндекс и иные кошельки. Для работы с нами нужно заводить банковские карты. Ибо проще для нас. Либо Сбербанка, либо НОМОС-БАНКа, либо иного релевантного с ними банков, которые известны. Карты банков типа «Банк возрождения русской Уганды», «1-й негосударственный Банк КУКЛУС Клана» – не принимаем – ибо уже обожглись.  

Тип занятости

Частичная занятость, гибкий график


Троллинг начинается с кадрового агентства! Живые сетевые боеголовки оптом и в розницу ;)

ДДоС на НТВ: Болотные хомячки идут по пути Anonymous?

Снова СМИ под ударом, сценарий обычный - атака вроде как была, сайт вроде как лежал, а самой атаки никто из знакомых "в теме" не видел.

http://www.lenta.ru/news/2012/03/16/ntvddos/

Мне кажется, что у нас очень скучная страна. Ни уличных боев, ни оранжевой весны, Асанж, опять же не наш. Никаких информационных поводов. И не мне одному так кажется. Вот, и пририсовывают "хомячкам" с белыми ленточками разные опции. То маску Гая Фокса в комплектe с LOIC, то предсказывают "арафатку" на физиономии и АК в руках. Этакий набор платьев для Барби. Вероятно я ошибаюсь и все это заговор ;).

понедельник, 12 марта 2012 г.

Лига Безопасного Интернета заражает своих посетителей

Не удержусь от перепечатки:

http://securityblogru.livejournal.com/105003.html

А теперь вопрос, почему нажав на кнопку "Сообщить об опасном контенте" получаешь выбор - порно/наркотики? Где кнопка памагите!троян!грабят?

Вобщем они живут в каком-то своем Интернете, где опасности совсем другие.
______________________________________________________________________

Update.

Скинули лог безуспешных попыток достучаться до сердца Хранителей Интернета:

https://www.facebook.com/lsvtc1/posts/186039334842218

  • Дан Бялик Не стоит туда ходить. Похоже, эта "лига безопасного интернета" распространяет трояны:http://ligainternet.ru/sites/all/modules/views/js/base.js Во всяком случае, мой антивирус очень ругается.

  • Илья Мальков Дан, не бойтесь - ходить можно :) На всякий случай отмечу Denis Davydov :) Антивирусы часто бывают излишне чувствительны к скриптам :))) Ходите и не бойтесь - на сайте Лиги безопасного интернета Вам ничего не угрожает :)

  • Дан Бялик А всё -таки, что за скрипт по адресу?http://ligainternet.ru/sites/all/modules/views/js/base.js

  • Илья Мальков это надо выяснить :)

  • Дан Бялик Какие, однако, интересные названия у ваших скриптов..

  • Дан Бялик Антивирус Avast! считает, что эти скрипты содержат троян JS:Redirector-PY

  • Дан Бялик Вы совершенно уверены, что эти скрипты на самом деле безвредны?

  • Илья Мальков ‎:))) мне трудно судить, но уверен, в Лиге трудятся нормальные спецы

  • Дан Бялик И на старуху бывает проруха, как известно. Спецы спецами, а поддержка всякая бывает. К тому же может оказаться, что виноват хостер, а не ваши специалисты.

  • Дан Бялик К тому же если бы я был злобным хакером и распространителем троянов, то заразить сайт с таким названием считал бы особенным шиком.

  • Дан Бялик А также мне интересно посмотреть на специалиста, который даёт своим скриптам названия вида ru_cbea0b6d5db25c3dc5fc72fa92c2.ec9.js и, вероятно, помнит такие названия наизусть. Вам, например, не кажется, что это машинно-генерируемое название?

  • Илья Мальков Согласен, что человеку придумать такое весьма непросто :))))))) Спасибо Вам, что заметили - передам Денису. Может действительно что-то не так :))))

  • Дан Бялик 

    Я вижу, вам как-то особенно весело сегодня. А между тем, должен заметить, что даже если эти скрипты совершенно безвредны, то в любом случае такая реакция весьма распространённого антивируса наносит вред вашей репутации. Во всяком случае, беЕще


  • Илья Мальков Да, спасибо еще раз. Я уже отправил нашу беседу по адресу :)

  • Дан Бялик Надеюсь, вам не составит труда также проинформировать меня о результатах?

  • Дан Бялик И вам спасибо.

  • Дан Бялик Ну что, Илья Леонидович, вам всё ещё смешно? Сутки прошли — а результатов как-то не видно. Как вы думаете, сколько юзерских машин за это время подхватили троян Siggen.192?

  • Илья Мальков Дан, я отписал. Жду.

  • Илья Мальков Вообще я послал директору. Выходные. Щас перешлю пожалуй на вебмастера и на рут.

  • Дан Бялик Оперативность специалистов по безопасности поразительна. А между тем, троян там действительно есть, и он активен. Ваши вчерашние смайлики в этом контексте особенно заметны.

  • Дан Бялик Покажите вебмастеру вот такую строчку из этого скрипта, например: var t7662593="";function qd5c77bbd03f(){var s8704a=String,j1d67ee2d=Array.prototype.slice.call(arguments).join(""), он наверняка будет в восторге.

  • Илья Мальков Дан, большое Вам спасибо за информацию.

  • Дан Бялик На какой адрес высылать счёт за консультационные услуги?

  • Илья Мальков Не на мой точно :) Я их не заказывал:) Но благодарен Вам как пользователь Интернета и сторонник Лиги безопасного интернета.

  • Дан Бялик Я не отношусь к фанатам цензуры и к Лиге Безопасного Интернета отношусь настороженно. Так что на общественных началах — это не ко мне.

  • Дан Бялик Ну, как там антивирусные успехи Лиги, Илья Леонидович? На личном контроле, надеюсь?

  • Илья Мальков Спасибо, сказали, что работают по Вашей информации.

  • Дан Бялик А о результатах пока не докладывали? Странно..

  • Ольга Викторовна ещё рано

  • Sergey Petrov Это Друпал. Просто Друпал. Там скрипты не только у Аваста, у нормального человека желание убивать вызывают

  • Sergey Petrov ‎"Спасибо, сказали, что работают по Вашей информации" переписывают движок Друпала?

  • Дан Бялик Дело вообще не в Друпале, другие системы тоже заражаются.

  • Илья Мальков а мне друпал нравится :) другие движки не использую

  • Дан Бялик Дело не в Друпале, дело в крутых специалистах по безопасному интернету.