воскресенье, 8 июля 2007 г.

О том как это делать...

Пример расследования атаки на сети, может кто - то сочтет опыт полезным:

2 марта 2007 года интернет-хостинг компании "*******" (торговая марка "*********") подвергся массированной распределенной атаке на отказ в обслуживании ДДоС. Целью атаки служил сервер для виртуального хостинга с адресом **********. На сервере были размещены страницы ** клиентов. Атака была настолько мощная, что вызвала замедление работы всей сети . Соответствующая служба была вынужденна поставить фильтр на пограничных маршрутизаторах сети, что привело к полному блокированию сервера-жертвы.
Используя статистику, собранную комплексом "Arbor", удалось установить список зараженных компьютеров участвовавших в атаке. Наибольшую активность проявил хост с адресом **********, принадлежащий к домашней сети, обслуживаемой компанией "*******". Администрация "******" оказала поддержку расследованию и предоставила запись соединений зараженного компьютера.
Анализ соединений позволил установить центр управления сетью зараженных компьютеров "Ботнета":

http://ddos-net.info/cgi-bin/get.cgi?data=...i4xNi41Mi43Ng==

Доменное имя ddos-net.info было зарегистрировано по поддельным данным на :

Whois Record
Domain ID:D16409673-LRMS
Domain Name:DDOS-NET.INFO
Created On:06-Feb-2007 18:41:14 UTC
Last Updated On:06-Feb-2007 18:41:16 UTC
Expiration Date:06-Feb-2008 18:41:14 UTC
Sponsoring Registrar:Direct Information Pvt. Ltd. d/b/a PublicDomainRegistry.com (R159-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:TRANSFER PROHIBITED
Registrant ID:DI_3715873
Registrant Name:AlpCRAZY
Registrant Organization:AlpCRAZY
Registrant Street1:AlpCRAZY - TeaM
Registrant Street2:
Registrant Street3:
Registrant City:iNFECTED
Registrant State/Province:
Registrant Postal Code:337614
Registrant Country:NP
Registrant Phone:+067.337614
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:
Admin ID:DI_3715873
Admin Name:AlpCRAZY
Admin Organization:AlpCRAZY
Admin Street1:AlpCRAZY - TeaM
Admin Street2:
Admin Street3:
Admin City:iNFECTED
Admin State/Province:
Admin Postal Code:337614
Admin Country:NP
Admin Phone:+067.337614
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:


Для уничтожения "Ботнет" мы обратились (через наших партнеров, а именно -- компанию "Verisign") к регистратору доменных имен в зоне .info с просьбой расторгнуть соглашение на предоставление домена ddos-net.info. Учитывая то, что зараженные компьютеры получают инструкции центрального сервера, ориентируясь на определенное доменное имя, расторжение договора на предоставление домена - наиболее эффективный способ уничтожения "Ботнет".

Следующим шагом стал поиск лиц, ответственных за атаку. Используя открытые источники информации было найдено объявление о заказных распределенных атаках на отказ в обслуживании:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Предоставляем услуги ДДОС
БотНет постоянно увеличивается.
1 час - 10$
Cутки - 50$
Крупные проэкты - 65$
Даем 20 минут на тест.
По вопросам организации ДДОС обращатся в ICQ#: 337614 или ICQ#: 278-830-276
Постоянно происходят обновления и новые разработки софта, за которыми вы можете следить на нашем сайте iNFECTED-TeaM.InFO
За покупкой стучите в ICQ: 337614 или 741873
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Дальнейшее направление исследования было сфокусировано на поиске информации о лице, с ником AlpCRAZY, на имя которого зарегистрирован домен ddos-net.info.
В результате анализа данных с использованием открытых поисковых систем была получена следующая информация:



Ник: alpCRAZY

ICQ: 337614

ФИО: Влад Солопченко

Телефон: +380 562 389471

Страна: Украина

Город: Днепропетровск

Фото тут: http://mailovka.ru/files/xo3e/xo3e0x02/ENT...;/alpcrazy.jpeg



Информация на форумах:

http://209.85.129.104/search?q=cache:lmPBK...=clnk&cd=15
http://forum.opensex.ru/index.php?showuser=114
http://www.snowboarding.com.ua/Riders/alpcrazy.html http://mailovka.ru/files/xo3e/xo3e0x02/0x05.txt


Сайты:


http://www.infected-team.info/
http://socks.bz

23 марта 2007 года alpCRAZY предпринял попытку изменить дислокацию "Ботнет", проинструктировав зараженные компьютеры на обновление версии вредоносного ПО с сервера http://infected-team.info/bnew.exe. Информация о противоправном использовании доменного имени была направлена регистратору и домен был блокирован.
Вся имеющаяся информация, касающаяся инцидента, была предоставлена профильным организациям и правоохранительным органам.

2 комментария:

aylama комментирует...

Да, супер расследование! Сразу видно, что сервисом whois пользоваться научились. По телефону-то позвонили? Не помню что-то. Это мой рабочий телефон и я действительно Влад Солопченко. Но отношения к инциденту я не имею никакого - ошибочка однако вышла... Извиниться бы стоило...

Unknown комментирует...

Ну, извените =)