1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Обнаружен ботнет Skynet с управлением через анонимную сеть TOR

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 10 дек 2012.

  1. Severnyj

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.488
    Симпатии:
    9.218
    Специалисты по сетевой безопасности из компании Rapid7 обнаружили, возможно, один из первых ботнетов, в котором связь зараженных машин с управляющим сервером выполнялась с помощью технологии TOR, обеспечивающей анонимный доступ к Интернету.

    [​IMG]

    Первооткрыватели ботнета, получившего название Skynet, как искусственный интеллект в фильмах про Терминатора, предупредили, что в ближайшее время эту практику могут взять на вооружение и другие ботнеты, что сильно затруднит обнаружение и нейтрализацию их управляющих серверов.

    Технология TOR, о которой мы не раз писали, была создана военными специалистами США в расчете на то, что с ее помощью подвергаемые гонениям активисты в странах с тоталитарными режимами смогут беспрепятственно общаться со своими единомышленниками и соратниками по подрывной работе против государства. Многоуровневая анонимизация в сети TOR почти исключает возможность перехвата и прослушки сообщений. Кроме того, через сеть TOR-ретрансляторов в странах с фильтрацией Интернета можно получать доступ к любым закрытым ресурсам за счет использования «выходных TOR-узлов» в странах с менее жестким режимом доступа. По прошествии времени выяснилось, что технология TOR открыла настоящий ящик Пандоры не только для правозащитников, но и для настоящих киберпреступников.

    Обнаруженный ботнет Skynet, по данным исследователей, представляет собой настоящий многофункциональный комбайн. В частности, Skynet поддерживает организацию распределенных атак на отказ в обслуживании (DDoS), генерацию виртуальной валюты Bitcoin с использованием вычислительных ресурсов графического процессора на зараженных машинах, исполнение произвольного кода по команде оператора, а также похищение реквизитов для доступа к веб-сайтам и банковским счетам пострадавших. Главное же отличие Skynet заключается в том, что доступ к его серверам управления возможен только через сеть TOR по протоколу Tor Hidden Service.

    Традиционно протокол Tor Hidden Service используется для анонимного доступа к обычным веб-сайтам, а также к чат-серверам IRC и некоторым другим сервисам, включая удаленное управление по протоколу SSH (Secure Shell). Адрес такого сервиса выглядит как случайная последовательность символов с расширением .onion в качестве псевдо-домена верхнего уровня. По мнению представителей компании Rapid7, на данный момент не существует способов отследить и нейтрализовать управляющие серверы ботнета, скрытые с помощью протокола TOR Hidden Service.

    По оценкам компании Rapid7 сейчас ботнет Skynet охватывает около 12-15 тысяч зараженных компьютеров. За семь месяцев, прошедших после обнаружения первых признаков этого ботнета, число пораженных машин увеличилось почти на 50 %. В состав ботнет-клиента, который устанавливается на машину жертвы, входит специальный бот с управлением через IRC-чат (этот бот умеет запускать несколько типов DDoS-атак и других действий), собственный TOR-клиент для Windows, модуль для «добычи» Bitcoin-валюты (путем сложных расчетов на графическом процессоре), а также специальная версия известного троянца Zeus с возможностью внедрения в браузер и кражи пользовательских данных для доступа к веб-сайтам и банковским счетам. Несмотря на то, что сеть TOR имеет ряд недостатков, включая большие задержки и невысокую пропускную способность, для передачи команд узлам ботнета этого вполне достаточно, как при запуске DDoS-атаки.

    Еще один примечательный факт – каждый зараженный компьютер в ботнете Skynet сам становится TOR-ретранслятором, что делает сеть TOR еще более крупной и устойчивой к нагрузкам, а вместе с ней более устойчивым становится и работающий через нее ботнет.

    По мнению специалистов из антивирусных компаний Bitdefender и «Лаборатория Касперского», ботнеты с управлением через TOR не являются такими уж неуязвимыми. Есть средства для борьбы с таким угрозами и на уровне интернет-провайдеров в виде блокирования трафика от всех известных выходных TOR-узлов. С другой стороны, это в итоге может разрушить сам исходный замысел системы TOR, где выходные узлы, теоретически, должны поддерживаться добровольцами в «свободных странах», чтобы оказывать услуги анонимности своим менее удачливыми коллегам, ищущим защиты от преследований.

    Источник
     
    5 пользователям это понравилось.
  2. Severnyj

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.488
    Симпатии:
    9.218
    Новые подробности о P2P-ботнете Skynet, который работает через Tor

    Три месяца назад специалисты по безопасности из компании G Data SecurityLabs сообщили об обнаружении P2P-ботнета, который работает через Tor. Технические детали об управлении этой системой ранее рассказал сам владелец этого ботнета, студент, в анонимном интервью на Reddit. Эта в своём роде уникальная разработка наконец-то привлекла внимание серьёзных исследователей, которые получили в своём распоряжение клиентский модуль и изучили его функционал.

    Исследователи из компании Rapid7 подтвердили слова владельца ботнета о способах монетизации через майнинг биткоинов. Он также признавался в продаже банковской, биллинговой информации и данных кредитных карт с заражённых машин, проведении DDoS по заказу.

    Интересно, что владелец ботнета самостоятельно распространяет трояны через Usenet, хотя подумывает о покупке уже залитых машин. Тем не менее, образец клиентской программы (15 МБ) был найден на одной из файлопомоек Usenet с пиратским контентом, которыми до сих пользуются некоторые американские пользователи. Образец продемонстрировал довольно низкий уровень обнаружения по VirusTotal: 7/42.

    Программа состоит из простого IRC-бота, работающего через Tor, бота ZeuS, Tor-клиента для Windows, биткоин-майнера CGMiner с необходимой библиотекой OpenCL.dll, большого количества мусорных данных для раздутия объёма файла и обфусцированного кода. После установки в системе клиент запускает процесс IEXPLORE.EXE или svchost.exe и прописывается в реестре Windows, в разделе Run.

    [​IMG]

    Бот не только соединяется с C&C-сервером через Tor, но и запускает Tor Hidden Service на порту 55080. Исследователи опубликовали список псевдодоменов .onion, которые использует ботнет.

    [​IMG]

    Студент спроектировал ботнет самостоятельно, имея за плечами два года опыта в программировании. Он взял утёкший исходный код ZeuS, исправил баги, добавил новые фичи, добавил модули IRC и майнинга биткоинов. Своей разработке автор дал название Skynet.

    [​IMG]

    Источник
     
    2 пользователям это понравилось.
Загрузка...
Похожие темы - Обнаружен ботнет Skynet
  1. Severnyj
    Ответов:
    0
    Просмотров:
    479
  2. Severnyj
    Ответов:
    0
    Просмотров:
    644
  3. Severnyj
    Ответов:
    0
    Просмотров:
    504
  4. Severnyj
    Ответов:
    0
    Просмотров:
    503
  5. Mila
    Ответов:
    0
    Просмотров:
    933
  6. Mila
    Ответов:
    0
    Просмотров:
    1.187

Поделиться этой страницей