Для тех ,кто решил зарегистрироваться на форуме «Беседка» !
Категорически запрещена регистрация  с одноразового и временного e-mail !Такие пользователи будут отправляться в бан без объяснения причин.
После регистрации необходимо активировать свою учетную запись .Если Вы в почте не обнаружили письмо с активацией рекомендуется проверить папку «Спам».
С уважением
 Администрация форума

* Недавно обновленные темы

Автор Тема: Компьютерная сеть и ботнеты .  (Прочитано 1413 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Компьютерная сеть и ботнеты .
« : 29 Январь 2013, 12:20 »
Прежде всего,что такое Ботнет .... :?

[attach=1]
Ботнет – это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют киберпреступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя. Такие программы называются ботами.
Ботнеты обладают мощными вычислительными ресурсами, являются грозным кибероружием и хорошим способом зарабатывания денег для злоумышленников. При этом зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно.
Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команду.
В любом случае хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем киберпреступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей.
Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети.
До сих пор были известны лишь два типа архитектуры ботнетов.
Ботнеты с единым центром. В ботнетах с такой архитектурой все зомби-компьютеры соединяются с одним центром управления, или C&C (Command&Control Centre). C&C ожидает подключения новых ботов, регистрирует их в своей базе, следит за их состоянием и выдает им команды, выбранные владельцем ботнета из списка всех возможных команд для бота. Соответственно, в C&C видны все подключенные зомби-компьютеры, а для управления централизованной зомби-сетью хозяину сети необходим доступ к командному центру.Ботнеты с централизованным управлением являются самым распространенным типом зомби-сетей. Такие ботнеты легче создавать, ими легче управлять, и они быстрее реагируют на команды. Впрочем, бороться с ботнетами с централизованным управлением тоже легче: для нейтрализации всего ботнета достаточно закрыть C&C.
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Децентрализованные ботнеты, или P2P-ботнеты (от англ. “peer-to-peer”, что означает «соединение типа “точка-точка”»). В случае децентрализованного ботнета боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети. Команды передаются от бота к боту: у каждого бота есть список адресов нескольких «соседей», и при получении команды от кого-либо из них он передает ее остальным, тем самым распространяя команду дальше. В этом случае злоумышленнику, чтобы управлять всем ботнетом, достаточно иметь доступ хотя бы к одному компьютеру, входящему в зомби-сеть.На практике построение децентрализованного ботнета не очень удобно, поскольку каждому новому зараженному компьютеру необходимо предоставить список тех ботов, с которыми он будет связываться в зомби-сети. Гораздо проще сначала направить бот на централизованный сервер, где он получит список ботов-«соседей», а затем уже переключить бот на взаимодействие через P2P-подключения. Такая смешанная топология также относится к типу P2P, хотя на отдельном этапе боты используют C&C. Бороться с децентрализованными ботнетами гораздо сложнее, поскольку в действующем ботнете центр управления отсутствует.
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Поблагодарили: Надежда

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Re: Компьютерная сеть и ботнеты .
« Ответ #1 : 29 Январь 2013, 12:22 »
У ботнета Virut отобрали ключевые домены

Ведущий телеоператор Польши и администратор национального реестра, NASK (Naukowa i Akademicka Sieć Komputerowa), установил контроль над 23 местными доменами, задействованными в командной инфраструктуре ботнета Virut, сообщает блогер «Лаборатории Касперского» Татьяна Никитина, которая пишет следующее:
«Полиморфный вирус Virut, заражающий исполняемые файлы Windows, появился в интернете более 6 лет назад. Он распространяется через съемные носители, файлообменники, при этом зараженным может оказаться не только исполняемый, но и html-файл. Virut обладает функционалом бэкдора, и IRC-ботнет, созданный на его основе, зачастую используется для распространения других вредоносных программ, участвуя в многочисленных PPI-партнерках. С&С адреса и номера портов жестко прописаны в коде этого зловреда, хотя в начале текущего года он, по данным Symantec, обзавелся генератором доменов, ― резервным механизмом, позволяющим ботоводам быстро восстановить управление, если основные С&С домены окажутся вне доступа.
В настоящее время в состав ботнета Virut входят сотни тысяч зомби-машин. Symantec в конце 2012 года регистрировала порядка 308 тыс. активных ботов в сутки, отмечая их высокую концентрацию в Египте, Пакистане, Индии и Индонезии. Антивирусные решения «Лаборатории Касперского» за минувший год обнаружили Virus.Win32.Virut.ce на машинах 3 млн. уникальных пользователей. В годовом рейтинге от ЛК этот зловред занял 5 место по локальным заражениям, с показателем 6,8% всех детектов. Польская CERT (группа быстрого реагирования на компьютерные инциденты), со своей стороны, отмечает, что в Польше в 2012 г. было зафиксировано свыше 890 тыс. заражений Virut (уникальных IP-адресов).
В командной инфраструктуре Virut используется, по данным Spamhaus, несколько десятков ключевых доменов, привязанных, в основном, к польской национальной зоне. В минувшем декабре активистам удалось приостановить обслуживание всех польских C&C доменов, оформленных через разных регистраторов, ― перемену статуса этих доменов тогда же отметили наблюдатели из Symantec. К сожалению, ботоводы быстро нашли нового регистратора, и Spamhaus вновь пришлось обращаться к полякам. В результате совместных усилий весь DNS-трафик pl-доменов Virut был перенаправлен на серверы польской CERT, работающей под эгидой NASK. Как выяснилось, некоторые из этих доменов использовались также ботоводами ZeuS и Palevo.
Помимо поляков, Spamhaus связалась с австрийской CERT и российской CERT-GIB, чтобы нейтрализовать остальные C&C домены Virut. К сожалению, практика показывает, что подобные акции против ботнетов приносят лишь кратковременный успех. Ботоводы находят другие пристанища или задействуют альтернативные механизмы поиска центров управления. А у Virut он, если верить Symantec, уже есть ― в виде DGA, генератора доменов.»

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Re: Компьютерная сеть и ботнеты .
« Ответ #2 : 11 Февраль 2013, 18:48 »
Microsoft и Symantec разгромили очередной ботнет

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Microsoft и Symantec объявили о ликвидации очередного ботнета путем отключения серверов, контролировавших сотни тысяч компьютеров без ведома их пользователей, передает агентство Reuters.
Входящие в ботнет компьютеры подменяли выдачу в поисковых системах Google, Bing и Yahoo, и перенаправляли ничего не подозревающих пользователей на подставные сайты.Кроме того, бот-сеть применялась не только для атаки, но и для "накрутки" рекламных кликов, что стоило рекламодателям "миллионы долларов".
Управляющие серверы ботнета Bamital и часть файлов, принадлежащих операторам этой зомби-сети, были обнаружены в датацентрах в Нью-Джерси и Вирджинии. Сейчас работа серверов блокирована постановлением судьи на основании иска, поданного в федеральный суд в штате Вирджиния 31 января.
По данным Microsoft, на момент блокировки серверов, в бот-сети Bamital работали от 250 тыс. до 1 млн компьютеров. Согласно оценкам Symantec, на момент ареста серверов Bamital, они управляли примерно 1,2-1,4 млн компьютеров.
Главный юрисконсульт Microsoft Ричард Боскович сообщил журналистам, что как Microsoft, так и Symantec уже выпустили бесплатное программное обеспечение для удаления троянцев, включавших компьютер-жертву в сеть Bamital.
Боскович говорит, что операторы Bamital родом из Восточной Европы, возможно, из Украины или России. Впервые эта сеть проявилась в 2010 году и с тех пор ее жертвами стали порядка 8 млн компьютеров по всему миру.
Ботнетом, напомним, называют сеть, состоящую из хостов с запущенными на них "ботами" (сокращение от слова "робот") - автономным программным обеспечением. Чаще всего бот в составе бот-сети является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера.
Ботнеты используются для разного рода нелегальной или нежелательной деятельности: рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании (DDoS) и т.п.
Весной прошлого года специалисты подразделения информационной безопасности Microsoft Digital Crimes Unit вместе с коллегами из других компаний провели успешный рейд против сети компьютеров-зомби, созданной семейством вредоносных программ Zeus. В сентябре 2012 года им удалось вывести из строя разрастающийся ботнет, состоящий из компьютеров, зараженных вирусом Nitol.

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Re: Компьютерная сеть и ботнеты .
« Ответ #3 : 14 Апрель 2013, 09:15 »
Массовая атака создает ботнет из сайтов на базе WordPress

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Последние несколько дней в Сети наблюдается интенсивная Brute Force атака, направленна на подбор паролей для аккаунтов сайтов на базе свободного движка WordPress. Атака носит массовый характер и организована с использованием крупного ботнета
Попавшие под действие атаки сайты подвергаются проверке входа под логином "admin" через страницы /wp-login.php и /wp-admin с использованием примерно тысячи наиболее популярных паролей. В случае если подбор пароля оказался успешен, в движок WordPress внедряется бэкдор, который подсоединяет взломанный сайт в состав ботнета и позволяет сохранить контроль даже после смены пароля. Поражённый хост начинает участвовать в Brute Force атаке для выявления других жертв, но также может принимать команды и выполнять другие действия, типичные для ботнетов, такие как совершение DDoS-атак. Текущий размер ботнета из WordPress серверов уже оценивается в более чем 90 тысяч хостов.
Отмечается, что ботнет из серверов значительно более опасен в плане совершения DDoS-атак, чем ботнет из пользовательских машин, так как серверные системы имеют доступ к более широким каналам связи (стомегабитный порт для сервера в крупном датацентре уже в порядке вещей) и более болезненны при блокировке (на одном IP могут находиться сотни сайтов). При этом, даже не связанный с DDoS-атакой трафик, генерируемый в процессе наблюдаемого подбора парлей, негативно повлиял на деятельность некоторых хостинг-компаний, так как он существенно искажает типичную для хостинг операторов ориентацию на преобладание исходящего трафика.
Тем не менее, некоторые эксперты отвергают сведения об участии взломанных серверов в Brute Force атаке, считая, что целью их взлома является распространение вредоносного ПО для поражения клиентских систем, путем подстановки на страницы поражённых сайтов кода для эксплуатации уязвимостей в браузерах и популярных плагинов к ним.
Всем администраторам блогов на базе движка WordPress рекомендуется убедиться в использовании надёжного несловарного пароля для своих аккаунтов. Кроме того, для блокирования атаки советуют не использовать для администратора логин admin, защитить доступ к скрипту wp-login.php через дополнительною Basic-аутентификацию на уровне http-сервера или разрешить вход только с определённых IP.Для ещё более серьёзной защиты можно использовать дополнения с реализацией двухуровневой аутентификации с одноразовыми паролями. Владельцам уже взломанных сайтов рекомендуется переустановить с нуля WordPress, обновить секретные ключи и поменять все пароли.
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Re: Компьютерная сеть и ботнеты .
« Ответ #4 : 19 Апрель 2013, 14:09 »
Объем DDoS-атак увеличился в восемь раз

В среднем, мощность совершенных DDoS-атак составляет 32,4 миллиона пакетов в секунду
Компания Prolexic, предоставляющая IT-услуги, провела исследование количества, продолжительности и частоты DDoS-атак, касающихся наполнения web-сайтов и компьютерных систем вредоносными файлами. Согласно полученным данным, за последние три месяца практически все показатели увеличились в восемь раз, по сравнению с четвертым кварталом 2012 года.
В среднем, в первом квартале 2013 года объем DDoS-атак достигал 48,25 ГБ/сек., тогда как в последнем квартале прошлого года атаки осуществлялись с объемом в 5,9 ГБ/сек.
Как утверждают в Prolexic, объем DDoS-атаки, совершенной на Spamhaus, преувеличивался. Так, если ранее ИБ-эксперты сообщали о показателе в 300 ГБ/сек., то аналитики Prolexic сообщают только о 120 ГБ/сек.
Согласно полученным в ходе исследования данным, около 25% атак на клиентов Prolexic были совершены объемом менее 1 ГБ/сек., а 11% потерпели атаки объемом свыше 60 ГБ/сек.Одним из факторов столь большого объема является то, что атаки преимущественно совершаются с использованием инфицированных web-серверов. В случае загрузки на них вредоносного ПО, злоумышленники управляют серверами при помощи PHP-скриптов.
В отчете компании также говорится о том, что возрос не только объем DDoS-атак, но и их мощность. Так, этот показатель за первый квартал 2013 года составил 32,4 миллиона пакетов в секунду. Если объем DDoS-атак может привести к сбоям в работе Интернет, то воздействие большего количества пакетов в секунду могут повлиять на интернет-провайдеров, операторов и даже поставщиков ПО для отражения атак.
Также возросло количество совершенных атак. По сравнению с четвертым кварталом 2012года, в первом квартале текущего года показатель вырос на 1,75%, а по сравнению с предыдущим годом – на 21,75%.
Основным источником DDoS-атак Prolexic назвала Китай – 40,68% существующих ботнетов созданы на территории страны. Дальше в списке разместились США (21,88%), Германия (10,59%), а также Иран (5,51%).
Стоит отметить, что Россия, которая ранее являлась лидером по созданию ботсетей, уже второй квартал не входит в десятку главных распространителей вредоносного ПО.
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Re: Компьютерная сеть и ботнеты .
« Ответ #5 : 23 Май 2013, 18:42 »
Компонент бот-сети Rmnet отключает антивирусы
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации —
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
о появлении в бот-сети Rmnet двух новых вредоносных модулей. Один из них позволяет злоумышленникам отключать установленные на инфицированном компьютере антивирусные программы. Кроме того, специалистам «Доктор Веб» удалось перехватить управление одной из подсетей Rmnet, в которой действуют эти вредоносные компоненты.
Компания «Доктор Веб» уже предупреждала о широком распространении файловых вирусов Win32.Rmnet.12 и Win32.Rmnet.16, способных организовывать бот-сети. Напомним, что вредоносные программы семейства Win32.Rmnet представляют собой многокомпонентные файловые вирусы, обладающие возможностью самостоятельного распространения. Вирус состоит из нескольких модулей, его основной вредоносный функционал позволяет встраивать в просматриваемые веб-страницы посторонний контент, перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм. Кроме того, вирусы семейства Rmnet способны красть пароли от популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla и Bullet Proof FTP.
Специалистам «Доктор Веб» удалось перехватить еще одну подсеть Win32.Rmnet с использованием известного метода sinkhole. В этой подсети был установлен факт распространения двух новых вредоносных модулей, получивших общее обозначение Trojan.Rmnet.19. Один из них предназначен для детектирования на инфицированном компьютере виртуальных машин, зато второй представляет значительно больший интерес. Эмулируя действия пользователей (а именно нажатия на соответствующие значки мышью), данный компонент отключает на инфицированной машине антивирусы Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender, AVG.
Если на компьютере используется антивирусное ПО Dr.Web, пользователю ничто не угрожает: для выгрузки компонентов антивируса требуется ввести капчу, а с этой задачей Trojan.Rmnet.19 справиться не в состоянии.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Всего в данной подсети вирус загружает с управляющего сервера на инфицированный компьютер семь вредоносных модулей:

- новый модуль, позволяющий отключать антивирусные программы;
- модуль для кражи файлов cookies;
- локальный FTP-сервер;
- модуль для выполнения веб-инжектов;
- модуль для кражи паролей от FTP-клиентов;
- новый модуль, позволяющий детектировать наличие виртуальных машин;
- модуль для организации удаленного доступа к инфицированной системе.

Помимо этого, файловые вирусы семейства Rmnet содержат следующие базовые компоненты:

- компонент для загрузки других модулей в память;
- модуль бэкдора;
- модуль для удаления антивирусных программ.

По данным на 22 мая 2013 года, к исследуемому антивирусной лабораторией «Доктор Веб» управляющему серверу обратилось более 18 000 ботов. Из собранной статистики можно сделать вывод, что в качестве основного направления вирусной атаки злоумышленники выбрали Великобританию и Ирландию: на данной территории зафиксировано 15 253 случая заражения (84,5%), второе место по числу инфицированных систем (1 434 случая, или 7,9%) удерживает Франция. Специалисты «Доктор Веб» пристально следят за дальнейшим развитием ситуации.

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Re: Компьютерная сеть и ботнеты .
« Ответ #6 : 08 Июнь 2013, 17:12 »
Microsoft и ФБР уничтожили более 1000 ботнетов Citadel
Подразделение Microsoft по борьбе с киберпреступностью Microsoft Digital Crimes Unit объявило о завершении крупнейший операции в своей истории.
Совместно с ФБР, крупными финансовыми организациями, другими ИТ-компаниями, после получения соответствующего разрешения от суда Северной Каролины, компания Microsoft провела операцию под кодовым названием Operation b54 — и одновременно пресекла работу по крайней мере 1000 из предположительно 1400 ботнетов, которые работают на программном обеспечения Citadel.
Из 1000 ботнетов управляющие серверы для 455 размещались в 40 дата-центрах на территории США.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Сотрудники Microsoft и криминалисты изучают улики, добытые в дата-центре Атлантик-Сити, 5 июня 2013 года, фото Microsoft
Citadel — банковский троян типа ZeuS, который специализируется на воровстве финансовых средств с банковских счетов граждан. По оценке Microsoft, через упомянутые 1000 ботнетов злоумышленники увели более 500 миллионов долларов за последние 18 месяцев.
Operation b54 — седьмая операция Microsoft по нарушению инфраструктуры управления ботнетами, и самая масштабная среди них. Оперативно-розыскные мероприятия проводились с начала 2012 года. Помощь Microsoft оказали правоохранительные органы более 80 стран. Впервые компания частного сектора совместно с ФБР предприняла усилия для получения судебного ордера на доступ к серверам.
По оценке экспертов, более чем в 90 странах мира насчитывается около 5 млн ботов Citadel.
Против пока неизвестных владельцев ботнетов Microsoft подала исковое заявление в суд Северной Каролины. О главном подозреваемом пока известен только ник — Aquabox. Предполагается, что автор программного обеспечения живет в одной из стран Восточной Европы.
Программное обеспечение Citadel работает таким образом, чтобы не атаковать финансовые учреждения в России и Украине, так что подозрение естественным образом падает на эти страны.


Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Re: Компьютерная сеть и ботнеты .
« Ответ #7 : 19 Июнь 2013, 20:46 »
Ботнеты Citadel контролировали более 2 млн. ПК
В начале июня Microsoft и ФБР объявили о захвате более 1400 ботнетов Citadel, включая около 4000 доменов, которые использовались для размещения C&C-серверов.
Как выяснилось позже, около 1000 из 4000 доменов, изъятых компанией Microsoft, — это sinkhole-серверы, принадлежавшие исследователям.
Так или иначе, но операцию можно признать успешной. Вчера стали известны дополнительные детали этой крупнейшей в истории акции по захвату чужих ботнетов.
В интервью агентству Reuters представители Microsoft сказали, что в результате операции освободили как минимум 2 миллиона персональных компьютеров. «Это консервативная оценка», — добавил Ричард Домингес Боскович (Richard Domingues Boscovich), юрист подразделения Microsoft Digital Crimes Unit.
На каждый из ботов направлены новые настройки для ботнета, чтобы он не мог подключиться к другим серверам, кроме тех, которые контролирует Microsoft. Большинство зараженных машин находится в США, Европе и Гонконге.
Microsoft утверждает, что трояны для заражения компьютеров распространялись с пиратскими копиями Windows.
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Re: Компьютерная сеть и ботнеты .
« Ответ #8 : 13 Август 2013, 13:13 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
К сожалению, в 2013 году DDoS-атаки остались популярным средством решения сетевых и офлайновых конфликтов. В последнее время мощность DDoS значительно увеличилась. По информации компании Prolexic Technologies за II кв. 2013 года, средний поток трафика при DDoS-атаке составляет 47,4 млн пакетов в секунду, что на 1655% больше, чем во II кв. 2012 года. Средняя пропускная способность увеличилась на 925% и равняется теперь 49,24 Гбит/с.
В России разборки такими методами особенно популярны. Жертвами DDoS-атак становятся компании всех секторов экономики, а с прошлого года — даже правительственные сайты (статистика Highloadlab).
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Также увеличилась длительность кибератак. По данным Prolexic Technologies, если в I кв. 2012 года DDoS-атака в среднем осуществлялась на протяжении 17 часов, то в первом квартале 2013 года — уже 38 часов.
В России наблюдается схожая картина: атаки продолжительностью в сутки стали обычным делом. Например, 6 августа интернет-ресурс ЗАО «Интерлот» — крупнейшего российского негосударственного организатора лотерей, оператора лотереи «Золотой Ключ», «Козырная карта», «Русская тройка», «Код удачи» — подвергся одной из серьезнейших DDoS-атак.
DDoS-атака против «Интерлота» началась в 15.00, а в 17.00 достигла пикового значения 90 Гбит/с, после чего колебалась в пределах от 90 до 30 Гбит/с, затихнув 7 августа к 15.00. Мощность атаки вынудила датацентр заблокировать сервер компании в целях защиты оборудования.
Руководство ЗАО «Интерлот» допускает, что атака на интернет-портал может являться скрытой формой экономического давления на компанию, в связи с твердой публичной позицией по вопросу введения госмонополии на лотерейную деятельность.

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Re: Компьютерная сеть и ботнеты .
« Ответ #9 : 03 Октябрь 2013, 11:06 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
В марте этого года мы наблюдали первую в истории DDoS-атаку мощностью более 100 Гбит/с.
Тогда, в марте, такой поток трафика нападающие смогли сгенерировать, используя умножение запросов через DNS-резолверы, которые установлены у каждого интернет-провайдера и часто плохо сконфигурированы, то есть открыты для внешних запросов.
Злоумышленники направляют к открытым DNS-резолверам поток DNS-запросов с IP-адресом жертвы, а резолвер отвечает на указанный адрес. Чтобы максимально усилить трафик, злоумышленники составляют запросы, которые требуют максимально объемного ответа: например, запрос списка всех DNS-записей в определенной зоне. Вы можете отправить такой запрос размером 64 байта (dig ANY isc.org x.x.x.x) и сгенерировать ответ 3223 байта.
24 сентября 2013 года состоялась новая DDoS-атака мощностью 100 Гбит/с, которая продолжалась девять часов, сообщает компания Incapsula. При этом она не назвала URL сайта своего клиента, жертвы атаки.
В нынешней DDoS-атаке удивительно то, что атакующие вовсе не использовали резолверы, так что это первая в истории атака подобной силы без умножения запросов. Получается, что у кого-то есть в наличии каналы суммарной пропускной способностью аж 100 Гбит/с. Если бы они использовали умножение запросов, то могли бы увеличить трафик в десятки раз.

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Re: Компьютерная сеть и ботнеты .
« Ответ #10 : 09 Октябрь 2013, 20:52 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Работа популярного репозитория Github восстановлена после недельной DDoS-атаки.
На странице состояния
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
отслеживается ход атаки и попытки остановить её. Первая волна была произведена во вторник, 1 октября. Тогда администрация GitHub еще не знала, с чем имеет дело. Отразить первую волну им удалось в среду, но на следующий же день последовала вторая.
Барри Штейман, старший специалист по безопасности фирмы-разработчика средств защиты баз данных и web-приложений Imperva, сказал, что атака на GitHub нанесла ощутимый удар по программистам, работающим во многих организациях, которые используют данный ресурс в качестве репозитория.
«GitHub позиционирует себя как репозиторий исходного кода для больших и маленьких организаций, - говорит Штейман. – Произошедшее, к сожалению, стало печальным примером влияния третьих лиц на деловую безопасность и доступность».
Эшли Стивенсон, исполнительный директор Corero Network Security, фирмы-производителя устройств серверной защиты, добавил, что многофазовость атаки, произведенной на GitHub, не является чем-либо нетипичным.
«Из того, что рассказали в GitHub, следует, что DDoS-атака, направленная на их сети, происходила по очень простой схеме, – сообщил он. – Нет ничего необычного в том, что атакующая сторона исследовала сайт, атакуя его с разных векторов, чтобы определить типы уязвимостей, которые существуют на нем. Скорее всего, когда хакеры увидели, что сайту удалось отразить одну атаку, им пришлось модифицировать её характеристики до тех пор, пока сайт и предоставляемые им услуги не оказались затронуты вновь».
«Вторая волна атаки, произошедшая на следующий день, также не представляет из себя ничего необычного. Атака, более чем вероятно, производилась из того же источника – проанализировав, как именно GitHub будет пытаться избегать повторения инцидента, второй волне DDoS-атак удалось вновь отключить сайт».
В заключение Стивенсон сказал: «Мы все чаще видим, что DDoS-атаки на web-серверы изменяются на протяжении 24-48 часов после отключения сайта или прекращения атаки со стороны преступников. В GitHub поступили правильно, информируя пользователей о состоянии сайта и проводимых атаках».
GitHub – это популярная мишень для DDoS-атак. Сайт пережил две крупные атаки в июле и в августе. Возможные мотивы, равно как имена преступников, имеющих отношение к последней атаке, еще неясны.

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Компьютерная сеть и ботнеты .
« Ответ #11 : 11 Август 2014, 22:53 »
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Один компьютер, входящий в типичную домашнюю сеть, зараженный единственной вредоносной программой, может отправлять в общей сложности 30 ГБ исходящей электронной почты на 5,5 млн почтовых адресов всего в течение семи дней. Как сообщает «Лаборатория Касперского», такие данные были получены в исследовании, которое провела компания Sophos.
Чтобы измерить такую активность, исследователи из Sophos создали так называемый «honeybot» — намеренно зараженный компьютер, который вел лог всех команд, отдаваемых ему сервером злоумышленников. Эксперты отметили, что в ходе эксперимента более четверти всех спам-сообщений содержали те или иные типы вредоносных программ. Эксперимент показал, что 26% писем несут в себе ссылку на вредоносные программы или имеют вредоносное вложение.
Кроме того, с помощью «honeybot» выяснилось, что один ПК в состоянии отправить 750 286 уникальных сообщений за одну неделю на 5,5 млн адресов. Однако в реальности эти показатели будут несколько ниже, так как не все почтовые адреса будут действительными, подчеркивают исследователи.
В реальности сами пользователи также могут даже не подозревать, что их ПК стал частью ботнета и получает указания от киберпреступников, засоряя почтовые ящики десятками гигабайт рекламных писем.
Поблагодарили: Abay, topinant

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Компьютерная сеть и ботнеты .
« Ответ #12 : 13 Май 2015, 21:30 »
Обнаружен крупный ботнет из домашних маршрутизаторов, инфицированных Spike

Эксперты из Incapsula обнаружили массивный ботнет из скомпрометированных домашних маршрутизаторов SOHO, используемый для осуществления DDoS-атак. За последние несколько месяцев десятки клиентов компании стали жертвами тысяч инфицированных маршрутизаторов, осуществляющих атаки HTTP-флуд на уровне приложений.
По данным исследователей, скомпрометированные устройства заражены трояном Spike и Linux-ботом MrBlack, о котором впервые сообщила компания «Доктор Веб» в мае прошлого года. Поначалу эксперты Incapsula предположили, что для взлома маршрутизаторов злоумышленники использовали уязвимости в аппаратном обеспечении. Однако позже выяснилось, что устройства можно легко скомпрометировать по протоколам HTTP и SSH через порты по умолчанию. При этом интерфейс защищен учетными данными по умолчанию (admin/admin).
Как сообщили исследователи, большинство взломанных маршрутизаторов являются устройствами на базе ARM производства Ubiquiti Networks. В общей сложности в инфицированных роутерах было обнаружено 13 тыс. образцов вредоносного ПО - в среднем на каждый зараженный маршрутизатор пришлось по четыре варианта Spike. Кроме того, эксперты выявили такие угрозы как BillGates, Dofloo и Mayday.
В течение 121 дня эксперты зафиксировали вредоносный трафик, исходящий с 40 тыс. IP-адресов 1,6 тыс. провайдеров по всему миру, а также IP-адреса подконтрольных злоумышленникам C&C-серверов. Зараженные устройства расположены по всему миру, однако свыше 85% из них находятся в Бразилии и Таиланде.
По данным Incapsula, скомпрометированные маршрутизаторы использовались несколькими группировками, в том числе активистами из Anonymous. Не исключено также, что ботнет использовали хакеры из Lizard Squad.
Поблагодарили: vdovbnenko, topinant

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Компьютерная сеть и ботнеты .
« Ответ #13 : 06 Февраль 2016, 19:19 »
Ботнет Dridex взломан, заражает пользователей антивирусом Avira
Ботнет Dridex, распространяющий одноименный банковский троян, оказался взломан неизвестным доброжелателем. Анонимный шутник заставил ботнет «заражать» пользователей антивирусом Avira.
Хотя в конце 2015 года ФБР провело операцию по прекращению деятельности ботнета Dridex, сеть все равно осталась на плаву и продолжила распространять малварь. Как правило, данный ботнет используется для рассылки спама. Письма содержат вредоносные вложения, в основном в виде документов Word с нехорошими макросами. Как только жертва открывает такой файл, срабатывает макрос, и с сервера злоумышленников скачивается пейлоуд. Проникнув в систему, Dridex создает за зараженной машине кейлоггер, а также использует невидимые редиректы и веб-инъекции для банковских сайтов.

«Вредоносный контент, загружающийся по URL злоумышленников, был заменен на оригинальную, самую свежую версию инсталлятора Avira (вместо обычного загрузчика Direx)», — рассказал один из экспертов Avira.

Таким образом, жертвы ботнета в последнее время получали не банковский троян, а актуальную, подписанную копию антивируса. В компании Avira сообщают, что им неизвестно, кто провернул этот трюк, и какие цели он преследовал. Свою причастность к инциденту разработчики антивируса опровергают.

«Какой-то whitehat мог проникнуть на зараженный веб-сервер, используя те же уязвимости, которые применяют сами авторы малвари. Он мог подменить их вредоносные штуки инсталлятором Avira», — строят теории разработчики, добавляя при этом, что подобные действия считаются противозаконными во многих странах мира.

Стоит отметить, что это уже не первый подобный случай. Ранее инсталлятор Avira уже добавляли в состав вымогателей CryptoLocker и Tesla.
Поблагодарили: topinant, win10

Оффлайн ALENA

  • *
  • Сообщений: 56522
  • Пол: Женский

Компьютерная сеть и ботнеты .
« Ответ #14 : 08 Июль 2016, 20:53 »
Более 120 наименований продуктов D-Link подвержены уязвимости
Подобные уязвимости позволяют создать ботнет из устройств «Интернета вещей».
В прошлом месяце эксперты компании Senrio обнаружили и проэксплуатировали уязвимость в последней версии прошивки беспроводной облачной камеры D-Link DCS-930L, позволяющую удаленно выполнить код. С помощью данной уязвимости злоумышленник может установить свой пароль для входа в web-интерфейс управления и путем отправки специальных команд получить удаленный доступ к видео с камеры.
Как показало дальнейшее исследование, данная проблема затрагивает свыше 120 наименований продуктов производства D-Link, в том числе камеры, точки доступа, модемы, маршрутизаторы и устройства для хранения данных. Уязвимость присутствует в компоненте прошивки dcp, обрабатывающем удаленные команды, прослушивая порт 5978. Сервис dcp является составной частью модуля, обеспечивающего подключение устройства к сервису mydlink (позволяет пользователям управлять своими устройствами за пределами сети с помощью мобильного приложения).
С помощью поисковой системы Shodan эксперты Senrio обнаружили боле 400 тыс. устройств производства D-Link (в основном web-камер), доступных через интернет. По подсчетам исследователей, 55 тыс. из них – камеры DCS-930L, а уязвимая прошивка установлена на 14 тыс.
Подобные уязвимости позволяют создать ботнет из устройств «Интернета вещей». Ярким примером является ботсеть LizardStresser, функционирующая на базе IoT-устройств и использующаяся для осуществления мощных DDoS-атак.