Walka z cyberterroryzmem rozgorzała na całego. Mimo przewagi ciemnej strony mocy, takie akcje jak ta przywracają wiarę w cyberrycerzy na białych cyberkoniach. Amerykańskie służby niczym amerykańscy naukowcy we współpracy z hiszpańską cyber inkwizycją ujęli 3 osoby odpowiedzialne za jedną z największych sieci botnet odkrytych dotychczas. Botnet mariposa (z hiszpańskiego – motyl) został odkryty w maju 2009 roku przez kanadyjską firmę Defence Intelligence. Złośliwe oprogramowanie do dnia dzisiejszego rozrosło się do ponad 200 różnych wersji. Czytaj dalej »
Archiwum (tag: botnet
)
-
Ujęto właścicieli botnetu, do którego podłączyło się 12 milionów unikalnych adresów IP
- Data dodania:
- 05 3.10
- Kategorie:
- newsy
-
Spamerzy wykorzystują serwis do darmowego umieszczania plików imageshack przemycając aplikacje Flashowe
Proste metody są jak zawsze najskuteczniejsze. Od wczoraj otrzymuję spam, który w treści wiadomości zawiera zwyczajowe parę zdań bez zbędnych HTML i cudów oraz bezpośrednio w treści wpisany link do pliku Flash, który umieszczany jest na jednym z popularniejszych serwisów umożliwiających darmowe przechowywanie plików graficznych, filmowych, flashowych czyli imageshack.us. Spamerzy umieszczają plik Flashowy, który robi wyłącznie tyle, że kieruje automatycznie przeglądarkę na stronę sprzedającą medykamenty najpopularniejszego sklepu aptekarskiego czyli Canadian Pharmacy. Niedługo spamerzy zaczną wykorzystywać takie technologie jak np. Opera Unite do hostowania swoich plików :]
Treść spamu:
Got troubles with receiving medicaments to your house?
Our web-store is ideal for helping you! Submit your order here and get your package to your apartment the same day.
We don’t care about prescription, but we care about confidentiality of shipping and transactionsZdezasemblowany kod flasha z użyciem narzędzia flasm wygląda mniej więcej tak: Czytaj dalej »
-
Próba masowego web spamu bloga
- Data dodania:
- 17 2.10
- Kategorie:
- newsy
Dziś jak gdyby nigdy nic w przeciągu godziny odnotowałem kilkanaście prób zaspamowania bothuntersów. Wszystkie próby zostały wychwycone przez system antyspamowy ale tak dużej akcji już dawno nie widziałem. Zazwyczaj są to dwa lub trzy komentarze, a tutaj w ciągu kilkudziesięciu minut tych prób było 13, a do tego każda z innego adresu IP. Niezła akcja. W treści spamerskiej zawarte były próby umieszczenia odnośników do nieistniejących stron. Zapewne po wysłaniu spamu, następny robot sprawdza czy na stronach lub gdzieś w okolicy pojawiły się odnośniki do spamowanych witryn. Jeśli tak – oznacza to, że blog jest podatny na spamowanie i można rozpocząć masową akcję wysyłania reklam. Różne adresy IP oraz różne wpisy bloga. Poniżej lista adresów IP, ich kraje źródłowe oraz godzina połączenia:
166.122.68.249 – US – 14:55
80.92.66.181 – LU – 14:51
78.152.106.43 – IT – 14:49
167.206.48.108 – 14:48
62.193.13.136 – IR – 14:44
200.105.231.18 – EC – 14:40
121.101.214.81 – CN – 14:27
87.252.2.29 – FR – 14:14
95.35.19.34 – IL – 14:11
85.115.54.180 – GB – 14:10
79.122.220.254 – RU – 14:10
217.6.171.194 – DE – 14:06
194.186.98.236 – RU – 13:53Jak widać do wyboru, do koloru… A przykładowy spam wygląda tak:
iecVO5 kdquuhpclvzh, [url=http://ahbyhkzvolpx_com/]ahbyhkzvolpx[/url], [link=http://prsiaiwireeu_com/]prsiaiwireeu[/link], http://avwsnlpvneir_com/
-
Some random words here czyli rapidshare w służbie spamerów
Otrzymałem dziś kilka wiadomości mailowych, które z wyglądu wskazują na problemy wysyłających, być może jakiejś nowej ekipy spamerów. Trochę się w treści rozjechały nagłówki, nie do końca się zastąpiły losowe wyrazy, losowymi wyrazami (lub taki też był master plan) i całość średnio wygląda w moim ubogim programie pocztowym. Tak dokładnie wygląda treść:Date: Tue, 16 Feb 2010 11:23:57 +0100 (CET)
From: minimaedg10@auh-b112364.alshamil.net.ae
To: undisclosed-recipients: ;{nReceived}
From: “Elba Armstrong” <minimaedg10@auh-b112364.alshamil.net.ae>
To: <adres@email>
Subject: FWD:
Date: Tue, 16 Feb 2010 14:23:57 +0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-={_nSBoundary}”
X-Priority: 3
X-Mailer: {nXMailer}
Message-ID: <0235115491.78GRQQ9C533002@{nHOST}>——={_nSBoundary}
Content-Type: text/plain;
charset=”windows-1250″
Content-Transfer-Encoding: quoted-printablesome random words here. some random words here. some random words here. some random words here. some random words here. some random words here. some random words here. some random words here. Czytaj dalej »
-
Setki stron internetowych w tym CIA, Paypal, Wiki, Sun, Bing, FBI, Twitter, Microsoft, Apache, Mozilla, Redhat, Tor zaatakowane
- Data dodania:
- 04 2.10
- Kategorie:
- newsy
Ponad 300 serwisów internetowych zostało zaatakowanych z użyciem dużej sieci botnet. Atak polegał na masowym i zwielokrotnionym łączeniu się do usługi SSL (bezpieczne połączenie) z setek tysięcy adresów IP. Wszystko wskazuje, że botnet odpowiedzialny za ataki to rodzina Pushdo. Ekipa Shadowserver zajmująca się tropieniem sieci botnet zidentyfikowała 315 stron, które zostały zaatakowane. Ewidentnie takie testy wskazują, że ktoś chce sprawdzić ile może zdziałać i jak bardzo negatywnie całym botnetem może wpłynąć na działanie globalnych usług dostępnych z sieci internet. Istnieje jeszcze szansa choć nikła, że zarządzający siecią botnet piszą pracę magisterską na temat wydajności protokołu SSL i zbierają w ten sposób materiał do badań :] Jednakowoż tak rozległej próby ataku na port SSL jeszcze nie było.
Poniżej lista atakowanych witryn: Czytaj dalej »
-
Unieruchomiono ponad 40 serwerów zarządzających trojanami ZeuS, które wykradają hasła do kont bankowych
- Data dodania:
- 03 2.10
- Kategorie:
- newsy
Co prawda cała akcja miała miejsce już jakiś czas temu ale osobiście uważam, że takie delikatnie historyczne chwile należy uwieczniać gdzie tylko się da. Kilka miesięcy temu został odłączony od sieci dostawca ISP – Group Vertical znany z działalności powiązanej z cyberprzestępcami, a zwłaszcza z hostowania serwerów zarządzających trojanami ZeuS, które są znane profesjonalnego okradania swoich ofiar z danych uwierzytelniających do usług bankowych. W końcu nadrzędni dostawcy usług dla firmy Group Vertical mieli dość negatywnego PRu w związku z obsługiwaniem tej firmy i postanowili odciąć ich całkowicie od sieci. Jak możemy zaobserwować na statystykach serwisu monitorującego serwery trojana Zeus, bardzo szybko liczba serwerów zarządzających trojanami spadła o 42! To na prawdę piękne osiągnięcie! Ciekawy jestem co z tymi wszystkimi danymi zawierającymi poufne wykradzione dane, które znajdowały się na wyłączonych serwerach :] Czytaj dalej » -
Atak DDoS wymierzony w brytyjskiego ISP doprowadził do 12 godzinnej przerwy w dostawie usług dla ponad 30 tysięcy klientów
- Data dodania:
- 02 2.10
- Kategorie:
- newsy
Dostawca usług internetowych takich jak serwery wirtualne, dostęp dialup, telefonia VoiP, dostęp szerokopasmowy, hosting, który reklamuje się jako firma z ponad 10 letnim wyśmienitym doświadczeniem w swoich dziedzinach dostał drobną liczbę pakietów weryfikującą ich możliwości. Firma Vispa zarzeka się, że każde połączenie telefoniczne do call center jest odbierane w czasie poniżej 60 sekund. Niestety kilka tygodni temu większość ich usług została zaatakowana poprzez rozproszony atak odmowy usługi (DDoS), który doprowadził do 12 godzinnej przerwy w działaniu usług firmy ISP dotykając zasięgiem 30 000 klientów. Co ciekawe po przywróceniu do normalnego działania większości usług – ostatnią usługą, która nie działała poprawnie – był właśnie system telefoniczny. Można domyślać się, że wykorzystywana technologia VoIP, dzięki zawartości w swojej nazwie literek “IP” oberwała podwójnie. Warto przy wdrażaniu tej technologii pamiętać także o zagrożeniach związanych choćby z łatwym atakiem odmowy usługi poprzez wyczerpanie zasobów sieciowych. Rzekomo źródeł ataku dopatruje się na Łotwie ale jak to zawsze z tego typu atakami bywa, rzeczywistość potrafi być mocno nieadekwatna do założeń.
Źródło: http://cyberinsecure.com/ddos-attack-hits-cheshire-based-isp-vispa-30000-customers-forced-offline
-
Kolejny botnet wyłączony
- Data dodania:
- 22 1.10
- Kategorie:
- newsy, statystyki
Tym razem dostało się sieci botnet o nazwie Lethic. Firma Neustar we współpracy z wieloma dostawcami usług internetowych (ISP) po rozpracowaniu algorytmu komunikacji i generowania kolejnych domen służących do połączenia się z zarządcami, doprowadziła do chwilowego całkowitego zaprzestania wysyłania SPAMu przez boty. Ekipa z firmy M86Security zajmującej się analizą wysyłanego SPAMu potwierdziła, że liczba wysyłanych wiadomości spamowych spadła do zera. Botnet Lethic znany był im od około dwóch lat i przez ten okres zdołał zdobyć pozycję, w której był odpowiedzialny za wysyłanie około 8-10% całej światowej niechcianej poczty. Średnia liczba wysyłanych wiadomości per bot na godzinę wynosiła od 12 do 60 tysięcy. Jak długo boty pozostaną bez opieki władców tego niestety nie wiadomo -
Zapowiedzi świata cyberprzestępczego na rok 2010
- Data dodania:
- 16 1.10
- Kategorie:
- newsy
Wiele się wydarzyło ale sądzę, że jeszcze więcej się w tym roku wydarzy. Aktualnie 90 procent wiadomości typu e-mail to spam, gotówka z kont bankowych i kart płatniczych jest wykradana systematycznie przez zorganizowane grupy cyberprzestępcze, wyszukiwarki internetowe są systematycznie zalewane wynikami kierującymi użytkownika do fałszywych systemów antywirusowych, a setki tysięcy stron internetowych jest podmieniana jednej nocy na wersje atakujące oglądającego. Takie czasy i będzie według mnie jeszcze ciekawiej. Najwięksi tego świata (w kwestiach cyberbezpieczeństwa) zapowiadają interesujące trendy i te, które według mnie mogą mieć sens w tym roku to:
- ataki skierowane na aplikacje Acrobat Reader i Flash,
- jeszcze bardziej wyrafinowane trojany bankowe (bankery),
- coraz więcej sieci botnet z technologią Fast-Flux,
- jeszcze więcej komunikacji typu P2P w sieciach botnet,
- technologia rozpoznawania człowieka CAPTCHA będzie coraz częściej przełamywana przez wynajmowane zasoby ludzkie,
- jeszcze więcej sukcesów w kwestiach walki z cyberprzestępstwami,
- zwiększony nacisk na ataki skierowane w sieci wymiany plików,
- zwiększenie ataków na platformę Mac oraz platformy mobilne,
- Chrome OS i HTML 5 będzie utrudnieniem dla atakujących,
- rozpocznie się atakowanie usługi Google Wave,
- iPhone i Android zostaną zaatakowane,
- serwisy skracające adresy będą wykorzystywane przez phisherów,
- jeszcze więcej fałszywego oprogramowania antywirusowego,
- zwiększona liczba ataków przeciwko serwisom i usługom społecznościowym,
- więcej spamu skierowanego na komunikatory,
- Windows 7 będzie atakowane na różne sposoby.
Źródło: http://sunbeltblog.blogspot.com/2009/12/2010-prediction-roundup.html
-
Analiza skromnego ataku DDoS na serwis sans.org czyli proste zasady jak się bronić
- Data dodania:
- 12 1.10
- Kategorie:
- analizy, newsy, statystyki
Organizacja SANS postanowiła opublikować dokument opisujący perypetie dotyczące ostatniego ataku DDoS wymierzonego w ich serwery stron WWW. Sam atak nie był rozległy, nie wykorzystywał miliona zarażonych komputerów, a jednak odniósł zamierzony skutek. Witryna przestała działać. Prawie 14 000 zapytań na minutę do serwera WWW umiejętnie, a wręcz skutecznie zabiło podstawową działalność. Kilka informacji z analizy może zawsze przydać się jeśli będziemy ofiarą podobnego ataku. Zainteresowanych odsyłam do linka na dole tekstu, a dla tych bardziej leniwych postaram się streścić co najciekawsze fragmenty.- pierwszą oznaką niespodzianki był SMS informujący o problemach z serwerem WWW,
- usługa SSH odpowiadała ale bardzo, bardzo powoli,
- administratorzy będący na nocnej zmianie zalogowali się szybciej i odnotowali load na poziomie 700 wygenerowany głównie przez serwery WWW,
- szybka analiza (tail access.log) plików dziennika serwera WWW wykazała, że masowo jest wywoływany plik search.html, który odwoływał się do bazy danych,
- szybka zamiana pliku search.html na statyczną zawartość i drastyczne zmniejszenie obciążenia pokazały, że trop jest prawidłowy,
- taki sam UserAget z około 40 różnych adresów IP i blokada adresów na firewallu,
- kilka zapytań wciąż wykorzystywało protokół IP w wersji 6 (IPv6) więc ponownie blokada adresów na firewallu,
- przed zmasowanym atakiem, zostało nawiązane jedno połączenie z irańskiego adresu IP (Teheran),
- pierwsze zapytanie zawierało dane Cookie i miało inny User-Agent oraz Referrer,
- kolejne adresy IP wskazują na perskie adresy blogów,
- na dziesięć kontaktów technicznych, które mogły pomóc – odezwały się 4,
- atakujące systemy to Windowsy w wydaniu serwerowym od wersji 2000 do 2008,
- najpewniej atakujące skrypty .ASP zostały przesłane do wykradzionych kont FTP,
- warto było kontaktować się z osobami odpowiedzialnymi za adresy źródłowe, dostarczyli oni wielu cennych informacji oraz oczyścili swoje zarażone systemy.
