Stefan Ortloff
W skrócie
Informacje wprowadzające
W styczniu tego roku zidentyfikowaliśmy nową rodzinę backdoorów wieloplatformowych stworzonych dla środowisk desktopowych. Po wykryciu binariów dla systemów Linux i Windows w końcu trafiliśmy na wersję Mokes.A, stworzoną dla systemu OS X. Została ona napisana w języku C++ przy użyciu...
Analizy
Blog
Wprowadzenie
Niedawno trafiliśmy na nową rodzinę backdoorów wieloplatformowych dla środowisk desktopów. Najpierw zdobyliśmy wariant dla Linuksa. Przy użyciu informacji wydobytych z jego elementu binarnego zdołaliśmy również znaleźć wariant dla desktopów z Windowsem. Obie wersje były dodatkowo wyposażone w ważną sygnaturę podpisywania kodu. Przyjrzyjmy się im.
DropboxCache znany również jako Backdoor.Linux.Mokes.a
Ten backdoor dla systemów operacyjnych opartych na Linuksie został spakowany za pośrednictwem UPX i zawiera funkcje służące do monitorowania działań ofiary, łącznie z kodem zapewniającym przechwytywanie dźwięku i wykonywanie zrzutów ekranu.
Po pierwszym wykonaniu element binarny sprawdza własną ścieżkę pliku i, w razie konieczności, kopiuje się do jednej z poniższych...
Kilka miesięcy później nasi analitycy natknęli się na nową wersję szkodliwego oprogramowania odpowiedzialnego za przyłączanie komputerów do botnetu ze znacznymi zmianami w protokole komunikacji oraz nowymi „funkcjami”, takimi jak infekowanie dysków flash czy kradzież portfela bitcoinów.
Z przyjemnością informujemy, że we współpracy z CrowdStrike Intelligence Team, Honeynet Project oraz Dell SecureWorks zdołaliśmy rozbić ten nowy botnet.
W zeszłym tygodniu ustawiliśmy rozproszone na całym świecie maszyny w celu przeprowadzenia operacji zasysania (sinkholing) i w środę 21 marca rozpoczęliśmy zsynchronizowane rozprzestrzenianie adresu IP naszego leja (sinkhole)...
Analizy
Blog
P: Co to jest botnet peer-to-peer?
O: W przeciwieństwie do klasycznego botnetu, botnet peer-to-peer nie wykorzystuje scentralizowanego serwera kontroli (C&C). Każdy członek sieci może działać jako serwer oraz/lub klient. Z punktu widzenia szkodliwego użytkownika zaletami takiej struktury jest pominięcie centralnego C&C jako pojedynczego punktu awarii. Z naszego punktu widzenia tego rodzaju botnet jest znacznie trudniejszy do zniszczenia.
Architektura tradycyjnego botnetu oraz botnetu P2P:
P: Kiedy Hlux/Kelihos został po raz pierwszy wykryty na...
Analizy
Blog
Podczas tej popularnej imprezy poruszono szerokie spektrum tematów, podzielonych na sześć różnych wątków: Community, Culture, Hacking, Making, Science and Society.
Wszystkie rozmowy były podzielone na grupy i nagrywane.
Wczoraj rozpoczęła się również nowa, niezależna od CCC impreza o nazwie BerlinSides, która skupia się na bezpieczeństwie informatycznym i jest organizowana przez Aluc.TV oraz SecurityBsides.com. Odbywa się w jednym z najstarszych miejsc hakerskich na świecie, sławnej berlińskiej c-base.