Bezpieczeństwo

Botnet od środka

Michał Rosiak Michał Rosiak
20 sierpnia 2015
Botnet od środka

Zastanawialiście się kiedyś, jak wygląda administrowanie botnetem od środka? Dzięki jednemu z moich kolegów z CERT Orange Polska macie tę wyjątkową okazję. W ogóle to sprawa wyszła przypadkiem, podczas analizy kodu źródłowego jednego z popularnych, nieco zmodyfikowanych backdoor'ów, znanego pod nazwą Kaiten.c. W efekcie ekspert trafił na kanał serwera IRCd (kto pamięta co to było? ja się czuję dinozaurem :) ), administrujący botnetem wykorzystującym przejęte routery do ataku na telekomunikacyjnego giganta w USA, Comcast, a tam spotkał cyber-przestępcę we własnej cyber-osobie. Panowie porozmawiali sobie w swoim niezrozumiałym dla normalnych ludzi języku :), zły człowiek puszył się i machał ogonem, by po rozmowie z moim kolegą... pozamykać prawie wszystkie porty w komunikacji z serwerem Command&Control (C&C, serwer kontrolujący botnet), poczynając od 443 za pomocą którego wydawał polecenia botom. Dokładnie rzecz biorąc, serwer wyglądał tak:

W momencie skanowania Po rozmowie :)
Starting Nmap 6.40 ( http://nmap.org ) at 2015-08-18 10:14 CEST

Nmap scan report for xxx.xx.xxx.xxx

Host is up (0.21s latency).

Not shown: 996 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 5.3 (protocol 2.0)

311/tcp filtered asip-webadmin

443/tcp open irc Unreal ircd

1141/tcp filtered mxomss

Service Info: Host: Proxys.gov

Starting Nmap 6.40 ( http://nmap.org ) at 2015-08-18 11:08 CEST

Nmap scan report for xxx.xx.xx.xxx)

Host is up (0.19s latency).

Not shown: 999 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 5.3 (protocol 2.0)

Chyba się przestraszył :)

Tym niemniej - poniżej poszczególne kroki, opisujące, co dzieje się z botnetem, opisane przez autora analizy (jeśli masz problem z odczytaniem treści grafiki, kliknij w nią).

f7731f70cc7c7c151452feca4b99a342dec
terminal powitalny na serwerze C&C botnetu
416681e57ae9c7a9ae7886057351ad1040a 08cb951677d9fc21e25513097112db6a5d0
fragment kodu, przekazujący nam wiele ciekawych rzeczy o konfiguracji botów:

- CHAN "#LA" - nazwa kanału IRC, do którego łączą się zainfekowane urządzenia - PORT 443 - numer portu ircd - AdminUser1 do AdminUser5 - login kont uprawnionych do wydawania poleceń botom - char *servers[] = { "206.72.200.116" - zdefiniowany adres IP serwera C&C

BotMaster (przestępca zarządzajacy botnetem) wydaje na kanale #LA swojego serwera ircd polecenie aby wszystkie boty atakowały wybrany przez niego adres IP oraz port
08cb951677d9fc21e25513097112db6a5d0 08cb951677d9fc21e25513097112db6a5d0
Kontynuacja niecnych działań BotMastera
8c2713508faed7242d42ff40d7e50ca3396 368547d3a2c3f1f8ee5ff30798bbfaf16cb
Boty ukończyły atak i zwracają informacje dla BotMastera Fragment kodu źródłowego backdoora, autorstwa atakującego oraz komunikat od botów o gotowości do kolejnego ataku.
d3ecf261aeaed4322a8ebfb90f30b0c2ce9 50e0a318a9852922d524c290f39f5d30bfc
Bot zgłasza gotowość do kolejnego ataku Fragment kodu źródłowego z opisanymi funkcjami ataku dla botów.
f7731f70cc7c7c151452feca4b99a342dec
Sekcja kodu backdoora, weryfikująca uprawnienia administratora do wydania polecenia o ataku


Oferta

Poznajcie nowe Smart Plany LTE

Wojtek Jabczyński Wojtek Jabczyński
19 sierpnia 2015
Poznajcie nowe Smart Plany LTE

Dzisiaj zaprezentowaliśmy dziennikarzom Smart Plany LTE, które startują od 21 sierpnia i zastąpią dotychczasowe abonamenty. Prócz nielimitowanych rozmów i SMS-ów zawierają większe paczki danych na internet - do 20 GB (dla przedłużających umowy nawet 40 GB) oraz pakiet roamingowy. Nowością, na którą szczególnie chcę zwrócić Waszą uwagę, jest możliwość współkorzystania z usług w ramach Smart Planu LTE Wspólny. W jednym abonamencie za 99,99 zł miesięcznie lub 149,99 zł (bardziej wypasiony abonament i telefon) otrzymujecie aż 3 karty SIM, telefon oraz dodatkową kartę tylko do internetu. W ten sposób możecie w prosty sposób podzielić się usługami i korzystać z nich razem z bliskimi za mniejsze pieniądze. Wybrane osoby możecie dodać od razu przy podpisywaniu umowy, a także w dowolnym momencie np. kiedy wygasają ich wcześniejsze umowy. Biorąc pod uwagę, że 50 proc. gospodarstw domowych składa się 3 i więcej osób, a w nich jest średnio 2,3 karty SIM - to moim zdaniem takie oferty będą coraz popularniejsze. W nazwach planów dodaliśmy LTE. Marketing marketingiem, ale w zasięgu LTE Orange mieszka 30 mln Polaków, a dzięki wygospodarowaniu szerszego pasma częstotliwości, właśnie przyśpieszyliśmy transfer z maksymalnie 75 Mb/s do 112 Mb/s. Szczegóły nowej oferty znajdziecie w informacji dla mediów oraz tabeli, które już czekają w naszym biurze prasowym.

7a062ba6bc64826c0c6a54f0701694e0c5d


Odpowiedzialny biznes

Samba nad Wisłą

Marta Krajewska Marta Krajewska
19 sierpnia 2015
Samba nad Wisłą

Po czym poznać pasję? Podobno po tym, że „robisz to z zapartym tchem nawet przy 20 stopniach mrozu i nie narzekasz”.

Pasja, o której dzisiaj mowa poradziła sobie 35 – stopniowym upałem, a to już wiele mówi o jej sile. Samba batucada, brazylijska muzyka wygrywana na bębnach, tamburynach i gwizdkach to pasja naszego kolegi z Orange Labs, Maćka. Postanowił podzielić się nią z innymi i tutaj z pomocą przyszedł nasz program – Orange Passion. Maciek zebrał zespół, w którym gra, Bloco Central, wyszedł na warszawską Pragę i... zobaczcie, co stało się dalej.

Jeśli porwała Was samba, to jeszcze macie szanse nauczyć się walić w bębny. 26, 27 i 28 sierpnia odbywają się ostatnie tego lata warsztaty w Centrum Promocji Kultury na ul. Podskarbińskiej 2 (kliknij po więcej informacji).

A już w niedzielę (30 sierpnia) zapraszam Was na Krakowskie Przedmieście na Warszawskie Wielokulturowe Street Party. Będzie także zespół Bloco Central wspierany przez młodych adeptów samby.

Scroll to Top
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.