Bezpieczeństwo

Botnet od środka (0)

Michał Rosiak

20 sierpnia 2015

Botnet od środka
0

Zastanawialiście się kiedyś, jak wygląda administrowanie botnetem od środka? Dzięki jednemu z moich kolegów z CERT Orange Polska macie tę wyjątkową okazję. W ogóle to sprawa wyszła przypadkiem, podczas analizy kodu źródłowego jednego z popularnych, nieco zmodyfikowanych backdoor’ów, znanego pod nazwą Kaiten.c. W efekcie ekspert trafił na kanał serwera IRCd (kto pamięta co to było? ja się czuję dinozaurem 🙂 ), administrujący botnetem wykorzystującym przejęte routery do ataku na telekomunikacyjnego giganta w USA, Comcast, a tam spotkał cyber-przestępcę we własnej cyber-osobie. Panowie porozmawiali sobie w swoim niezrozumiałym dla normalnych ludzi języku :), zły człowiek puszył się i machał ogonem, by po rozmowie z moim kolegą… pozamykać prawie wszystkie porty w komunikacji z serwerem Command&Control (C&C, serwer kontrolujący botnet), poczynając od 443 za pomocą którego wydawał polecenia botom. Dokładnie rzecz biorąc, serwer wyglądał tak:

W momencie skanowania Po rozmowie 🙂
Starting Nmap 6.40 ( http://nmap.org ) at 2015-08-18 10:14 CEST
Nmap scan report for xxx.xx.xxx.xxx
Host is up (0.21s latency).
Not shown: 996 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.3 (protocol 2.0)
311/tcp filtered asip-webadmin
443/tcp open irc Unreal ircd
1141/tcp filtered mxomss
Service Info: Host: Proxys.gov
Starting Nmap 6.40 ( http://nmap.org ) at 2015-08-18 11:08 CEST
Nmap scan report for xxx.xx.xx.xxx)
Host is up (0.19s latency).
Not shown: 999 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.3 (protocol 2.0)

Chyba się przestraszył 🙂

Tym niemniej – poniżej poszczególne kroki, opisujące, co dzieje się z botnetem, opisane przez autora analizy (jeśli masz problem z odczytaniem treści grafiki, kliknij w nią).

f7731f70cc7c7c151452feca4b99a342dec
terminal powitalny na serwerze C&C botnetu
416681e57ae9c7a9ae7886057351ad1040a 08cb951677d9fc21e25513097112db6a5d0
fragment kodu, przekazujący nam wiele ciekawych rzeczy o konfiguracji botów:
– CHAN „#LA” – nazwa kanału IRC, do którego łączą się zainfekowane urządzenia – PORT 443 – numer portu ircd – AdminUser1 do AdminUser5 – login kont uprawnionych do wydawania poleceń botom – char *servers[] = { „206.72.200.116” – zdefiniowany adres IP serwera C&C
BotMaster (przestępca zarządzajacy botnetem) wydaje na kanale #LA swojego serwera ircd polecenie aby wszystkie boty atakowały wybrany przez niego adres IP oraz port
08cb951677d9fc21e25513097112db6a5d0 08cb951677d9fc21e25513097112db6a5d0
Kontynuacja niecnych działań BotMastera
8c2713508faed7242d42ff40d7e50ca3396 368547d3a2c3f1f8ee5ff30798bbfaf16cb
Boty ukończyły atak i zwracają informacje dla BotMastera Fragment kodu źródłowego backdoora, autorstwa atakującego oraz komunikat od botów o gotowości do kolejnego ataku.
d3ecf261aeaed4322a8ebfb90f30b0c2ce9 50e0a318a9852922d524c290f39f5d30bfc
Bot zgłasza gotowość do kolejnego ataku Fragment kodu źródłowego z opisanymi funkcjami ataku dla botów.
f7731f70cc7c7c151452feca4b99a342dec
Sekcja kodu backdoora, weryfikująca uprawnienia administratora do wydania polecenia o ataku
Udostępnij: Botnet od środka
podaj nick
komentarz jest wymagany
Zweryfikuj czy jesteś człowiekiem wybierając Serce. wybierz ikonę
proszę zaznaczyć zgodę

Oferta

Poznajcie nowe Smart Plany LTE (0)

Wojtek Jabczyński

19 sierpnia 2015

Poznajcie nowe Smart Plany LTE
0

Dzisiaj zaprezentowaliśmy dziennikarzom Smart Plany LTE, które startują od 21 sierpnia i zastąpią dotychczasowe abonamenty. Prócz nielimitowanych rozmów i SMS-ów zawierają większe paczki danych na internet – do 20 GB (dla przedłużających umowy nawet 40 GB) oraz pakiet roamingowy. Nowością, na którą szczególnie chcę zwrócić Waszą uwagę, jest możliwość współkorzystania z usług w ramach Smart Planu LTE Wspólny. W jednym abonamencie za 99,99 zł miesięcznie lub 149,99 zł (bardziej wypasiony abonament i telefon) otrzymujecie aż 3 karty SIM, telefon oraz dodatkową kartę tylko do internetu. W ten sposób możecie w prosty sposób podzielić się usługami i korzystać z nich razem z bliskimi za mniejsze pieniądze. Wybrane osoby możecie dodać od razu przy podpisywaniu umowy, a także w dowolnym momencie np. kiedy wygasają ich wcześniejsze umowy. Biorąc pod uwagę, że 50 proc. gospodarstw domowych składa się 3 i więcej osób, a w nich jest średnio 2,3 karty SIM – to moim zdaniem takie oferty będą coraz popularniejsze. W nazwach planów dodaliśmy LTE. Marketing marketingiem, ale w zasięgu LTE Orange mieszka 30 mln Polaków, a dzięki wygospodarowaniu szerszego pasma częstotliwości, właśnie przyśpieszyliśmy transfer z maksymalnie 75 Mb/s do 112 Mb/s. Szczegóły nowej oferty znajdziecie w informacji dla mediów oraz tabeli, które już czekają w naszym biurze prasowym.

7a062ba6bc64826c0c6a54f0701694e0c5d

Udostępnij: Poznajcie nowe Smart Plany LTE
podaj nick
komentarz jest wymagany
Zweryfikuj czy jesteś człowiekiem wybierając Klucz. wybierz ikonę
proszę zaznaczyć zgodę

Odpowiedzialny biznes

Samba nad Wisłą (0)

Marta Cieślak-Krajewska

19 sierpnia 2015

Samba nad Wisłą
0

Po czym poznać pasję? Podobno po tym, że „robisz to z zapartym tchem nawet przy 20 stopniach mrozu i nie narzekasz”.

Pasja, o której dzisiaj mowa poradziła sobie 35 – stopniowym upałem, a to już wiele mówi o jej sile. Samba batucada, brazylijska muzyka wygrywana na bębnach, tamburynach i gwizdkach to pasja naszego kolegi z Orange Labs, Maćka. Postanowił podzielić się nią z innymi i tutaj z pomocą przyszedł nasz program – Orange Passion. Maciek zebrał zespół, w którym gra, Bloco Central, wyszedł na warszawską Pragę i… zobaczcie, co stało się dalej.

Jeśli porwała Was samba, to jeszcze macie szanse nauczyć się walić w bębny. 26, 27 i 28 sierpnia odbywają się ostatnie tego lata warsztaty w Centrum Promocji Kultury na ul. Podskarbińskiej 2 (kliknij po więcej informacji).

A już w niedzielę (30 sierpnia) zapraszam Was na Krakowskie Przedmieście na Warszawskie Wielokulturowe Street Party. Będzie także zespół Bloco Central wspierany przez młodych adeptów samby.

Udostępnij: Samba nad Wisłą
podaj nick
komentarz jest wymagany
Zweryfikuj czy jesteś człowiekiem wybierając Serce. wybierz ikonę
proszę zaznaczyć zgodę

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej