Bezpieczeństwo

Botnet od środka

Michał Rosiak Michał Rosiak
20 sierpnia 2015
Botnet od środka

Zastanawialiście się kiedyś, jak wygląda administrowanie botnetem od środka? Dzięki jednemu z moich kolegów z CERT Orange Polska macie tę wyjątkową okazję. W ogóle to sprawa wyszła przypadkiem, podczas analizy kodu źródłowego jednego z popularnych, nieco zmodyfikowanych backdoor'ów, znanego pod nazwą Kaiten.c. W efekcie ekspert trafił na kanał serwera IRCd (kto pamięta co to było? ja się czuję dinozaurem :) ), administrujący botnetem wykorzystującym przejęte routery do ataku na telekomunikacyjnego giganta w USA, Comcast, a tam spotkał cyber-przestępcę we własnej cyber-osobie. Panowie porozmawiali sobie w swoim niezrozumiałym dla normalnych ludzi języku :), zły człowiek puszył się i machał ogonem, by po rozmowie z moim kolegą... pozamykać prawie wszystkie porty w komunikacji z serwerem Command&Control (C&C, serwer kontrolujący botnet), poczynając od 443 za pomocą którego wydawał polecenia botom. Dokładnie rzecz biorąc, serwer wyglądał tak:

W momencie skanowania Po rozmowie :)
Starting Nmap 6.40 ( http://nmap.org ) at 2015-08-18 10:14 CEST

Nmap scan report for xxx.xx.xxx.xxx

Host is up (0.21s latency).

Not shown: 996 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 5.3 (protocol 2.0)

311/tcp filtered asip-webadmin

443/tcp open irc Unreal ircd

1141/tcp filtered mxomss

Service Info: Host: Proxys.gov

Starting Nmap 6.40 ( http://nmap.org ) at 2015-08-18 11:08 CEST

Nmap scan report for xxx.xx.xx.xxx)

Host is up (0.19s latency).

Not shown: 999 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 5.3 (protocol 2.0)

Chyba się przestraszył :)

Tym niemniej - poniżej poszczególne kroki, opisujące, co dzieje się z botnetem, opisane przez autora analizy (jeśli masz problem z odczytaniem treści grafiki, kliknij w nią).

f7731f70cc7c7c151452feca4b99a342dec
terminal powitalny na serwerze C&C botnetu
416681e57ae9c7a9ae7886057351ad1040a 08cb951677d9fc21e25513097112db6a5d0
fragment kodu, przekazujący nam wiele ciekawych rzeczy o konfiguracji botów:

- CHAN "#LA" - nazwa kanału IRC, do którego łączą się zainfekowane urządzenia - PORT 443 - numer portu ircd - AdminUser1 do AdminUser5 - login kont uprawnionych do wydawania poleceń botom - char *servers[] = { "206.72.200.116" - zdefiniowany adres IP serwera C&C

BotMaster (przestępca zarządzajacy botnetem) wydaje na kanale #LA swojego serwera ircd polecenie aby wszystkie boty atakowały wybrany przez niego adres IP oraz port
08cb951677d9fc21e25513097112db6a5d0 08cb951677d9fc21e25513097112db6a5d0
Kontynuacja niecnych działań BotMastera
8c2713508faed7242d42ff40d7e50ca3396 368547d3a2c3f1f8ee5ff30798bbfaf16cb
Boty ukończyły atak i zwracają informacje dla BotMastera Fragment kodu źródłowego backdoora, autorstwa atakującego oraz komunikat od botów o gotowości do kolejnego ataku.
d3ecf261aeaed4322a8ebfb90f30b0c2ce9 50e0a318a9852922d524c290f39f5d30bfc
Bot zgłasza gotowość do kolejnego ataku Fragment kodu źródłowego z opisanymi funkcjami ataku dla botów.
f7731f70cc7c7c151452feca4b99a342dec
Sekcja kodu backdoora, weryfikująca uprawnienia administratora do wydania polecenia o ataku


Oferta

Poznajcie nowe Smart Plany LTE

Wojtek Jabczyński Wojtek Jabczyński
19 sierpnia 2015
Poznajcie nowe Smart Plany LTE

Dzisiaj zaprezentowaliśmy dziennikarzom Smart Plany LTE, które startują od 21 sierpnia i zastąpią dotychczasowe abonamenty. Prócz nielimitowanych rozmów i SMS-ów zawierają większe paczki danych na internet - do 20 GB (dla przedłużających umowy nawet 40 GB) oraz pakiet roamingowy. Nowością, na którą szczególnie chcę zwrócić Waszą uwagę, jest możliwość współkorzystania z usług w ramach Smart Planu LTE Wspólny. W jednym abonamencie za 99,99 zł miesięcznie lub 149,99 zł (bardziej wypasiony abonament i telefon) otrzymujecie aż 3 karty SIM, telefon oraz dodatkową kartę tylko do internetu. W ten sposób możecie w prosty sposób podzielić się usługami i korzystać z nich razem z bliskimi za mniejsze pieniądze. Wybrane osoby możecie dodać od razu przy podpisywaniu umowy, a także w dowolnym momencie np. kiedy wygasają ich wcześniejsze umowy. Biorąc pod uwagę, że 50 proc. gospodarstw domowych składa się 3 i więcej osób, a w nich jest średnio 2,3 karty SIM - to moim zdaniem takie oferty będą coraz popularniejsze. W nazwach planów dodaliśmy LTE. Marketing marketingiem, ale w zasięgu LTE Orange mieszka 30 mln Polaków, a dzięki wygospodarowaniu szerszego pasma częstotliwości, właśnie przyśpieszyliśmy transfer z maksymalnie 75 Mb/s do 112 Mb/s. Szczegóły nowej oferty znajdziecie w informacji dla mediów oraz tabeli, które już czekają w naszym biurze prasowym.

7a062ba6bc64826c0c6a54f0701694e0c5d


Odpowiedzialny biznes

Samba nad Wisłą

Marta Krajewska Marta Krajewska
19 sierpnia 2015
Samba nad Wisłą

Po czym poznać pasję? Podobno po tym, że „robisz to z zapartym tchem nawet przy 20 stopniach mrozu i nie narzekasz”.

Pasja, o której dzisiaj mowa poradziła sobie 35 – stopniowym upałem, a to już wiele mówi o jej sile. Samba batucada, brazylijska muzyka wygrywana na bębnach, tamburynach i gwizdkach to pasja naszego kolegi z Orange Labs, Maćka. Postanowił podzielić się nią z innymi i tutaj z pomocą przyszedł nasz program – Orange Passion. Maciek zebrał zespół, w którym gra, Bloco Central, wyszedł na warszawską Pragę i... zobaczcie, co stało się dalej.

Jeśli porwała Was samba, to jeszcze macie szanse nauczyć się walić w bębny. 26, 27 i 28 sierpnia odbywają się ostatnie tego lata warsztaty w Centrum Promocji Kultury na ul. Podskarbińskiej 2 (kliknij po więcej informacji).

A już w niedzielę (30 sierpnia) zapraszam Was na Krakowskie Przedmieście na Warszawskie Wielokulturowe Street Party. Będzie także zespół Bloco Central wspierany przez młodych adeptów samby.

Scroll to Top