;

Bezpieczeństwo

Botnet od środka (0)

Michał Rosiak

20 sierpnia 2015

Botnet od środka
0

Zastanawialiście się kiedyś, jak wygląda administrowanie botnetem od środka? Dzięki jednemu z moich kolegów z CERT Orange Polska macie tę wyjątkową okazję. W ogóle to sprawa wyszła przypadkiem, podczas analizy kodu źródłowego jednego z popularnych, nieco zmodyfikowanych backdoor’ów, znanego pod nazwą Kaiten.c. W efekcie ekspert trafił na kanał serwera IRCd (kto pamięta co to było? ja się czuję dinozaurem 🙂 ), administrujący botnetem wykorzystującym przejęte routery do ataku na telekomunikacyjnego giganta w USA, Comcast, a tam spotkał cyber-przestępcę we własnej cyber-osobie. Panowie porozmawiali sobie w swoim niezrozumiałym dla normalnych ludzi języku :), zły człowiek puszył się i machał ogonem, by po rozmowie z moim kolegą… pozamykać prawie wszystkie porty w komunikacji z serwerem Command&Control (C&C, serwer kontrolujący botnet), poczynając od 443 za pomocą którego wydawał polecenia botom. Dokładnie rzecz biorąc, serwer wyglądał tak:

W momencie skanowania Po rozmowie 🙂
Starting Nmap 6.40 ( http://nmap.org ) at 2015-08-18 10:14 CEST
Nmap scan report for xxx.xx.xxx.xxx
Host is up (0.21s latency).
Not shown: 996 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.3 (protocol 2.0)
311/tcp filtered asip-webadmin
443/tcp open irc Unreal ircd
1141/tcp filtered mxomss
Service Info: Host: Proxys.gov
Starting Nmap 6.40 ( http://nmap.org ) at 2015-08-18 11:08 CEST
Nmap scan report for xxx.xx.xx.xxx)
Host is up (0.19s latency).
Not shown: 999 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.3 (protocol 2.0)

Chyba się przestraszył 🙂

Tym niemniej – poniżej poszczególne kroki, opisujące, co dzieje się z botnetem, opisane przez autora analizy (jeśli masz problem z odczytaniem treści grafiki, kliknij w nią).

f7731f70cc7c7c151452feca4b99a342dec
terminal powitalny na serwerze C&C botnetu
416681e57ae9c7a9ae7886057351ad1040a 08cb951677d9fc21e25513097112db6a5d0
fragment kodu, przekazujący nam wiele ciekawych rzeczy o konfiguracji botów:
– CHAN „#LA” – nazwa kanału IRC, do którego łączą się zainfekowane urządzenia – PORT 443 – numer portu ircd – AdminUser1 do AdminUser5 – login kont uprawnionych do wydawania poleceń botom – char *servers[] = { „206.72.200.116” – zdefiniowany adres IP serwera C&C
BotMaster (przestępca zarządzajacy botnetem) wydaje na kanale #LA swojego serwera ircd polecenie aby wszystkie boty atakowały wybrany przez niego adres IP oraz port
08cb951677d9fc21e25513097112db6a5d0 08cb951677d9fc21e25513097112db6a5d0
Kontynuacja niecnych działań BotMastera
8c2713508faed7242d42ff40d7e50ca3396 368547d3a2c3f1f8ee5ff30798bbfaf16cb
Boty ukończyły atak i zwracają informacje dla BotMastera Fragment kodu źródłowego backdoora, autorstwa atakującego oraz komunikat od botów o gotowości do kolejnego ataku.
d3ecf261aeaed4322a8ebfb90f30b0c2ce9 50e0a318a9852922d524c290f39f5d30bfc
Bot zgłasza gotowość do kolejnego ataku Fragment kodu źródłowego z opisanymi funkcjami ataku dla botów.
f7731f70cc7c7c151452feca4b99a342dec
Sekcja kodu backdoora, weryfikująca uprawnienia administratora do wydania polecenia o ataku
Udostępnij: Botnet od środka
podaj nick
komentarz jest wymagany
Zweryfikuj czy jesteś człowiekiem wybierając Gwiazda. wybierz ikonę
proszę zaznaczyć zgodę

;

Oferta

Poznajcie nowe Smart Plany LTE (0)

Wojtek Jabczyński

19 sierpnia 2015

Poznajcie nowe Smart Plany LTE
0

Dzisiaj zaprezentowaliśmy dziennikarzom Smart Plany LTE, które startują od 21 sierpnia i zastąpią dotychczasowe abonamenty. Prócz nielimitowanych rozmów i SMS-ów zawierają większe paczki danych na internet – do 20 GB (dla przedłużających umowy nawet 40 GB) oraz pakiet roamingowy. Nowością, na którą szczególnie chcę zwrócić Waszą uwagę, jest możliwość współkorzystania z usług w ramach Smart Planu LTE Wspólny. W jednym abonamencie za 99,99 zł miesięcznie lub 149,99 zł (bardziej wypasiony abonament i telefon) otrzymujecie aż 3 karty SIM, telefon oraz dodatkową kartę tylko do internetu. W ten sposób możecie w prosty sposób podzielić się usługami i korzystać z nich razem z bliskimi za mniejsze pieniądze. Wybrane osoby możecie dodać od razu przy podpisywaniu umowy, a także w dowolnym momencie np. kiedy wygasają ich wcześniejsze umowy. Biorąc pod uwagę, że 50 proc. gospodarstw domowych składa się 3 i więcej osób, a w nich jest średnio 2,3 karty SIM – to moim zdaniem takie oferty będą coraz popularniejsze. W nazwach planów dodaliśmy LTE. Marketing marketingiem, ale w zasięgu LTE Orange mieszka 30 mln Polaków, a dzięki wygospodarowaniu szerszego pasma częstotliwości, właśnie przyśpieszyliśmy transfer z maksymalnie 75 Mb/s do 112 Mb/s. Szczegóły nowej oferty znajdziecie w informacji dla mediów oraz tabeli, które już czekają w naszym biurze prasowym.

7a062ba6bc64826c0c6a54f0701694e0c5d

Udostępnij: Poznajcie nowe Smart Plany LTE
podaj nick
komentarz jest wymagany
Zweryfikuj czy jesteś człowiekiem wybierając Ciężarówka. wybierz ikonę
proszę zaznaczyć zgodę

;

Odpowiedzialny biznes

Samba nad Wisłą (0)

Marta Cieślak-Krajewska

19 sierpnia 2015

Samba nad Wisłą
0

Po czym poznać pasję? Podobno po tym, że „robisz to z zapartym tchem nawet przy 20 stopniach mrozu i nie narzekasz”.

Pasja, o której dzisiaj mowa poradziła sobie 35 – stopniowym upałem, a to już wiele mówi o jej sile. Samba batucada, brazylijska muzyka wygrywana na bębnach, tamburynach i gwizdkach to pasja naszego kolegi z Orange Labs, Maćka. Postanowił podzielić się nią z innymi i tutaj z pomocą przyszedł nasz program – Orange Passion. Maciek zebrał zespół, w którym gra, Bloco Central, wyszedł na warszawską Pragę i… zobaczcie, co stało się dalej.

Jeśli porwała Was samba, to jeszcze macie szanse nauczyć się walić w bębny. 26, 27 i 28 sierpnia odbywają się ostatnie tego lata warsztaty w Centrum Promocji Kultury na ul. Podskarbińskiej 2 (kliknij po więcej informacji).

A już w niedzielę (30 sierpnia) zapraszam Was na Krakowskie Przedmieście na Warszawskie Wielokulturowe Street Party. Będzie także zespół Bloco Central wspierany przez młodych adeptów samby.

Udostępnij: Samba nad Wisłą
podaj nick
komentarz jest wymagany
Zweryfikuj czy jesteś człowiekiem wybierając Gwiazda. wybierz ikonę
proszę zaznaczyć zgodę

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej