» »

Analiza slovenskega Facebook botneta

Analiza slovenskega Facebook botneta

Arnes - Vam je prijatelj na Facebook zidu pustil sporočilo, kako vas je videl v filmčku in se zraven smejal? Če ste sledili navodilom, potem ste se lahko okužili z botom, ki se je širil prejšnji teden med Facebook uporabniki. Na SI-CERT-u smo pogledali v kodo, nekaj časa opazovali bota v svojem peskovniku in celo našli avtorja.

Več v SI-CERT fokusu: "Analiza slovenskega Facebook botneta"

50 komentarjev

«
1
2

r0ker ::

ooo lepo lepo. me veseli, da se lahko ob delu še zabavate ;)

SasoS ::

Hm..jaz sem imel vdor na en strežnik v nedeljo. Uporabnik je imel random generirano geslo, v logih tudi ni bilo da bi ga kdo bruteforcal. Tole bi znalo marsikaj pojasniti...če je botnet kradel gesla...

AndrejS ::

Našli avtorja.. in kdo je avtor ?

Slowenc ::

kakšne sankcije pa lahko doletijo tega Tončka?
Skiny gate.

r0ker ::

to je dober prikaz računalniške pismenosti uporabnikov facebooka in splošna varnost takih strani

sss ::

v slovenskem prostoru bolj majhne slowenc

javni linč je še najbolj boleč

Dragi ::

Odpiral sporočila o izbrisu virusov, preusmerjal na pornografske strani, editiral dns zapise...
Keri nesposobnež.

Raznorazni napadi z dobrim botnetom se na črnem trgu mastno prodajajo. A ta debilko je šel preusmerjat web traffic... Jao..:O

bosmla ::

Kako najhitreje lahko preveris ce je bil sistem okuzen? Ali datoteka "winsi.exe" ostane na disku?

Ze imam obupane klice, da imajo MOGOCE to stvar gor - pa nimajo pojma ali so pognali kaj ali ne (ti fejsbokerji so zabiti do amena)

jerry2000 ::

Mene pa zanima ali je bil uporabnik predan policiji, vsaj pričakujem da je za tako dejanje bilo tako, če so dobili vse podatke o njemu. Ker to pač niso igrice otroške, da narediš kaj takega... Pogrešam to na zaključku obvestila. Ker tako kot je napisano... deluje vse skupaj kot ena nedolžna šala kar pa ni.

Ker jaz imam dovolj vseh teh hekerjev, pa jih nimam komu prijaviti. Na moj server se ves čas logirajo oz. skušajo kot admin logirati po 100.000x na dan, da o spamu ne govorim. Pa se zdi, da je to policiji povsem nepomembno, raje lovi mulce, ki snemajo glasbo z neta. Zato me res zanima kaj se bo ukrenilo glede tega odkritja.
Jerry and Tom

Dragi ::

Na moj server se ves čas logirajo oz. skušajo kot admin logirati po 100.000x na dan
So oni krivi če si nesposoben?
Omeji login na ip, oz ip range.
Če ne moreš, nastavi da blacklista ip za vedno v kolikor je več neveljavnih poskusov prijavljanja.

Bosmla, je lepo rečeno. Če ne dela antivirus, če ti odpira porno strani in meče da je računalnik okužen, potem so staknili to.

Nimkapu ::

Mogoč je pa rad zaželjen :)

jerry2000 ::

Dragi, you missed the point...

Je lopov kriv če si nesposoben in ga nisi videl, ko te je mahnil po glavi in ti ukradel torbo?
Jerry and Tom

jerry2000 ::

in BTW: Windows 2008 nimajo možnosti da blacklista IP-je kjer se večkrat logiraš narobe. In kako naj po tvoje zamejim spamerje da ne smetijo mojih userjev? Saj nisem rekel da pridejo skozi, rekel sem da napadajo, sankcij pa za take stvari ni. Kot verjetno tudi tale dečko ne bo kaznovan za ta frajerski trojanec.
Jerry and Tom

Lion29 ::

lopov ni kriv, ti si kriv
Founder and CTO @ Article-Factory.ai

Zgodovina sprememb…

  • spremenil: Lion29 ()

BadB0y ::

jerry2000 je izjavil:

in BTW: Windows 2008 nimajo možnosti da blacklista IP-je kjer se večkrat logiraš narobe. In kako naj po tvoje zamejim spamerje da ne smetijo mojih userjev? Saj nisem rekel da pridejo skozi, rekel sem da napadajo, sankcij pa za take stvari ni. Kot verjetno tudi tale dečko ne bo kaznovan za ta frajerski trojanec.



Pozarni zid je tvoj najbolši prijatelj....


Dragi ::

jerry2000 je izjavil:

Dragi, you missed the point...

Je lopov kriv če si nesposoben in ga nisi videl, ko te je mahnil po glavi in ti ukradel torbo?


Lopov je kriv za krajo. Ti si pa kriv, da si nesposoben, ker se nisi ubranil, čeprav bi se v tem primeru lahko.

Btw, ta primer je zgrešen, ker ti jasno vidiš da ti nekdo nabija bruteforce pa glede tega ne ukreneš nič.
Če podam nov, bolj relevanten primer:

Je lopov kriv, če si nesposoben, ko si ga videl na 100m kako hodi proti tebi z kijem, se ti približa, te udari po faci, ti ukrade torbico, ti pa nisi naredil nič da to preprečiš, čeprav si z veliko gotovostjo vedel kaj se bo zgodilo?

Nisem nič sfalil pointa. Dokler imajo razlog, da rinejo na tvoj server, potem je na TEBI da ga zaščitiš. Če ga ne boš, boš TI krivec za vdor.

Lep pozakonjen primer je z avtomobili in krajo le teh.
V kolikor pustiš priprto avtomobilsko okno in ti vdrejo v avto ter odtujijo lastnino v njem, boš TI kriv za krajo in škodo ki je morebiti nastala. Razlog za to naj bi ležal v tvoji malomarnosti, saj z priprtim oknom provociraš tatu (pregovor: prilika dela tatu).
Če ne verjameš, pokliči na policijo in vprašaj.

Edit: Sem ravnokar vidu:

SasoS je izjavil:

Hm..jaz sem imel vdor na en strežnik v nedeljo. Uporabnik je imel random generirano geslo, v logih tudi ni bilo da bi ga kdo bruteforcal. Tole bi znalo marsikaj pojasniti...če je botnet kradel gesla...

Lastiš si strežnik, pa še vseeno klikaš na transparentne bedarije kot je ta v novici? Jok...

Zgodovina sprememb…

  • spremenil: Dragi ()

SasoS ::

pa kje sem napisal da sem jaz klikal ali da je bil moj account pohackan? :\

Pyr0Beast ::

Tole z odgovorostjo in malomarnostjo je ena taka pravniska frka. Ni clovek kriv ce ga obkradejo, pa ce se je znal ali ni znal obraniti. Drzava je kriva ker takega povzrocitelja ni odstranila iz druzbe.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

ABX ::

Kar nekaj ljudi me je klicalo zaradi te okužbe.

Kot vedno so to Windows uporabniki.
Vaša inštalacija je uspešno spodletela!

Steinkauz ::

Če je pisan za windows, bi težko bli uporabniki ostalih OS...

Dragi ::

SasoS je izjavil:

pa kje sem napisal da sem jaz klikal ali da je bil moj account pohackan? :\

Se posipam z pepelom. :D

Tole z odgovorostjo in malomarnostjo je ena taka pravniska frka. Ni clovek kriv ce ga obkradejo, pa ce se je znal ali ni znal obraniti. Drzava je kriva ker takega povzrocitelja ni odstranila iz druzbe.
Ne bo držalo. Ne moreš vso odgovornost prenest na državo in osebe ki kradejo. Smeh.
Prilika dela tatu. Poznaš to?

Pyr0Beast ::

Prilika dela tatu. Poznaš to?
Tat ze obstaja. Prilika mu da motivacijo da kaj takega naredi.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

RookY ::

Jest bi se samo spotaknil ob pregovor "prilika dela tatu", ki je popolnoma debilen.
Prilika razkrije tatu, bi se mogel glasiti.
Na jetra mi gre, da se sploh uporablja, ker uporabljajo in zagavorajajo ga taki ki so v osnovi lopovi.
Mi gre tudi na jetra, da moram prav bolano zaklepat vse po spisku, zapirat šajbe, v zaklenjeni garaži še z debelo ketno dodatno vse zaklenjeno, drgač vse shodi.
Jest ne bom nobenmu v stanovanje rinu, pa če ma odpra vsa vrata, ne bom torbice sunu iz sprednjega zica ob odprti šajbi....lopov jo bo...pa magari mu je to prvič.
Če bi bli vsi pošteni, ne bi rabili ključavnic, alarmov, firewallv, antvirusa itd.
Juhu juhu spet bom bruhu

Dragi ::

Jest ne bom nobenmu v stanovanje rinu, pa če ma odpra vsa vrata, ne bom torbice sunu iz sprednjega zica ob odprti šajbi....lopov jo bo...pa magari mu je to prvič.

Ne bit tok siguren. ;)
Bi zarinu noter sigurno, sam tapravo motivacijo bi moral imet.
Iz tega -> Prilika dela tatu.

Če bi bli vsi pošteni, ne bi rabili ključavnic, alarmov, firewallv, antvirusa itd.
Če čebula ne bi imela če bi bila le bula...

Če bi bili vsi pošteni fizična lastnina ne bi bila pomembna kot je, ampak bi več veljala skrb za sočloveka, kot pa do materialnih dobrin.
Dajmo izpustit te "če".

T-h-o-r ::

it is

;((


mislim

ko je tudi na messengerju ista finta, da ti pošlje nek link in v bedni angleščini: omg, is this you? pa folk klika :bruh:
Why have a civilization anymore
if we no longer are interested in being civilized?

333333 ::

Heh lepa :) Upam da ga bo izučilo kaj oz what not to do next time :)


Kakšne pa so sankcije pri nas za takšne primere? je zagrozena zaporna kazen al dobis samo dozivljensko prepoved interneta pri Siolu recimo?
Spiritual

RookY ::

Lej, ne sodi drugih po sebi.
Bi zarinu noter sigurno, sam tapravo motivacijo bi moral imet.
Iz tega -> Prilika dela tatu.

Če bi bil jest in familija lačen bi ja, sicer ZIHR ne...it tega: eksistncijaln tažev dela tatu

verjetno si ta zdejšna generacija, ki si med igranjem online iger, kar med igro meni za cheate in se jim to zdi normalno, zato se mi vse skup kar pišem mal čudn zdi.
Ker se imaš za "poštenga", ukradu bi pa marskej, če bi bla prilika.

Če bi bili vsi pošteni fizična lastnina ne bi bila pomembna kot je, ampak bi več veljala skrb za sočloveka, kot pa do materialnih dobrin.
Dajmo izpustit te "če".

Ja, spustimo "če" in kradimo naprej...
Ne vem kaj te motjo če-ji...
Juhu juhu spet bom bruhu

c0dehunter ::

Tole je verjetno samo dodatno kriptiran private bot (kar pomeni da ga verjetno sploh ni sam napisal). Eden izmed povezanih botov je zagotovo NESbot, čeprav ne nujno da ta verzija.

Toliko o brihtnem Tončku.
I do not agree with what you have to say,
but I'll defend to the death your right to say it.

poweroff ::

Po moje da so na Tončkova vrata že potrkali kriminalisti... Evo, kolk je Facebook fajn.
sudo poweroff

333333 ::

Dodatno kriptiran private bot? Lahko razložiš to malo? :)
Spiritual

c0dehunter ::

poe_T, večina botov, ki so narejeni z namenom da avtor z njihovo prodajo zasluži (torej niso za lastno uporabo), je prej kot slej znana AV programom - tudi če je bot "private" kar pomeni da si ga lahko privoščijo le posamezniki za visoke vsote (od 200EUR naprej) in ga, logično, neradi delijo z drugimi. Kot rečeno, pa vsak bot enkrat pride v AV malware bazo. No, in potem po kakem letu se kdo ki je kupil tak bot odloči, da ga bo dal na razpolago drugim, ker je že itak zaznan pri večini AV.
No, tukaj pridejo v uporabo t.i. FUD (fully undetectable) crypterji, ki spet nekaj stanejo (ampak bistveno manj od botov samih), ki jih potem "hekerji" uporabljajo za "recikliranje" starih botov.

Tak na kratko :)
I do not agree with what you have to say,
but I'll defend to the death your right to say it.

MrBrdo ::

c0dehunter je izjavil:

si ga lahko privoščijo le posamezniki za visoke vsote (od 200EUR naprej)

u mater to pa je dnar... :D

a sankcij ne bo?
MrBrdo

imagodei ::

Mimogrede,

pol SiOL-a je bilo v začetku tedna na Blacklisti. Sem pošiljal en e-mail na Mobitel, pa mi ga je zavračalo; vrgel sem se v pregledovanje, kaj bi lahko bilo narobe in sem pogruntal, da dejansko nič ni narobe v naši firmi, naš IP je bil nedolžen in čist kot solza, je pa nekaj ponudnikov blacklist dejansko blokiralo velik del STATIČNIH IP številk SiOL-a.

Needless to say, je trajalo nekaj časa, preden sem SiOL-ovim študentkom na pomoči razložil, za kaj gre. Vmes sem kontaktiral že tudi Mobitelovo IT službo, da so potrdili, da je problem v blacklisti in so me dali na Whitelisto. Potem sem le dobil odgovor iz SiOL-ove tehnične pomoči, bolj PR diplomatski odgovor je to bil, češ da se zavedajo problema in da ga odpravljajo.

Potem sem jim pa zastavil vprašanje, če je slučajno to povezano s črvom na Facebooku, pa mi niso nič odgovorili. Zdej ne vem, a jim je nerodno, ali pa se jim ne zdi odgovarjat :). Anyway, a kdo od vas überznalcev mogoče ve, a bi to blacklistanje SiOL-a utegnilo bit povezano s slovenskim Facebook črvom?
- Hoc est qui sumus -

Dragi ::

Dvomim, saj ni črv ni pošiljal nobenih mailov. Vsaj ni bilo omenjeno.

Drugače ne razumem, laufaš smtp server na siolovem ipju da so ga blacklistali al kako? Če uporabljaš siolov smtp, tisto itak ne bo blacklistano, xy vendorji, kao gmail, hotmail pa ti pa sploh ni šanse da bodo.

ABX ::

imagodei je izjavil:

Mimogrede,

pol SiOL-a je bilo v začetku tedna na Blacklisti. Sem pošiljal en e-mail na Mobitel, pa mi ga je zavračalo; vrgel sem se v pregledovanje, kaj bi lahko bilo narobe in sem pogruntal, da dejansko nič ni narobe v naši firmi, naš IP je bil nedolžen in čist kot solza, je pa nekaj ponudnikov blacklist dejansko blokiralo velik del STATIČNIH IP številk SiOL-a.

Needless to say, je trajalo nekaj časa, preden sem SiOL-ovim študentkom na pomoči razložil, za kaj gre. Vmes sem kontaktiral že tudi Mobitelovo IT službo, da so potrdili, da je problem v blacklisti in so me dali na Whitelisto. Potem sem le dobil odgovor iz SiOL-ove tehnične pomoči, bolj PR diplomatski odgovor je to bil, češ da se zavedajo problema in da ga odpravljajo.

Potem sem jim pa zastavil vprašanje, če je slučajno to povezano s črvom na Facebooku, pa mi niso nič odgovorili. Zdej ne vem, a jim je nerodno, ali pa se jim ne zdi odgovarjat :). Anyway, a kdo od vas überznalcev mogoče ve, a bi to blacklistanje SiOL-a utegnilo bit povezano s slovenskim Facebook črvom?


Hoj znat.
Če črv med drugim naloži smtp klienta je čisto možno.
Vaša inštalacija je uspešno spodletela!

Dragi ::

Sej pravim, da bi ga potem blacklistali samo če bi ON dejansko SAM postavil smtp na SVOJEM siol ipju.

Če pošilja prek koga drugega (kar verjetno tudi, glede na to da postavljat smtp na privat ipju je bedarije), se mi vse skup zelo čudno zdi.

No pustimo, naj razloži.

ABX ::

Dragi je izjavil:

Sej pravim, da bi ga potem blacklistali samo če bi ON dejansko SAM postavil smtp na SVOJEM siol ipju.

Če pošilja prek koga drugega (kar verjetno tudi, glede na to da postavljat smtp na privat ipju je bedarije), se mi vse skup zelo čudno zdi.

No pustimo, naj razloži.


Odvisno, lahko da je bilo okuženih preveč IP-jev in so blacklistali cel segment.
Vaša inštalacija je uspešno spodletela!

imagodei ::

> "glede na to da postavljat smtp na privat ipju je bedarije"

Hm, sem pa mislil, da ima veliko podjetij tako urejeno... Lasten server na statičnem IP-ju...

Anyhow, jasno: imamo svoj mail server na LANu, na SiOL-ovem statičnem IP-ju, svojo domeno, registriran MX. Ko sem želel poslati mail nekam na mobitel.si, sem dobil nazaj sporočilo "Message rejected".

Po iskanju vzroka, sem našel tole:

Blacklist checker, ponedeljek, 15. marec


Zanimive so obkrožene oznake: miscellaneous address blocks that have sent spam here, pa Your ISP Telekom ... listed

Najprej sem to spregledal in začel ročni izpis iz nekaterih črnih list, npr. BARRACUDA, FIVETEN, potem pa se je zataknilo, ker nisem mogel opraviti izpisa do konca. Blackliste so zahtevale, da probleme uredi ponudnik (Npr uceprotect):
As you should know now: It is not you, it is your complete provider which got UCEPROTECT-Level 3 listed.
Your IP abc.def.ghi.jkl was NOT part of a spamrun, but you are the one that has freely chosen your provider.
By tolerating or ignoring that your provider doesn't care about spammers you are indirectly also supporting the global spam with your money.
Seen from this point of view, you really shouldn't wonder about the consequences.


Situacija v ponedeljek:



Situacija danes:

- Hoc est qui sumus -

Zgodovina sprememb…

  • zavaroval slike: imagodei ()

ABX ::

Zaradi takšnih problemov ne postavljam več mail strežnikov za mala podjetja.
Vaša inštalacija je uspešno spodletela!

gruntfürmich ::

tale virusek bi znal marsikaj obrazložit...
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

imagodei ::

@ABX,

kako pa je drugače pri velikih podjetjih? Če ima veliko podjetje SiOL-ov IP naslov v omenjenem segmentu, kaj se spremeni?
- Hoc est qui sumus -

ABX ::

imagodei je izjavil:

@ABX,

kako pa je drugače pri velikih podjetjih? Če ima veliko podjetje SiOL-ov IP naslov v omenjenem segmentu, kaj se spremeni?


Napačno si me razumel, nisem mail server sysadmin, sicer ga vzdržujem ampak ne 100%.
Popoldan ko fušam za mala podjetja jim uredim vse, ampak za mail dvignem roke v zrak. So me že klicali jezni da mail server ne dela, in po zgubljenem popoldnevu sem opazil da je provider na blacklisti.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

Dragi ::

imagodei je izjavil:

@ABX,

kako pa je drugače pri velikih podjetjih? Če ima veliko podjetje SiOL-ov IP naslov v omenjenem segmentu, kaj se spremeni?


Ker nimajo ispjevih ipjev, ampak jih zakupijo direktno.

Sicer sam sploh nisem vedel, da se lahko hosta serverje na privat liniji. Ala, http, mail in podobne.
Bi prisegu, da piše nekje v pogodbi notr, da se tega ne sme počet.


Sam imam smtp server hostan na dedicated strežniku. Ip je direktno od datacentra in me briga, kaj se tačas dogaja z ipji ispjev (še posebno takih trollov kot je siol).

SasoS ::

In kaj boš ko bodo nekomu v datacentru vdrli v server in bo ta začel pošiljati spam (tako je bilo v mojem primeru, no server ni bil v datacentru, je pa pošiljal spam)? :D

Dragi ::

SasoS je izjavil:

In kaj boš ko bodo nekomu v datacentru vdrli v server in bo ta začel pošiljati spam (tako je bilo v mojem primeru, no server ni bil v datacentru, je pa pošiljal spam)? :D


Blacklista se ti ip. Ampak TVOJ ip. Ip točno tistega serverja.
Ne bo pa se ti blacklistal subnet, tako kot pri posameznem ispju.

Sem zasiguren, iz lastne prakse. Mme je tako blacklistal yahoo zaradi glupih memberjev.
Namesto, da bi se odjavljali od newsliste, so raje pritiskali "spam", in yahoo je blacklistal moj ip.
Vsi drugi trije ipji so normalno delali. Eg, mail je šel čez.

To je blo 2 tedna nazaj.

Screamboy ::

Ja pa nesposobni so tud jaz sem mel mesec pa pol izklop neta ker so me pač preverjal dokazal pa niso nič :)
-> Slovenska skupnost uporabnikov Ubuntuja <--
-----------------> www.ubuntu.si <------------------

333333 ::

c0dehunter
Ni mi blo jasno kaj mislis z private botom zato sem vprasal ker jaz poznam samo detectedble in undetecteble exploite in če niso zaznani je itak logicno da so private :) Glede FUD pa nisem vedu, zalo uporabna zadevca morm rect, dosti hitreje kot pa če delaš na roko to edino slaba stran je da ni 100% (isto kot na roko premetana koda je tud detected) oz se najde tu pa tam kak antivirus ki prepozna kak exploit al pa bota če hočeš.

SasoS od kod so dobli password pa user si zvedu pol al čakas da se stvar ponovi če se za ni :)?
Da ne lavfas kak web gor pa kaki out of date php... pa so ti namestili v stran kakega php bota posnifali user pa pass pa akcija :=)

Screamboy je izjavil:

Ja pa nesposobni so tud jaz sem mel mesec pa pol izklop neta ker so me pač preverjal dokazal pa niso nič :)


Za kaj pa se je slo oz kaj bi naj doumnevno storil? :)
Spiritual

Zgodovina sprememb…

  • spremenilo: 333333 ()

ABX ::

Zgleda da Hijackthis + Alvira je dovolj za odstranit to sranje.
Vaša inštalacija je uspešno spodletela!

particle ::

Ni ravno prava tema, vendar bom tukaj vprašal.

Včeraj je bil bojda nek virus na facebooku, v povezavi z youtube linkom..

In seveda večina kolegov me danes že kliče, če lahko pridem pogledat in "popravit" xD
Govorijo o samodejnem reštartu računalnika, takoj ko ga zaženejo. Ok, glede na to da sam ne uporabljam facebooka, me zanima kakšen virus so to fasali, in najlažji oz. najhitrejši način odprave.

Hvala.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Mrežna / PC forenzika / Detektiv

Oddelek: Loža
162194 (1435) louser
»

Državljan D: Kibernetsko vojskovanje - Slovenija, Evropa, svet

Oddelek: Novice / NWO
176627 (5260) Gregor P

Pomoc punca 21 let izrabljena na facebooku nadvet

Oddelek: Loža
4810507 (7325) kuglvinkl
»

Danes odklop lažnih DNS-strežnikov črva DNSChanger

Oddelek: Novice / Omrežja / internet
196425 (5292) BlueRunner
»

Pomoč - facebook,msn - hackerji

Oddelek: Pomoč in nasveti
295226 (4376) slavkorajko

Več podobnih tem