» »

Razbito omrežje 100.000 "zombijev"

Razbito omrežje 100.000 "zombijev"

New Scientist - Na Nizozemskem je policija aretirala tri osebke, osumljene upravljanja t.i. botneta, sestavljenega iz okoli 100.000 s črvom W32.Toxbot okuženih osebnih računalnikov.

Okužene računalnike so domnevno uporabljali za krajo uporabniških imen in gesel za dostop do strani eBay in PayPal, preko katerih so nato kupovali razno blago, obtoženi pa so tudi izsiljevanja - nekemu ameriškemu podjetju naj bi grozili z DDOS napadi, v kolikor le-to ne bi bilo pripravljeno plačati določene vsote denarja.

Po besedah javnega tožilstva je to eno največjih do sedaj odkritih omrežij, namenjenih kraji identitet, pošiljanju neželene pošte in povzročanju ostalih nelegalnih dejanj.

Obenem pa odkritja takih skritih omrežij povedo marsikaj o skrbi uporabnikov interneta za ustrezno zaščito svojega računalnika in posledično svojih osebnih podatkov...

48 komentarjev

ERGY ::

A ni to ze mal staro ???

Kami ::

Končno še eni script kiddiji manj.

iggy ::

Končno še eni script kiddiji manj.


Kje piše da so bili script kiddyi ?
Hey, you're fat!

ginekolog ::

@avtorja novice

Sodobni boti so nezaznavni za AV programe, prelisičijo firewall in netstat ne vidi odprtih povezav, ker vsebujejo rootkit. Tako noben AV sistem ne reši pred dobrim trojancem/botom. To ti govorim iz prve roke. 0:)
Divers do it deeper.

fahrenGONE ::

Thanks to Microsoft! Sem slisal da imajo nekateri osebki se vecje botnete. Mislim... WTF!? Kaj zdaj lahko en 15 letni mulc nadzoruje 100k PCjev zaradi enega debilnega OS? Zgleda da je res... :(

Kami ::

@iggy: mislim si, ker so taki -> večina, dvomim, da so bote sploh sami napisali...

Myth ::

Kami, kaj se pa ti buniš? Ti si ja glavni za botnete, takorekoč. :D
¤ Space is Mystery. And Myth is on Earth. ¤

RejZoR ::

Ginekolog, NOD32 je fin trn v peti piscev te zalege. Zadnje čase tud BitDefender. Pa ogromen potencial kaže še VBA32 s Paranoid Heuristics metodo, ki je res zelo agresivna sploh na področju trojancev in botov.
Sicer ostajajo razne privat variante botov, ampak ponavad niso kej dost razširjene in posledično tud niso peveč problematične.
Angry Sheep Blog @ www.rejzor.com

B|az ::

Končno... :)
Lep pozdrav.

B|az ::

Obenem pa odkritja takih skritih omrežij povedo marsikaj o skrbi uporabnikov interneta za ustrezno zaščito svojega računalnika in posledično svojih osebnih podatkov...


Take podatke imaš lahko na papirju.
Mogoče se sliši "bedno,staromodno,glupo,idiotsko" je pa varno...
Uniči ti jih lahko: pozabljivost,nesreča(naravna ali načrtovana).
Lep pozdrav.

poweroff ::

Ja, pa namesto avta lahko tudi peš hodiš. Vse za večjo varnost, ne?
sudo poweroff

Looooooka ::

ah skoda.Na Nizozemskem...
skoda da jih niso v Ameriki.bi bli hitr kksnega terorizma obsojeni.
mors bit pa fajn zabit da gres izsiljevat firme z DDOS napadi.
No ceprou ze za to da si script kiddy ni potrebn ne vem ker inteligencni kvocient...

RejZoR ::

Sej če bi folk vsaj malo SAM skrbel za varnost bi bilo tud zelo lepo.
Tko pa se od uporabe browserja in mail klienta naprej sploh nihče noče učit. Sam vem da bi zahteval neke vrste tečaj preden začneš uporabljat te zadeve. Isto kot za avto,samo mogoče v malce bolj mili obliki.
Mislim cyber kriminal se bo samo stopnjeval če bo na vsakem vogalu trop naivnih tepcev, ki poklikajo vse kar leze in gre.
To še najlepše pokažejo razni klikabilni standard type mass mail črvi.
Če folk ne bi klikal po priponkah s slednjimi se sploh ne bi širili.
Tko pa jih fašemo globalno po vseh celinah v pišli uri ali dveh (še pomnite MyDoom/Beagle dneve?).

Sreči obstajajo free verzije firewallov in antivirusov, ki privabijo folk ki jim ni do plačevanja teh zadev. Boljš neki kot pa nič sploh.
Drugače bi bilo stanje še bolj kaotično,v to sem prepričan.
Pustimo slovenijo, ko je itaq meka za harrrrrr (and a barrel of rum)...
Angry Sheep Blog @ www.rejzor.com

MrStein ::

vindofs sikurity na delu >:D

(pa kriviti uporabnike prav nič ne bo pomagalo)
(se popravljam: prav nič ne pomaga)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

wini ::

Niso vsi skriptkidiji ... nekateri iz exploita za xpje naredijo svojega custom bota ...
pa ga ne dajo v javnost ... pa ce mas source od kakega razmeroma dobrega bota se ga se mal dopolni
pol pa vse skupi sam ponucas brez da objavis na netu ...et voila imas v eni noci 6k botow:>

fahrenGONE ::

Kje lahko dobim source?

YenLoWang ::

ja ja.. poslustite wini-ja.. on kot izkusen abuser na ircnetu bo ze vedu kak se stvarem streze:)

lp, Yen

poweroff ::

Sourcev ni tako lahko dobiti. Tudi bi bilo nezakonito tako kodo razširjati naokrog.

So pa precej enostavni za konfiguracijo.

Evo ti del config datoteke za enega bolj razširjenih botov. Najbolj "toomuch" je, da rabiš znat samo angleško, da si narediš svojega bota. Moraš biti res trd, da ti ne uspe vpisat ustreznih podatkov in prevesti zadeve...

// bot configuration
const char botid[] = "user"; // bot id
const char password[] = "passwd"; // bot password
const char server[] = "irc.server.net"; // server
const int port = 6667; // server port
const char serverpass[] = ""; // server password
const char channel[] = "#channel"; // channel that the bot should join
const char chanpass[] = ""; // channel password
sudo poweroff

Kami ::

Jap glede tega se strinjam, poznam človeka, ki ne zna narediti nove mape na namizju in je totalen noob pa je znal bota skonfigurirati ok kompajlat ga ni znal samo vseeno.

Jux ::

Ni mi čisto jasno kako lahko nekdo človeka ki izsiljuje podjetja označi za script kiddya. Za moje pojme je script kiddy 16-17 letnik, prepotenten IRCar, ki malo predeluje skripte in okuža z njimi svoje znance. Človek ki nadzira mrežo 100.000 botov je kriminalec, še posebej če svoje žrtve izbira natačno in namerno.

V keho z njimi.
web&blog&etc: http://lukabirsa.com

Highlag ::

Kako bodo pa tistih 100000 PC-jev "razkužili"? Mislim če ljudi ki nekako odločajo kaj omrežje dela izločijo. Ti okuženi PC-ji ne delajo nič več? Nekaj avtonomije verjetno le imajo. Verjetno to ne gre uredit kar na daljavo? Ali pač? Kaj preprečuje, da nebi nekdo tretji prevzel to omrežje? Mene bolj to zanima. :D
Never trust a computer you can't throw out a window

darkolord ::

Kaj preprečuje, da nebi nekdo tretji prevzel to omrežje?

Taki boti se ponavadi povežejo na nek IRC server... Če se tega "ukine", potem tudi boti nimajo kaj dosti za počet

Myth ::

Irc server si lahko sami naredite. Samo znat morte. :D
¤ Space is Mystery. And Myth is on Earth. ¤

RejZoR ::

exploit != bot

Ne moreš rečt da iz exploita naredi bota. Tisti junak ki uspe naredit kej tazga mu dam miljardo dolarjev. Exploiti so samo metoda propagiranja škodljive kode ki ji sledi.

Recimo Sasser je sesatvljen iz dveh delov. Prvi je exploitni del ki penetrira zaščite sistema preko znane varnostne luknje.
Drugi del je črvji del, ki se je obnašal kot vsak drug črv.
Imel je samo to prednost da se ni zanašal na naivnost folka, ampak samo na nepatchane mašine. Rbot/SdBot variant pa je itaq ko polžev po dežju.
Pa praktično vsi so bazirani na prvi osnovni varianti.
Zaznavanju se izogibajo samo z rednim spreminjanjem kode ter z novimi packerji/crypterji.
Angry Sheep Blog @ www.rejzor.com

BigWhale ::

Exploit je pojem.. Nehajte bluzit.

dejanslo ::

mislim, da ste nekateri malo zašli, kr beseda botnet v novici ne pomeni botnet na ircu... Drugače pa prav, da so jih zaprli, kr tu ni šlo za script kiddye, ki so izkoriščali svoj uber močn ddos, da so lahko prevzeli kanal na ircu. kriminal -> keha
There`s More Than One Way To Do It

Kami ::

Ja samo vseeno se večina ddos botov poveže na irc strežnik in potem lahko temu rečeš botnet

RejZoR ::

Povežejo se zaradi samega sistema komuniciranja.
100k raztresenih botov brez nadzora ne pomeni nič ker bot (lahko tud zombi če) kot tak ne more sam od sebe izvajat DDoS napada (razen če je sevda programiran da začne izvajat napad na harcodano tarčo).
Če pa teh 100k botov povežeš s centraliziranim nadzorom (botnet) pa se da izbajat DDoS napade.
Angry Sheep Blog @ www.rejzor.com

Kami ::

Ponavadi se ti boti nena nič povežejo ampak pridejo na en kanal pa je to to.

Pač vsi sprejemajo enake ukaze zaradi tega pa to tak deluje, povežejo pa se nena nič.

|SNap| ::

lol @ kami

fahrenGONE ::

Mene res zanima kje bi dobil source, saj me zanima kako je narejen. :D

Kami ::

|SNap| ?

fahrenheit: pošli na abuse@arnes.si da bi ga mel, pa ti ga bodo mogoče poslali |O

fahrenGONE ::

Ja tisti modeli bodo pa res poslali, hehe. :D

|SNap| ::

Kami: "Nic se ne povezejo, samo na kanal pridejo"? Brez povezave? IRC over UDP pa to, ane?

Kami ::

Jaz sem mislim da se med sabo NE povezujejo, logika je da se morejo povezat na IRC strežnik itd..

|SNap| ::

Kdo pa je rekel da se med sabo povezujejo?
Rejzor je dejal " Če pa teh 100k botov povežeš s centraliziranim nadzorom (botnet) pa se da izbajat DDoS napade."
Kaj drugega je povezava na IRC server kot centraliziran nadzor?

bam88 ::

najbl zaskrbljujoce in zalostno je tudi to da vi tuki zlo velik veste o "exploitiranju" in ddos napadih. to se je treba tud mal prasat kok smo mi varni :/
Hohohoahao

poweroff ::

Seveda se povežejo med sabo. Preko irca namreč. Inštrukcije kam naj se povežejo so navadno hardcodane. Irc kanal je pač centralna točka iz katere jih napadalec lahko nadzoruje.

fahrenheit: source iščeš? raje pobrskaj po disku če nimaš binarya kje... :D >:D
sudo poweroff

|SNap| ::

Matthai, dejansko dvomim da imajo med sabo kaj komunikacije. IRC sluzi samo za distribuiranje ukazov posameznim botom. Ce pa to, da so na istem serverju, na istem kanalu pomeni da so "povezani med sabo", potem sem jaz povezan z okoli 1000 ljudmi, ki so na kanalih, ki jih obiskujem; pa nikjer ne vidim teh povezav v netstatu :P

bam88: to da nekaj ves o tem ni prav nic zalostno, znanje nic ne skodi, in ce ves kako stvari delujejo, se najlazje zascitis.

Zgodovina sprememb…

  • spremenil: |SNap| ()

Kami ::

Jap, tak je.

Pa tudi je dokaj logično, da se nena povezuje med sabo ker potem bi bila večina neuporabna zaradi požarnih zidov itd.

Drugače boti sploh nevejo za drugega da obstaja pač vsi poznajo npr. ukaz !bla pa vsi naredijo to, ker vsi vidijo ta ukaz na kanalu.

poweroff ::

Ja seveda, med sabo niso povezani. Saj ni potrebe. Povezani morajo biti z napadalcem. V bistvu ne smejo biti...
sudo poweroff

fahrenGONE ::

najbl zaskrbljujoce in zalostno je tudi to da vi tuki zlo velik veste o "exploitiranju" in ddos napadih. to se je treba tud mal prasat kok smo mi varni :/

En vojskovodja je enkrat dejal da je treba poznati sovraznika bolj kot samega sebe. Seveda pa je to tezko, ce je vse tako v skrivnost zavito in o hekerjih beremo kot o nekih marsovcih (hi Ramzes!) in ko vprasas za source ti moderator brise vprasanje in grozi z nazivi. Heh.

bam88 ::

jah sj po en stran maste prov... samo marskdo k ma tak znanje ga ponavadi uporab sebi v prid... poznam kr precej takih primerkov. ki si 20+ stari...sicer zame me ne skrbi se znam zascitit samo marskdo se pa ne.. aid drzte se
Hohohoahao

poweroff ::

fahrenheit, problem je v tem, da je take source neetično dajati naokrog. Zakaj pa misliš, da američani ne dajejo naokrog jedrskih bomb?

Če si varnostni strokovnjak pa niproblema dobiti dostopa do teh stvari. Seve da strogov raziskovalne namene.

Če se pa hočeš informirati o zadevi pa začni z Wikipedijo, recimo Botnet @ Wikipedia. Potem pa naprej... SecurityFocus je tudi dobra stran.
sudo poweroff

RejZoR ::

Ugh,kaj pa sem jezst napisal? Pač sem namesto "povezava na IRC server" sem uporabil "če pa teh 100k botov povežeš s centraliziranim nadzorom".
Do you get the context and difference between one and another?

Po tvoji definiciji se povežejo na IRC kanal in tam idlajo ter delajo popolnoma nič, niti jim noben ne da nobenih ukazov.

Centraliziran nadzor (IRC kanal) pa pomeni da ima lastnik teh botov nadzor nad njimi ter posledično izvaja DDoS napade na izbrane cilje (če slednji niso hardcodani v samega bota kot so bili recimo oni za napad Windows Update ter SCO-jeve strani nekaj časa nazaj), kdaj se aktivirajo itd...

Razlika med enim in drugim je tud v tem da imaš lahko tempirane bote ki ne uporabljajo IRC kanalov in one ki jih.
Čeprav so tempirani lahko ob neuspešnem širjenju precej neuporabni.
Pisec slednjih določi čas in cilj ter jih sputi v ITW. ostalo se opravi samo. Če širjenje ni uspešno in jih je ob datumu napada premalo bo efekt pač manjši oz ga sploh ne bo. Ampak takih je za ščepec ker so IRC verzije mnogo bolj priljubljene in flexibilne.
Angry Sheep Blog @ www.rejzor.com

fahrenGONE ::

Po moje so tudi drugi ne samo irc. Pa tudi irc po moje niso samo tisti ki v plain-textu komunicirajo. Folk ki razbija botnete verjetno izbere samo take, ki jih lahko. Podobno kot policija, ki se hvali kako dobi enega mulca z nekaj droge, kamioni od mafije pa se vedno potujejo neovirano. Ce bi hoteli to res odpraviti, bi moral MICROS~1 presedlati na *nix in zastonj delti nov sistem ter opravicilo za vse tegobe ki so jih naredili z windowsi.

Sourceja seveda ne morem dobiti. Moram kontaktirat kaksne hekerje. :)

Kami ::

Kot da kaj takega za unix neobstaja..

Pač se nena glih avtomatski širi ampak otroci kaki stari box z kakim redhat 6.0 ownajo pol pa dajo gor kaiten pa je enaki efekt, tudi takih botnetov je dosti..

fahrenGONE ::

Ok, ja super... Vse obstaja, za vse OS. Ampak ko clovek hoce dobiti kaj vec kot zgodbice, na primer source ali pa en del sourceja pa je takoj preplah v hisi. Ehhh..... Saj ne mislim delat botneta, ker nimam ne volje ne motivacije ne casa, ce koga tako zelo skrbi. Bi pa rad videl kako dela in kako se lahko zascitis.

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kraja podatkov z modulacijo električnega toka

Oddelek: Novice / Varnost		245890 (3591) vostok_1
»

Prikrita komunikacija prek IR s kamerami

Oddelek: Novice / Varnost		358407 (6182) Invictus
»

Locky dobil nov način širjenja

Oddelek: Novice / Kriptovalute		3911994 (8711) Jupito
»

Vdor v računalnik?

Oddelek: Pomoč in nasveti		112149 (1837) SeMiNeSanja
»

BitBlinder novo anonimizacijsko omrežje, ki deluje na P2P principu

Oddelek: Novice / Zasebnost		304785 (2973) Daedalus

Več podobnih tem