Перейти к содержанию

Эксперт ЛК изучил ноутбук хакеров по делу о DDoS-атаке на «Аэрофлот»

Soft
 Share

Рекомендуемые сообщения

Soft Гигант мысли

Soft

Опубликовано
Опубликовано

Эксперт ЛК изучил ноутбук хакеров по делу о DDoS-атаке на «Аэрофлот»

 

d48ec87c526a3bac4be90a52c64dec24.jpeg

 

Обвиняемые усомнились в эффективности подхода, используемого исследователем. В то время как в Москве проходят слушания по делу об организации DDoS-атаки на «Аэрофлот» и платежную систему «Ассист», обвиняемые подвергли критике методы и механизмы, используемые экспертами «Лаборатории Касперского» при изучении ноутбука хакеров.

 

Напомним, что вопрос о привлечении сотрудников ЛК к расследованию возник из- за того, что один из обвиняемых - Пермяков – до прихода в Chronopay работал в оперативном управлении Центра информационной безопасности (ЦИБ) ФСБ. В результате экспертизой вещественного доказательства – а именно ноутбука, предположительно использовавшегося при проведении DDoS-атаки, занялся эксперт ЛК Григорий Ануфриев.

 

На одном из ноутбуков в директории «Projects/Botnet» Ануфриев обнаружил написанные на языке C++ исходные коды программного обеспечения Topol-Mailer. Кроме этого, эксперт установил, что файл «crypted.ex» классифицируется как вредоносное ПО «Rootkit.Win32.Tent.bvb». Затем этот файл был дизассемблирован с помощью утилиты Ida Pro 6, что позволило эксперту установить схожесть ряда компонентов Topol-Mailer и «crypted.ex».

 

Проведенный Ануфриевым анализ исходных кодов Topol-Mailer показал наличие следующих компонентов: в первую очередь, это «Loader», осуществляющий те же действия, что и «crypted.ex» - расшифровку и установку в операционную систему Windows драйвера вредоносного ПО, который регистрируется под различными именами в качестве сервиса и, таким образом, загружается при каждом включении компьютера.

 

Появившийся в системе компонент «ядро» устанавливает зашифрованное соединение с заранее заданными серверами, откуда он получает обновления, дополнительные компоненты и команды. В исходных кодах был найден и компонент, отвечающий за выполнение DDoS-атаки тремя различными методами: «TCP-port flood», «UDP-port flood» и «TCP-get flood». В свою очередь, модуль «Bot.Spam» после установки осуществлял тестовые соединения с почтовыми серверами Mail.ru и Google, затем, в случае успеха, принимал от сервера тексты писем и списки адресов для их рассылки.

 

Также были найдены следующие модули: «Bot.Grabber» (собирал с инфицированного компьютера адреса электронной почты и FTP- серверов), «Bot.Logger» (перехватывал конфиденциальную информацию пользователей, передаваемую по протоколу Http методом Post) и Bot.Socks (позволял превратить зараженный компьютер в прокси- сервер под протоколом Socks). Среди исходных кодов присутствовали и компоненты серверной части сети Topol-Mailer.

 

Несмотря на глубокий анализ и заключение эксперта, защита вызвала в суд своего свидетеля - гендиректора саратовской компании «Национальный центр по борьбе в сфере высоких технологий» Игоря Юдина, который подверг экспертизу Ануфриева резкой критике. По его словам, исходные коды, не прошедшие процесс компиляции, вообще не могут считаться программой. Более того, компиляция носит необратимый характер и восстановить затем имена функций и переменных невозможно.

 

К тому же дизассемблер дает не сам исходный код, а так называемый листинг – текст на языке Assembler, который должен быть схож с оригинальным исходным текстом, но даже его не всегда потом удастся скомпилировать. «Это все равно, как если кто-то осуществит литературный перевод стихотворения с русского на немецкий, потом кто-то другой осуществит обратный литературный перевод на русский, и затем эти два текста попытаются сравнить», - заявил Юдин.

 

Источник: www.securitylab.ru

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
vit9696 Гигант мысли

vit9696

Опубликовано
Опубликовано
Затем этот файл был дизассемблирован с помощью утилиты Ida Pro 6, что позволило эксперту установить схожесть ряда компонентов Topol-Mailer и «crypted.ex».

А говорили, что в ЛК нету IDA... Эх, хоть бы кусочек от неё.

К тому же дизассемблер дает не сам исходный код, а так называемый листинг – текст на языке Assembler, который должен быть схож с оригинальным исходным текстом, но даже его не всегда потом удастся скомпилировать. «Это все равно, как если кто-то осуществит литературный перевод стихотворения с русского на немецкий, потом кто-то другой осуществит обратный литературный перевод на русский, и затем эти два текста попытаются сравнить», - заявил Юдин.

Господин Юдин забывает то, что можно сделать компиляцию + дизасм известной проги, а затем дизасм неизвестной. Впрочем, зависит от тонкости формулировки, представленной в суде... Там все средства хороши.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Kristy
      Благое дело: обсуждение
      От Kristy
      В рамках проекта «Благое дело» каждый участник клуба может сделать подарок нуждающимся. Если у вас есть желание принять в этом участие, то просто переведи пользователю @delaemblago баллы, которые получены по бонусной программе:  в верхнем правом углу страницы форума нажмите на своё имя пользователя --> в появившемся меню выберите "Перевести баллы" --> в поле "Выберите пользователя" введите delaemblago и укажите сумму для пожертвования в поле "Перевести"  --> нажмите кнопку Отправить "Send".
       
      Все накопленные баллы буду потрачены на приобретение подарков в Магазине клуба, исходя из суммы собранных средств. Эти подарки буду переданы напрямую или через волонтеров конкретному лицу (пенсионеру, инвалиду) или детскому дому.
       
      Если у вас есть знакомые инвалиды или пенсионеры, а может в вашем городе есть дом ребенка, который не откажется принять такие подарки, — сообщайте в этой теме и/или кураторам проекта.
       
      p.s. Тема создана по инициативе участников клуба!
       
      Кураторы этого раздела: @_Strannik_ и @Mixasa.
       
      Вы можете смело сообщать им координаты и контакты тех, кому можем мы подарить немного радости! Они будут полностью отвечать за комплект подарков, контролировать получение и публиковать отчёты.
      Прошу любить и жаловать!
    • KL FC Bot
      Простые и эффективные советы для защиты от хакеров | Блог Касперского
      От KL FC Bot
      С киберпреступниками рано или поздно сталкиваются практически все — от детей до пенсионеров. И если вы все время откладывали на потом свою кибербезопасность, потому что эта тема кажется вам слишком сложной, то держите пять очень простых советов, которые легко понять и просто выполнять. Но каждый из них сильно улучшит вашу защиту от самых распространенных киберугроз. Мы подготовили этот пост в рамках информационной кампании Интерпола #ThinkTwice, призванной улучшить осведомленность об основных методах кибермошенничества и простых, но надежных способах противодействовать им.
      Автоматизируйте пароли
      Пароли к каждому сайту и приложению должны быть длинными (минимум 12 символов) и никогда не должны повторяться. Придумывать и запоминать столько паролей не может никто, поэтому храните, создавайте и вводите их при помощи менеджера паролей. Вам придется придумать и запомнить только один (длинный!) мастер-пароль к нему, а все остальное — от создания до заполнения паролей — будет происходить автоматически.
      Важные нюансы: менеджер паролей нужно установить на все свои устройства, чтобы вводить пароли с удобством повсюду. Данные будут синхронизироваться между всеми вашими устройствами, и, сохранив пароль в смартфоне, вы сможете автоматически подставить его в поле ввода на компьютере, и наоборот. Кстати, в менеджере паролей можно хранить в зашифрованном виде не только пароли, но и пин-коды, данные кредитных карт, адреса, заметки и даже сканы документов.
      Уровень PRO: для максимальной безопасности отключите вход в парольный менеджер по биометрии — так вам придется каждый раз вводить мастер-пароль, зато никто не сможет получить доступ ко всем вашим данным, не зная мастер-пароля (на стикере его писать не надо).
       
      View the full article
    • sakuuna
      System Fan 90b на ноутбуке
      От sakuuna
      Короче раньше такой ошибки не выходило, но он нагревался и бывало даже перегревался. Сейчас же выдает эту ошибку при запуске и соотвесвтенно быстро наргревается, но зависит от того, как его нагрузить. Ноутбук старенький:

      HP - модель e011sr
      Процессор    AMD A8-4500M APU with Radeon(tm) HD Graphics      1.90 GHz
      Оперативная память    6,00 ГБ (доступно: 5,19 ГБ)
      Тип системы    64-разрядная операционная система, процессор x64
      Видеоадаптеры: AMD Radeon HD 7640G и HD 8670M

       Скачал lObit ACS PRO MonitorPort: Там тип показывает, скорость вентилятор 2700RPM, но бывало и 1700RPM при такой же нагржуенности ноутбука, CPU, GPU, и материнка, соответвенно когда играл в слабую игру такую, как гта са у меня значения в градусах поднимались до 80 и больше градусов, При 1900RPM(оборотов в минуту, если я не ошибаюсь). Соответсвенно хочу узнать в чем проблема. И если надо что-то проверить, говорите
       
    • Ilyambuss
      Усиление работы системы охлаждения ноутбука после ухода в спящий режим
      От Ilyambuss
      после нажатия клавиш Win + L ноутбук уходит в спящий (или ждущий) режим, экран гаснет через пару минут. проблема в том, что когда я оставляю ноутбук в этом режиме, то через несколько минут я слышу, как система охлаждения ноута начинает работать интенсивнее и громче, как будто происходит какой-то процесс. как только выхожу из спящего режима, всё сразу стихает, и как будто ничего и не было.. в чём может быть проблема? проверки касперским никаких проблем не выявляют
    • Ilyambuss
      [РЕШЕНО] Усиление работы системы охлаждения ноутбука после ухода в спящий режим
      От Ilyambuss
      здравствуйте, неделю назад обращался сюда с такой проблемой: "после нажатия клавиш Win + L ноутбук уходит в спящий (или ждущий) режим, экран гаснет через пару минут. проблема в том, что когда я оставляю ноутбук в этом режиме, то через несколько минут я слышу, как система охлаждения ноута начинает работать интенсивнее и громче, как будто происходит какой-то процесс. как только выхожу из спящего режима, всё сразу стихает, и как будто ничего и не было". это оказался майнер, сейчас проблема абсолютно идентичного характера, нужна помощь. и прошу прощения что наступаю на те же грабли и занимаю время консультантов, работающих на этом сайте 
      CollectionLog-2024.10.29-21.38.zip
×
×
  • Создать...