Перейти к содержанию

Эксперт ЛК изучил ноутбук хакеров по делу о DDoS-атаке на «Аэрофлот»

Soft
 Share

Рекомендуемые сообщения

Soft Гигант мысли

Soft

Опубликовано
Опубликовано

Эксперт ЛК изучил ноутбук хакеров по делу о DDoS-атаке на «Аэрофлот»

 

d48ec87c526a3bac4be90a52c64dec24.jpeg

 

Обвиняемые усомнились в эффективности подхода, используемого исследователем. В то время как в Москве проходят слушания по делу об организации DDoS-атаки на «Аэрофлот» и платежную систему «Ассист», обвиняемые подвергли критике методы и механизмы, используемые экспертами «Лаборатории Касперского» при изучении ноутбука хакеров.

 

Напомним, что вопрос о привлечении сотрудников ЛК к расследованию возник из- за того, что один из обвиняемых - Пермяков – до прихода в Chronopay работал в оперативном управлении Центра информационной безопасности (ЦИБ) ФСБ. В результате экспертизой вещественного доказательства – а именно ноутбука, предположительно использовавшегося при проведении DDoS-атаки, занялся эксперт ЛК Григорий Ануфриев.

 

На одном из ноутбуков в директории «Projects/Botnet» Ануфриев обнаружил написанные на языке C++ исходные коды программного обеспечения Topol-Mailer. Кроме этого, эксперт установил, что файл «crypted.ex» классифицируется как вредоносное ПО «Rootkit.Win32.Tent.bvb». Затем этот файл был дизассемблирован с помощью утилиты Ida Pro 6, что позволило эксперту установить схожесть ряда компонентов Topol-Mailer и «crypted.ex».

 

Проведенный Ануфриевым анализ исходных кодов Topol-Mailer показал наличие следующих компонентов: в первую очередь, это «Loader», осуществляющий те же действия, что и «crypted.ex» - расшифровку и установку в операционную систему Windows драйвера вредоносного ПО, который регистрируется под различными именами в качестве сервиса и, таким образом, загружается при каждом включении компьютера.

 

Появившийся в системе компонент «ядро» устанавливает зашифрованное соединение с заранее заданными серверами, откуда он получает обновления, дополнительные компоненты и команды. В исходных кодах был найден и компонент, отвечающий за выполнение DDoS-атаки тремя различными методами: «TCP-port flood», «UDP-port flood» и «TCP-get flood». В свою очередь, модуль «Bot.Spam» после установки осуществлял тестовые соединения с почтовыми серверами Mail.ru и Google, затем, в случае успеха, принимал от сервера тексты писем и списки адресов для их рассылки.

 

Также были найдены следующие модули: «Bot.Grabber» (собирал с инфицированного компьютера адреса электронной почты и FTP- серверов), «Bot.Logger» (перехватывал конфиденциальную информацию пользователей, передаваемую по протоколу Http методом Post) и Bot.Socks (позволял превратить зараженный компьютер в прокси- сервер под протоколом Socks). Среди исходных кодов присутствовали и компоненты серверной части сети Topol-Mailer.

 

Несмотря на глубокий анализ и заключение эксперта, защита вызвала в суд своего свидетеля - гендиректора саратовской компании «Национальный центр по борьбе в сфере высоких технологий» Игоря Юдина, который подверг экспертизу Ануфриева резкой критике. По его словам, исходные коды, не прошедшие процесс компиляции, вообще не могут считаться программой. Более того, компиляция носит необратимый характер и восстановить затем имена функций и переменных невозможно.

 

К тому же дизассемблер дает не сам исходный код, а так называемый листинг – текст на языке Assembler, который должен быть схож с оригинальным исходным текстом, но даже его не всегда потом удастся скомпилировать. «Это все равно, как если кто-то осуществит литературный перевод стихотворения с русского на немецкий, потом кто-то другой осуществит обратный литературный перевод на русский, и затем эти два текста попытаются сравнить», - заявил Юдин.

 

Источник: www.securitylab.ru

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
vit9696 Гигант мысли

vit9696

Опубликовано
Опубликовано
Затем этот файл был дизассемблирован с помощью утилиты Ida Pro 6, что позволило эксперту установить схожесть ряда компонентов Topol-Mailer и «crypted.ex».

А говорили, что в ЛК нету IDA... Эх, хоть бы кусочек от неё.

К тому же дизассемблер дает не сам исходный код, а так называемый листинг – текст на языке Assembler, который должен быть схож с оригинальным исходным текстом, но даже его не всегда потом удастся скомпилировать. «Это все равно, как если кто-то осуществит литературный перевод стихотворения с русского на немецкий, потом кто-то другой осуществит обратный литературный перевод на русский, и затем эти два текста попытаются сравнить», - заявил Юдин.

Господин Юдин забывает то, что можно сделать компиляцию + дизасм известной проги, а затем дизасм неизвестной. Впрочем, зависит от тонкости формулировки, представленной в суде... Там все средства хороши.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ShadowIce449
      Майнер на ноутбуке
      От ShadowIce449
      ноут греется как бешанный хоть фильм смотришь,фпс низкий, Цп под 100%, понял что майнер на, не давал открывать avbr и т.д говорил не прав, поэтому пришлось переменовать. использовал avbr случайно удалил log, пиh его удалисалось что был пользователь Jonh. Запустил второй раз и прикрепил log другой уже. 
      CollectionLog-2025.01.11-14.02.zip
      AV_block_remove_2025.01.11-14.13.log
    • KL FC Bot
      История атаки вымогателей на UnitedHealth | Блог Касперского
      От KL FC Bot
      Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах. К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.
      Ransomware-атака на UnitedHealth Group
      Сперва дадим контекст, который будет в особенности полезен для тех, кто не очень хорошо знаком с данной организацией. UnitedHealth Group — это крупнейшая компания на рынке медицинского страхования и медицинских услуг США. Ее капитализация составляет примерно $500 миллиардов. При этом UnitedHealth Group занимает девятое место по выручке среди всех корпораций мира, следуя в этом списке сразу после Apple.
      В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.
      Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight вошла приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.
      Собственно, Change Healthcare и стала непосредственной целью атаки вымогателей: 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.
      Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу лишь в ноябре. В UnitedHealth Group даже создали специальный сайт, на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».
       
      View the full article
    • KL FC Bot
      Майнер XMRig атакует корпоративных пользователей | Блог Касперского
      От KL FC Bot
      Начиная с 31 декабря наша телеметрия начала фиксировать масштабную активность криптомайнера XMRig. Причем в большинстве случаев запуск зловреда детектировался домашними решениями, но в некоторых — корпоративными. Тщательное исследование проблемы показало, что некие злоумышленники распространяли зловред в торрентах с играми. Целью атаки, скорее всего, были именно геймеры из разных стран, включая Россию, Бразилию и Германию, однако, вероятно в силу того что некоторые сотрудники компаний используют рабочие компьютеры в личных целях, криптомайнер был обнаружен и в корпоративных сетях.
      Вредоносная кампания
      Кампания, ласково названная нашими аналитиками StaryDobry, была тщательно спланирована: вредоносные дистрибутивы создавались и загружались на торренты начиная с сентября по декабрь 2024 года. Разумеется, игры на торрентах были представлены в виде репаков — то есть модифицированных версий программ, в которые авторы раздачи уже встроили средства обхода проверки подлинности копии игры (иными словами, игры были взломаны).
      Пользователи успешно загружали и устанавливали их. До поры до времени троянизированные игры никак не проявляли себя, но 31 декабря они получили команду с удаленного сервера злоумышленников, начали скачивать майнер и запускать его на зараженном устройстве. Троянизированы были версии популярных компьютерных игр-симуляторов Garry’s Mod, BeamNG.drive, Universe Sandbox и некоторых других.
      Мы внимательно исследовали образец зловреда и вот что обнаружили.
      Перед запуском программа проверяет, запускается она в отладочной среде / «песочнице» или нет. Если да — процедура установки немедленно прекращается. Майнер представляет собой слегка модифицированный исполняемый файл XMRig, подробно о котором мы рассказывали в 2020 году. Если количество процессорных ядер устройства меньше 8, то майнер не запускается. Наши продукты детектируют использованные в этой вредоносной кампании зловреды, такие как Trojan.Win64.StaryDobry.*, Trojan-Dropper.Win64.StaryDobry.*, HEUR:Trojan.Win64.StaryDobry.gen. Больше технических подробностей и индикаторы компрометации можно найти в публикации Securelist.
       
      View the full article
    • KL FC Bot
      Атаки шифровальщиков в 2024 году | Блог Касперского
      От KL FC Bot
      В последние годы в блоге Kaspersky Daily мы стали уделять ransomware заметно меньше внимания, чем в былые времена. Но это вовсе не потому, что атаки вымогателей прекратились. Скорее наоборот — такие инциденты происходят настолько часто, что они уже давно стали привычным, практически фоновым явлением.
      Однако некоторые атаки вымогателей по-прежнему привлекают внимание своей экстраординарностью. В этом посте мы перечислим связанные с шифровальщиками-вымогателями инциденты 2024 года, которые выделялись на общем фоне своим масштабом, последствиями или необычными методами атакующих.
      Январь 2024: атака вымогателей на зоопарк Торонто
      Одним из первых значительных инцидентов 2024 года, связанных с ransomware, стала январская атака на крупнейший канадский зоопарк, расположенный в Торонто. Администрация зоопарка поспешила заверить общественность в том, что атака вымогателей не повлияла на работоспособность систем, связанных с уходом за животными. Более того, веб-сайт организации и сервис продажи билетов также не были затронуты, так что зоопарк продолжил принимать посетителей в обычном режиме.
      Официальный сайт зоопарка Торонто сообщает о кибератаке и уверяет, что с животными все в порядке. Источник
      Через некоторое время после атаки выяснилось, что атакующим удалось похитить значительное количество личной информации сотрудников зоопарка за период с 1989 года до наших дней. Таким образом, данный инцидент послужил очередным напоминанием о том, что даже очень далекие от критических секторов организации могут стать объектами атак вымогателей.
       
      View the full article
    • KL FC Bot
      Прогнозы киберугроз и трендов на 2025 год от экспертов Kaspersky | Блог Касперского
      От KL FC Bot
      Ежегодно эксперты «Лаборатории Касперского» ненадолго превращаются в прорицателей. Нет, наши коллеги не достают хрустальные шары или колоды таро и не открывают быстрые курсы по улучшению магических способностей. Их прогнозы основаны на анализе трендов и угроз со всего мира, с которыми мы сталкиваемся каждый день.
      Получается неплохо: так, на 2024 год мы предсказали рост мошенничеств, связанных с играми типа «играй и зарабатывай» (Play-to-Earn, P2E), расцвет голосовых дипфейков и другие тенденции.
      А теперь давайте спрогнозируем, какие киберугрозы и тенденции станут главными в 2025 году.
      ИИ станет обычным рабочим инструментом. Скамеры тоже ждут новые игры и фильмы. Подписочные мошенничества будут на коне. Соцсети могут запретить. Права пользователей на персональные данные расширят. ИИ станет обычным рабочим инструментом
      Ожидается, что в новом году искусственный интеллект укрепит свои позиции и станет повседневным рабочим инструментом. Крупные платформы вроде Google или Bing в прошедшем году интегрировали ИИ в результаты поисковой выдачи, а пользователи по всему миру подсели на ChatGPT и его многочисленных «родственников». Как именно будут развиваться технологии искусственного интеллекта, предугадать сложно, но одно нам известно уже сейчас: что популярно у рядовых пользователей, то вдвойне популярно у мошенников. Поэтому мы призываем с особой осторожностью пользоваться ИИ — ведь уже в 2024 году мы не раз рассказывали об исходящих от него угрозах.
      Вместе с популяризацией искусственного интеллекта в 2025 году риски, связанные с ним, станут куда более явными. Злоумышленники уже умеют ловко использовать ИИ, поэтому стоит ожидать еще больше проблем, связанных, например, с дипфейками.
       
      View the full article
×
×
  • Создать...