Эксперт ЛК изучил ноутбук хакеров по делу о DDoS-атаке на «Аэрофлот»

[Soft 1 505]

Эксперт ЛК изучил ноутбук хакеров по делу о DDoS-атаке на «Аэрофлот»

 

 

Обвиняемые усомнились в эффективности подхода, используемого исследователем. В то время как в Москве проходят слушания по делу об организации DDoS-атаки на «Аэрофлот» и платежную систему «Ассист», обвиняемые подвергли критике методы и механизмы, используемые экспертами «Лаборатории Касперского» при изучении ноутбука хакеров.

 

Напомним, что вопрос о привлечении сотрудников ЛК к расследованию возник из- за того, что один из обвиняемых - Пермяков – до прихода в Chronopay работал в оперативном управлении Центра информационной безопасности (ЦИБ) ФСБ. В результате экспертизой вещественного доказательства – а именно ноутбука, предположительно использовавшегося при проведении DDoS-атаки, занялся эксперт ЛК Григорий Ануфриев.

 

На одном из ноутбуков в директории «Projects/Botnet» Ануфриев обнаружил написанные на языке C++ исходные коды программного обеспечения Topol-Mailer. Кроме этого, эксперт установил, что файл «crypted.ex» классифицируется как вредоносное ПО «Rootkit.Win32.Tent.bvb». Затем этот файл был дизассемблирован с помощью утилиты Ida Pro 6, что позволило эксперту установить схожесть ряда компонентов Topol-Mailer и «crypted.ex».

 

Проведенный Ануфриевым анализ исходных кодов Topol-Mailer показал наличие следующих компонентов: в первую очередь, это «Loader», осуществляющий те же действия, что и «crypted.ex» - расшифровку и установку в операционную систему Windows драйвера вредоносного ПО, который регистрируется под различными именами в качестве сервиса и, таким образом, загружается при каждом включении компьютера.

 

Появившийся в системе компонент «ядро» устанавливает зашифрованное соединение с заранее заданными серверами, откуда он получает обновления, дополнительные компоненты и команды. В исходных кодах был найден и компонент, отвечающий за выполнение DDoS-атаки тремя различными методами: «TCP-port flood», «UDP-port flood» и «TCP-get flood». В свою очередь, модуль «Bot.Spam» после установки осуществлял тестовые соединения с почтовыми серверами Mail.ru и Google, затем, в случае успеха, принимал от сервера тексты писем и списки адресов для их рассылки.

 

Также были найдены следующие модули: «Bot.Grabber» (собирал с инфицированного компьютера адреса электронной почты и FTP- серверов), «Bot.Logger» (перехватывал конфиденциальную информацию пользователей, передаваемую по протоколу Http методом Post) и Bot.Socks (позволял превратить зараженный компьютер в прокси- сервер под протоколом Socks). Среди исходных кодов присутствовали и компоненты серверной части сети Topol-Mailer.

 

Несмотря на глубокий анализ и заключение эксперта, защита вызвала в суд своего свидетеля - гендиректора саратовской компании «Национальный центр по борьбе в сфере высоких технологий» Игоря Юдина, который подверг экспертизу Ануфриева резкой критике. По его словам, исходные коды, не прошедшие процесс компиляции, вообще не могут считаться программой. Более того, компиляция носит необратимый характер и восстановить затем имена функций и переменных невозможно.

 

К тому же дизассемблер дает не сам исходный код, а так называемый листинг – текст на языке Assembler, который должен быть схож с оригинальным исходным текстом, но даже его не всегда потом удастся скомпилировать. «Это все равно, как если кто-то осуществит литературный перевод стихотворения с русского на немецкий, потом кто-то другой осуществит обратный литературный перевод на русский, и затем эти два текста попытаются сравнить», - заявил Юдин.

 

Источник: www.securitylab.ru

[vit9696 415]

Затем этот файл был дизассемблирован с помощью утилиты Ida Pro 6, что позволило эксперту установить схожесть ряда компонентов Topol-Mailer и «crypted.ex».

А говорили, что в ЛК нету IDA... Эх, хоть бы кусочек от неё.

К тому же дизассемблер дает не сам исходный код, а так называемый листинг – текст на языке Assembler, который должен быть схож с оригинальным исходным текстом, но даже его не всегда потом удастся скомпилировать. «Это все равно, как если кто-то осуществит литературный перевод стихотворения с русского на немецкий, потом кто-то другой осуществит обратный литературный перевод на русский, и затем эти два текста попытаются сравнить», - заявил Юдин.

Господин Юдин забывает то, что можно сделать компиляцию + дизасм известной проги, а затем дизасм неизвестной. Впрочем, зависит от тонкости формулировки, представленной в суде... Там все средства хороши.