Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Raport na temat botnetu Citadel plitfi
15 kwietnia 2013 | Łukasz Siewierski | #botnet, #citadel, #DNS, #domeny, #malware, #raport, #sinkhole, #trojan, #zeus

Pod koniec lutego 2013 roku Naukowa i Akademicka Sieć Komputerowa i działający w jej strukturach CERT Polska przejęły kontrolę nad 3 domenami używanymi do zarządzania jedną z instancji botnetu Citadel oznaczoną plitfi. Botnet ten był skierowany głównie na polskich użytkowników. Cały ruch skierowany do serwerów C&C botnetu został przekierowany do serwera kontrolowanego przez CERT Polska.

Dzisiaj publikujemy pełen raport dotyczący przejęcia tego botnetu. W raporcie znajdują się, między innymi, następujące informacje:

    • Botnet używany był do wyłudzania pieniędzy z kont bankowych za pomocą fałszywych komunikatów o rzekomo błędnie zaksięgowanym przelewie.
    • 11 730 różnych maszyn łączyło się z botnetem.
    • Ponad 77% wszystkich połączeń do serwera sinkhole’a pochodziło z Polski.
    • Prawie cały ruch do serwera sinkhole pochodził z Europy bądź Japonii.
    • Boty Citadela znajdowały się na systemach operacyjnych od Windows XP aż do Windows 7.
    • Botnet korzystał z mechanizmu serwerów proxy, aby ukryć prawdziwe serwery C&C.

Pełen tekst raportu można znaleźć tutaj lub w dziale „Raporty”.

 

Udostępnij: