Tag: botnet

Jak nieistniejące nazwy domenowe mogą pomóc w wykryciu botnetów DGA?

Data publikacji: 01/10/2015, piotrb

dga_icon

Algorytmy generowania domen (ang. Domain Generation Algorithm) używane są w botnetach do utrudnienia blokowania połączeń do serwerów Command and Control, a także do zapobiegania przejęciu infrastruktury danego botnetu. Ich głównym celem jest stworzenie dużej liczby nazw domenowych, które zwykle wyglądają jak pseudolosowe ciągi znaków, np. pkjdgjwzcr.pl. Tylko niektóre z wygenerowanych domen są rejestrowane przez botmastera, niemniej zainfekowane maszyny wysyłają zapytania DNS o wszystkie z nich. Z tego powodu boty mogą otrzymywać dużą liczbą odpowiedzi o nieistnieniu domeny (non-existent domain – NXDomain). W tym wpisie pokażemy na przykładzie różnych metod detekcji jak takie zachowanie może być wykorzystane do wykrycia botnetów DGA.
Czytaj więcej

Wykrywanie botnetowych domen DGA: o fałszywych alarmach w detekcji

Data publikacji: 17/04/2015, piotrb

dga_icon

Algorytmy generowania domen (Domain Generation Algorithms) używane są w botnetach do tworzenia specjalnie skonstruowanych nazw domenowych odsyłających do serwerów C&C. Ma to na celu uniemożliwienie przejęcia domen botnetowych lub utrudnienie zablokowania połączeń do tych serwerów (np. przez blacklisty). Domeny te składają się najczęściej ze zbitek losowych znaków, np.: gdvf5yt.pl, które dla ludzi nie mają żadnego sensu, ale z powodzeniem zapewniają łączność. Zajmując się wykrywaniem domen generowanych przez DGA (ich użycie opisywaliśmy np. tu i tu) natrafiliśmy na domeny, które w pewnym stopniu są podobne do tych botnetowych ze względu na dziwny wygląd, ale które jednak są używane do innych celów. Znajomość tych domen przydaje się w wyeliminowaniu dużej liczby fałszywych alarmów systemów detekcji botnetów DGA. W tym wpisie przedstawione zostaną przykłady niezłośliwego występowania takich dziwnych domen, a w kolejnym przypadki, które można rozpatrywać jako zagrożenie.
Czytaj więcej

Betabot w Twoich wezwaniach do zapłaty

Data publikacji: 20/03/2015, Łukasz Siewierski

W ciągu ostatnich kilku dni zaobserwowaliśmy kampanię atakującą tylko polskich użytkowników Internetu za pomocą wiadomości e-mail zawierających złośliwe oprogramowanie. Pobiera ono bota o nazwie Betabot, który następnie przekazuje cyberprzestępcy pełną kontrolę nad komputerem ofiary. Celem atakującego jest zdobycie danych oraz zainstalowanie dodatkowych rodzajów malware’u, które potrafią na przykład podmienić numer rachunku bankowego na stronie bankowości elektronicznej. Poniżej znajduje się opis szczegółów kampanii, a także użytego złośliwego oprogramowania.

Czytaj więcej

Atak na klientów Allegro.pl oraz Booking.com

Data publikacji: 25/06/2014, Łukasz Siewierski

slammerW ciągu ostatnich kilku dni zaobserwowaliśmy atak polegający na podszywaniu się pod portal aukcyjny Allegro.pl lub pośrednika rezerwacji hotelowych – Booking.com. Ofiara otrzymywała spersonalizowaną wiadomość e-mail, w której zawarta była informacja o zablokowaniu konta w serwisie „z powodu nieuregulowanych oplat allegro”, albo z powodu „umieszczania w opisie Twojej aukcji tresci niezgodnych z regulaminem Allegro”. W przypadku serwisu Booking.com była to informacja na temat nieopłaconej faktury za (nieistniejącą) rezerwację. Obie te kampanie miały niemal identyczny schemat infekcji, co pozwala stwierdzić, że zostały przeprowadzone przez tę samą osobę, bądź grupę osób.
Czytaj więcej

Podsumowanie zagrożenia VBKlip

Data publikacji: 29/05/2014, Łukasz Siewierski

loveletter1Wielokrotnie informowaliśmy już o nowym zagrożeniu dla polskich użytkowników bankowości elektronicznej, które nazwaliśmy VBKlip. Przypominając, jest to rodzaj malware’u, którego działanie polega na podmianie numeru rachunku bankowego skopiowanego do schowka. W ten sposób, gdy np. opłacamy fakturę kopiując numer konta i następnie go wklejając, wysyłamy przelew na inne konto niż zamierzaliśmy. W tym wpisie przyjrzymy się temu zagrożeniu z perspektywy ostatnich kilku miesięcy, a także przedstawimy szczegółową jego analizę. Uważamy, że zagrożenie wciąż jest istotne, ponieważ wciąż dostajemy zgłoszenia od użytkowników, którzy zostali zainfekowani tym złośliwym oprogramowaniem i w wyniku jego działania stracili środki na koncie.

Czytaj więcej

Domeny rejestratora Domain Silver, Inc – statystyki z sinkhole’a

Data publikacji: 23/08/2013, Łukasz Siewierski

NASK 30 lipca 2013 roku podjął decyzję o wypowiedzeniu umowy z Domain Silver, Inc – sytuację tę opisywaliśmy w niedawno wydanym raporcie. Dzisiaj publikujemy wersję tego raportu zaktualizowaną o statystyki pochodzące z 20 botnetów sinkhole’owanych przez CERT Polska, których domeny C&C znajdowały się pod domenami zarejestrowanymi przez Domain Silver, Inc. Nie są to wszystkie botnety, a jedynie te, które były sinkhole’owane 23 lipca 2013 roku. Wśród nich znajdują się botnety stworzone za pomocą malware’u ZeuS ICE IX, Citadel, Andromeda/Gamarue oraz Dorkbot/NgrBot. Wśród tych botnetów znajdował się również botnet plitfi, z którego przejęcia raport publikowaliśmy wcześniej. Z zebranych danych wynika, że:
Czytaj więcej

123