Pull to refresh

Comments 8

UFO just landed and posted this here
Для рыбалки действительно хватит, поэтому я и сказал, что метод, используемый в атаке, _примерно_ такой же. В смысле у меня недостаточно оснований утверждать, что методы абсолютно идентичные. Тем не менее, ваша оценка вполне реальна: упомянутый в исследовании DVB-S тюнер стоит $60, по остальным пунктам ценник понятен. Ну а сколько потратили организаторы атаки — никто не знает :)
Занимался «рыбалкой». В числе прочего сделал правило на мелкие exe-файлы. Половина из тех, что оказывались вирусами, начинали детектироваться на virustotal.com спустя 2-3 дня минимум.
Правильно ли я понимаю, что для Turla идет речь не о сокрытии управляющего центра, а о сокрытии хранилища данных, куда сливается украденная информация? Как ботагент Turla узнаёт, что ему нужно отправлять информацию какому-то пользователю в Африке, что бы ее потом можно было перехватить со спутника?
Как это делается в Turla не знаю, я бы сделал следующим образом: командный центр распределенный и состоит из зараженных пользователей, которые прошли проверку на реальность действий и долго ничего не подозревают. Каждый такой пользователь управляет только некоторой частью ботнета. Если пользователь излечивается от вируса или неактивен или оказался реверсером, можно эту часть ботнета перекинуть на другого пользователя, сменив ключи (если успеть, конечно).
Прочитал развернутый отчет от Kaspersky, cам себе отвечаю — ботагент Turla резолвит DNS C&C и вот этот IP принадлежит диапазону какого-нибудь спутникового провайдера. Первый пакет, естественно, ASK, причем на порт, который точно закрыт. И тут фишка в том, что бы выбранный IP не ответил на этот пакет ответом RST или FIN. И именно по этому признаку операторы Turla ищут IP. Перехватив пакет со спутника, формируется пакет SYN/ASK c dest IP жертвы и src IP подставного IP. Таким образом устанавливается TCP сессия. Ну и дальше идет обмен данными.
Описка — первый пакет, естественно, SYN =)
Sign up to leave a comment.