Комментарии 28
У меня дежавю или вчера эта статья находилась по другому адресу?
«за год были уничтожены такие ботнеты, как:
*Rustock, рассылавший 80 % мирового спама.»
То есть за этот год спама стало на 80% меньше?
*Rustock, рассылавший 80 % мирового спама.»
То есть за этот год спама стало на 80% меньше?
В статье об ЛК нет ни слова… Сколько Вам за это заплатил MS?
А причем тут ЛК вообще?
При том, что сбор сэмплов, реверс и хостинг при подобных атаках находится на ней. Пример тут
www.securelist.com/ru/blog/40767/Kak_Laboratoriya_Kasperskogo_otklyuchila_botnet_Hlux_Kelihos. «Не читайте по утрам совецких газет».
www.securelist.com/ru/blog/40767/Kak_Laboratoriya_Kasperskogo_otklyuchila_botnet_Hlux_Kelihos. «Не читайте по утрам совецких газет».
Простите, но это LOL.
В конце статьи есть опросник, и на момент моего коммента результаты такие:
Что следует «Лаборатории Касперского» делать дальше с ботнетом Hlux/Kelihos Botnet?
Оставить ботнет в покое
2911[85%]
Продолжать текущую практику sinkholing, вести дневник IP-адресов и сообщать о них по соответствующим адресам, чтобы были приняты меры по лечению
146[4%]
Продвигать утилиту для лечения от ботнета
351[10%]
В конце статьи есть опросник, и на момент моего коммента результаты такие:
Что следует «Лаборатории Касперского» делать дальше с ботнетом Hlux/Kelihos Botnet?
Оставить ботнет в покое
2911[85%]
Продолжать текущую практику sinkholing, вести дневник IP-адресов и сообщать о них по соответствующим адресам, чтобы были приняты меры по лечению
146[4%]
Продвигать утилиту для лечения от ботнета
351[10%]
Статья писалась очень давно и здесь опубликована в крайне урезанном виде. Тогда Kelihos не был захвачен. Со стороны MS мы всегда благодарим партнеров участвующих в благом деле прекращения работы ботнетов. Например пишем об этом в сети и на наших официальных сайтах.
Если мне удастся когда либо опубликовать полную версию статьи то можете быть уверены что ЛК там обязательно будет.
Если мне удастся когда либо опубликовать полную версию статьи то можете быть уверены что ЛК там обязательно будет.
в статье написано
Речь, в частности, пойдет об активности компании Microsoft, в которой я и работаю.
Подскажите контакты того, кто рисовал верхнюю иллюстрацию?
А если бы в ботнете команды защитили с помощью криптографии от подделок?
Глупости — это когда генерация ключей происходит, например, в зависимости от времени, любезно указанного в PE header'е. Если считаете, что крипта Вас спасёт, то флаг в руки.
Вам про Фому, а Вы всё про Ерёму. Причем здесь бинарники то вообще? Я говорю про криптографические аспекты протокола взаимодействия между ботом и оператором и утверждаю, что в случае продуманного подхода со стороны плохих парней взять под контроль ботнет не выйдет, затушить, обрезав каналы связи — да, контролировать — нет.
Кстати, в спасении не нуждаюсь, ибо к киберкриминальным кругам отношения никакого не имею, чту УК — это моя слабость.
И что Вы злой такой в самом деле, резкий, совсем чтоль у Вас там в вирлабах условия плохие?
Кстати, в спасении не нуждаюсь, ибо к киберкриминальным кругам отношения никакого не имею, чту УК — это моя слабость.
И что Вы злой такой в самом деле, резкий, совсем чтоль у Вас там в вирлабах условия плохие?
Думаю следующим шагом будет построение ботнет сети на основе алгоритмов биткоина. К слову, биткоин это не чисто платежная система. Механизм позволяет обмениваться любыми метаданными, которые требуют конфиденциальности (в случае с биткоином, это откуда|куда|сумма, в случае с ботом — комманда|параметры...). В т.ч. данными об управлении ботнетом. При чем система получается полностью децентрализованной. Будучи запущеной единожды, злоумышленникам останется только пополнять сеть новыми нодами.
Обновление и управляющие команды будут проходить проверку через сеть, так что для подделки парой десятков нод уже не отделаешься, если вообще это будет реально, по сути максимум что можно будет сделать, это приостановить на время обмен данными между нодами половиной мощности сети.
Более того, отравить сеть уже не получится, если она успеет набрать критическую массу мощности.
При этом анонимность повышается на порядок, теоретически управляющие команды можно будет отправлять с совершенно любой ноды, тут даже не нужен конкретный центр.
И вот когда это релизует кто-то, настанет настоящий пушной зверек.
Обновление и управляющие команды будут проходить проверку через сеть, так что для подделки парой десятков нод уже не отделаешься, если вообще это будет реально, по сути максимум что можно будет сделать, это приостановить на время обмен данными между нодами половиной мощности сети.
Более того, отравить сеть уже не получится, если она успеет набрать критическую массу мощности.
При этом анонимность повышается на порядок, теоретически управляющие команды можно будет отправлять с совершенно любой ноды, тут даже не нужен конкретный центр.
И вот когда это релизует кто-то, настанет настоящий пушной зверек.
К слову, можно внести и свой маленький вклад в дело борьбы с ботоводством.
Вот я себе сделал bash скрипт, которому сгружаю raw логи ддос аттак. Он парсит, выявляет айпишники, которые проявляли паразитную активность (число запросов в сек превосходит какие-то нормальные пределы и в разы выше от среднего за аналогичный период), затем через whois выкусывает абузные мыльники, подготавливает материалы (греп из логов по данному ип) и шлет приветы по этим мыльникам (лог + текст шаблонный по типу тогда-то тогда-то наш сервер подвергся ддос аттаке от вашего клиента, вот лог, просим принять меры + пугаю анальными карами).
Многие даже отвечают. Не знаю сколько ботов я так убиваю (в основном ответы приходят, если ип принадлежит какому-то впс-у под руткитом), но чувствуется свой маленький вклад в хорошее дело. :)
Если все будут поступать также, то думаю можно будет хоть немного напакостить ддосерам. Если наберусь духа переписать скрипты, которые писались в очень неспокойной обстановке, так чтобы их было не стыдно показывать, сделаю статью по этому поводу.
Вот я себе сделал bash скрипт, которому сгружаю raw логи ддос аттак. Он парсит, выявляет айпишники, которые проявляли паразитную активность (число запросов в сек превосходит какие-то нормальные пределы и в разы выше от среднего за аналогичный период), затем через whois выкусывает абузные мыльники, подготавливает материалы (греп из логов по данному ип) и шлет приветы по этим мыльникам (лог + текст шаблонный по типу тогда-то тогда-то наш сервер подвергся ддос аттаке от вашего клиента, вот лог, просим принять меры + пугаю анальными карами).
Многие даже отвечают. Не знаю сколько ботов я так убиваю (в основном ответы приходят, если ип принадлежит какому-то впс-у под руткитом), но чувствуется свой маленький вклад в хорошее дело. :)
Если все будут поступать также, то думаю можно будет хоть немного напакостить ддосерам. Если наберусь духа переписать скрипты, которые писались в очень неспокойной обстановке, так чтобы их было не стыдно показывать, сделаю статью по этому поводу.
А как расцветёт ваша карма, когда вы сделаете подробную статью с этим скриптом — вы даже не представляете!
Поддерживаю цветение кармы, тоже у себя повсюду развернул бы.
По сути у меня все рабочее, только нужно оформить нормально, сами представляете в каком состоянии оно все писалось. Не кармы ради, надеюсь кому-то это реально поможет, ибо знаю что такое сутками сидеть под ддосом.
К слову это может оказаться неплохим методом борьбы. Ддосеров надо бить по самому больному месту, по ботам. Если ботнет свой, то подыхание ботов тоже придется компенсировать, они не бесплатные, особенно если ру/укр загрузки.
Если заказной, то в случае, если ддосер увидит что его боты начали массово вымирать (особенно жирные боты, на хороших каналах с хорошим онлайном, обычно трояненные дедики), то поднимет заказчику цену или вообще откажет. В нормальных ДЦ на абузы реагируют достаточно оперативно. Со знакомыми провайдерами общался, также уверяли меня что скорее всего на подобную жалобу, если она оформлена нормально (с логами, внятно написано), отреагируют (уведомят абонента и посоветуют почистить компьютер от вирусов).
К слову это может оказаться неплохим методом борьбы. Ддосеров надо бить по самому больному месту, по ботам. Если ботнет свой, то подыхание ботов тоже придется компенсировать, они не бесплатные, особенно если ру/укр загрузки.
Если заказной, то в случае, если ддосер увидит что его боты начали массово вымирать (особенно жирные боты, на хороших каналах с хорошим онлайном, обычно трояненные дедики), то поднимет заказчику цену или вообще откажет. В нормальных ДЦ на абузы реагируют достаточно оперативно. Со знакомыми провайдерами общался, также уверяли меня что скорее всего на подобную жалобу, если она оформлена нормально (с логами, внятно написано), отреагируют (уведомят абонента и посоветуют почистить компьютер от вирусов).
Если не будет к тому моменту кармы, то пишите статью и в QA с куском текста из статьи, там подкинут.
Авансом я уже добавил.
Авансом я уже добавил.
Вот обещанная статья Наносим удар по ddos ботнету своими силами
Очень интересно про ботнеты не из Вин машин, буквально все про них!
— заражение
— количество
— контроль
…
— заражение
— количество
— контроль
…
Касперский в своем ЖЖ предложил вариант «предварительного просмотра» запросов пользователей и дальнейшего «отведения удара» в «никуда» (на эмитирующий сервер), при этом централизованный сервер защиты «руководит» «руководит операцией по защите» :)
Но это ЛК.
А как насчет Microsoft?
Как вариант: почему бы не сделать на атакуемом сервере хотя бы маячковый сервис:
— сделать систему распознавания DDos-атак
— и при поступлении и обнаружении такой атаки, по резервному калану «сообщить» спец.серверу защиты информацию о зараженном компьютере
— спец.сервер «по-своему» связывается с зараженным компьютером и сообщает о заражении (основная проблема таких ПК, что люди не знают что происходит)
— зараженный компьютер «отключает сетевые соединения» на определенное количество времени, сообщив при этом владельцу о проделанных операциях (сообщить обязательно!), а так же записи в логи.
— ни и появляется две возможности: чтобы «заплатку» скачал сам пользователь, или это сделал спец. сервер.
По сути превентивная мера.
Как вариант.
Но это ЛК.
А как насчет Microsoft?
Как вариант: почему бы не сделать на атакуемом сервере хотя бы маячковый сервис:
— сделать систему распознавания DDos-атак
— и при поступлении и обнаружении такой атаки, по резервному калану «сообщить» спец.серверу защиты информацию о зараженном компьютере
— спец.сервер «по-своему» связывается с зараженным компьютером и сообщает о заражении (основная проблема таких ПК, что люди не знают что происходит)
— зараженный компьютер «отключает сетевые соединения» на определенное количество времени, сообщив при этом владельцу о проделанных операциях (сообщить обязательно!), а так же записи в логи.
— ни и появляется две возможности: чтобы «заплатку» скачал сам пользователь, или это сделал спец. сервер.
По сути превентивная мера.
Как вариант.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как закрывают ботнеты