Gleb Paharenko • Коллеги, может ли кто-то из IMENA.UA осветить событие подробнее? А также дать советы на будущее какой последовательностью шагов и мер бороться с атакой?

Yevgen Krylov • Не знаю что там конкретно произошло у Имён, скорее всего ничего из ряда вон выходящего (периодически любой из провайдеров испытывает подобные инциденты направленные на него непосредственно либо на какого-то из клиентов). ИМХО в данном случае господин Ольшанский просто решил воспользоваться ситуацией в целях пиара :)

Что касается борьбы с атаками, то во все времена самым эффективным способом борьбы было прекращение анонсов в Интернет своих сетей минут на 5-10. Ну или как вариант, попросить аплинка отфильтровать атаку - но такое не всякий аплинк сможет сдалать.

Sergi Polischuk • Особенностью данной атаки была необычайно высокая активность со стороны украинских компьютеров.

По итогам дня насчитано следующее количество попаданий по UDP DST port 80:

88704795 Volia
54326552 Freenet
42011130 TopNet
38112237 Netassist
21397033 Golden Telecom
7209454 Farlep
5560104 Lecos
5147038 Colocall
3441727 Datagroup
1876789 Uarnet
1527577 Infocom
720548 INTS
354182 Tenet
238682 UMC
34963 IP Net

Типичный фрейм содержал 1К мусора:

Arrival Time: Aug 27, 2009 09:05:12.433609000
Frame Length: 1066 bytes
[Protocols in frame: eth:ip:udp:data]
Ethernet II, Src: 00:1e:f7:41:9f:40 (00:1e:f7:41:9f:40), Dst: Cisco_77:ce:c3 (00:17:e0:77:ce:c3)
Type: IP (0x0800)
Internet Protocol, Src: 80.73.12.215 (80.73.12.215), Dst: 193.178.145.73 (193.178.145.73)
Version: 4
Header length: 20 bytes
Total Length: 1052
Identification: 0xcfa9 (53161)
Flags: 0x00
Fragment offset: 0
Time to live: 124
Protocol: UDP (0x11)
Header checksum: 0xbb0b [correct]
[Good: True]
[Bad : False]
Source: 80.73.12.215 (80.73.12.215)
Destination: 193.178.145.73 (193.178.145.73)
User Datagram Protocol, Src Port: 4749 (4749), Dst Port: http (80)
Source port: 4749 (4749)
Destination port: http (80)
Length: 1032
Checksum: 0xe2bd [correct]
[Good Checksum: True]
[Bad Checksum: False]
Data (1024 bytes)

При этом в лидерах атаки числились машины с высокоскоростным включением (1GE) по которым не велось никакого учета трафика.

Алгоритм действий для пострадавшей стороны простой:

1. выявляем тип атаки - в данном случае dDoS c DST IP: 93.178.145.73 Proto: UDP Port: 80
2. устанавливаются соответствующие фильтры по данному правилу на периметре сети и отправляется аналогичная просьба аплинкам;
3. получаются данные netflow по нескольким зараженным компьютерам и по результатам анализа вычисляется центр управления бот-сетью - у всех зараженных машин обязательно присутствует один или два IP-адреса с которыми они ведут постоянный обмен и получают команды
4. устанавливаются фильтры на трафик идущий на/от центра управления у всех вовлеченных провайдеров

В данном случае управление велось с:
210.51.166.247 CHINA NETCOM
210.51.166.237 CHINA NETCOM

Yevgen Krylov • хм.. а зачем атаковать UDP порт 80?

Volodymyr Styran • Отправка крупных пакетов/фрагментов на 80/udp - один из популярных методов DoS-атаки путем истощения канала связи жертвы. Как правило сопровождается регулярными "легитимными" соединениями (keep-alive) с атакующей машины на 80/tcp жертвы, дабы создать видимость нормальной активности.

Gleb Paharenko • Получилось ли исследовать зараженные компьютеры на предмет какие троянские программы там были установлены? Интересно какие еще активности этого ботнета существуют.

Sergiy Shabashkevich • >Получилось ли исследовать зараженные компьютеры на предмет какие троянские программы там были установлены?
Глеб, DoS в общем случае не связана с установкой вредоносов. А кто сказал что есть зараженные хосты как результат этой DoS-атаки?

Volodymyr Styran • А вдруг! =)

Sergiy Shabashkevich • Интересно это:
> Особенностью данной атаки была необычайно высокая активность со стороны украинских компьютеров.

2 Sergi Polischuk:
Сергей, можно поподробнее об "украинских компьютерах", ведь по китайским "товарищам" вроде всё понятно, плиз?

Sergi Polischuk • На зараженной системе создаются два файла:
%Temp%\1.tmp
%System%\tapi.nfo

либо: 24576 байт
MD5: 0x8B6EE616151D7EE659205168062A7B3B
SHA-1: 0x8264AD5DEF16C34AF54819FC15045E8301F0F913

либо: 25600 байт
MD5: 0xB649F3626C95D310CF723F95709E6792
SHA-1: 0x3303011F86EAA49ACB81F6761141C8225404E19C

Создаются записи в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\idid]
url = 1E 9B 6D D8 89 E6 C4 5A 68 F7 11 76 AC B3 B4 5B 18 C0 74 D1 DF E6 89 55 3F EB 1F 6F D4 6E 20 37 7E 73 5F 97 95 C0 54 9E 6B F6 37 3A DE 70 7E 0D
idid = "460684496"

И модифицируется:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "Explorer.exe rundll32.exe tapi.nfo beforeglav"

Таким образом, при каждом запуске Windows стартует tapi.nfo

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Если на графиках загрузки UA-IX Воли и Фринета атака была не сильно заметна, то скажем у Лекоса на его "пустом" 10G включении четко наблюдался "лишний" гигабит.

Зараженные клиенты из Краматорска, Одессы, Харькова, Херсона и других значительно ухудшили доступность Интернет в своих городах, выливая в направлении Киева мусорный трафик на большой скорости.

Gleb Paharenko • Поиск в гугл показывает, что зараза распостранена. А каким образом вы ее отловили? Насколько я понял, частью исследования была загрузка зловреда на: http://www.threatexpert.com/

А как вышли именно на сами файлы и ключ в реестре?

Sergiy Shabashkevich • 2 Sergi Polischuk: Спасибо за информацию!
Теперь кое-что прояснилось: Траффи