Gleb
Paharenko • Коллеги, может
ли кто-то из IMENA.UA осветить событие подробнее? А также дать советы на будущее
какой последовательностью шагов и мер бороться с атакой?
Yevgen
Krylov • Не знаю что там
конкретно произошло у Имён, скорее всего ничего из ряда вон выходящего
(периодически любой из провайдеров испытывает подобные инциденты направленные на
него непосредственно либо на какого-то из клиентов). ИМХО в данном случае
господин Ольшанский просто решил воспользоваться ситуацией в целях пиара :)
Что касается борьбы с атаками, то во все времена самым эффективным
способом борьбы было прекращение анонсов в Интернет своих сетей минут на 5-10.
Ну или как вариант, попросить аплинка отфильтровать атаку - но такое не всякий
аплинк сможет сдалать.
Sergi
Polischuk • Особенностью
данной атаки была необычайно высокая активность со стороны украинских
компьютеров.
По итогам дня насчитано следующее количество попаданий по
UDP DST port 80:
88704795 Volia 54326552 Freenet 42011130 TopNet
38112237 Netassist 21397033 Golden Telecom 7209454 Farlep
5560104 Lecos 5147038 Colocall 3441727 Datagroup 1876789 Uarnet
1527577 Infocom 720548 INTS 354182 Tenet 238682 UMC 34963 IP
Net
Типичный фрейм содержал 1К мусора:
Arrival Time: Aug 27,
2009 09:05:12.433609000 Frame Length: 1066 bytes [Protocols in frame:
eth:ip:udp:data] Ethernet II, Src: 00:1e:f7:41:9f:40 (00:1e:f7:41:9f:40),
Dst: Cisco_77:ce:c3 (00:17:e0:77:ce:c3) Type: IP (0x0800) Internet
Protocol, Src: 80.73.12.215 (80.73.12.215), Dst: 193.178.145.73 (193.178.145.73)
Version: 4 Header length: 20 bytes Total Length: 1052
Identification: 0xcfa9 (53161) Flags: 0x00 Fragment offset: 0
Time to live: 124 Protocol: UDP (0x11) Header checksum: 0xbb0b
[correct] [Good: True] [Bad : False] Source: 80.73.12.215
(80.73.12.215) Destination: 193.178.145.73 (193.178.145.73) User
Datagram Protocol, Src Port: 4749 (4749), Dst Port: http (80) Source port:
4749 (4749) Destination port: http (80) Length: 1032 Checksum:
0xe2bd [correct] [Good Checksum: True] [Bad Checksum: False] Data
(1024 bytes)
При этом в лидерах атаки числились машины с
высокоскоростным включением (1GE) по которым не велось никакого учета трафика.
Алгоритм действий для пострадавшей стороны простой:
1. выявляем
тип атаки - в данном случае dDoS c DST IP: 93.178.145.73 Proto: UDP Port: 80
2. устанавливаются соответствующие фильтры по данному правилу на периметре
сети и отправляется аналогичная просьба аплинкам; 3. получаются данные
netflow по нескольким зараженным компьютерам и по результатам анализа
вычисляется центр управления бот-сетью - у всех зараженных машин обязательно
присутствует один или два IP-адреса с которыми они ведут постоянный обмен и
получают команды 4. устанавливаются фильтры на трафик идущий на/от центра
управления у всех вовлеченных провайдеров
В данном случае управление
велось с: 210.51.166.247 CHINA NETCOM 210.51.166.237 CHINA NETCOM
Volodymyr
Styran • Отправка крупных
пакетов/фрагментов на 80/udp - один из популярных методов DoS-атаки путем
истощения канала связи жертвы. Как правило сопровождается регулярными
"легитимными" соединениями (keep-alive) с атакующей машины на 80/tcp жертвы,
дабы создать видимость нормальной активности.
Gleb
Paharenko • Получилось ли
исследовать зараженные компьютеры на предмет какие троянские программы там были
установлены? Интересно какие еще активности этого ботнета существуют.
Sergiy
Shabashkevich • >Получилось ли исследовать зараженные компьютеры на
предмет какие троянские программы там были установлены? Глеб, DoS в общем
случае не связана с установкой вредоносов. А кто сказал что есть зараженные
хосты как результат этой DoS-атаки?
Sergiy
Shabashkevich • Интересно
это: > Особенностью данной атаки была необычайно высокая активность со
стороны украинских компьютеров.
2 Sergi Polischuk: Сергей, можно
поподробнее об "украинских компьютерах", ведь по китайским "товарищам" вроде всё
понятно, плиз?
Sergi
Polischuk • На зараженной
системе создаются два файла: %Temp%\1.tmp %System%\tapi.nfo
либо: 24576 байт MD5: 0x8B6EE616151D7EE659205168062A7B3B SHA-1:
0x8264AD5DEF16C34AF54819FC15045E8301F0F913
либо: 25600 байт MD5:
0xB649F3626C95D310CF723F95709E6792 SHA-1:
0x3303011F86EAA49ACB81F6761141C8225404E19C
Создаются записи в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\idid] url = 1E 9B 6D D8 89 E6 C4 5A
68 F7 11 76 AC B3 B4 5B 18 C0 74 D1 DF E6 89 55 3F EB 1F 6F D4 6E 20 37 7E 73 5F
97 95 C0 54 9E 6B F6 37 3A DE 70 7E 0D idid = "460684496"
И
модифицируется: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon] Shell = "Explorer.exe rundll32.exe tapi.nfo
beforeglav"
Таким образом, при каждом запуске Windows стартует tapi.nfo
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - -
Если на графиках загрузки UA-IX Воли и Фринета атака
была не сильно заметна, то скажем у Лекоса на его "пустом" 10G включении четко
наблюдался "лишний" гигабит.
Зараженные клиенты из Краматорска, Одессы,
Харькова, Херсона и других значительно ухудшили доступность Интернет в своих
городах, выливая в направлении Киева мусорный трафик на большой скорости.
Gleb
Paharenko • Поиск в гугл показывает, что зараза распостранена. А каким образом вы
ее отловили? Насколько я понял, частью исследования была загрузка зловреда на:
http://www.threatexpert.com/
А как
вышли именно на сами файлы и ключ в реестре?
|
|