- Рейтинг:
- 3721
- Сообщений:
- 11,152
- Пользователь:
- 128
- На сайте с:
- дек 2004
20 марта 2005, 21:23 | Оценка: нет оценки
80% злонамеренного трафика генерируется посредством четырех портов
Исследование, выполненное немецкой организацией Honeynet Project, обнаружило, что свыше 80% трафика, источником которого служат сети из взломанных компьютеров, проходит через четыре порта, предназначенных для обмена ресурсами между разными версиями Windows. Оно показало также, что уязвимости, которые некоторые эксплойты используют для взлома ПК, можно обнаружить методом поиска информации в секьюрити-бюллетенях Microsoft.
«Большая часть активности на этих портах, безусловно, вызвана системами с Windows XP (часто с установленным Service Pack 1), а на втором месте стоят системы Windows 2000. За ними с большим отставанием следуют системы Windows 2003 или Windows 95/98», — говорится в отчете Honeynet Project.
Microsoft ответила на это, в очередной раз повторив, что она стремится обеспечить безопасность платформ перед лицом атак со стороны бот-сетей, за которыми часто стоят преступные группы. «Создание ИТ-угроз и кража данных является уголовным преступлением, которое затрагивает всех. Этот тип преступной деятельности обычно имеет финансовую мотивацию, и преступники часто нацеливаются на платформу Microsoft и ее приложения ввиду обширной клиентской базы, — говорится в заявлении компании. — Однако это серьезная проблема для всей отрасли, и ни одна организация не застрахована от данной угрозы».
Наиболее интенсивно эксплуатируемыми портами Windows, согласно исследованию, являются порты 445/TCP (используется для обмена файлами); 139/TCP (используется для подключения к машине с целью обмена файлами); 137/UDP (используется для поиска информации на других компьютерах) и 135/TCP (используется для удаленного выполнения команд).
Источник:Zdnet
========================================
Шпионаж за хакерами выявил страшные факты
Хакеры вторгаются во все новые и новые сферы человеческой деятельности, используя для этого вычислительные мощности ни о чем не подозревающих пользователей ПК: более миллиона взломанных злоумышленниками компьютеров сами стали распространителями спама и вирусов, превратившись в мощное орудие атак на веб-сайты.
Как сообщает ВВС, тщательное исследование состояния дел с зомбированием компьютеров в Сети было проведено участниками проекта Honeynet, в рамках которого объединились специалисты по защите информации. Они использовали в качестве «приманки» для злоумышленников, позволяющей выявить методы их работы, специально созданную для этого сеть компьютеров. Данные собирались при помощи внешне совершенно обычных ПК, скрупулезно регистрировавших все действия хакеров — для этого специалисты немецкого отделения проекта Honeynet создали программное обеспечение, регистрирующее все, что происходит с машиной при ее подключении к Сети.
Эксперименты подтвердили уже известный факт: подцепить «"заразу"» в Сети — не проблема. Компьютер-рекордсмен в проекте продержался всего несколько минут, прежде чем был выявлен преступниками — другие выдерживали лишь несколько секунд. Для заражения используется широкий спектр уязвимостей, имеющихся в операционной системе Windows и позволяющих преступникам находить новые компьютеры и получать доступ к ним. Особенно вожделенным «призом» для хакеров являются домашние ПК, имеющие широкополосный доступ в Сеть и никогда не отключающиеся. Зараженные компьютеры связываются по каналам чатов с IRC-серверами и ждут поступления команд от хакеров.
Обследование, проводившееся на протяжении нескольких месяцев, показало, что для решения различного рода задач преступники используют сети, включающие от нескольких сот до десятков тысяч компьютеров. Значительная их часть применяется для рассылки и маршрутизации спама, а также в качестве платформ для распространения вирусов. Тем не менее, одной лишь этой активностью интересы хакеров не ограничиваются.
В течение периода обследования выяснилось, в частности, что с помощью таких сетей было осуществлено 226 DDoS-атак на 99 различных целей. Была даже зарегистрирована атака, с помощью которой компания пыталась «выбить» собственных конкурентов в оффлайн.
Ряд созданных злоумышленниками сетей «на глазах» экспертов использовались для того, чтобы вывести из строя программу Google Adsense, контролирующую отображение рекламы поисковой системы на различных сайтах. С помощью других сетей злоумышленники пытались вывести из строя онлайновые игры или голосования или манипулировать ими.
Преступники, судя по всему, начинают использовать подобные сети для массовых краж персональной информации, а также для размещения сайтов, внешне напоминающих банковские и позволяющих тем самым аккумулировать конфиденциальную информацию. В других случаях преступные сети используются для слежки за онлайновым трафиком и краж из него закрытой информации.
«Объединение возможностей нескольких тысяч сетей из зомбированных машин позволяет мгновенно вывести из строя практически любой сетевой ресурс или сеть, - — заявил один из участников эксперимента. — Очевидно, что созданные хакерами сети даже в неумелых руках - — грозное оружие».
«Эта работа очень важна, так как это единственный путь узнать подобную информацию, - », — полагает Джоннас Ульрих из Internet Storm Center (SANS) в Квинси, Массачусетс, США. На его взгляд, собранная информация позволит правоохранительным органам организовать преследование хакеров, а разработчикам - ПО — найти наиболее эффективные способы уничтожения созданных хакерами преступных сетей.
Источник:Cnews.ru
========================================
В Германии действует проект по отслеживанию "хакерских сетей"
18 марта 2005 года, 10:45
Текст: Юрий Ильин
Создатель и оператор немецкого проекта German Honeynet Project Торстен Хольц опубликовал первые результаты работы проекта "Знай врага в лицо: отслеживание бот-сетей" (Know Your Enemy: Tracking Botnets).
Под "бот-сетями" или "зомби-сетями" подразумеваются "сети", состоящие из "компьютеров-зомби", заражённых (в результате вирусной атаки или прямого вторжения хакера) т.н. "ботами", зловредными программами, которыми хакер может управлять удалённо, например, с помощью IRC-чата.
Основой German Honeynet Project является сеть из, казалось бы, минимально защищённых компьютеров-ловушек (honeypots, оттуда и название honeynet), которые подвергаются заражениям со стороны хакеров, а потом регистрируют всю деятельность ботов. С помощью пожертвованных компьютеров Хольц и его коллеги отслеживают деятельность хакеров - владельцев "бот-сетей".
Фальшивые "зомби-компьютеры" Хольца позволили ему наблюдать работу более чем сотни различных бот-сетей, в некоторые из которых входило до 50 тысяч заражённых компьютеров (настоящих "зомби", владельцы которых, вероятно, даже и не подозревали о том, что они заражены).
Обнаружилось и несколько довольно интересных обстоятельств.
Во-первых, выявлено наличие нескольких малых бот-сетей, находящихся под контролем одних и тех же лиц (Хольц предполагает, что это попытка сделать бот-сети менее уязвимыми, распределяя контроль над ними на несколько серверов).
Во-вторых, как выяснилось, операторы бот-сетей активно и воюют, и торгуют друг с другом, причём в качестве товара выступают целые сети.
Ну, и в-третьих, оказалось, что далеко не все эти "хакеры" обладают высоким уровнем технической грамотности, иначе бы они не задавали друг другу вопросов на тему: "А как мне откомпилировать то-то и то-то".
Бот-сети - давняя головная боль и провайдеров, и пользователей разного ранга. С помощью "зомбированных" компьютеров хакеры устраивают распределённые DoS-атаки; заражённые компьютеры используются в качестве серверов для рассылок спама и других преступлений. Отыскать операторов сетей бывает довольно трудно, но информация, которую собирает German Honeynet Project, очевидно, будет крайне полезна для заинтересованных лиц и организаций, в том числе правоохранительных органов.
Как пишет New Scientist, ранее провайдеры пытались управиться с бот-сетями, производя реверсный инжиниринг хакерских ботов, чтобы выудить из них логины и пароли, а затем, понятное дело, перекрывать кислород владельцам бот-сетей.
Однако, во-первых, реверсный инжиниринг занимает много времени, а во-вторых, хакеры быстро нашли средства борьбы с этой "напастью": теперь всё чаще встречаются боты, которые моментально самоуничтожаются, если их пытаются взломать.
Хольц использует и другой подход: в бот-сеть подсаживается фальшивый бот ("drone"), очень похожий на оригинальный, но записывающий в отдельный файл все команды, которые ему передаёт оператор бот-сети. В другой файл записывается вся остальная информация.
"Дроны" не участвуют в спам- или DoS-атаках, поскольку запрограммированы на то, чтобы игнорировать эти программы. Что, впрочем, иногда вызывает у хакеров подозрения. Несколько раз "дроны" Хольца обнаруживали и перекрывали доступ в хакерские чаты. Один из хакеров и вовсе настолько осерчал, что попытался организовать против German Honeynet Project DoS-атаку.
Тогда Хольц прибегнул к тем же средствам, которые спамеры используют, чтобы заметать следы: команды "дронам" теперь передаются через удалённые серверы, так что их истинный источник отследить не удаётся.
Исследование, выполненное немецкой организацией Honeynet Project, обнаружило, что свыше 80% трафика, источником которого служат сети из взломанных компьютеров, проходит через четыре порта, предназначенных для обмена ресурсами между разными версиями Windows. Оно показало также, что уязвимости, которые некоторые эксплойты используют для взлома ПК, можно обнаружить методом поиска информации в секьюрити-бюллетенях Microsoft.
«Большая часть активности на этих портах, безусловно, вызвана системами с Windows XP (часто с установленным Service Pack 1), а на втором месте стоят системы Windows 2000. За ними с большим отставанием следуют системы Windows 2003 или Windows 95/98», — говорится в отчете Honeynet Project.
Microsoft ответила на это, в очередной раз повторив, что она стремится обеспечить безопасность платформ перед лицом атак со стороны бот-сетей, за которыми часто стоят преступные группы. «Создание ИТ-угроз и кража данных является уголовным преступлением, которое затрагивает всех. Этот тип преступной деятельности обычно имеет финансовую мотивацию, и преступники часто нацеливаются на платформу Microsoft и ее приложения ввиду обширной клиентской базы, — говорится в заявлении компании. — Однако это серьезная проблема для всей отрасли, и ни одна организация не застрахована от данной угрозы».
Наиболее интенсивно эксплуатируемыми портами Windows, согласно исследованию, являются порты 445/TCP (используется для обмена файлами); 139/TCP (используется для подключения к машине с целью обмена файлами); 137/UDP (используется для поиска информации на других компьютерах) и 135/TCP (используется для удаленного выполнения команд).
Источник:Zdnet
========================================
Шпионаж за хакерами выявил страшные факты
Хакеры вторгаются во все новые и новые сферы человеческой деятельности, используя для этого вычислительные мощности ни о чем не подозревающих пользователей ПК: более миллиона взломанных злоумышленниками компьютеров сами стали распространителями спама и вирусов, превратившись в мощное орудие атак на веб-сайты.
Как сообщает ВВС, тщательное исследование состояния дел с зомбированием компьютеров в Сети было проведено участниками проекта Honeynet, в рамках которого объединились специалисты по защите информации. Они использовали в качестве «приманки» для злоумышленников, позволяющей выявить методы их работы, специально созданную для этого сеть компьютеров. Данные собирались при помощи внешне совершенно обычных ПК, скрупулезно регистрировавших все действия хакеров — для этого специалисты немецкого отделения проекта Honeynet создали программное обеспечение, регистрирующее все, что происходит с машиной при ее подключении к Сети.
Эксперименты подтвердили уже известный факт: подцепить «"заразу"» в Сети — не проблема. Компьютер-рекордсмен в проекте продержался всего несколько минут, прежде чем был выявлен преступниками — другие выдерживали лишь несколько секунд. Для заражения используется широкий спектр уязвимостей, имеющихся в операционной системе Windows и позволяющих преступникам находить новые компьютеры и получать доступ к ним. Особенно вожделенным «призом» для хакеров являются домашние ПК, имеющие широкополосный доступ в Сеть и никогда не отключающиеся. Зараженные компьютеры связываются по каналам чатов с IRC-серверами и ждут поступления команд от хакеров.
Обследование, проводившееся на протяжении нескольких месяцев, показало, что для решения различного рода задач преступники используют сети, включающие от нескольких сот до десятков тысяч компьютеров. Значительная их часть применяется для рассылки и маршрутизации спама, а также в качестве платформ для распространения вирусов. Тем не менее, одной лишь этой активностью интересы хакеров не ограничиваются.
В течение периода обследования выяснилось, в частности, что с помощью таких сетей было осуществлено 226 DDoS-атак на 99 различных целей. Была даже зарегистрирована атака, с помощью которой компания пыталась «выбить» собственных конкурентов в оффлайн.
Ряд созданных злоумышленниками сетей «на глазах» экспертов использовались для того, чтобы вывести из строя программу Google Adsense, контролирующую отображение рекламы поисковой системы на различных сайтах. С помощью других сетей злоумышленники пытались вывести из строя онлайновые игры или голосования или манипулировать ими.
Преступники, судя по всему, начинают использовать подобные сети для массовых краж персональной информации, а также для размещения сайтов, внешне напоминающих банковские и позволяющих тем самым аккумулировать конфиденциальную информацию. В других случаях преступные сети используются для слежки за онлайновым трафиком и краж из него закрытой информации.
«Объединение возможностей нескольких тысяч сетей из зомбированных машин позволяет мгновенно вывести из строя практически любой сетевой ресурс или сеть, - — заявил один из участников эксперимента. — Очевидно, что созданные хакерами сети даже в неумелых руках - — грозное оружие».
«Эта работа очень важна, так как это единственный путь узнать подобную информацию, - », — полагает Джоннас Ульрих из Internet Storm Center (SANS) в Квинси, Массачусетс, США. На его взгляд, собранная информация позволит правоохранительным органам организовать преследование хакеров, а разработчикам - ПО — найти наиболее эффективные способы уничтожения созданных хакерами преступных сетей.
Источник:Cnews.ru
========================================
В Германии действует проект по отслеживанию "хакерских сетей"
18 марта 2005 года, 10:45
Текст: Юрий Ильин
Создатель и оператор немецкого проекта German Honeynet Project Торстен Хольц опубликовал первые результаты работы проекта "Знай врага в лицо: отслеживание бот-сетей" (Know Your Enemy: Tracking Botnets).
Под "бот-сетями" или "зомби-сетями" подразумеваются "сети", состоящие из "компьютеров-зомби", заражённых (в результате вирусной атаки или прямого вторжения хакера) т.н. "ботами", зловредными программами, которыми хакер может управлять удалённо, например, с помощью IRC-чата.
Основой German Honeynet Project является сеть из, казалось бы, минимально защищённых компьютеров-ловушек (honeypots, оттуда и название honeynet), которые подвергаются заражениям со стороны хакеров, а потом регистрируют всю деятельность ботов. С помощью пожертвованных компьютеров Хольц и его коллеги отслеживают деятельность хакеров - владельцев "бот-сетей".
Фальшивые "зомби-компьютеры" Хольца позволили ему наблюдать работу более чем сотни различных бот-сетей, в некоторые из которых входило до 50 тысяч заражённых компьютеров (настоящих "зомби", владельцы которых, вероятно, даже и не подозревали о том, что они заражены).
Обнаружилось и несколько довольно интересных обстоятельств.
Во-первых, выявлено наличие нескольких малых бот-сетей, находящихся под контролем одних и тех же лиц (Хольц предполагает, что это попытка сделать бот-сети менее уязвимыми, распределяя контроль над ними на несколько серверов).
Во-вторых, как выяснилось, операторы бот-сетей активно и воюют, и торгуют друг с другом, причём в качестве товара выступают целые сети.
Ну, и в-третьих, оказалось, что далеко не все эти "хакеры" обладают высоким уровнем технической грамотности, иначе бы они не задавали друг другу вопросов на тему: "А как мне откомпилировать то-то и то-то".
Бот-сети - давняя головная боль и провайдеров, и пользователей разного ранга. С помощью "зомбированных" компьютеров хакеры устраивают распределённые DoS-атаки; заражённые компьютеры используются в качестве серверов для рассылок спама и других преступлений. Отыскать операторов сетей бывает довольно трудно, но информация, которую собирает German Honeynet Project, очевидно, будет крайне полезна для заинтересованных лиц и организаций, в том числе правоохранительных органов.
Как пишет New Scientist, ранее провайдеры пытались управиться с бот-сетями, производя реверсный инжиниринг хакерских ботов, чтобы выудить из них логины и пароли, а затем, понятное дело, перекрывать кислород владельцам бот-сетей.
Однако, во-первых, реверсный инжиниринг занимает много времени, а во-вторых, хакеры быстро нашли средства борьбы с этой "напастью": теперь всё чаще встречаются боты, которые моментально самоуничтожаются, если их пытаются взломать.
Хольц использует и другой подход: в бот-сеть подсаживается фальшивый бот ("drone"), очень похожий на оригинальный, но записывающий в отдельный файл все команды, которые ему передаёт оператор бот-сети. В другой файл записывается вся остальная информация.
"Дроны" не участвуют в спам- или DoS-атаках, поскольку запрограммированы на то, чтобы игнорировать эти программы. Что, впрочем, иногда вызывает у хакеров подозрения. Несколько раз "дроны" Хольца обнаруживали и перекрывали доступ в хакерские чаты. Один из хакеров и вовсе настолько осерчал, что попытался организовать против German Honeynet Project DoS-атаку.
Тогда Хольц прибегнул к тем же средствам, которые спамеры используют, чтобы заметать следы: команды "дронам" теперь передаются через удалённые серверы, так что их истинный источник отследить не удаётся.
![[IMG]](http://nekuru.com/images/Seba/t2.png)
| Дневник
