i2Ninja malware w podziemiu

Inżynierowie bezpieczeństwa firmy Trusteer wykryli ze nowy financial malware i2Ninja został wypuszczony do sprzedażny na Rosyjskich forach cyberprzestepczych, które sa idealnym miejscem do wymiany złośliwych kodów czy tez do wykorzystania modelu sprzedaży znany jako malware-as-a-service. W przeszłości podobne złośliwe kody takie jak Zeus, Spyeye, Carberp czy Citadel zostały sprzedawane w podziemiu, jednak są i takie grupy, które wolą nie sprzedawać swoich kodów, nie zwracać na siebie uwagi i pozostać anonimowym.

i2Ninja jest to peer-to-peer trojan, który może zostać użyty w celu kradzieży numerów kart kredytowych i innych informacji finansowych, oraz posiada takie same właściwości jak pozostałe popularne financial malware. Nazwa i2Ninja pochodzi z akronimu I2P (http://www.i2p2.de/), który działa podobnie jak TOR zapewniając anonimowość w sieci.

Infekcja komputera przebiega jak większość tego typu podobnych działań poprzez phishing. i2Ninja posiada rożne możliwości wstrzykiwania HTML, Poker and Mail Grabber i wkrótce zostanie dołączony moduł VNC, który pozwoli na zdalny dostęp do innych malware.

Wybór I2P, jako platformy jest podyktowany tym ze póki, co jest bezpieczna platforma, która nie pozwala na dokładne poznanie, w jaki sposób działa malware, ale ponoć jest to tylko kwestia czasu, kiedy szyfrowanie I2P zostanie złamane tak samo jak stało się z TOR, gdy za pomocą Firefox 0-day udało się zidentyfikować niektórych użytkowników sieci TOR.

Klienci którzy kupią i2Ninja maja możliwość korzystania z help desku gdzie mogą wysyłać tickety gdy maja problemy z obsługą programu. Interakcja klient z obsługą techniczna jest anonimowa, ponieważ odbywa się poprze siec I2P.

Działalność cyberprzestepcza rośnie w zastraszającym tempie a zapotrzebowanie na złośliwe kody powoduje ze sprzedaż rośnie, co nakręca cały cyberbiznes.

Blazej Malczak

Fokirtor - nowy Backdoor na Linuxa

Symantec wykrył backdoora na Linuxie który potrafi samodzielnie zaimplementować ukryty protokół komunikacyjny aby ukryć swoją obecność. Prawdopodobnie ten sam złośliwy kod został użyty do zhakowania serwerowni Hetzner w maju. 

Backdoora ciężko jest wykryć ponieważ wstrzykuje swoją transmisje w istniejący ruch SSH (który jest de facto szyfrowany). Atakujący użyli backoora w celu wykradzenia bazy danych klientów szyfrując połączenie algorytmem Blowfish. Złośliwy kod na zainfekowanym serwerze zbiera informacje takie jak hostname, IP address, port, hasło, klucz SSH i nazwę użytkownika, które następnie szyfruje i wysyła do C&C.

Symantec zdradza że implementacja takiego backdoora była spowodowana tym że atakujący byli świadomi zaawansowanego poziomu bezpieczeństwa sieci i użyli go w celu uniknięcia wykrycia poprzez systemy bezpieczeństwa.

“This backdoor allowed an attacker to perform the usual functionality — such as executing remote commands — however, the backdoor did not open a network socket or attempt to connect to a command-and-control server (C&C). Rather, the backdoor code was injected into the SSH process to monitor network traffic and look for the following sequence of characters: colon, exclamation mark, semi-colon, period (“:!;.”). After seeing this pattern, the back door would parse the rest of the traffic and then extract commands which had been encrypted with Blowfish and Base64 encoded.”

W celu uniknięcia wykrycia Backdoor praktycznie nie używa własnego kanału komunikacji, zamiast tego wykorzystuje poszczególne sekwencje znaków do wstrzykiwania własnego ruchu w ramach legalnych danych wymienianych w trakcie połączenia SSH.

Symantec podkreśla że tego rodzaju Backdoor różni się od wcześniej wykrytych i sugeruje nową taktykę obieraną przez cyber przestępców w budowaniu złośliwych kodów.

Symantec opublikował skrypt który pozwoli na sprawdzenie czy mamy zainfekowany komputer

Blazej Malczak

Jak bronic się przed atakami DDoS

Ataki DDoS są coraz bardziej powszechne a ich liczba rośnie systematycznie w bardzo szybkim tempie a średnia siła ataku w 2013 roku wynosi obecnie 3.37 Gb/s, z czego w ostatnich trzech miesiącach jest to przedział 3-3.5Gb/s. W porównaniu w całym 2012 roku średnia siła wyniosła 1,48Gb/s.

Zlecenie ataku DDoS (Distributed Denial of Service) nie jest dziś żadnym problemem. Coraz więcej pojawia się, bowiem płatnych - a nawet darmowych - serwisów oferujących przeprowadzanie ataków DDoS. Na forach (http://www.safeskyhacks.com/Forums/showthread.php?39-Top-10-DDoser-s-(Booters-Stressers),  cyberprzestepcy tworzą top 10 najlepszych Booterów (cloudowych platform DDoS as a Service) oferujących juz od 10 dolarów całkiem dobry 60 sekundowy atak o wydajności 800MBit/s, który może być wykorzystywany przez miesiąc, a dla chcących więcej za 169 dolarów atak dwu godzinny. Popularność DDoS as a Service wzrasta a dzięki analizie opublikowanej w Internecie wykradzionej bazy operacyjnej jednego w Botterów znanego TwBooter można stwierdzić ze serwis zarabiając w miesiąc 7,500 dolarów został wykorzystany do wykonania ponad 48,000 ataków DDoS przeciwko 11,000 ofiarom wliczając strony rządowe i serwisy informacyjne.
Z raportu Arbor Network z trzech pierwszych kwartałów 2013 roku wynika ze ataki trwają dłużej i maja coraz większy rozmiar liczony w Gbps (giga bits per second).
http://www.arbornetworks.com/corporate/blog/5025-q3-findings-from-atlas?goback=%2Egde_4833846_member_5798801102438678530#%21

W porównaniu z 2012 rokiem widzimy znaczny wzrost ataków DDoS z których największy rozmiar monitorowanego i zweryfikowanego ataku wynosił aż 191Gb/sec.  54% ataków w pierwszych 3 kwartalach 2013 roku miała sile 1Gb/sec. W porównaniu w 2012 roku odnotowano 33% takich ataków. 37% ataków mieściło sie w przedziale 2-10Gb/s, jest to wzrost z 15% w 2012 roku. Ataki powyżej 10Gb/s stanowią 4% wszystkich ataków i jest to wzrost aż o 44% w stosunku do 2012 roku. Wzrost o ponad 350% w ilości monitorowanych ataków o sile powyżej 20 Gb/s zaobserwowano w stosunku do 2012 roku.

Dostawcy Internetu, usług i serwisów w chmurze oraz korporacje borykaja sie ze wspólnym globalnym problemem jakim jest DDoS, który może zablokować dostęp do usług a co za tym idzie narazić organizacje na straty wizerunków, które mogą nadszarpnąć pozycje na rynku budowana latami. Obecne technologie pozwalają jednak optymistycznie patrzeć na sposób, w jaki zwalcza się, czy minimalizuje ataki DDoS. Jedną z firm, która oferuje skuteczne możliwości walki z atakami DoS/DDoS jest Arbor Networks. Wielu providerów korzysta z technologi takich, jak  Arbor Peakflow SP czy Arbor Threat Management System , oferując rożnego rodzaju serwisy, broniące bądź też redukujące skalę ataków, które są często dostosowane i spersonalizowane do wymagań firmy. 

Witam na blogu

Witam serdecznie na moim blogu posieconym bezpieczenstwie. Zapraszam do subsrycji i milego czytania. Blazej Malczak