Đã tìm ra mạng Botnet tấn công các báo điện tử (Phần II)

Thảo luận trong 'Virus/Malware' bắt đầu bởi sky.it, 16/07/13, 02:07 PM.

  1. sky.it

    sky.it W-------

    Tham gia: 14/06/13, 02:06 PM
    Bài viết: 6
    Đã được thích: 0
    Điểm thành tích:
    6
    Máy chủ điều khiển botnet (C&C Server) ở đâu ?

    Phân tích mã độc cho thấy, có 3 C&C server được mã độc kiểm tra liên tục để nhận lệnh về là :

    • media.bulkweb.org
    • speak.checknik.com
    • lovenet.contbiz.com​

    3 C&C server này được ghi cố định trong mã nguồn của mã độc (hard-coded)

    [​IMG]
    Ảnh: Danh sách các C&C Server​


    Hiện tại chỉ có speak.checknik.com là hoạt động, có địa chỉ IP là 91.109.24.149. Đây là địa chỉ IP thuộc nước Đức.
    Lệnh điều khiển được đặt trong file search.thn hoặc view.thn trên các C&C Server. Bot sẽ download các file này về, giải mã và thực thi lệnh.

    [​IMG]
    Ảnh: Bot kết nối lên C&C Server để nhận file điều khiển search.thn

    File điều khiển được mã hóa. Không mất nhiều công giải mã, ta sẽ có nội dung của các file này. Đây là danh sách mục tiêu bị tấn công từ chối dịch vụ và danh sách các User-Agent mà bot được chỉ định sử dụng nhằm qua mặt các thiết bị cũng như công nghệ chống DDOS:

    [​IMG]
    Ảnh: Một phần của file điều khiển sau khi được giải mã

    Sau khi nhận file cấu hình và giải mã, mã độc thực thi việc tấn công ddos liên tục tới các server trong file cấu hình khiến cho các server này tê liệt hoàn toàn và người dùng không thế truy cập được.

    [​IMG]




    Chủ đề liên quan: Đã tìm ra mạng Botnet tấn công các báo điện tử (Phần I)
     
    Last edited by a moderator: 16/07/13, 02:07 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. luongtankhang123

    luongtankhang123 W-------

    Tham gia: 02/07/13, 09:07 PM
    Bài viết: 47
    Đã được thích: 14
    Điểm thành tích:
    18
    bác có 2 file đó ko cho em mựon em làm tool chặn cho
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. samtdo0206

    samtdo0206 Banned

    Tham gia: 15/07/13, 10:07 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    cám ơn bạn nhé, đúng cái mình đang cần
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. tieuvu

    tieuvu W-------

    Tham gia: 17/07/13, 12:07 AM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Vẫn chưa có phần 3 nhỉ. Đang hay :D
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. caothuv

    caothuv W-------

    Tham gia: 08/07/13, 07:07 PM
    Bài viết: 9
    Đã được thích: 0
    Điểm thành tích:
    6
    Liệu có tìm ra thủ phạm đứng sau vụ này không nhỉ ?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. pandainternet

    pandainternet W-------

    Tham gia: 10/08/13, 09:08 PM
    Bài viết: 4
    Đã được thích: 0
    Điểm thành tích:
    6
    nghe đâu là do darkseoul
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. NoNs

    NoNs W-------

    Tham gia: 30/10/13, 02:10 PM
    Bài viết: 20
    Đã được thích: 0
    Điểm thành tích:
    16
    thực sự thì vớ vẩn bm :))
    làm sao để tìm ra file mã độc đấy, file đó được lấy từ đâu ?, tại sao lại tìm ra link trên ?
    về cơ bản thì thao tác chống lại ddos của vnexpress cũng quá là sida :)), cho thêm 1 cái verify ở ngoài, chẳng có tác dụng gì cả :))
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. Bộ Đội

    Bộ Đội W-------

    Tham gia: 24/09/13, 04:09 AM
    Bài viết: 18
    Đã được thích: 2
    Điểm thành tích:
    16
    Re: Đã tìm ra mạng Botnet tấn công các báo điện tử (Phần II)

    Phần I và Phần II của bài này đc lấy ra nguyên văn từ hội thảo hacker whitehat 2013.

     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. Bộ Đội

    Bộ Đội W-------

    Tham gia: 24/09/13, 04:09 AM
    Bài viết: 18
    Đã được thích: 2
    Điểm thành tích:
    16
    Re: Đã tìm ra mạng Botnet tấn công các báo điện tử (Phần II)

    Nghe bạn nói như vậy thì có nói nó đc lấy từ đâu, tại sao tìm ra link trên chắc bạn cũng chưa đủ để hiểu đc.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. word35iqhdz

    word35iqhdz Banned

    Tham gia: 25/11/13, 10:11 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Casual Type of Ugg Boots

    ..................
     
    Last edited by a moderator: 02/01/14, 11:01 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. word69mgztj

    word69mgztj Banned

    Tham gia: 25/12/13, 11:12 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Re: Ðã tìm ra m?ng Botnet t?n công các báo di?n t? (Ph?n II)

    iveries just like genuine forms and significant parcels. Courier Corporations monitor his or her shipment situations when considering having the capacity to ニューバランス 574 レディース to make legitimate prices if instructions are put making sure that shoppers learn if you may anticipate your shipping and delivery. Each individual small business provides their supply time period along with how much time may differ according to long distance along with the supplement. Locating a courier business to supply ones package around the globe can be just about very easy mainly because quite a few providers offer you low-priced courier services. Courier assistance firms utilize many technologies along with designed a courier operation improved upon in all of the particular rural spots along with faraway places. Be sure anything you ニューバランス576 レザー are sure to submit some sort of courier along with, safeguard a offering products within shut container or simply cover in order that it doesn't have possibility that you'll neglecting. If you accomplished the providing course of action, come up with http://www.whoccdindia.com/upload/mate.asp?q=shop-5070 absolutely sure you happen to be supplying the best insert.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan