Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187
Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187
Последни туитове
RT @dave_rel1k: SET v1.5 interactive shell running on OSX. No sir your machine isn't infected, mac's don't have viruses. http://yfrog.co ... - на 16/06/2011 в 09:17:09
RT @PrivacyCamp: PayPal vulnerability allows access to any account within 30 seconds http://ow.ly/5iZcK - на 16/06/2011 в 09:07:16
Хроника на сагата около Сони - кога и какво е хакнато - http://t.co/sxejfv4 - на 11/06/2011 в 11:56:21
RT @mikkohypponen: Malware gang's $14.8 million bank account frozen: http://bit.ly/jrcTuf from F-Secure Weblog - на 11/06/2011 в 01:54:21
RT @mikkohypponen: Citibank says they too were hacked. They lost card information of one percent of their customers: http://t.co/5sFxWOz ... - на 09/06/2011 в 08:33:22
RT @dave_rel1k: Another Social-Engineer Toolkit (SET) update, added multi-threading to spear phishing mass mails. #sweet - на 09/06/2011 в 07:38:55
RT @taviso: Should you trust a root CA that couldn't keep track of it's own keys? Trick question, you already do. http://i.imgur.com/oTS ... - на 09/06/2011 в 07:37:36
RT @rapid7: New Metasploit modules designed specifically for testing firewalls, IDS, IPS, and DLP solutions - http://r-7.co/jZlksz - на 07/06/2011 в 03:49:34
RT @dave_rel1k: SET v1.4.1 has been updated in the Back|Track repositories. Lot's of bug fixes and updates around relative paths and fea ... - на 07/06/2011 в 03:32:12
RT @mikkohypponen: Fun trick of the day: Try 'ping 2130706433' from the command line and figure out why it works. - на 23/05/2011 в 23:09:33
RT @dave_rel1k: The Social-Engineer Toolkit (SET) v1.4.1 has been released. Adds statistics for harvester, bug fixes, and more. - на 20/05/2011 в 22:54:02
Нова разновидност на добре познатата Man-In-The-Browser атака е разпозната на 14.02 от R&D центъра на Imperva. Шеговито наречена Boy-in-the-Browser, атаката представлява доста опростена версия в сравнение с MITB, и е лесно приложима за ботнетаджиите. В основата си, атаката записва в hosts файла на операционната система нови адреси за домейните, за които атакуващите искат да си осигурят достъп. Тези адреси от своя страна са контролирани от атакуващите, като след това трафикът се пренесочва към истинският сървър. Това е доста трудно за разпознаване от софтуер ( за момента ), както и от потребителя ( SSL-а ще сработи с правилният сертификат например ). Друг основен проблем е, че атаката е относително лесна и евтина откъм ресурси за изпълнение, което ще доведе до нейната масовост. За момента са на лице атаки срещу няколко латино-американски банки, но със сигурност ще има развитие по темата.
Демонстрационно видео на MITM атака срещу Windows XP SP2 от g0tmi1k, като се използва Линукс дистрибуцията backtrack и metasploit. Модула browser_AutoPWN инжектира iframe в http трафика, който от своя страна стартира meterpreter. След компрометирането на XP-то, то се използва за по-нататъшна атака на мрежата.
Един от по-успешните начини, чрез които botnet-ите се свързват със своите пастири за да получават нови команди, модули и версии на зловредният код се нарича domain-flux. Ботнета генерира чрез алгоритъм имена на домейни, към които се опитва да се свърже ( най-често имената са безмислени – hhsdgkwetwert.biz, lhkeyhdpreras.ws и т.н. ). Обикновенно механизмът за генериране е обвързан със време, така че едно име на домейн е валидно само за определен период от време.
Ботовете генерират списък от домейни и последователно се опитват да се свържат към всеки един. Достатъчно е пастирът да регистрира само един от тези домейни, за да може да изпраща команди до целият ботнет. От друга страна, ако списъкът съдържа 50 или 100 различни домейна, които са валидни 3 дни например, е изключително ресурсоемко организация, решила да спре ботнета да регистрира/блокира всички.
Напоследък две групи експерти се фокусираха върху спецификата на тази техника, за да разработят методики за нейното разпознаване и блокиране.
Supranamaya "Soups" Ranjan се концентрира върху разпознаването на самите домейни – базирано на факта, че те не са човекоразбираеми и са генерирани от алгоритъм. Ако метода им се прецизира, подобни домейни ще могат да бъдат блокирани още на излизане от мрежата ( напр. от firewall ) и разпространението на бота ще бъде спряно. Доклада на групата можете да намерите тук
От друга страна Zhi-Li Zhang ( от университета в Минесота ) се концентрира върху факта, че ботовете генерират огромен брой заявки към нерегистрирани домейни – много повече от нормален потребител. При този метод чрез анализ на DNS трафика ще могат да бъдат разпознати инфектираните машини в мрежата и ще могат да бъдат преприети мерки. Доклада на тази група е тук.
February 16th, 2011 от singu
Един от по-успешните начини, чрез които botnet-ите се свързват със своите пастири за да получават нови команди, модули и версии на зловредният код се нарича domain-flux. Ботнета генерира чрез алгоритъм имена на домейни, към които се опитва да се свърже ( най-често имената са безмислени – hhsdgkwetwert.biz, lhkeyhdpreras.ws и т.н. ). Обикновенно механизмът за генериране е обвързан със време, така че едно име на домейн е валидно само за определен период от време.
