Цифры полугодия

• В первом полугодии 2012 года максимальная мощность атаки из числа отраженных Kaspersky DDoS Prevention составила 2,9 Гбит/с.
• Средняя мощность отраженных Kaspersky DDoS Prevention атак составила 109 Мбит/с.
• Самая протяженная DDoS-атака, зафиксированная в первом полугодии, продолжалась 94 дня 4 часа 58 минут и была нацелена на сервер онлайн-игры.
• Средняя продолжительность DDoS-атак составила 16 часов 24 минуты.

Самые громкие атаки

Финансы: DDoS-атаки на фондовые биржи

14 февраля сайты американских фондовых бирж NASDAQ и BATS подверглись DDoS-атаке. Ответственность за атаку взяла на себя хакерская группа L0NGwave99, как следует из их заявления на Pastebin. Операция Digital Tornado («Цифровой торнадо») была проведена в поддержку «движения 99%», которое заявляет, что борется «с последним врагом человечества — капитализмом либеральной демократии», как выразились сами участники атаки.

Однако, несмотря на недоступность сайтов, представители обеих фирм сделали официальное заявление, в котором уведомили о том, что DDoS-атака не повлияла на ход торговли и работу трейдинговых систем.

DDoS на государственные сайты

В новостях, связанных с DDoS-атаками на государственные сайты, чаще всего упоминалась известная группа Anonymous. Это уже стало традицией, но надо понимать, что не всегда есть возможность точно установить, существует ли связь между атакой и этой группой. Во-первых, Anonymous не является в полном смысле слова организованной группой:— любой хакер-одиночка может заявить об атаке от имени Anonymous. Во-вторых, есть некоторые твиттер-аккаунты, которые считаются «подлинными» и ассоциируются с «настоящими» членами Anonymous. Именно на таких аккаунтах чаще всего размещаются сообщения о недоступности сайтов в режиме реального времени, и многие журналисты интерпретируют такие сообщения как то, что Anonymous берет на себя ответственность за проведение DDoS-атаки. Однако такой вывод не всегда оказывается верным.

Так, 10 февраля был атакован сайт ЦРУ cia.gov, а на твиттер-аккаунте @YourAnonNews был размещен твит об атаке со ссылкой на новость с сайта RT.com:

Прошло четыре месяца с тех пор, как Microsoft и «Лаборатория Касперского» объявили о прекращении работы ботнета Kelihos/Hlux. Использовавшийся в ходе этого отключения метод sinkhole-маршрутизатора имеет преимущества, так как с его помощью можно обезвредить ботнет достаточно быстро без взятия под контроль главных командных серверов. Однако, как стало ясно позже, этого не достаточно, если хозяева ботнета остаются на свободе.

Вскоре после того, как был взят под контроль Kelihos/Hlux, мы наткнулись на новые самплы, которые очень напоминали исходную версию бота. Проведя сравнительный анализ, мы нашли все отличия новой версии от исходной. Здесь будет представлено краткое резюме этого исследования.

Начнем с самого нижнего уровня, с криптования и упаковки сообщений Kelihos/Hlux в коммуникационном протоколе, которые представлены в виде древовидной структуры:

№	Старый Hlux	Новый Hlux
1	Blowfish с ключом 1	Blowfish с новым ключом 1
2	3DES с ключом 2	Распаковка с помощью Zlib
3	Blowfish с ключом 3	3DES с новым ключом 2
4	Распаковка с помощью Zlib	Blowfish с новым ключом 3

У меня нет учетной записи на ЖЖ, но я его иногда читаю в перерывах между работой. 4 апреля провести послеобеденное время за чтением постов не получилось — ЖЖ был недоступен из-за DDoS-атаки, о которой официально сообщил руководитель LiveJournal Russia.

Это уже вторая массовая DDoS-атака на ЖЖ за последние несколько дней, и в средствах массовой информации Рунета муссируется масса слухов о целях и причинах атаки.

Мы не знаем точно, сколько ботнетов принимают участие в организации атаки, но нам доподлинно известен по крайней мере один такой ботнет. Он построен на основе DDoS-бота Darkness/Optima, весьма популярного в данный момент на черном рынке русскоязычной киберпреступности. На продажу предлагаются не только троянские программы (боты), но и построенные на их основе сети зараженных машин, а также услуги по проведению DDoS-атак на указанный ресурс в интернете.

Один из таких Optima-ботнетов уже некоторое время находится под нашим наблюдением.

Анализ данных мониторинга показал, что первая DDoS-атака на ЖЖ была осуществлена ещё 24 марта. Владельцы ботнета отдали команду на проведение атаки на адрес блога Алексея Навального: http://navalny.livejournal.com. 26 марта боты получили команду старта атаки на еще один ресурс известного борца с коррупцией — http://rospil.info, а 1 апреля атаке подвергся сайт http://www.rutoplivo.ru.

На прошлой неделе через социальную сеть «ВКонтакте» под видом нового приложения, изменяющего тему оформления персональной странички, начал распространяться троянец, модифицирующий на зараженном компьютере файл hosts ОС Widows.

Чтобы при открытии файла hosts данные, добавленные троянцем, не были видны сразу, они записаны в конец файла после пустой незаполненной области, получившейся в результате перевода строк.

В измененном файле hosts прописано около 100 наиболее популярных у российских пользователей сайтов.

Фрагмент измененного троянцем файла hosts

При попытке пользователя зараженного компьютера выйти на любой из этих сайтов (кроме vkontakte.ru), он перенаправляется на сервер, который выводит в браузере следующее сообщение, оформленное в стиле Web-антивируса ЛК:

Фальшивое сообщение KIS

Недавно Дмитрий Бестужев в своем блогпосте рассказал о фальшивом антивирусе с похожим на продукт «Лаборатории Касперского» оформлением. Как видим, интерфейс антивирусных решений используется злоумышленниками не только для распространения лже-антивирусов. В данном случае сообщение, очень похожее на сообщение KIS, используется, чтобы, не вызвав подозрений у пользователя, отослать его к поддельному сайту vkontakte.ru.

При попытке пользователя зайти на сайт vkontakte.ru, он перенаправляется на фальшивую главную страницу социальной сети. Расположена она на том же сервере, который выдает фальшивое сообщение KIS. Введенные логин и пароль отправляются злоумышленникам, после чего сервер возвращает информацию о якобы заблокированной странице пользователя — в связи с рассылкой с данного компьютера спам-сообщений. Для предоставления доступа к сайту пользователю предлагается отправить SMS на короткий номер:

Фальшивое сообщение о заблокированной странице пользователя соцсети ВКонтакте

Многие пострадавшие пытаются самостоятельно справиться с проблемой и ищут помощи на форумах, где им советуют в первую очередь найти и проверить файл hosts. Этот файл троянец делает скрытым, но в той же папке создает файл hosts.txt, видимый пользователям. Текст, который в нем содержится, мошенники явно адресовали своим жертвам:

Если пользователь попадется на удочку мошенников и отправит платную SMS (цена которой, по свидетельству пострадавших, превышает указанные 100 руб.), полученный им код активации никак не изменит ситуацию: hosts файл на компьютерах жертв невозможно вернуть к исходному состоянию со стороны сервера.

Данный троянец детектируется «Лабораторией Касперского» как Trojan.Win32.Qhost.ncw и представляет собой .NET-приложение.

Сегодня на черном рынке, как известно, свои услуги предлагают многие начинающие вирусописатели. Некоторые из них хотят привлечь внимание к своим продуктам, предлагая новые возможности и технологии, не встречавшиеся ранее.

Не так давно на просторах интернета один, по-видимому начинающий, вирусописатель представил темной публике свое творение на Visual Basic’е: криптор, обладающий множеством дополнительных функций — на любой вкус. Среди возможностей этого криптора, помимо стандартной упаковки файла, указывалась и функция даунлоудера, и детектирование всех виртуальных сред «новым» методом, и выбор одного из 12 процессов Windows для внедрения своего кода, и защита файлов паролем. Список впечатляет. Специальные «вирусные» опции также представлены клиенту: