Skip to main content

Мониторинг вредоносной активности

В группе размещается актуальная на момент публикации информация по следующим направлениям:

  • методы совершения компьютерных преступлений;
  • сообщения с распределенных IDS об актуальных сетевых атаках и эпидемиях;
  • информация  о проводимых в данный момент DDoS-атаках;
  • информация об активных ботнетах;
  • данные с закрытых/элитных хак-форумов по новым способам совершения мошенничеств;
  • данные с систем Honey Net о новых типах вредоносного ПО и способах его распространения;
  • и др.

Группа является открытой. Вступить может любой зарегистрированный участник Ассоциации RISSPA.

При информационной поддержке:

Атака teamviewer. Важно

Опубликовано Sachkord в Чт, 04/03/2010 - 12:34

Ожидается волна атак на корпоративные адреса электронной почты вложений с специальным перепакованным хак модулем teamviewer/ссылкой на загрузку/с ссылкой на ява аплет загружающий teamviewer.

  1. Детекта AV продуктами нет
  2. Установка не требуется
  3. Высокая скорость работы
  4. Пользователь работу TM не видит
  5. Пароль вшит в клиента

Полное управление машиной на высокой скорости - со всеми последствиями. Возможна инкапсуляция под трафик TM разных "зловредов".

Очень компактное решение удаленного доступа и передачи файлов в обход брандмауэров и NAT прокси. Работает по пронципу P2P. Очень сложно детектируется и зарубается.

Посмотреть на него можно тут - www.teamviewer.com

Если у кого есть опыт борьбы с TM в корпоративных сетях - прошу поделится.

Война ботов, или как зарабатывают киберпреступники?

Опубликовано matrosov в Пт, 19/02/2010 - 12:30

 Мы уже давно наблюдаем за развитием ситуации, связанной с вредоносной программой Win32/TrojanDownloader.Bredolab, в народе известной больше, как Zeus bot, или еще проще — Зевс. Это довольно успешное вредоносное поделье (не поворачивается язык назвать это продуктом) вирусописателей, уже давно прижилось на рынке злонамеренных программ, и пользуется большой популярностью среди киберприступников. Ресурс ZeuS Tracker до сих пор фиксирует большое количество активных центров управления, созданных благодаря распространению данного троянца. Каждый такой центр может управлять огромным количеством ботов. Но чтобы не концентрировать в одном месте управление большим ботнетом, злоумышленники дробят его на несколько более мелких, на случай, если один из них выйдет по каким-либо причинам из строя. далее »

Банки атакуют

Опубликовано GroupIB в Втр, 02/02/2010 - 18:29

Две DDoS атаки на крупнейшие российские банки зарегистрировали с начала этой недели специалисты Group-IB. Есть предложение скоординировать действия и определить, из какой БОТ сети идут атаки. далее »

Смелый киберсквоттер (для банков)

Опубликовано GroupIB в Пнд, 18/01/2010 - 18:32

В ходе работы над одним расследованием обнаружили интересного
персонажа... далее »

Внимание! 0-day уязвимость в Microsoft Internet Explorer

Опубликовано GroupIB в Вс, 17/01/2010 - 17:44

Обнаружена уязвимость, позволяющая получить доступ к оперативной памяти Microsoft Internet Explorer DOM далее »

Методы противодействия расследованию компьютерных преступлений

Опубликовано msuhanov в Пт, 15/01/2010 - 01:06

Предлагаю пополнить материалы данной дискуссионной группы обсуждением методов и средств направленного противодействия расследованию компьютерных преступлений и инцидентов. далее »

Data Carving. Как найти то, что скрыто.

Опубликовано GroupIB в Ср, 13/01/2010 - 11:54

Часто возникают ситуации, когда необходимо восстановить удаленные данные. В большинстве случаев последние стертые файлы восстанавливаются с помощью любой специализированной для этих целей утилиты (Easy Recovery и др.). Все становится сложнее, когда повреждена структура файловой системы, или куски файлов частично перезатерты. В таких случаях обычные средства восстановления не помогут. далее »

DDoS-атака на процессинговую компанию

Опубликовано GroupIB в Втр, 12/01/2010 - 18:45

22 декабря 2009 на IP адрес процессинговой компании по электронному обслуживанию клиентов банков проводилась распределенная атака на отказ в обслуживании (DDoS). Факт удалось установить с использованием сети Honeypot Group-IB. далее »

Бот-сети для кражи конфиденциальной информации

Опубликовано Sachkord в Пнд, 07/12/2009 - 17:07

То, что бот сети используются для кражи конфиденциальной информации - не секрет.

Секрет в том, что новые типы ботов перешифруются два раза в день. И не определяются на момент распространения никем и ничем.

Речь идет о модификации бота ZBot. Данный отчет написан для специалистов понимающих в программировании с целью познания работы данного типа ПО и продумывания методов противостояния, Всем остальным дается рекомендация: ПК на которых осуществляются транзакции по любым системам онлайн платежей не использовать для web-серфинга.

 

Имея конфиг троя, можно сообразить, чем занимаются данные товарищи: они крадут конфиденциальную информацию того, где лежат деньги, а там, где деньги хорошо защищены, они пишут инжекты (подмена трафика): это помогает им обходить защиты типа пинов и так далее. Интерестно, что они ориентируются на СНГ аудиторию. Если и есть буржуйские сайты, то только те, которые могут пользоваться популярностью на наших просторах. весь список сайтов, которые их интересуют можно посмотреть, открыв конфиг(a.bin.txt). не стоит заострять внимание на адрессе дополнительных конфигов: эти конфиги запасные, и сайты не работают, может даже не зарагестрированы и свободны - на всякий случай. Интересно, что был обнаружен возможный гейт ботнета.

  далее »

Фрод одноразовых паролей

Опубликовано Sachkord в Чт, 03/12/2009 - 16:41

Описание способа мошенничества:

  1. На группу целевых пользователей начинается нагон вредоносного трафика. Путем рассылок спама со ссылками на зараженные ресурсы. Процент пробива составляет в среднем 10%.
  2. Заражение состоит в двух пакетах вредоносного кода:
    1. Вредоносный код способен подменять локально файл hosts. После этого, пользователь, заходящий любым способом на сайт https://www.internetbank.ru/web/front/login.x будет попадать на сайт, размешенный на другом сервере (стандартный фишинг). При этом в адресной строке будет присутствовать https://www.internetbank.ru/web/front/login.x
    2. Вредоносный код локально подменяет результат выдачи сервера(локально на машине изменяется содержание http страинцы). Т.е. принцип так называемого вируса подмены страниц.
далее »

Приглашение в рассылку RISSPA для ISP

Опубликовано Sachkord в Втр, 01/12/2009 - 14:58

Уверен, что каждый из нас в связи со спецификой нашей работы сталкивается с разными проблемами в телекоммуникационной сфере. Мы предлагаем вам вступить в данную бесплатную рассылку «Мониторинг вредоносной активности». В рамках этой рассылки мы будем обмениваться опытом по решению различных проблем, налаживать контакты для улучшения взаимодействия между различными провайдерами и другими связными структурами (CERT и др.) А главное сообщать оперативную информацию по производимым атакам. Самой главной целью объединения является улучшение взаимодействия и обмен опытом, без бюрократических проволочек и других препятствий. Если не являетесь сторонним наблюдателем и имеете реальную возможность влиять на сложившуюся ситуацию, у вас есть желание вступить в совместную борьбу и вы готовы оказывать содействие, конечно же в правовых рамках, в достижении общей цели – реальная информационная безопасность в сети, то вступайте в сообщество RISSPA.

Фрод в системах ДБО. Информация для Банков.

Опубликовано Sachkord в Втр, 01/12/2009 - 14:52

За последнюю неделю зарегистрировано ещё 7 DDoS атак на российские банки. (Около 30 атак за последние 3 месяца)

Цель атак: блокировка систем ДБО для прикрытия вывода денежных средств по украденным у клиентов ключам. далее »

При полном или частичном использовании материалов сайта ссылка на RISSPA обязательна!
Copyright © RISSPA, 2006-2010. All Rights Reserved.