Panagrinėkime, kaip yra atakuojami Darbo partijos Ukmergės skyriaus svetainės lankytojai ( ataka aptikta 2017 balandžio 17 d).
Apsilankome svetainėje http://dpukmerge.lt/ ( NEBANDYKITE TAI KARTOTI - TAI GALI BŪTI PAVOJINGA !!!! ).
Matome iškraipytą svetainės vaizdą - ir klaidos pranešimą - nerasti tam tikri fontai. Taip pat - pasiūlymą atnaujinti šiuos fontus. Spustelime "Update". Atsiunčiamas atnaujinimas.
Čia taip pat pateikiamos instrukcijos, ką daryti - paleidžiame atsisiųstą failą. Paleidus - visi vartotojo failai užžifruojami. Botnetas prisistato - tai išpirkos reikalaujantis botnet-as "SPORA" - šiuo metu labiausiai paplitęs ir aktyvus Lietuvoje.
O čia - šios atakos vaizdo įrašas:
P.S. ataka labai "slepiasi", taigi tikėtina, kad jos patys ir nepamatysite.
Tai - socialinė / techninė ataka. Vartotojas įtikinamas atsisiųsti bei paleisti kenkėjišką programą. Būtinai turi būti naudojama Chrome naršyklė. Filmuke matome, kad IE ir Chrome naršyklių elgsena skiriasi jau pačiame pirmame puslapyje ----> joms generuojamas skirtingas kodas ----> kenkėjiškas valdantysis kodas valdymą gauna pirmas. Pažiūrėkime, ką gi gauna Chrome naršyklė:
Žaliame fone - apsauga ir pasitikrinimas prieš "spoofed" UA. Šiek tiek gražiau pertvarkius pirmąjį skriptą, jis atrodo taip:
Čia akivaizdžiai matosi manipuliacijos su "document.body.innerHTML" - to pasekoje ir yra iškraipomas tekstas. Toliau - pranešimas / instrukcija vartotojui, bei nuoroda, iš kur atsisiųsti "fontus".
Pats fontų siutimas irgi turi įdomų momentą - "Content-Disposition" atsakymo antraštėje - vietoje raidės t panaudotas kodas 0xC5A5. Detektavimui išvengti ?
Pati botneto techninė bazė gana skurdi - t.y. serveriai nors ir rotuojasi, bet gana dažnai kartojasi. Didelės problemos išvalyti / uždaryti Lietuvos infekuotas svetaines, bei užsienyje esančius serverius techniškai nebūtų sudėtinga. Kaip ir minėjau - šiuo metu tai vienas didžiausių ir aktyviausių botneto tinklų Lietuvoje - jį platina keletas šimtų lietuviškų svetainių.
P.S. visa publikuota informacija remiasi surinktais įrodymais.
Saugumo testavimai
Botnetų stebėjimas
DDOS gynyba
WEB svetainių apsauga
Kibernetinio saugumo tyrimai