foto1
foto1
foto1
foto1
foto1

Saugumo testavimai

Botnetų stebėjimas

DDOS gynyba

WEB svetainių apsauga

Kibernetinio saugumo tyrimai

   Panagrinėkime, kaip yra atakuojami Darbo partijos Ukmergės skyriaus svetainės lankytojai ( ataka aptikta 2017 balandžio 17 d).

 

Kaip tai atrodo eiliniam lankytojui

   Apsilankome svetainėje http://dpukmerge.lt/ ( NEBANDYKITE TAI KARTOTI  - TAI GALI BŪTI PAVOJINGA !!!!  ).

 

 

   Matome iškraipytą  svetainės vaizdą - ir klaidos pranešimą - nerasti tam tikri fontai. Taip pat - pasiūlymą atnaujinti šiuos fontus. Spustelime "Update".  Atsiunčiamas atnaujinimas.

 

 

   Čia taip pat pateikiamos instrukcijos, ką daryti - paleidžiame atsisiųstą failą. Paleidus - visi vartotojo failai užžifruojami. Botnetas prisistato - tai išpirkos reikalaujantis botnet-as "SPORA" - šiuo metu labiausiai paplitęs ir aktyvus Lietuvoje.

 

 

   O čia - šios atakos vaizdo įrašas:

 

 

 

 

   P.S. ataka labai "slepiasi", taigi tikėtina, kad jos patys ir nepamatysite.

Specialisto žvilgsnis 

   Tai - socialinė / techninė ataka. Vartotojas įtikinamas atsisiųsti bei paleisti kenkėjišką programą. Būtinai turi būti naudojama Chrome naršyklė.  Filmuke matome, kad IE ir Chrome naršyklių elgsena skiriasi jau pačiame pirmame puslapyje ----> joms generuojamas skirtingas kodas ----> kenkėjiškas valdantysis kodas valdymą gauna pirmas. Pažiūrėkime, ką gi gauna Chrome naršyklė:

 

 

  Žaliame fone - apsauga ir pasitikrinimas prieš "spoofed"  UA. Šiek tiek gražiau pertvarkius pirmąjį skriptą, jis atrodo taip:

 

   Čia akivaizdžiai matosi manipuliacijos su "document.body.innerHTML" - to pasekoje ir yra iškraipomas tekstas. Toliau - pranešimas / instrukcija vartotojui, bei nuoroda, iš kur atsisiųsti "fontus". 

   Pats fontų siutimas irgi turi įdomų momentą - "Content-Disposition" atsakymo antraštėje - vietoje raidės t panaudotas kodas 0xC5A5. Detektavimui išvengti ?

 

 

   Pati botneto techninė bazė gana skurdi - t.y. serveriai nors ir rotuojasi, bet gana dažnai kartojasi. Didelės problemos išvalyti / uždaryti  Lietuvos infekuotas svetaines, bei užsienyje esančius serverius techniškai nebūtų sudėtinga. Kaip ir minėjau - šiuo metu tai vienas didžiausių ir aktyviausių botneto tinklų Lietuvoje - jį platina keletas šimtų lietuviškų svetainių.

   P.S. visa publikuota informacija remiasi surinktais įrodymais.