четверг, 12 июля 2012 г.

Ботнет Monkif прячет команды в JPEG-файлы - Monkif hides commands in JPEG-files.


Ученые MCAFFEE нашли весьма странный ботнет Monkif, который удивителен по нескольким причинам. В первую очередь, впрочем C&C-серверы ботнетов как правило нередко меняют дислокацию, в этой ситуации командный сервер аж с 2009 г. работает по одному и тому же адресу у шведского интернет-провайдера prq.se (IP-адрес 88.80.7.152). Во-вторых, ботнет Monkif использует технику стеганографии, чтоб спрятать свои коммуникации от внешнего наблюдателя: в том числе, адреса вредоносной загрузки прячутся внутри файлов JPEG.


Более того, Monkif использует SSL-шифрование коммуникаций с управляющим сервером и имеет собственный SSL-сертификат. 






Вот как Monkif маскирует запросы к командному серверу с заражённой машины. Для каждого из них генерируется новое название с зашифрованными параметрами, например: GET /photo/lfzt.php?rzj=51<75=26x644646x4x4x4x524x7x0x6x5x5772=716×5772=70








Researchers McAffee have found out very strange ботнет Monkif which is surprising for the several reasons. First, though C&C-серверы ботнетов usually often change a disposition, in this case the command server already since 2009 works to the same address for the Swedish Internet provider prq.se (88.80.7.152 IP-address). Secondly, ботнет Monkif uses technics стеганографии to hide the communications from the external observer: in particular, addresses of harmful loading hide in files JPEG. Besides, Monkif uses SSL-enciphering of communications with operating server and has the SSL-certificate. Here is how Monkif masks inquiries to the command server from the infected car. For each of them the new name with the ciphered parametres, for example is generated: GET /photo/lfzt.php?rzj=51<75=26x644646x4x4x4x524x7x0x6x5x5772=716Ч5772=70



















Теги: взлом,хакеры,кракозябр,krakoziaber,безопасность,защита информации, антивирус,антихакер,хакатак,ddos,эксплойт

Комментариев нет:

Отправить комментарий