Ботнет Torpig захватили для исследований

Исследователи из Университета Калифорнии опубликовали результаты анализа взломанного ботнета Torpig, управление над которым удалось перехватить не так давно. К сожалению, через десять дней клиентские модули обновились и связь с ними была потеряна. Однако собранная даже за это время информация позволяет подробно изучить, как работают ботнеты и насколько они эффективны. За данный период через ботнет прошло 70 Гб информации: это заполняемые формы в браузере, почтовая переписка и различные пароли. Интересно, что специалистам удалось с лёту расшифровать 56000 паролей буквально в течение часа.

Получить управление над ботнетом Torpig (также известном как Sinowal) удалось благодаря расшифровке метода, с помощью которого клиентские машины ежедневно генерируют список ещё не зарегистрированных доменов (см. листинг).

suffix = ["anj", "ebf", "arm", "pra", "aym", "unj", "ulj",
 "uag", "esp", "kot", "onv", "edc"]

def generate_daily_domain():
 t = GetLocalTime()
 p = 8
return generate_domain(t, p)

def scramble_date(t, p):
return (((t.month ^ t.day) + t.day) * p) + t.day + t.year

def generate_domain(t, p):
 if t.year < 2007:
  t.year = 2007
 s = scramble_date(t, p)
 c1 = (((t.year >> 2) & 0x3fc0) + s) % 25 + 'a'
 c2 = (t.month + s) % 10 + 'a'
 c3 = ((t.year & 0xff) + s) % 25 + 'a'
 if t.day * 2 < '0' || t.day * 2 > '9':
  c4 = (t.day * 2) % 25 + 'a'
 else:
  c4 = t.day % 10 + '1'
return c1 + 'h' + c2 + c3 + 'x' + c4 + suffix[t.month - 1]

Исследователи успели зарегистрировать один из таких доменов и поднять на нём управляющий сервер. За десять дней контроля над ботнетом они зафиксировали 180000 заражённых ПК и более 1,2 млн IP-адресов, с которых приходили запросы.

Torpig специализируется на сборе финансовой информации. Всего за десять дней с клиентских машин было получено 8310 экаунтов в 410 финансовых учреждениях, в том числе PayPal, Capital One, E*Trade и Chase. Около 40% паролей было получено из менеджеров паролей в браузерах, а не из реальных сессий. По оценке специалистов, владельцы ботнета могли бы снять со всех этих счетов до $8,3 млн за десять дней работы.

Анализ показал также, что 28% жертв используют одни и те же данные для доступа ко всем сайтам и персональным сервисам, и это значительно облегчает жизнь злоумышленникам.

Анатолий АЛИЗАР

Версия для печатиВерсия для печати

Номер: 

18 за 2009 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!