Эксперт ЛК изучил ноутбук хакеров по делу о DDoS-атаке на «Аэрофлот»

image

Теги: Лаборатория Касперского, Врублевский

Обвиняемые усомнились в эффективности подхода, используемого исследователем.

В то время как в Москве проходят слушания по делу об организации DDoS-атаки на «Аэрофлот» и платежную систему «Ассист», обвиняемые подвергли критике методы и механизмы, используемые экспертами «Лаборатории Касперского» при изучении ноутбука хакеров.

Напомним, что вопрос о привлечении сотрудников ЛК к расследованию возник из-за того, что один из обвиняемых - Пермяков – до прихода в Chronopay работал в оперативном управлении Центра информационной безопасности (ЦИБ) ФСБ. В результате экспертизой вещественного доказательства – а именно ноутбука, предположительно использовавшегося при проведении DDoS-атаки, занялся эксперт ЛК Григорий Ануфриев.

На одном из ноутбуков в директории «Projects/Botnet» Ануфриев обнаружил написанные на языке C++ исходные коды программного обеспечения Topol-Mailer. Кроме этого, эксперт установил, что файл «crypted.ex» классифицируется как вредоносное ПО «Rootkit.Win32.Tent.bvb». Затем этот файл был дизассемблирован с помощью утилиты Ida Pro 6, что позволило эксперту установить схожесть ряда компонентов Topol-Mailer и «crypted.ex». 

Проведенный Ануфриевым анализ исходных кодов Topol-Mailer показал наличие следующих компонентов: в первую очередь, это «Loader», осуществляющий те же действия, что и «crypted.ex» -  расшифровку и установку в операционную систему Windows драйвера вредоносного ПО, который регистрируется под различными именами в качестве сервиса и, таким образом, загружается при каждом включении компьютера. 

Появившийся в системе компонент «ядро» устанавливает зашифрованное соединение с заранее заданными серверами, откуда он получает обновления, дополнительные компоненты и команды. В исходных кодах был найден и компонент, отвечающий за выполнение DDoS-атаки тремя различными методами: «TCP-port flood», «UDP-port flood» и «TCP-get flood». В свою очередь, модуль «Bot.Spam» после установки осуществлял тестовые соединения с почтовыми серверами Mail.ru и Google, затем, в случае успеха, принимал от сервера тексты писем и списки адресов для их рассылки.

Также были найдены следующие модули: «Bot.Grabber» (собирал с инфицированного компьютера адреса электронной почты и FTP-серверов), «Bot.Logger» (перехватывал конфиденциальную информацию пользователей, передаваемую по протоколу Http методом Post) и Bot.Socks (позволял превратить зараженный компьютер в прокси-сервер под протоколом Socks). Среди исходных кодов присутствовали и компоненты серверной части сети Topol-Mailer.

Несмотря на глубокий анализ и заключение эксперта, защита вызвала в суд своего свидетеля - гендиректора саратовской компании «Национальный центр по борьбе в сфере высоких технологий» Игоря Юдина, который подверг экспертизу Ануфриева резкой критике. По его словам, исходные коды, не прошедшие процесс компиляции, вообще не могут считаться программой. Более того, компиляция носит необратимый характер и восстановить затем имена функций и переменных невозможно.

К тому же дизассемблер дает не сам исходный код, а так называемый листинг – текст на языке Assembler, который должен быть схож с оригинальным исходным текстом, но даже его не всегда потом удастся скомпилировать. «Это все равно, как если кто-то осуществит литературный перевод стихотворения с русского на немецкий, потом кто-то другой осуществит обратный литературный перевод на русский, и затем эти два текста попытаются сравнить», - заявил Юдин.

или введите имя

CAPTCHA
Страницы: 1  2  3  
Описторх.
05-07-2013 15:45:47
Я вот одно не пойму, вот вроде умные люди, руткиты пишут, а убрать за собой следы не могут догадаться. Что за преступная небрежность, ещё и в ФСБ работал и ничему не научился или и там тоже такой бардак как и везде?
0 |
05-07-2013 16:08:23
Да фижня все это. Исходники - не факт доказательства. Надо быть полоумным критином, чтобы обвинять людей за исходники. Презумпция невиновности рулит (Россия исключение). Просто наши судьи тупые как пробки, им что скажут то они и сделают.
0 |
Vit
05-07-2013 16:27:25
«листинг – текст на языке Assembler, который должен быть схож с оригинальным исходным текстом» - причем оригинальный исходный текст на C++ . Дальше можно было бы не читать, плохо, что эта фраза находится в самом конце. Причем: «экспертизой вещественного доказательства – а именно ноутбука, предположительно использовавшегося при проведении DDoS-атаки» и «На одном из ноутбуков в директории «Projects/Botnet» Ануфриев обнаружил написанные на языке C++ исходные коды программного обеспечения Topol-Mailer.» Бывший работник ФСБ проведет атаку с компьютера, использованного для разработки, причем весь этот вредоносный код поместит незашифрованным в каталог с названием Botnet !!! Ну это уже даже бредом стыдно называть, таких и названий-то не бывает.
0 |
soarin
08-07-2013 10:08:10
Проще - "Эксперт ЛК" - дальше можно было не читать
0 |
Пойло
05-07-2013 17:53:51
Во-первых, Игоря фамилия Юрин, а не Юдин. Во-вторых, что за слово "поддали"? Может "подвергли"? Кто писал текст?
0 |
std_serg@km.ru
05-07-2013 19:04:56
«Это все равно, как если кто-то осуществит литературный перевод стихотворения с русского на немецкий, потом кто-то другой осуществит обратный литературный перевод на русский, и затем эти два текста попытаются сравнить» Компиляция - не литературный перевод, а детерминированный алгоритм. Обратный перевод не нужен - достаточно преобразовать исходное значение по тому же алгоритму и сравнить оба значения. И дизассемблер тут можно исключить. нужен исходник, компилятор и exe-файл. Пишите стихи дальше, товарисч Юдин.
0 |
поддали
06-07-2013 16:55:55
красиво малюете, но допустим слово "оптимизация" превращает ваше намулеванное в мазню
0 |
Страницы: 1  2  3