понедельник, 4 июля 2011 г.

Kad.dll или P2P протокол для ботнета TDL4

Kad.dll (MD5: d532084641791ff3db1fbf885120e6e6 VT) это название нового пейлоада для зараженных машин руткитом TDL4, который был предназначен для инжекта в пользовательские процессы (что то вроде cmd32.dll/cmd64), в текущей версии поддерживаются только x86 системы. Появился этот компонент еще в начале года и до сих пор распространяется с кучей отладочных проверок, что наводит на мысли о его маленькой распространенности (подтверждено нашей статистикой) и видимо пока тестировании на небольших группах уже зараженных пользователей.

Библиотека kad.dll базируется на протоколе Kademilia для построения P2P. В основе этого протокола лежит распределенная таблица хешей, посредством которой создается новая абстрактная сеть в рамках которой взаимодействуют зараженные узлы. В отличие от архитектуры клиент-сервер (админка-бот), в рамках P2P сети каждый узел может выступать и в роли бота, и роли админки одновременно.


Наиболее распространенные эсплойт паки

Попалась сегодня на глаза интересная инфографика на тему распространенных нынче связок эксплойтов:

На оригинальной картинке еще приведены ныне уже почившие, но когда то очень даже популярные наборы эксплойтов. Как показывает наша статистика во всех этих связках используются далеко не 0-day уязвимости, а вполне приличный пробив обеспечивают баяны из группы Flash/PDF/Java.