четверг, 24 мая 2012 г.

Впечатления от CARO'2012


Я уже писал о конференции CARO, на которой мне посчастливилось побывать уже три раза, при чем два из них в качестве докладчика. В прошлом году нами было представлено исследование "Cybercrime in Russia: Trends and Issues" проведенное совместно с Group-IB. В этом году мы углубились в тему расследования наверное одной из самых крупных групп по мошенничеству в системах ДБО, которая продолжает разработку вредоносной программы Carberp. И представили доклад "Carberp Evolution and BlackHole: Investigation Beyond the Event Horizon" в котором рассказали много интересных деталей по расследованию, техническому анализу и привели примеры реальных атак.

Конференцию CARO выгодно отличает от других отсутствие журналистов и непонятных людей, участниками конференции могли стать только непосредственно люди имеющие репутацию среди исследователей ИБ. В этот раз было запрещено делать самим какие-либо фото в конференц-зале, фотографировать было разрешено только фотографу со стороны организаторов.

Ниже вы можете увидеть публичную версию слайдов нашего доклада:



пятница, 18 мая 2012 г.

King of Spam: Festi botnet analysis

Мы подготовили очередное исследование интересного на наш взгляд семейства руткитов Win32/Rootkit.Festi с довольно уникальными функциональными характеристиками. Основная направленность этого бота рассылка спама, но так же присутствует специальный плагин для DDoS атак. Интересен этот бот еще тем, что именно с этого ботнета была осуществлена DDoS атака на платежную систему Ассист, в результате расследования которой был арестован Павел Врублевский.

Ну не будем углубляться в конспирологические теории, нашей основной задачей был технический анализ. По статистике M86 Security Labs, активного спам-трафика Festi ботнет занимает почетное третье место.