Symantec: Zemra - новый инструментарий для организации DDoS-атак

SymantecСпециалистами по безопасности компании Symantec был обнаружен новый инструментарий Zemra для организации бот-сети, и способный организовать DDoS-атаку.

С помощью Backdoor.Zemra были организованы атаки на крупные предприятия, в основном с целью вымогательства. Дистрибутив трояна появился в мае на специализированных форумах. Его стоимость составляла 100 Евро.

Попав на компьютер жертвы, бэкдор устанавливает связь по HTTP-протоколу (порт 80) с удаленным сервером, и отправляет POST запрос. Во время сеанса связи отправляемые данные проходят процесс шифрования посредством 256-битного DES алгоритма. В теле запроса содержатся:

  • идентификационные данные компьютера пользователя;
  • действующий агент пользователя;
  • информацию о привилегиях пользователя;
  • информацию об установленной операционной системе.


Троян способен:

  • следить за выполняемыми действиями на скомпрометированной машине;
  • загружать и отправлять на исполнение бинарные файлы;
  • устанавливать различного рода инфекции;
  • самостоятельно загружать и устанавливать свои обновления;
  • самоуничтожаться;
  • осуществлять сбор информации о системе;
  • распространяться посредством USB порта.


С помощью Zemra злоумышленник может организовать распределенные атаки на отказ в обслуживании (DDoS).  При этом возможны как SYN, так и  HTTP-атаки.

Принцип SYN-атаки - злоумышленник, посылая SYN-запросы, переполняет очередь на подключение на целевом сервере. При этом пакеты SYN+ACK, отправляемые жертвой игнорируются. По истечении определенного времени эти подключения отбрасываются. Задача злоумышленника - поддерживать очередь заполненной таким образом, чтобы не допустить новых подключений. Из-за этого легитимные клиенты не могут установить связь, либо устанавливают её с существенными задержками.

Во время HTTP-атаки устанавливается соединение через сокет прямого доступа. Однако связь будет перекрыта со стороны клиента, а новое соединение устанавливается через определенный промежуток времени. Наиболее всего таким атакам подвержены веб-серверы.


Обновлено (28.06.2012 01:49)