Аноним поделился с исследователями подробностями о подпольном магазине xDedic

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

AnGel

Администратор
Команда форума

AnGel

Администратор
Команда форума
27 Авг 2015
3,413
2,025
На прошлой неделе специалисты «Лаборатории Касперского» опубликовали отчет, рассказывающий о деятельности подпольной торговой площадки xDedic, где продают взломанные серверы со всего мира. Это история получила неожиданное продолжение, когда неизвестный доброжелатель поделился с исследователями ссылками на списки взломанных серверов, которые выложили на Pastebin.

Через несколько часов после публикации первого отчета торговая площадка xDedic, работавшая даже не в даркнете, а в обычном интернете, ушла в оффлайн. Напомню, что перед этим исследователи успели детально изучить ресурс и только в мае 2016 года насчитали на xDedic 70 624 сервера, от 416 разных продавцов из 173 стран мира.

Вскоре некто, скрывающийся под ником AngryBirds, оставил под отчетом экспертов любопытный комментарий, содержавший ссылки на Pastebin. Исследователи рассказывают, что обычно они относятся к таким комментариям с большим скепсисом, но все же было принято решение проверить данные. Оказалось, что на Pastebin размещены объемные списки IP-адресов и дат; каждый дамп содержит примерно 19 000 записей.

413617954308ce74c3c92f46e7eb2eaf.png 3c44454b29d0ff81eacc175ff8ca106a.png

Автор комментария дал понять, что эти данные связаны со взломанными серверами, продававшимися на xDedic. Так как принимать эти заявления на веру никто не собирался, исследователи провели тщательный анализ дампов, суммарно содержащих 176 000 записей. Информация показалась подлинной с первого же взгляда, – самые ранние даты соответствовали периоду начала работы xDedic, то есть осени 2014 года.

Дальше исследователей ждали сложности. Дело в том, что в большинстве случаев торговая площадка позволяла увидеть не полные IP-адреса, а лишь два первых октета.

Ранее исследователи уже прибегали к подмене серверов (sinkholing), когда собирали данные о бэкдоре SSCLIENT, который использовал один из продавцов на xDedic. То есть некоторое количество полных IP-адресов в распоряжении специалистов все же было. Однако «Лаборатория Касперского» исследовала xDedic и деятельность его продавцов с конца марта 2016 года, тогда как дампы содержали данные до февраля 2016 года.

Тем не менее, исследователи решили работать с тем, что имеют и соотнесли свои данные с информацией из дампов. Выяснилось, что 1303 IP-адреса присутствуют в обоих массивах данных.

ce2945d97ba40f0ca8485c4a9a416902.png

Также эксперты проверили, сколько IP-адресов из подборки на Pastebin ассоциируются с серверами RDP. Простое сканирование известных IP выявило, что 71 784 IP-адреса ассоциируются с серверами RDP, работающими на портах 3300-3400 (стандартный порт 3389 оказался наиболее популярен).

d679e4ce4fa0db881986544b5eb29354.png

Затем специалисты все же провели сопоставление подсетей, опираясь на собранные ранее данные о первых двух окетах IP-адресов. Исследователи пишут, что результат их просто ошеломил. Так, с xDedic до марта 2016 года были собраны данные о 8721 подсети, тогда как в дампах Pastebin обнаружилось 8718 совпадающих подсетей. Только три IP с xDedic не вошли в массив данных с Pastebin. Исследователи проверили их отдельно и выяснили, что они появились после 29 февраля 2016 года, то есть их попросту не могло быть в дампе.

Опираясь на новые данные, исследователи скорректировали статистику, опубликованную в первом отчете. К примеру, теперь на рынке скомпрометированных серверов лидируют США (более 60 000 взломанных серверов) и Великобритания (более 8800 серверов). Занимавшая первое место Бразилия теперь оказалась на третьем месте с 8770 тысячами серверов.

8d09acaa919e38f468187886ecd88bcc.png

Также в новом отчете аналитики рассказали о самых дорогих «лотах» xDedic. Напомню, что первый отчет гласил, что цена на скомпрометированные серверы начиналась всего от $6-8. Теперь исследователи пишут, что дорогих серверов на xDedic было очень мало: предложений стоимостью более $50 насчитывалось всего порядка пятидесяти штук. В основном это были серверы, расположенные на территории США – на Аляске и во Флориде.

Топ-10 самых дорогих серверов, который можно увидеть ниже, полностью принадлежит группировке (или хакеру-одиночке) Narko. Наиболее дорогим предложением, размещенным на xDedic, можно считать чикагский сервер, доступ к которому оценивался в $6 000.

4de2668f037524f869d64f40e4725047.png
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя