Исследователи изучают странные «шумы» в мировом трафике - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Исследователи изучают странные «шумы» в мировом трафике - «Новости»

✔Исследователи изучают странные «шумы» в мировом трафике - «Новости»

21 сентября 2024 198 Новости / Отступы и поля / Изображения / Преимущества стилей / Добавления стилей 0

Специалисты компании GreyNoise сообщили, что с января 2020 года они наблюдают крупные волны «шумовых бурь» (Noise Storms), которые содержат искаженный интернет-трафик. Несмотря на тщательный анализ и годы наблюдений, исследователи так и не сумели установить происхождение и назначение этих «шумов».


Аналитики полагают, что «шумы» могут быть связаны с некими секретными коммуникациями, сигналами для координации DDoS-атак, скрытыми каналами управления вредоносными программами или вообще могут являться результатом неправильных настроек.


Интересным аспектом происходящего является и наличие ASCII-строки «LOVE» в наблюдаемых ICMP-пакетах, что еще больше запутывает ситуацию.


GreyNoise опубликовала свои догадки о «шумовых бурях» в надежде, что мировое сообщество ИБ-специалистов поможет разгадать эту загадку и выяснить причину возникновения аномалий в трафике.


Исследователи рассказали, что наблюдают волны поддельного интернет-трафика, исходящие с миллионов спуфинговых IP-адресов из различных источников, включая CDN китайских платформ QQ, WeChat и WePay.


Такие «бури» порождают масштабные волны трафика, направленные на конкретных провайдеров (например Cogent, Lumen и Hurricane Electric), при этом избегая других, в частности — Amazon Web Services (AWS).


В основном такой трафик сосредоточен на TCP-соединениях (особенно через порт 443), но также наблюдается множество ICMP-пакетов, в последнее время содержащих встроенную ASCII-строку «LOVE», как показано на скриншоте ниже.





Также отмечается, что в TCP-трафике изменяются такие параметры, как размер окна, для эмуляции различных ОС, что позволяет сделать эту активность более незаметной и с трудом поддающейся обнаружению.


Значения Time to Live (TTL), которые определяют, как долго пакет находится в сети, прежде чем будет отброшен, установлены в диапазоне от 120 до 200, чтобы имитировать настоящие сетевые переходы.


Исследователи говорят, что в целом, формат и характеристики этих «шумовых бурь» скорее выглядят как целенаправленная работа компетентного человека, а не как масштабные побочные эффекты от неправильных конфигураций.


То есть странный трафик имитирует обычные потоки данных, а его истинное предназначение все еще остается загадкой.


Аналитики GreyNoise уже опубликовали на GitHub PCAP-данные двух недавних «шумовых бурь», приглашая других ИБ-исследователей присоединиться к расследованию и поделиться своими соображениями о происходящем.


Детальный рассказ о своих выводах относительно «шумовых бурь» эксперты GreyNoise опубликовали и на YouTube.




Специалисты компании GreyNoise сообщили, что с января 2020 года они наблюдают крупные волны «шумовых бурь» (Noise Storms), которые содержат искаженный интернет-трафик. Несмотря на тщательный анализ и годы наблюдений, исследователи так и не сумели установить происхождение и назначение этих «шумов». Аналитики полагают, что «шумы» могут быть связаны с некими секретными коммуникациями, сигналами для координации DDoS-атак, скрытыми каналами управления вредоносными программами или вообще могут являться результатом неправильных настроек. Интересным аспектом происходящего является и наличие ASCII-строки «LOVE» в наблюдаемых ICMP-пакетах, что еще больше запутывает ситуацию. GreyNoise опубликовала свои догадки о «шумовых бурях» в надежде, что мировое сообщество ИБ-специалистов поможет разгадать эту загадку и выяснить причину возникновения аномалий в трафике. Исследователи рассказали, что наблюдают волны поддельного интернет-трафика, исходящие с миллионов спуфинговых IP-адресов из различных источников, включая CDN китайских платформ QQ, WeChat и WePay. Такие «бури» порождают масштабные волны трафика, направленные на конкретных провайдеров (например Cogent, Lumen и Hurricane Electric), при этом избегая других, в частности — Amazon Web Services (AWS). В основном такой трафик сосредоточен на TCP-соединениях (особенно через порт 443), но также наблюдается множество ICMP-пакетов, в последнее время содержащих встроенную ASCII-строку «LOVE», как показано на скриншоте ниже. Также отмечается, что в TCP-трафике изменяются такие параметры, как размер окна, для эмуляции различных ОС, что позволяет сделать эту активность более незаметной и с трудом поддающейся обнаружению. Значения Time to Live (TTL), которые определяют, как долго пакет находится в сети, прежде чем будет отброшен, установлены в диапазоне от 120 до 200, чтобы имитировать настоящие сетевые переходы. Исследователи говорят, что в целом, формат и характеристики этих «шумовых бурь» скорее выглядят как целенаправленная работа компетентного человека, а не как масштабные побочные эффекты от неправильных конфигураций. То есть странный трафик имитирует обычные потоки данных, а его истинное предназначение все еще остается загадкой. Аналитики GreyNoise уже опубликовали на GitHub PCAP-данные двух недавних «шумовых бурь», приглашая других ИБ-исследователей присоединиться к расследованию и поделиться своими соображениями о происходящем. Детальный рассказ о своих выводах относительно «шумовых бурь» эксперты GreyNoise опубликовали и на YouTube.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: