Monday, November 07, 2005

Websense ToorCon Presentation

Thanks to a comment from Shahid for pointing me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WebSense Security Labs presentation The Web Vector: Exploiting Human and Browser Vulnerabilities (.pdf). I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most interesting part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 briefing is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction of Web-based bot net command and control. Because organizations are locking down outbound IRC, bot net controllers are using HTTP as a replacement protocol. If anyone has any experience with this sort of traffic, I would be interested in hearing from you.

5 comments:

Anonymous said...

Hey Richard, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a malware analysis challenge by honeynet.org not too long ago where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject was a backdoor controlled via HTTP.

http://www.honeynet.org/scans/scan32/

BTW congrats on Extrusion Detection. I've had it pre-ordered for a while now and can't wait to start reading it! :)

Richard Bejtlich said...

Thanks Adam!

John Ward said...

I am actually suprised we havn't seen more of this sort of thing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild, especially with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increased availability and encapsulation of SOAP libraries. Although I have no direct experience with this, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory it really wouldn't take much to have a central Apache server acting as a bot controller and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client machines poll for commands using SOAP calls. Its even possible to use specially crafted session and cookie variables (yeah yeah, that whole cookie paranoia of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 90's) to communicate, and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server return commands with to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bot with specially crafted HTML tags or steganography images. To a network security analyst, this would look like benign HTTP requests returning HTML and very difficult to detect. This is of course assuming that something like this is not already out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SoTM challenges are great sources of info, I love those things :)

Russell Fulton said...

There is a very simple reason why people have not yet seriously started using more sophisticated methods of protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir bot net traffic. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of doing so is still higher than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payoff. IRC works, it is simple. As soon as IRC starts causing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 botnet ops trouble cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will switch to some new technology.

It is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bot net operators interest to use each technology for as long as possible and to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minimum amount of technology to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job done. This is because it takes us (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 white hats) time to adapt our defences to each new ploy so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best offensive stategy is to slowly change your methods which forces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender to spend much more time and energy in a continuous process of adaptation.

This is exactly what spammers do.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were to play all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tricks at once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we would take 6 months to to figure out how to defeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new system but doled out one step at at time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tricks will last for years.

Angela said...
This comment has been removed by a blog administrator.