Sono riuscito a catturare un host di controllo botnet, cosa devo fare con esso?

46

Alcuni giorni fa uno dei miei clienti di webhosting aveva compromesso il login FTP, e l'hacker ha modificato il suo file index.php per includere del codice extra, e circa dodicimila altri bot hanno cercato di accedervi tramite un'operazione POST dal

Sto bene in PHP ma non genio, ma da quello che sono riuscito a raccogliere i dati (criptati) inclusi nel POST, li decodifica insieme ai contenuti di un altro file lasciato nell'host, e invia una risposta confezionata in un'intestazione HTTP 503.

Dal comportamento, ho la sensazione che questo sistema sia stato configurato come host di controllo per una botnet.

Sono riuscito a salvare una copia del codice PHP e l'acquisizione di pacchetti di uno dei bot che tentano di postare dopo aver già disattivato il sito ... Ma ora cosa ne faccio? Non ho il tempo o la competenza per analizzare ulteriormente quella dannata cosa, a quali gruppi dovrei inoltrare il lotto?

    
posta Shadur 28.02.2013 - 11:20
fonte

5 risposte

37

Se lo si desidera analizzare per ragioni di lavoro, è necessario trovare un consulente in materia di risposta alle indagini forensi appropriatamente qualificato (scusate il gergo: "Un analista del registro"). Questi in genere costano denaro, in gran parte.

Ricorda però che la maggior parte delle implementazioni di botnet non sono mirate e sono molto diffuse. Probabilmente non c'è molto da imparare su ciò che non è già noto e che riguarda tutti gli altri. I gruppi che si occupano di minacce avanzate non saranno molto interessati a questo genere di cose, ma potresti avere fortuna con un fornitore di AV. Symantec, Sophos, ecc. A volte amano raccogliere questo tipo di dati per i loro white paper lucidi.

I log più interessanti saranno quelli appena prima dell'avvio del traffico sospetto quando la botnet effettivamente sfrutta il sistema, poiché ciò consentirà di eseguire un post-morte sull'attacco. Comunque userò le mie incredibili abilità psichiche per affermare che qualcosa non è stato corretto in modo appropriato ed è così che è entrato il bot.

Addendum: Per l'amore degli dei non solo dare accesso ai tuoi sistemi (o dati sensibili sui tuoi sistemi) a qualche persona a caso su questo sito.

    
risposta data 28.02.2013 - 11:37
fonte
12

Contatta l' FBI o chiunque abbia giurisdizione su questo tipo di crimine informatico in cui vivi. Quello che viene fatto sul tuo sistema è un crimine piuttosto serio, e in molti luoghi, il fatto di non aver denunciato un crimine è di per sé un crimine. L'ultima cosa che vuoi è che le vittime innocenti (te stesso e il tuo cliente che stai ospitando) siano esposte alla responsabilità legale.

    
risposta data 28.02.2013 - 14:51
fonte
2

Per prima cosa, devi segnalarlo al team di risposta agli incidenti nella tua organizzazione o nel pertinente team di sicurezza.

In secondo luogo, è possibile controllare i registri del server web. Questo ti darà indizi su chi l'ha acceduto e su quali sono state tutte le richieste web (mostrando i percorsi di URL).

Se si desidera acquisire dati in tempo reale, utilizzare utilità di analisi / sniffer di pacchetti come tcpdump o ethereal e ascoltare l'interfaccia pertinente. Successivamente, utilizza i filtri per visualizzare l'origine / destinazione e dovrebbe comunicarti che tutte le comunicazioni avvengono tra il server dannoso remoto e il tuo.

    
risposta data 28.02.2013 - 11:26
fonte
2

Una delle cose che potresti chiederti è: "Qual è la tua motivazione qui?"

es.  1. Scopri come è accaduto l'incidente per evitare una ripetizione.  2. Proteggersi per motivi di responsabilità  3. Fai punire i cattivi  4. Aiuta i ricercatori di sicurezza conoscendo l'exploit ecc.

Dubito che sia il numero 1 dal momento che tu dici che la password di accesso sembra essere compromessa alla fine del client. # 3 sembra estremamente remoto. Anche il n. 4 sembra improbabile a meno che tu non sia incappato in qualcosa di veramente nuovo.

Quindi, direi di presentare un rapporto. Spesso i dipartimenti di polizia locali ne schedano uno, anche se probabilmente non hanno le competenze per indagare. Assicurati di documentare le cose lasciando una scia di documenti

    
risposta data 28.02.2013 - 17:56
fonte
2

Oltre a contattare le forze dell'ordine, bloccare le macchine, introdurre controlli per allertare su incidenti futuri; potresti prendere in considerazione la possibilità di contattare / partecipare a un'org come la Red Sky Alliance . Non vuoi dare a nessuno (in particolare persone casuali su Internet che è essenzialmente ciò che è) l'accesso al tuo sistema o ai tuoi dati - ma dovresti condividere in qualche forum controllato, se possibile. Ne beneficeranno sia voi che gli altri partecipanti. Altri potenziali luoghi in cui cercare persone "legittime" con cui condividere potrebbero essere SANS , o forse OSCE sarebbe più appropriato in quanto ti sembra di essere nei Paesi Bassi dal tuo profilo.

    
risposta data 25.03.2013 - 14:29
fonte

Leggi altre domande sui tag