Cosa succede alle macchine zombie dopo gli attacchi DDoS?

La mia risposta più comune: "dipende".

Do the zombie machines that takes part in a DDoS attack belong to ordinary people just like you and me? Can we be the part of a DDoS attack even without realizing it?

Risposta breve: sì. Risposta lunga:

Ovviamente dipende dall'infezione, ma la maggior parte delle volte, e per gli attacchi più sofisticati:

• La vittima non si rende mai conto di aver partecipato all'attacco.
• La maggior parte delle volte le vittime non sanno nemmeno che le loro macchine sono infette.
• Durante l'attacco: la vittima può rendersi conto che le risorse del computer vengono utilizzate più del normale; o in molti casi, non lo fanno (attacchi sofisticati possono preservare il fattore stealth usando solo una piccola porzione delle risorse del computer di ciascuna vittima).

What happens to these slave machines after the attack? Do they become unable to connect to the target? Is that how they become aware of it?

• Dopo l'attacco, l'infezione rimane (come se stesse "dormendo") fino al prossimo attacco. La vittima non ha notato nulla e continua a usare normalmente il computer.

I wonder what do they do with these botnets after the attack?

Ci sono due opzioni principali:

1. Mantengono il malware all'interno del dispositivo (computer o qualsiasi altro dispositivo come router e macchine IoT) per futuri attacchi.
2. Puliscono il dispositivo infetto per cancellare qualsiasi traccia. (Gli attacchi più sofisticati possono farlo {insieme a molte altre tecniche}, per rendere i ricercatori incapaci di risalire all'attacco fino all'origine).

Do the zombie machines that takes part in a DDoS attack belong to ordinary people just like you and me?

Gli zombi sono macchine infette. Loro erano sotto il controllo di un attaccante e lui usava dare istruzioni a loro attraverso il centro C & C.

Can we be the part of a DDoS attack even without realising it?

Esattamente. Se si desidera mantenere la macchina fuori dalla rete bot, quindi seguire le soluzioni fornite qui .

What happens to these slave machines after the attack? Do they become unable to connect to the target? Is that how they become aware of it?

Gli slave o le macchine bot funzionano perfettamente per i loro proprietari ed è davvero difficile per il proprietario della macchina scoprire se la macchina è sotto il controllo di qualcun altro.
Le macchine prendono istruzioni dal centro C & C e seguono le istruzioni in background. Se non sono disponibili ulteriori istruzioni per il malware, in genere rimane inattivo in background.

I wonder what do they do with these botnets after the attack?

Le macchine bot sono come un esercito; Quando l'esercito non è nella zona di guerra, si siede nei bunker (o nel campo base) in attesa di istruzioni successive.
Simile è il caso con botnet, se non stanno attaccando qualcuno, ciò significa che sono in modalità ascolto per ulteriori istruzioni.

Spero che aiuti !!!

Sospetto che nella maggior parte dei casi, una volta terminato l'attacco DDoS, non accada nulla ai PC infetti e rimangono infetti, disponibili per un altro attacco.

I programmi antivirus probabilmente conoscevano già un malware ben distribuito. C'è una possibilità che alcuni utenti di anti-virus abbiano il malware rimosso automaticamente dopo l'attacco, ma solo se l'anti-virus non è riuscito a rimuoverlo prima.

L'obiettivo del DDoS (vale a dire di recente la Dyn) si concentrerà sulla mitigazione dell'attacco rapidamente utilizzando risorse che possono controllare direttamente. Dopo averlo fatto, probabilmente non hanno alcun incentivo a ripulire i 100k o più di dispositivi infetti in tutto il mondo.

Non possono praticamente impedire alle vittime di DDoS di accedere al loro sistema a lungo termine, perché la maggior parte degli indirizzi IP ruotano frequentemente e l'elenco completo degli IP sarebbe molto grande. Alcune fonti (ma certamente non tutte) di DDoS potrebbero essere state bloccate dall'IP per un breve periodo, ma una volta che l'attacco è cessato, ciò non sarebbe più necessario.

Sospetto che l'attaccante alla fine cessi l'attacco se non è più efficace, in quanto riduce le possibilità che l'infezione venga scoperta / rimossa e libera risorse per altri attacchi. (Potrei sbagliarmi su questo, forse l'attacco continua mentre parliamo?)

Non penso che ci sia un'agenzia mondiale o federale che cercherà di far ripulire quegli zombi. Gli ISP certamente non spenderanno soldi facendo questo a meno che non debbano farlo. È costoso identificarli e comporterebbe un sacco di clienti insoddisfatti.

Probabilmente l'unico che può ripulirlo senza la partecipazione dell'utente sarebbe il fornitore del sistema operativo.

• Windows Update può essere utilizzato da Microsoft per inviare uno script di rimozione software dannoso. Personalmente, non sono sicuro che lo farà o meno.

• Nuovi sistemi operativi come iOS, Chrome OS e Android dispongono di una gestione migliore degli app store corrispondenti e hanno la possibilità di richiamare app che potrebbero aver partecipato a un attacco DDoS. Tuttavia, i nuovi sistemi operativi hanno meno probabilità di essere infetti rispetto ai sistemi operativi classici come Windows, Mac o Linux.

• Modifica: risulta che molti dei dispositivi infetti erano in realtà dispositivi IoT come le webcam indipendenti. Molti mfg.s non hanno un modo per aggiornare automaticamente quei dispositivi. Solo i proprietari dei dispositivi potrebbero prendersene cura.