Capire quale bot è stato utilizzato per un attacco Botnet

2

Ieri abbiamo avuto la possibilità di conoscere un massiccio attacco di forza bruta sugli account admin di WordPress che puntavano a password deboli.

Da una fonte online :

A botnet using more than 90,000 IP addresses to crack WordPress admin accounts may be used as part of a larger plot to disrupt online users, according to researchers.

WordPress users with the “admin” username are being targeted by a botnet consisting of compromised home PCs. The infected machines are brute-force hacking accounts, automatically inputting a list of commonly used passwords.
...

Tutto ciò che sappiamo al momento è che circa 90.000 indirizzi IP unici sono stati coinvolti in questo attacco. Anche se i dettagli dell'attacco diventeranno probabilmente pubblici una volta che le indagini saranno approfondite, vorrei fare una domanda generica:

  1. I primi robot erano noti per essere basati su IRC. Le ultime tendenze di Bot sono state verso il P2P. Che tutte le informazioni sono sufficienti o necessarie per un esperto di dominio per giudicare / concludere quale tipo di botnet è stato utilizzato in un particolare attacco: IRC, HTTP o P2P?
  2. E quali conclusioni si possono trarre in questo momento per l'attacco Wordpress?

Non sto invitando le speculazioni qui, ma alcune buone risposte (con buone logiche) nello spirito di questo dal Grande orso .

    
posta pnp 17.04.2013 - 11:21
fonte

1 risposta

3

La categorizzazione "IRC, HTTP o P2P" di una botnet riguarda il modo in cui le macchine worker ottengono i loro ordini dal centro di controllo. Le botnet basate su HTTP si connettono a un sito di controllo di cui conoscono l'URL; questo non è molto discreto a lungo termine. In particolare, poiché si presume che questo attacco riguardi i server di hijacking per costruire una botnet più grande, a ogni server infetto verrà fornito un modo per contattare il centro di controllo - nel caso di un URL principale, l'URL sarà incluso.

Poiché alcuni grandi nomi stanno attualmente cercando di capire l'attacco, sembra ragionevole supporre che abbiano già installato alcune macchine virtuali honeypot, per osservare l'infezione e osservare il risultato. Di conseguenza, se la botnet è basata su HTTP, conoscono già l'indirizzo del malvagio server e Special Forces / Spetnasz / SAS / Légion Étrangère stanno per spiegargli il vero significato del dolore.

Questo non sembra accadere proprio ora, quindi suppongo che la botnet sia più protetta di così, e usi un metodo di comunicazione decentralizzato. Questo è ciò che le reti di spionaggio, le organizzazioni terroristiche e le forze di resistenza hanno fatto per molti decenni . "IRC" e "P2P" sono due varianti di quel principio. In una botnet basata su IRC, la rete di server IRC che collaborano agisce come un mezzo di trasporto involontario (ma spesso compiacente); "P2P" sarà usato per qualificare botnet che semplicemente saltano quel pezzo grezzo di vecchia tecnologia e inviano i loro pacchetti tutto da soli. In una botnet gestita correttamente, ogni host infetto conoscerebbe gli indirizzi di pochi altri host: la sua cella e alcuni host nelle celle adiacenti.

La mia scommessa sarebbe andata su P2P, ma è solo una sensazione istintiva.

    
risposta data 18.04.2013 - 01:11
fonte

Leggi altre domande sui tag