Qual è la configurazione tipica del computer e la disposizione di hosting di bot dannosi?

1

È risaputo che, se un utente malintenzionato lo desidera, potrebbe spoofare il proprio indirizzo IP utilizzando un server proxy o altri mezzi.

Sebbene sia possibile, ogni volta che eseguo una ricerca sulla posizione geografica sugli indirizzi IP che conducono attacchi automatici di forza bruta, sondaggio, scansione delle porte ecc. contro i miei server, quasi sempre gli indirizzi IP si risolvono nei paesi associati alla criminalità informatica, come:

  • Cina
  • Stati Uniti d'America
  • Russia
  • Turchia
  • Italia
  • ecc.

Sapendo che Internet è molto indipendente dalla geografia, ad esempio è possibile registrarsi con host di server in qualsiasi parte del mondo e infatti sarebbe auspicabile - dal punto di vista di un attaccante - che il loro IP non fosse associato ad un Paese con una cattiva reputazione.

Inoltre, poiché i server vengono talvolta aggiunti a una botnet quando vengono compromessi, ho sempre pensato che i server remoti fossero l'arma preferita per gli aggressori.
Tuttavia, ora mi chiedo: le persone che conducono questa attività sono costrette a utilizzare gli ISP locali in paesi con leggi più blande e che non reprimono le attività dannose (presumo che non possano avere accesso a tutte le grandi nome fornitori affidabili - perché i loro account si chiuderanno abbastanza rapidamente)?

E questo significa anche che in genere devono fornire le proprie macchine? So che ci sono molti modi per configurare un computer e connettersi a Internet - ma qual è l'impostazione tipica per questi robot automatici riguardo se si tratta di server noleggiati in remoto o di macchine fisiche locali e in che modo ottengono l'accesso a Internet?

    
posta the_velour_fog 18.11.2015 - 09:04
fonte

2 risposte

3

Ci sono alcuni articoli accademici che descrivono le botnet di Windows da un punto di vista architettonico:

Sembra che la maggior parte delle botnet abbia almeno 3 livelli:

  1. I computer eseguendo il codice funzionante. Sembra che questi siano quasi sempre computer compromessi.

  2. Un livello intermedio, a volte compromesso, a volte in realtà pagato per.

  3. L'attuale macchina di comando e controllo. Quasi sempre comprati e pagati, non i server di qualcun altro che hanno violato.

I server non hackerati, comprati e pagati sembrano essere in posti come il Kazakistan o ospitati su ISP "a prova di proiettile". Alcuni di questi ISP a prova di proiettile sono falliti o sono stati ritirati legalmente. Google per "McColo" per i dettagli di uno di questi.

    
risposta data 19.11.2015 - 00:10
fonte
2

Il robot automatico ideale è la macchina di qualcun altro che hai compromesso perché la loro sicurezza non era abbastanza buona. È quindi possibile controllare la macchina da remoto, preferibilmente tramite un canale che non si riconduce facilmente a te (l'IRC era popolare).

    
risposta data 18.11.2015 - 13:00
fonte

Leggi altre domande sui tag