Che cosa può essere installato ed eseguito in modo divertente su un computer zombi?

0

Sto sperimentando un sistema Proof of Work che tenta di forzare l'uso di un browser per risolvere il puzzle del cliente. Fondamentalmente, invece di distribuire il puzzle come un hash con un algoritmo ben noto, sto consegnando il puzzle come codice JavaScript reale che deve essere eseguito per ottenere la soluzione (e anche chiamate nell'ambiente del browser per provare davvero e assicurarmi è un browser). Sono stato in grado di scrivere qualcosa come PhantomJS per automatizzare un attacco, ma è accettabile. Gestisce ancora il puzzle molto lentamente. Tuttavia, una delle cose che speravo di dissuadere è la capacità di una vera botnet di attaccare e automatizzare la risoluzione del puzzle. Mentre penso che lo sforzo per questo sarebbe grande, e improbabile, ero solo curioso di sapere come sarebbe fattibile per un computer zombi installare e lanciare qualcosa di sostanziale come PhantomJS (un browser webkit senza testa) per essere in grado di automatizza un attacco.

Dalla mia conoscenza delle reti bot, si basano principalmente su serie di funzionalità molto più piccole e spesso predeterminate: keylogging, screenshotting, chiamate http, esecuzione di script più piccoli.

Modifica - Giusto per chiarire, so che un computer compromesso può installare ciò che vuole, è una questione di fattibilità. Ad esempio, quante botnet scaricano e utilizzano uno strumento da ~ 7 MB dopo il payload iniziale (come phantomjs)?

    
posta Russell Leggett 02.10.2013 - 09:48
fonte

4 risposte

4

Per essere utile per il rompicapo, un nodo zombi deve avere larghezza di banda di rete (per il download una tantum dell'interprete Javascript e per ogni istanza di puzzle da ottenere), RAM o spazio su disco (per la memorizzazione dell'interprete Javascript) e CPU di riserva (per eseguire effettivamente la cosa). I nodi botnet tipici hanno tutti e tre:

  • Un utilizzo tipico delle botnet è l'invio di spam; questo significa inviare moltissimi dati. Si deve assumere che i nodi tipici di botnet hanno larghezza di banda. Le macchine domestiche normalmente hanno più download di larghezza di banda di upload , eppure lo spamming utilizza il upload , quindi le macchine zombi possono davvero scaricare molto.

  • I nodi botnet hanno anche spazio di archiviazione per gigabyte: quando è stata l'ultima volta che hai visto una macchina con un disco pieno? In realtà, dal momento che le prestazioni del filesystem tendono a peggiorare quando il disco è pieno per oltre l'80% (a causa della frammentazione), ci sono incentivi per mantenere un po 'di spazio libero nei dischi.

  • La maggior parte delle macchine là fuori sono inutilizzate per la maggior parte del tempo. In generale, i sistemi desktop usano la CPU solo quando l'utente umano è di fronte a loro (e solo quando quell'utente fa cose che usano molta CPU, come i giochi, e diversamente dalla navigazione sul Web); i server dispongono di CPU di riserva per gestire il picco di utilizzo, ma l'utilizzo massimo, per definizione, si verifica in modo relativamente raro.

Ci sono limiti a ciò che un nodo botnet farebbe praticamente, ma sono molto più alti di soli 7 megabyte. 7 megabyte saranno scaricati in 7 secondi circa; possono andare bene in RAM . 7 gigabyte potrebbero essere più difficili per l'autore della botnet; contrabbandare 7 gigabyte sul disco rigido in modo discreto potrebbe essere relativamente difficile. Ma solo megabyte! Pezzo di torta.

    
risposta data 02.10.2013 - 16:52
fonte
2

La maggior parte delle botnet è estensibile in quanto il bot bot può caricare qualsiasi applicazione arbitraria sugli zombi. Quindi - Sì, è abbastanza possibile per uno zombie installare un browser webkit senza testa .

La BotNet potrebbe anche agire su un computer GRID dove l'hacker esegue PhantomJS su un singolo computer e distribuisce i cicli effettivi della CPU attraverso l'intera zombie farm.

    
risposta data 02.10.2013 - 10:13
fonte
1

BTW.

Abbiamo validi motivi per ritenere che esistano alcune botnet che già utilizzavano una combinazione di capacità di risoluzione di PhantomJS e Captcha.

    
risposta data 13.11.2013 - 10:47
fonte
0

Le botnet sono viste dagli operatori di botnet come una vasta griglia di calcolo distribuita. In generale, gli operatori hanno intenzioni malevole dietro il loro utilizzo, ea tal fine la maggior parte dei robot ha payload progettati per eseguire alcuni exploit tradizionali: inviare spam, DDoS come bersaglio, ospitare siti di phishing fraudolenti, ecc. Questi sono prontamente disponibili sotto forma di moduli di codice scritti ("script" per usare il termine.)

Tuttavia, gli operatori di botnet invieranno qualunque cosa qualcuno pagherà loro per inviare , e questa è la chiave. È noto che le botnet inviano codice per decifrare CAPTCHA al fine di acquistare quantità massicce di biglietti per la rivendita.

Ciò che devi veramente valutare è il valore del servizio che stai cercando di proteggere. Se il tuo servizio è estremamente prezioso o redditizio per qualcuno che è disposto ad abusarne, gli aggressori avranno così tanto incentivo a crearlo. Se stai cercando semplicemente di fermare gli spammer, qualsiasi cosa li dividerà verso un obiettivo più facile.

Infine, non sottovalutare l'inconveniente che le sfide "risolvi il puzzle" mettono di fronte ai tuoi utenti. Nonostante la maggior parte delle opinioni del proprietario del sito sulla rilevanza e il valore del loro sito, su Internet per la maggior parte degli utenti un sito è praticamente buono come un altro. Gli inconvenienti riducono drasticamente l'appeal e il valore per la maggior parte delle persone, che faranno passare rapidamente Google a uno dei concorrenti meno abbienti.

    
risposta data 02.10.2013 - 17:46
fonte

Leggi altre domande sui tag