Come è possibile che non possiamo davvero tracciare il server C & C (o altri server nascosti)?

0

Con il recente breakout di WanaCry, come è possibile che sappiamo su quale servizio nascosto si connette, non sappiamo ancora dove si trova il dispositivo fisico e quindi non possiamo portarlo giù.

    
posta ShinobiUltra 22.05.2017 - 20:35
fonte

2 risposte

2

Questo perché un dispositivo infetto "parla" di servizi nascosti attraverso 6 diversi nodi Tor . Tutte queste macchine non tracciano il traffico indirizzato - e non possono essere configurate per "tracciare il traffico Wannacry" perché nessuno di loro sa esattamente quale traffico instradano (è crittografato end-to-end, quindi solo la macchina mittente e il server Wannacry possono vedere il soddisfare). Inoltre, solo la prima macchina di questa catena sa qual è il vero IP del mittente, ma non sa che il mittente è un servizio nascosto.

Quindi per tracciare una connessione, in teoria dovresti:

  • Costruire un circuito (stabilire una connessione tramite il server rendezvous) a un servizio nascosto. È facile.
  • Scopri chi è il primo nodo Tor nel tuo circuito e parla con loro per tracciare il prossimo nodo della catena. Questo è molto più difficile - non solo l'operatore nodo può essere irraggiungibile o scettico (come potrebbero sapere che stai davvero tracciando WannaCry, e non qualche risorsa sotterranea), ma richiederà anche la modifica del client Tor e il controllo del traffico - quest'ultimo potrebbe anche essere illegale in alcuni paesi.
  • Ripeti lo stesso con i prossimi cinque circuiti. Che sarà probabilmente in diversi paesi - diversi fusi orari, lingue diverse e idee diverse su ciò che è accettabile e cosa no.

Aggiungete a ciò che avete bisogno di fare questo entro la durata del circuito - che, per quanto mi ricordo è piuttosto breve, meno di 30 minuti - e vedete il problema.

    
risposta data 22.05.2017 - 21:09
fonte
0

Semplice. Se controlli una macchina infetta (tramite honeypot o altri mezzi) puoi osservare il traffico che va e viene. Questo ti dirà quali protocolli sono in uso e quali IP li stanno utilizzando.

Tuttavia, di solito non hai la stessa visibilità del traffico che gli altri IP stanno inviando e ricevendo. Pertanto, non è possibile affermare in modo definitivo se tali macchine sono la fonte dell'attacco o semplicemente utilizzate come relay.

Ora aggiungi tutti i problemi relativi alla ricerca della posizione fisica effettiva di un IP, al coordinamento con le risorse locali, all'accesso legale, ecc. e dovresti riconoscere rapidamente la gravità del problema. Anche con un verme il numero di fonti cresce con ogni nuova infezione. Ad un certo punto, la lista "cattiva" dell'IP si sta espandendo così velocemente che un umano probabilmente non è in grado di tenere il passo con l'identificazione, il controllo, la convalida e il blocco degli IP.

    
risposta data 22.05.2017 - 21:06
fonte

Leggi altre domande sui tag