Durante il test di un server ho scoperto una botnet. Ho scaricato l'eseguibile sul server e ho decompilato il file per ottenere le stringhe da esso.
La mia domanda è quale sarebbe il prossimo passo logico e come meglio decompilare ulteriormente il malvagio file httpd? Inoltre quale sarebbe la cosa giusta da fare (ad esempio prendere la botnet e chiuderla o segnalarla a qualcuno?)
Quando si tenta di prendere il controllo di una botnet, si sta commettendo un atto che è altrettanto criminale di quello che stava facendo il proprietario originale della botnet. Non importa quanto buone siano le tue intenzioni, stai prendendo il controllo dei sistemi IT di altre persone, il che è illegale in molte parti del mondo.
Segnala la botnet alle autorità. Quando non credi di avere il know-how necessario per affrontarlo adeguatamente, potresti offrire i tuoi servizi come specialista della sicurezza IT per assisterli, ma non tentare di fare nulla che non sia coordinato con le forze dell'ordine. Come professionista IT probabilmente non hai familiarità con le corrette procedure di polizia. Quando sei semplicemente libero, probabilmente distruggi o invalida le prove che sono necessarie per trovare e perseguire le persone dietro la botnet. Ciò non solo impedirà loro di ricevere la loro punizione legale, ma potrebbe anche portarti nei guai legali per averli inavvertitamente liberati dalla condanna.
Se il file httpd è stato sostituito, quale ELSE è stato sostituito? Questo sembra uno scenario di 'nuke from orbit'.
Per quanto riguarda l'acquisizione di una botnet, non è una buona idea. Qualunque cosa possa fare la botnet, perché sei diventato uno dei controller nella sua rete. Segnala alle autorità della tua zona.
Leggi altre domande sui tag reverse-engineering malware botnet