¿Qué sucede con las máquinas zombie después de los ataques DDoS?

Mi respuesta más común: "Depende".

  

¿Las máquinas zombie que participan en un ataque DDoS pertenecen a personas comunes como tú y como yo? ¿Podemos ser parte de un ataque DDoS incluso sin darnos cuenta?

Respuesta corta: sí. Respuesta larga:

Obviamente, depende de la infección, pero la mayoría de las veces, y para los ataques más sofisticados:

• La víctima nunca se da cuenta de que ha sido parte del ataque.
• La mayoría de las veces, las víctimas ni siquiera saben que sus máquinas están infectadas.
• Durante el ataque: la víctima puede darse cuenta de que los recursos informáticos se están utilizando más de lo normal; o en muchos casos, no lo hacen (los ataques sofisticados pueden preservar el factor de sigilo usando solo una pequeña porción de los recursos de computadora de cada víctima).

  

¿Qué pasa con estas máquinas esclavas después del ataque? Se convierten en   no se puede conectar con el objetivo? ¿Es así como se dan cuenta de ello?

• Después del ataque, la infección permanece (como si estuviera "durmiendo") hasta el próximo ataque. La víctima no notó nada y continúa usando la computadora normalmente.

  

Me pregunto qué hacen con estas botnets después del ataque.

Hay dos opciones principales:

1. Mantienen el malware dentro del dispositivo (computadora o cualquier otro dispositivo como enrutadores y máquinas IoT) para futuros ataques.
2. Limpian el dispositivo infectado para borrar cualquier rastro. (La mayoría de los ataques sofisticados pueden hacerlo {junto con muchas otras técnicas}, para que los investigadores no puedan rastrear el ataque hasta el origen).

  

¿Las máquinas zombie que participan en un ataque DDoS pertenecen a personas comunes como tú y como yo?

Los zombis son máquinas infectadas. Solían estar bajo el control del atacante y él solía darles las instrucciones a través del centro C & C.

  

¿Podemos ser parte de un ataque DDoS incluso sin darnos cuenta?

Exactamente. Si desea mantener su máquina fuera de la red de bots, siga las soluciones proporcionadas aquí .

  

¿Qué pasa con estas máquinas esclavas después del ataque? ¿Se vuelven incapaces de conectarse al objetivo? ¿Es así como se dan cuenta de ello?

Los esclavos o las máquinas bot funcionan perfectamente para sus propietarios y es realmente difícil para el propietario de la máquina averiguar si alguien más está bajo control de la máquina.
Las máquinas toman las instrucciones del centro C & C y siguen las instrucciones en el fondo. Si no hay más instrucciones disponibles para el malware, generalmente queda inactivo en el fondo.

  

Me pregunto qué hacen con estas botnets después del ataque.

Las máquinas bot son como un ejército; Cuando el Ejército no está en la zona de guerra, se sienta en los bunkers (o en el campamento base) esperando las siguientes instrucciones.
Similar es el caso con botnet, si no están atacando a alguien, eso significa que están en modo de escucha para recibir más instrucciones.

Espero que ayude !!!

Sospecho que en la mayoría de los casos, una vez que finaliza el ataque DDoS, las PC infectadas no suceden, y siguen estando infectadas, disponibles para otro ataque.

Los programas antivirus probablemente ya sabían sobre un malware tan bien distribuido. Existe la posibilidad de que algunos usuarios de antivirus tengan el malware eliminado automáticamente después del ataque, pero solo si el antivirus no lo eliminó antes.

El objetivo de la DDoS (es decir, Dyn recientemente) se centrará en mitigar el ataque rápidamente utilizando los recursos que pueden controlar directamente. Una vez hecho esto, es probable que no tengan un incentivo para limpiar los más de 100k dispositivos infectados en todo el mundo.

Prácticamente no pueden bloquear a las víctimas de DDoS para que no puedan acceder a su sistema a largo plazo, ya que la mayoría de las direcciones IP rotan con frecuencia y la lista completa de IP sería muy grande. Algunas (pero ciertamente no todas) las fuentes DDoS podrían haber sido bloqueadas por IP por un corto plazo, pero una vez que el ataque cese ya no sería necesario.

Sospecho que el atacante eventualmente detendrá el ataque si ya no es efectivo, ya que reduce las posibilidades de que la infección sea descubierta / eliminada, y libera recursos para otros ataques. (Podría estar equivocado con respecto a este. ¿Tal vez el ataque continúe mientras hablamos?)

No creo que haya ninguna agencia mundial o federal que intente limpiar a esos zombies. Los ISPs ciertamente no gastarán dinero haciendo esto a menos que tengan que hacerlo. Es costoso identificarlos y daría lugar a muchos clientes descontentos.

Probablemente el único que pueda limpiar esto sin la participación del usuario sea el proveedor del sistema operativo.

• Microsoft puede utilizar Windows Update para enviar un script de eliminación de software malintencionado. Personalmente, no estoy seguro de si haré esto o no.

• Los nuevos sistemas operativos como iOS, Chrome OS y Android tienen una mejor administración de sus tiendas de aplicaciones correspondientes y tienen la capacidad de extraer aplicaciones que podrían haber participado en un ataque DDoS. Sin embargo, es menos probable que los nuevos sistemas operativos estén infectados que los sistemas clásicos como Windows, Mac o Linux.

• Editar: Resulta que muchos de los dispositivos infectados eran en realidad dispositivos IoT, como cámaras web independientes. Muchos mfg.s no tienen una manera de actualizar automáticamente esos dispositivos. Solo los propietarios de los dispositivos pueden encargarse de ellos.