Entendiendo qué bot fue usado para un ataque Botnet

Navega tus respuestas
2

Ayer nos enteramos de un ataque masivo de fuerza bruta en cuentas de administrador de WordPress dirigidas a contraseñas débiles.

De una fuente en línea :

  

Una botnet que usa más de 90,000 direcciones IP para abrir cuentas de administrador de WordPress se puede usar como parte de un complot más grande para interrumpir a los usuarios en línea, según los investigadores.

     

Los usuarios de WordPress con el nombre de usuario "admin" están siendo atacados por una botnet que consta de PC domésticas comprometidas. Las máquinas infectadas son cuentas de pirateo de fuerza bruta, que ingresan automáticamente una lista de contraseñas de uso común.
  ...

Todo lo que sabemos ahora es que alrededor de 90,000 direcciones IP únicas estuvieron involucradas en este ataque. Aunque los detalles del ataque probablemente se hagan públicos una vez que las investigaciones se completen, deseo hacer una pregunta genérica:

  1. Se sabía que los bots más antiguos estaban basados en IRC. Las últimas tendencias de Bots han sido hacia P2P. Lo que toda la información es suficiente o necesaria para que un experto en dominio juzgue / concluya ¿Qué tipo de Botnet se usó en un ataque particular: IRC, HTTP o P2P?
  2. ¿Y qué conclusiones se pueden sacar en este momento para el ataque de Wordpress?

No estoy invitando a especulaciones aquí, pero sí algunas buenas respuestas (con buenas lógicas) en el espíritu de esta por el Gran Oso .

    
pregunta pnp 17.04.2013 - 11:21
fuente

1 respuesta

3

La categorización "IRC, HTTP o P2P" de una botnet trata de cómo las máquinas de los trabajadores obtienen sus pedidos del centro de control. Las botnets basadas en HTTP se conectan a un sitio de control cuya URL conocen; Esto no es muy discreto a largo plazo. En particular, dado que se asume que este ataque se trata de secuestrar servidores para construir una red de bots más grande, cada servidor infectado con éxito tendrá una forma de comunicarse con el centro de control; en el caso de una URL principal, la URL estará allí.

Dado que algunos nombres importantes están actualmente tratando de entender el ataque, parece razonable suponer que ya han configurado algunas máquinas virtuales honeypot, para observar la infección y observar el resultado. Como consecuencia, si la botnet está basada en HTTP, ya conocen la dirección del servidor del villano, y Special Forces / Spetnasz / SAS / Légion Étrangère están en camino de explicarle el verdadero significado del dolor.

Esto no parece suceder en este momento, por lo que supongo que la red de bots está más protegida que eso y utiliza un método de comunicación descentralizado. Esto es lo que las redes de espionaje, las organizaciones terroristas y las fuerzas de resistencia han hecho durante muchas décadas . "IRC" y "P2P" son dos variantes de ese principio. En una red de bots basada en IRC, la red de servidores de IRC que cooperan actúa como un medio de transporte involuntario (pero a menudo complaciente); "P2P" se usará para calificar botnets que simplemente se saltan esa pieza cruda de tecnología antigua y envían sus paquetes por sí solos. En una botnet gestionada correctamente, cada host infectado conocería las direcciones de solo algunos otros hosts: su celda y algunos hosts en celdas adyacentes.

Mi apuesta iría a P2P, pero eso es solo una sensación visceral.

    
respondido por el Tom Leek 18.04.2013 - 01:11
fuente

Lea otras preguntas en las etiquetas

Beneficios de la Política de Seguridad de Contenido Estrategia de almacenamiento de medios de respaldo