¿Cómo es posible que no podamos rastrear realmente el servidor C&C (u otro oculto)?

Navega tus respuestas
0

Con la reciente ruptura de WanaCry, ¿cómo es posible que sepamos a qué servicio oculto se conecta? Todavía no sabemos dónde se encuentra el dispositivo físico y, por lo tanto, no podemos eliminarlo.

    
pregunta ShinobiUltra 22.05.2017 - 20:35
fuente

2 respuestas

2

Esto se debe a que un dispositivo infectado "habla" con el servicio oculto a través de 6 nodos Tor diferentes . Todas esas máquinas no rastrean el tráfico enrutado, y no pueden configurarse para "rastrear el tráfico de Wannacry" porque ninguna de ellas sabe qué tráfico exacto se enruta (está encriptado de extremo a extremo, por lo que solo la máquina emisora y el servidor de Wannacry pueden ver el contenido). Además, solo la primera máquina de esta cadena sabe cuál es la IP real del remitente, pero no sabe que el remitente es un servicio oculto.

Para rastrear una conexión, teóricamente necesitarías:

  • Cree un circuito (establezca una conexión a través del servidor de cita) a un servicio oculto. Esto es fácil.
  • Averigüe quién es el primer nodo Tor en su circuito y hable con ellos para rastrear el siguiente nodo en la cadena. Esto es mucho más difícil: no solo el operador del nodo puede ser inalcanzable o escéptico (cómo podrían saber que realmente está rastreando WannaCry, y no algún recurso subterráneo), sino que también requerirá modificar el cliente Tor e inspeccionar el tráfico. ser ilegal en algunos países.
  • Repita lo mismo con los siguientes cinco circuitos. Lo que probablemente será en diferentes países: diferentes zonas horarias, diferentes idiomas e ideas diferentes de lo que es aceptable y lo que no lo es.

Agregue a eso que necesita hacer esto dentro de la vida útil del circuito, que, según recuerdo, es bastante breve, menos de 30 minutos, y usted ve el problema.

    
respondido por el George Y. 22.05.2017 - 21:09
fuente
0

Simple. Si controla una máquina infectada (a través de honeypot u otros medios) puede observar cómo el tráfico va y viene. Esto le dirá qué protocolos están en uso y qué direcciones IP los están utilizando.

Sin embargo, normalmente no tiene la misma visibilidad del tráfico que las otras IP están enviando y recibiendo. Por lo tanto, realmente no se puede decir definitivamente si esas máquinas son la fuente del ataque o simplemente se están utilizando como retransmisión.

Ahora agregue todos los problemas para encontrar la ubicación física real de una IP, coordinar con los recursos locales, obtener acceso legal, etc. y debería reconocer rápidamente qué tan grande es el problema. También con un gusano, la cantidad de fuentes crece con cada nueva infección. En algún momento, la lista de "malas" IP se está expandiendo tan rápido que un humano probablemente no podría seguir identificando, verificando, validando y bloqueando las IP.

    
respondido por el 0xSheepdog 22.05.2017 - 21:06
fuente

Lea otras preguntas en las etiquetas

UUID en la URL: ¿qué tan seguro está de la solución propuesta para mi descubrimiento accidental? Acciones a tomar después de abrir el PDF sospechoso