Pude capturar un host de control de botnet, ¿qué hago con él?

Si desea que se analice por motivos comerciales, entonces necesita encontrar un asesor forense de respuesta a incidentes forense con la debida experiencia (disculpe la jerga: 'un tipo de análisis de registros'). Estos generalmente cuestan dinero, mucho de ello.

Sin embargo, tenga en cuenta que la mayoría de las implementaciones de botnets no están dirigidas y están muy extendidas. Probablemente no haya mucho que aprender sobre eso que no sea conocido y que afecte a todos los demás. Los grupos que lidian con amenazas avanzadas no estarán terriblemente interesados en este tipo de cosas, pero es posible que tenga suerte con un proveedor de AV. A Symantec, Sophos, etc. a veces les gusta recopilar este tipo de datos para sus papeles blancos brillantes.

Los registros más interesantes serán los que se encontrarán justo antes de que comience el tráfico sospechoso cuando la red de bots realmente explote el sistema, ya que esto le permitirá realizar una autopsia en el ataque. Sin embargo, voy a usar mis increíbles habilidades psíquicas para afirmar que algo no fue remendado adecuadamente y así es como entró el bot.

Addendum: por el amor de los dioses, no solo le dé acceso a sus sistemas (o datos confidenciales en sus sistemas) a una persona al azar en este sitio.

Comuníquese con el FBI , o con quien tenga jurisdicción sobre este tipo de delito informático en el que vive. Lo que se está haciendo en su sistema es un delito bastante grave, y en muchos lugares, el hecho de no informar un delito es en sí mismo un delito. Lo último que desea es que las víctimas inocentes (usted y su cliente que hospeda) estén expuestos a responsabilidad legal.

Lo primero sería informar al equipo de respuesta a incidentes de su organización o al equipo de seguridad pertinente.

En segundo lugar, puede comprobar los registros del servidor web. Esto le dará una gran cantidad de pistas sobre quién accedió a él y sobre qué se hicieron todas las solicitudes web (que muestra las rutas URL).

Si desea capturar datos en vivo, use las utilidades de analizador de paquetes / rastreador como tcpdump o ethereal y escuche en la interfaz correspondiente. Luego, use los filtros para ver el origen / destino y debería informarle toda la comunicación que se produce entre el servidor malicioso remoto y el suyo.

Una de las cosas que deberías preguntarte es: "¿Cuál es tu motivación aquí?"

por ejemplo  1. Averigua cómo ocurrió el incidente para evitar una repetición.  2. Protégete por razones de responsabilidad.  3. Consigue castigar a los malos  4. Ayuda a los investigadores de seguridad conociendo el exploit. etc.

Dudo que sea el número 1 ya que dice que la contraseña de inicio de sesión parece comprometida al final del cliente. # 3 parece extremadamente remoto. El # 4 también parece improbable a menos que realmente hayas encontrado algo realmente novedoso.

Por lo tanto, diría que presentar un informe. A menudo, los departamentos de policía locales presentan una, aunque probablemente carezcan de las habilidades para investigar. Asegúrese de documentar las cosas y deje un rastro de papeleo

Además de ponerse en contacto con la policía, bloquear sus máquinas, introducir controles para alertar sobre futuros incidentes; es posible que desee considerar ponerse en contacto / unirse a una organización como Red Sky Alliance . No quiere dar a nadie (especialmente a personas aleatorias en Internet, que es esencialmente lo que es) acceso a su sistema o sus datos, pero debe compartir en algún foro controlado si es posible. Tanto usted como otros participantes se beneficiarán. Otros lugares potenciales para buscar personas 'legítimas' para compartir con ellos pueden ser SANS , o tal vez OSCE sería más apropiado ya que parece estar en Holanda desde su perfil.