Codziennie, mniej więcej około 89,5 biliona wiadomości (w tym SPAM, phishing, malware i inne robactwo) jest wysyłanych przez komputery opanowane przez sieci botnet. Inne wykorzystywane są do ataków DDoS i jakoś to się kręci z roku na rok. W roku 2009 królami balu byli:
Archiwum (tag: kraken
)
-
Top botnetów 2009 roku – podsumowanie
- Data dodania:
- 03 1.10
- Kategorie:
- analizy, statystyki
-
Krakowanie Krakena
Badacze z firmy 3com, a konkretniej ci od Tipping Pointa, opublikowali analizę dobrze znanego publiczności botnetu – Krakena (czy też Bobaxa jak kto woli) oraz przypuścili atak na jego serwer zarządzający.
Do sprawy zabrali się od strony klienta, tj. wykonali analizę wsteczną binarki bota, następnie – już znając protokół – podszyli się pod serwer C&C botnetu. Było to możliwe, ponieważ Kraken ma zakodowane w kliencie domeny zapasowych serwerów sterujących. Udając C&C przez tydzień, odnotowali ponad 1.8 miliona połączeń z około 65 tysięcy unikalnych adresów IP. Po wyeliminowaniu dynamicznych zakresów IP oraz uwzględnieniu innych wyników analizy np. unikalnych kluczy generowanych przez boty, liczba systemów, które podłączyły się do fałszywego C&C została oszacowana na 25 tysięcy. Czytaj dalej »
-
Umarł król, niech żyje król
Najwyraźniej botnet Storm stracił koronę. Do niedawna uważany za największy, został zdetronizowany przez botnet nazwany roboczo Kraken.
W/gWedług odkrywców,z firmy Damballa, na botnet składa się armia 400 000 zombie.Ciekawy jest fakt, że Kraken zaatakował głównie komputery korporacyjne około 80 firm ze znanej listy Fortune 500 Forbesa. Widać ktoś odkrył, że nie tylko komputery użytkownika końcowego mogą być przydatne jako część armii zombie.
Kraken wykorzystuje do komunikacji własny protokół oparty o TCP i UDP, co nowością raczej nie jest, jednak cała transmisja jest szyfrowana. To dla odmiany jest nowość, ponieważ większość „standardowych” botów korzysta w dalszym ciągu z protokołów nieszyfrowanych. Widać szyfrowanie transmisji już nie zajmuje tyle mocy obliczeniowej co kiedyś.
Bardzo interesujący jest natomiast sposób komunikacji z C&C. Kraken ma wbudowane mechanizmy redundancji, które w razie likwidacji jednej centrali, pozwalają się połączyć do innej. Znamienne, że operatorzy botnetu nie wybrali modelu fast-flux, być może zwykły failover na dwie czy trzy dodatkowe centrale w zupełności wystarczy.
Botnet został wykryty pod koniec zeszłego roku, jednak jego wczesne ślady są datowane nawet na rok 2006. Jak widać, w tym „biznesie” zdecydowanie pomaga brak rozgłosu. Serwery C&C są zlokalizowane we Francji oraz w Rosji.