cyber-attack-botnet

Anatomia di un attacco Botnet

Indice dei contenuti

botnet>

Anche Internet ha un lato oscuro, una sorta di underground, popolato da milioni di droni, governati da hacker pronti a impartigli comandi e a scagliargli contro qualsiasi bersaglio: sono le botnet.


 
Ogni botnet è costituita da un gruppo di computer, cui fanno parte sia gli “Home PC” che i server aziendali, infettati da un malware capace di comunicare con un’unità centrale, gestita da uno o più cyber criminali.

Il contagio dei dispositivi che compongono la botnet, detti anche “zombie”, “droni”, o più comunemente “bot”, avviene generalmente tramite worm ricevuti via posta elettronica, oppure navigando su siti web vettori di malware, violati sempre più spesso sfruttando vulnerabilità di CMS noti, come Joomla o WordPress.

Le botnet vengono utilizzate per diverse attività, ad esempio l’inoltro di email di spam, brute-forcing, e spesso sono l’unico modo per eseguire attacchi dDoS la cui potenza è in grado di bloccare i colossi di Internet, come GitHub, reso offline lo scorso 26 Giugno a causa di un dDoS durato oltre 24 ore.

Per entrare in possesso di questi strumenti, non si deve necessariamente sviluppare il proprio virus, in quanto in rete sono disponibili anche botnet in affitto, come Citadel. Con questa soluzione, è possibile usare un tool per personalizzare i propri “zombie”:

citadel_builderEd un pannello amministrativo, accessibile via Web, con cui gestire l’intera Botnet:

citadel_panel

Le macchine “zombie”, se non sono parte attiva di un attacco, non presentano particolari problemi, risultando stabili e funzionanti. Anche se, solitamente, la verifica dei processi in esecuzione, può rilevare tracce di un’avvenuta compromissione:

botnet_processo

Nel caso di “Home PC”, l’utilizzatore di una macchina infetta può sperimentare rallentamenti sulla navigazione, che potrebbero essere dovuti al traffico smtp in uscita (spamming), o da tutte quelle operazioni che utilizzano principalmente la connettività per essere eseguite.

Per difendersi da queste minacce, occorre quindi avere un antivirus sempre aggiornato sulla propria postazione di lavoro, e controllare periodicamente i processi in esecuzione.

In questo screenshot, vediamo uno “zombie” attivo su un server linux, mentre processa un attacco di tipo brute force verso siti su cui è installato il CMS WordPress.

botnet_activity

Fonte prima immagine: NCTA

CONDIVIDI SUI SOCIAL

Una risposta

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

61 + = 66