Anche Internet ha un lato oscuro, una sorta di underground, popolato da milioni di droni, governati da hacker pronti a impartigli comandi e a scagliargli contro qualsiasi bersaglio: sono le botnet.
Ogni botnet è costituita da un gruppo di computer, cui fanno parte sia gli “Home PC” che i server aziendali, infettati da un malware capace di comunicare con un’unità centrale, gestita da uno o più cyber criminali.
Il contagio dei dispositivi che compongono la botnet, detti anche “zombie”, “droni”, o più comunemente “bot”, avviene generalmente tramite worm ricevuti via posta elettronica, oppure navigando su siti web vettori di malware, violati sempre più spesso sfruttando vulnerabilità di CMS noti, come Joomla o WordPress.
Le botnet vengono utilizzate per diverse attività, ad esempio l’inoltro di email di spam, brute-forcing, e spesso sono l’unico modo per eseguire attacchi dDoS la cui potenza è in grado di bloccare i colossi di Internet, come GitHub, reso offline lo scorso 26 Giugno a causa di un dDoS durato oltre 24 ore.
Per entrare in possesso di questi strumenti, non si deve necessariamente sviluppare il proprio virus, in quanto in rete sono disponibili anche botnet in affitto, come Citadel. Con questa soluzione, è possibile usare un tool per personalizzare i propri “zombie”:
Ed un pannello amministrativo, accessibile via Web, con cui gestire l’intera Botnet:
Le macchine “zombie”, se non sono parte attiva di un attacco, non presentano particolari problemi, risultando stabili e funzionanti. Anche se, solitamente, la verifica dei processi in esecuzione, può rilevare tracce di un’avvenuta compromissione:
Nel caso di “Home PC”, l’utilizzatore di una macchina infetta può sperimentare rallentamenti sulla navigazione, che potrebbero essere dovuti al traffico smtp in uscita (spamming), o da tutte quelle operazioni che utilizzano principalmente la connettività per essere eseguite.
Per difendersi da queste minacce, occorre quindi avere un antivirus sempre aggiornato sulla propria postazione di lavoro, e controllare periodicamente i processi in esecuzione.
In questo screenshot, vediamo uno “zombie” attivo su un server linux, mentre processa un attacco di tipo brute force verso siti su cui è installato il CMS WordPress.
Fonte prima immagine: NCTA
Articoli correlati:
- WordPress – Attacco brute force su xmlrpc.php
- Phishing: dettagli e considerazioni di un vero attacco
- Attacco Man-In-The-Middle: ARP Poison
- 81 Cyber Attack al minuto: cosa sapere per proteggersi
- Sicurezza 2016: attacchi DDoS raddoppiati negli ultimi 12 mesi
- Attacchi dDos in aumento anche se sono più brevi
Una risposta