Новости из Блогов Охота на ботнеты с помощью ZMAP

Discussion in 'Мировые новости. Обсуждения.' started by VY_CMa, 11 Mar 2014.

  1. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    913
    Likes Received:
    480
    Reputations:
    724
    В прошлом месяце я писал о новом подходе к поиску зараженных хостов при помощи сканнера портов ZMap. С того момента прошло много времени и было проведено повторное сканирование хостов, о том что изменилось, читайте далее.

    Два шага вперед, один назад
    В целом, количество инфицированных систем значительно снизилось. Четыре из пяти портов которые я проверял, используются Zero Access. Существенное снижение произошло на 14671 порту, более 1500 хостов. Исключением стал порт 16464, количество хостов слушающих этот порт необъяснимо поднялось с момента прошлого сканирования.

    [​IMG]

    Похожая ситуация происходит при разделении хостов на провайдеры. ТОП-10 остается прежний, количество зараженных хостов замечается почти у всех провайдеров.
    На Comcast погибло более 270 зараженных хостов, это 27% от общего количества зараженных систем.
    Активность в таких компаниях, как BSNL и Korea Telecom снизилась примерно вдвое. Но есть и некоторые исключения, например у Cantv и Венесуэла телеком, увеличилось количество инфицированных хостов (Cantv поднялся на 6 местов в ТОП-10). Эти данные показывают, что, несмотря на общий прогресс в очистке систем, есть точенчные удары по некоторым провайдерам.

    И если говорить о Венесуэле
    Темпы распространения инфекции увеличились почти в каждой южноамериканской стране. В Чили произошло увеличение количество зараженных хостов на 21, в Аргентине на 61, в Венесуэле рост составил на впечатляющие 80 хостов. Самыми безопасными странами оказались Парагвай и Перу. Статистика в Южной Америке, является самой худшей.
    [​IMG]

    Альтернативный путь
    Два месяца наблюдений, конечно мало, чтобы нарисовать действительно четкую картину того, что именно происходит, но мы можем придти к некоторым закономерностям. Возможно, популярные IPS просто добавили блокировку 16471 порта, что приводит к уменьшению детектирования количества зараженных хостов. Всплески в Венесуэле и Аргентине может быть связано с их политическими компаниями (было бы интересно посмотреть на уровень заражения по приближению к чемпионату мира в Бразилии). Данный метод используется в качестве разминки, но его достаточно для демонстрации самого подхода по поиску и мониторингу зараженных хостов. Как всегда, не стесняйтесь, пишите свои мысли.

    Автор: Ricky “HeadlessZeke” Lawshae
    Дата: 5 марта 2014
    Источник: http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Botnet-Hunting-with-ZMap-Continuing-the-Hunt/ba-p/6401003
     
    _________________________
    #1 VY_CMa, 11 Mar 2014
    Last edited: 11 Mar 2014
(You must log in or sign up to post here.)