問題タブ [botnet]

ウイルス対策、マルウェア、ボットネットなどは、私たちの日常生活の中でますます大きくなっています。ウイルス対策ツールやセキュリティツールなどの作成について説明しているリソースはありますか？興味深いトピックのようですが、詳細を知るために参照できる実際のソースを見つけることができませんでした。

1. 提案？（良いことも悪いことも？）

2. これに使用されるほとんどの言語はC++またはアセンブリだと思いますか？それとも、この種のアイテムにうまく機能する他のものはありますか？

最悪のグローバル ハッカーがどこに住んでいるか (米国の観点から) について何か考えがある人はいますか? つまり、warez、serialz、ボットネット、スパマーはどこに住んでいるのでしょうか? これらのハッカーはどの国に住んでいる可能性が最も高いですか? 彼らはどのようにインターネットに接続しますか? 彼らの本拠地大陸を禁止することは、彼らのアクセスを抑制するのに効果的ですか? (または、未知のプロキシを使用していますか?)

IP アドレス / 地域 (中国 / ロシアなど) に基づいてハッカーの可能性をブロックしたいと考えています。大規模なユーザー グループを疎外してもかまいません。

また、この目的のために自由に利用できるブロックリストはありますか?

更新: ブラックリストは一般的なプログラミング タスクであるため、これはプログラミング関連です。そして、プログラマーは、この種のデータを気にかけている数少ないグループの 1 つです。他に誰に尋ねますか？

アマゾンを攻撃することを計画しているグループで、クラウドサービスを使用する顧客が影響を受ける可能性があるかどうか誰かが考えていますか？彼らは小売店側を閉鎖しようとしていると思いますが、これはAWSを使用するWebアプリに影響を与えると思いますか？

最後に、そのような攻撃がAWSに向けられた場合、Webアプリ企業が取ることができる何か/戦略はありますか？

私はボットネットについて読んでいましたが、なぜこれらのネットの発信元を見つけて、これらを設定した元のコンピューターを特定することでそれらをルーティングできないのか疑問に思っていました。

私はおそらくそれらをあまり理解していないので、私の素朴な質問を許してください.

理論的には、すべてのコンピューターから発信されるすべてのトラフィックは、ISP、中間ルーターの束を通過し、最終的に宛先ホストに到達する必要があります。したがって、ISP が着信アドレスと発信アドレスを監視する場合、どの IP アドレスが多数の宛先またはそのようなヒューリスティックにこれらすべての接続を行っているかを知ることができるはずです...

一般に、これらのバックボーン プロバイダーと ISPS は一緒になって、各コンピューターからの接続先を基本的に把握しています。

alert tcp any any -> any any (msg:"PRIVMSG from an IRC channel suspicious act"; content:"PRIVMSG"; offset:0; depth:7; nocase; dsize:<64; flow:to_server, Established; tag:セッション、300、秒; クラスタイプ: 不明な不良; sid:2000346; rev:4;)

上記のルールは、ボットマスターへのメッセージに応答するボットを監視するために書かれています。ルールは正常に機能していますが、1 つのボットが応答し、複数のホストが同時に応答しているときにアラートがないか、1 つのホストに対してアラートが 1 つでもある場合のみです。セッション時間を 30 または 150 に変更しましたが、うまくいきません。

効率化するためのヒントやコツはありますか？

ありがとう。

-アイメン

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"COMMUNITY BOT IRC Traffic Detected By Nick Change"; flow: to_server, Established; content:"NICK "; nocase; offset: 0; depth: 5; flowbits:set, community_is_proto_irc; flowbits: noalert; classtype:misc-activity; sid:100000240; rev:3;)

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"COMMUNITY BOT 内部 IRC サーバーが検出されました"; フロー: to_server、確立; フロービット:isset,community_is_proto_irc; クラスタイプ: ポリシー違反; sid:100000241; rev:2;)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"内部ボットからの CHAT IRC メッセージ"; フロー: 確立; フロービット:isset,community_is_proto_irc; content:"PRIVMSG "; nocase; classtype:policy-violation; sid:1463; )

上記のルールは、任意の IRC ポートで IRC ボット/サーバーのアクティビティを追跡するために、 David Biancoによって作成されました。ただし、上記のルールは正常に機能しますが、問題があります。私の問題は、複数の IRC サーバー (一部は 7000 で動作し、もう 1 つは 6667 で動作) がネットワーク上で実行されている場合に発生します。それらの一部はルールの条件を達成し、Snort はアラートとそれらの一部 (または 1 つでも) を生成します。これらの条件を達成しないため、Snort は定義されたセットに関連するアラートを生成しません。ある種の違和感があると思います。その問題に関する提案はありますか？私はSnort 2.8に取り組んでいます。

私はいつも次のことを考えていました：感染したコンピュータはどのように電子メールを送信しますか？私は、1日に12億通の電子メールを送信する大規模なボットネットのすべての話を読みました。ISPのSMTPサーバーを使用していて、ISPのSMTPサーバーがブロックしている100人未満のユーザーにニュースレターを送信しようとすると。私は複数の友人（すべての異なるISP）によってこれを行おうとしましたが、それはすべて同じでした。しかし、100を送信することさえできない場合、これらのボンネットはどのようにしてこれほど大量の電子メールを生成できるのでしょうか。

よろしくお願いします、ジョリ。

私のサイトは、特定の範囲の IP アドレスから非常に多くのヒットを取得します。ほとんどの場合、メイン ページのみです。

これは先週です (数字はヒット数を表します)

それは何でしょうか？