Hacker vytvoril obrovský botnet aby zmapoval internet. Pozrite sa, ako to urobil, svoj postup zverejnil.

Nez­vy­čaj­ný spô­sob vy­tvo­re­nia ar­má­dy bo­tov s poč­tom nie­koľ­ko sto­viek ti­síc za­ria­de­ní pred­sta­vil nez­ná­my ha­cker, kto­rý svoj pos­tup opí­sal na server­i Git­hub.com. Pro­jekt naz­val Inter­net Cen­sus 2012 a pod­ľa je­ho slov bol rok 2012 prav­de­po­dob­ne pos­led­ný, keď bo­lo mož­né zma­po­vať inter­net IPv4, keď­že mno­hé veľ­ké fir­my už preš­li a pre­chá­dza­jú na ver­ziu pro­to­ko­lu IPv6.

Cie­ľom vy­tvo­re­nia bot­ne­tu, kto­rý autor naz­val Car­na, ne­bo­lo zís­ka­nie pe­ňa­zí, ale mož­nosť ov­lá­dať množ­stvo po­čí­ta­čov a pop­ri tom zma­po­vať inter­net.

Zá­kla­dom úto­ku bo­lo ske­no­va­nie por­tu čís­lo 23 (tel­net) po­mo­cou nás­tro­ja Nmap Scrip­ting En­gi­ne. Za­uto­ma­ti­zo­va­nie ce­lej úlo­hy ma­li na sta­ros­ti dva ma­lé bi­nár­ne sú­bo­ry - pr­vý sa sta­ral o skú­ša­nie šty­roch rôz­nych kom­bi­ná­cií me­na a hes­la na por­te č. 23 a dru­hý prog­ram mal na sta­ros­ti zís­ka­va­nie ďal­ších IP adries pre ske­ner a od­osie­la­nie vý­sled­kov ske­no­va­nia na ur­če­né IP ad­re­sy.

V pod­sta­te iš­lo len o šty­ri kom­bi­ná­cie me­na a hes­la: root s hes­lom root, ad­min s hes­lom ad­min a root a ad­min s práz­dnym hes­lom. Za­ria­de­nia, do kto­rých ske­ner zís­kal prís­tup, bo­li nás­led­ne za­po­je­né do ske­no­va­nia ďal­ších za­ria­de­ní. Ha­cker zís­kal kon­tro­lu nad 420 000 za­ria­de­nia­mi chrá­ne­ný­mi sla­bý­mi prís­tu­po­vý­mi údaj­mi. Väč­ši­nu ov­lád­nu­tých za­ria­de­ní tvo­ri­li sme­ro­va­če pre do­mác­nos­ti a set-top boxy, ale vý­nim­kou ne­bo­li ani sme­ro­va­če nas­ta­ve­né ako IP­Sec či BGP, ICS (In­dus­trial Con­trol Sys­tems), za­bez­pe­čo­va­cie sys­té­my dve­rí či za­ria­de­nia Cis­co a Ju­ni­per.

Ha­cker, ako sám pí­še, nech­cel váž­nej­šie na­ru­šiť žiad­ne za­ria­de­nie, a pre­to z pro­jek­tu na zá­kla­de ty­pu CPU a RAM vy­lú­čil všet­ky v men­šom poč­te sa vy­sky­tu­jú­ce (a te­da kri­tic­kej­šie) za­ria­de­nia. Na zvyš­ných 420 000 za­ria­de­niach (len štvr­ti­ne z cel­ko­vé­ho poč­tu so sla­bý­mi prís­tu­po­vý­mi údaj­mi) spus­til svo­je bi­nár­ne sú­bo­ry.

Zvyš­né stov­ky ti­síc za­ria­de­ní buď ne­ma­li shell, kto­rý by umož­nil up­loa­do­vať bi­nár­ne sú­bo­ry, či bo­li ne­ja­ko ináč ne­vy­ho­vu­jú­ce na kon­krét­ny pro­jekt. Prav­dou však os­tá­va, že ma­li jed­no­du­cho uhád­nu­teľ­né prís­tu­po­vé úda­je.

Bot­net pos­ta­ve­ný na ta­kom­to prin­cí­pe má úpl­ne iný pos­tup sprá­vy ako kla­sic­ké bot­ne­ty vy­uží­va­jú­ce C&C server­y, kto­ré vy­ža­du­jú neus­tá­lu kon­tro­lu za­bez­pe­če­nia, ochra­nu pred ďal­ší­mi hac­ker­mi, ako aj spo­ľah­li­vý a ano­nym­ný hos­ting. V tom­to prí­pa­de hac­ke­ro­vi sta­čil aký­koľ­vek po­čí­tač, kto­rý mo­hol byť po­koj­ne aj za NAT-om, pre­to­že všet­ky po­čí­ta­če v bot­ne­te sú pria­mo dos­tup­né z inter­ne­tu.

Ne­vý­hod­né, sa­moz­rej­me, je, že bo­ty ne­ma­jú schop­nosť sa­mos­tat­ne náj­sť ria­dia­ci server v prí­pa­de, že ich vlas­tná IP ad­re­sa by bo­la zme­ne­ná. Rie­še­ním v ta­kom­to prí­pa­de je len na­no­vo ske­no­vať inter­net a hľa­dať stra­te­né bo­ty, kto­ré nap­rík­lad aj z dô­vo­du reš­tar­tu za­ria­de­nia stra­ti­li spo­je­nie s hac­ker­ským po­čí­ta­čom. Nez­ná­my ha­cker uvie­dol, že šta­tis­tic­ky bo­lo 85 % za­ria­de­ní (bo­tov) dos­tup­ných v akom­koľ­vek ča­se.

Pre­mys­le­nie stra­té­gie ske­no­va­nia a jej nap­rog­ra­mo­va­nie tr­va­lo hac­ke­ro­vi pol ro­ka. Prog­ram vy­tvo­ril v ja­zy­ku C a skom­pi­lo­val ho pre 9 rôz­nych ar­chi­tek­túr vy­uži­tím OpenWRT Buildroot. Bi­nár­ny sú­bor mal veľ­kosť v roz­me­dzí 46 - 60 ki­lo­baj­tov v zá­vis­los­ti od cie­ľo­vej ar­chi­tek­tú­ry.

Ria­de­nie bot­ne­tu, kto­ré bo­lo na­pí­sa­né v ja­zy­koch PHP a Pyt­hon, za­dá­va­lo jed­not­li­vým bo­tom prí­ka­zy a zá­ro­veň zís­ka­va­lo dá­ta (ICMP pin­gy, re­ver­zné zá­zna­my DNS atď.) z bo­tov s väč­šou pa­mä­ťou RAM a vý­kon­ným CPU, kto­ré ma­li na sta­ros­ti zos­ku­po­vať zís­ka­né dá­ta. Na ana­lý­zu a trie­de­nie ta­ké­ho­to veľ­ké­ho množ­stva dát ha­cker pou­žil sof­tvé­ro­vý fra­mework Apa­che Ha­doop s plat­for­mou Pig. Po nie­koľ­kých týž­dňoch, keď sa hac­ke­ro­vi po­da­ri­lo zos­ta­viť bi­nár­ne sú­bo­ry pre via­ce­ré plat­for­my, ov­lá­dol do­ved­na 420 000 za­ria­de­ní.

Aký veľ­ký je inter­net?

Po zís­ka­ní dos­ta­toč­né­ho množ­stva bo­tov priš­lo na rad ma­po­va­nie inter­ne­tu pros­tred­níc­tvom ICMP, re­ver­zných po­žia­da­viek DNS, nás­tro­ja Nmap či tra­ce­rou­te. Po­mo­cou Hil­ber­to­vej kriv­ky ha­cker pre­mie­tol jed­no­roz­mer­né dá­ta ICMP IP adries do dvoj­di­men­zio­nál­ne­ho zob­ra­ze­nia.

bots_1.jpg

420 000 bo­tov bot­ne­tu Cor­na na ma­pe sve­ta

census2012.jpg

IPv4 2012 Cen­sus Map z bot­ne­tu Car­na

internet2012.png

460 mi­lió­nov adries IPv4, kto­ré rea­go­va­li na ICMP ping ale­bo ma­li ot­vo­re­ný as­poň je­den port

Z viac ako 70 mi­lió­nov IP adries s ot­vo­re­ným por­tom TCP 80 bol naj­pou­ží­va­nej­ší webo­vý server Apa­che (14 208 112 sys­té­mov - 20,0 %), nas­le­do­va­ný Alleg­ro Rom­Pa­ger (13 116 974 sys­té­mov - 18,5 %) a Mic­ro­soft IIS (6 071 267 sys­té­mov - 8,5 %).

Bot­net Cor­nea iden­ti­fi­ko­val prib­liž­ne 244-ti­síc IP adries s ot­vo­re­ným por­tom TCP 9100, kde bež­alo zhru­ba 200 000 naj­rôz­nej­ších tla­čiar­ní - HP La­serJet P2055 Se­ries (6628 tla­čiar­ní - 2,7 %), HP La­serJet 4250 (4678 tla­čiar­ní - 1,9 %).

Autor bot­ne­tu Cor­na, kto­rým inter­net zma­po­val, pí­še, že 420 mi­lió­nov IP adries rea­go­va­lo na ICMP ping a ďal­ších 36 mi­lió­nov IP adries ma­lo ot­vo­re­ný as­poň je­den port. 141 mi­lió­nov IP adries bo­lo za fi­rewallom, čo sa dá ta­kis­to po­va­žo­vať za to, že sú v pre­vádz­ke.

Spo­lu to te­da či­ní 591 mi­lió­nov IP adries, ale ak k to­mu pri­po­čí­ta­me ďal­ších 729 mi­lió­nov, kto­ré ma­jú re­ver­zné zá­zna­my DNS, vzí­de nám čís­lo 1,3 mi­liar­dy pou­ží­va­ných IP adries; 2,3 mi­liar­dy ďal­ších IP adries ne­vy­ka­zo­va­lo žiad­ne znám­ky pou­ží­va­nia.

Ha­cker uvá­dza, že prog­ra­my, kto­ré bež­ia na na­pad­nu­tých za­ria­de­niach, po ur­či­tom ča­se sa­my skon­čia čin­nosť a mno­hé už do toh­to ča­su tak aj uro­bi­li. Ha­cker za­ne­chal v zria­de­niach ta­kis­to sú­bo­ry READ­ME, kto­ré opi­su­jú ce­lý pro­jekt, ako aj e-mai­lo­vú ad­re­su na do­da­toč­né otáz­ky od ma­ji­te­ľov na­pad­nu­tých za­ria­de­ní.

Zdroj: inter­net­cen­sus2012.git­hub.com


Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter