Chiedi all’esperto: Vitaly Kamluk risponde alle domande sui DDoS e le botnet

L’esperto di sicurezza informatica Vitaly Kamluk risponde alle domande dei lettori di Kaspersky Daily sugli attacchi DDos e le botnet.

Vitaly Kamluk ha alle spalle più di dieci anni d’esperienza nel settore della sicurezza IT e al momento ricopre la posizione di Principal Security Researcher presso Kaspersky Lab. È specializzato in malware, ingegneria inversa e informatica forense, collabora con la polizia informatica nelle indagini relative a crimini di carattere informatico. Al momento Vitaly vive a Singapore. Lavora insieme all’INTERPOL come membro del Digital Forensics Lab, realizzando analisi malware e collaborando alle indagini della polizia.

https://instagram.com/p/1xKFAOv0I5/

Abbiamo chiesto ai nostri lettori di fare delle domande al nostro esperto. Abbiamo ricevuto così tante domande che abbiamo dovuto dividere questa sessione di Domande & Risposte in diverse parti. Oggi Vitaly risponderà alle domande sugli attacchi DDoS e le botnet.

Secondo te quante sono le botnet di grandi dimensioni, quelle che includono nella propria rete più 50.000 computer sparsi in giro per il mondo?

Secondo me sono meno di 20, ma è una supposizione perché è possibile scoprire la reale dimensione di una botnet solo dopo il suo smantellamento. Nonostante ai criminali interessi infettare il maggior numero di computer possibili, potrebbero decidere di mantenere la dimensione di una botnet sotto una certa soglia per non attirare l’attenzione.

Esistono botnet così sofisticate da creare agglomerati che includono smartphone, PC e Mac?

Qualche volta succede che alcune botnet possano includere PC e smartphone. Due buoni esempi erano Zeus-in-the-mobile e Zeus per PC. Ci sono botnet per Mac, ma in base alla nostra esperienza sono quasi tutte standalone, separate.

Come si individua una botnet? Da dove inizi? Quali sono le ultime tendenze e novità sui malware e sulle botnet?

In primo luogo è necessario individuare un processo sospetto o un file sul disco. Il passo successivo è analizzare l’oggetto e localizzare la lista dei server command and control (C&C). Poi sarà necessario conoscere il protocollo e richiedere periodicamente gli aggiornamenti dal C&C.

Alcune delle recenti tendenze sui malware e sulle botnet includono la ricerca dei meccanismi di controllo affidabili come quelli basati su Tor e le comunicazioni P2P. Sono molti gli articoli scritti su questo argomento, basta cercare “Tor Botnet”.

Cosa devi fare per disattivare una botnet?

Il modo migliore è bloccare il proprietario della botnet. Se poi potessimo bloccare anche il distribuitore e lo sviluppatore del software bot e del kit exploit sarebbe ancora meglio.

Da quale parte del mondo provengono le botnet? Quale linguaggio di programmazione è usato dagli sviluppatori dei software botnet? Come possiamo assicurarci che i nostri computer di casa non siano stati infettati da una botnet? In circostanze impreviste, esiste una seconda linea di difesa se i cyber-attachi non vengono neutralizzati?

Le botnet sono ovunque e il linguaggio di programmazione è solo una scelta personale. Per far sì che i vostri sistemi non entrino a far parte di una botnet è necessario realizzare frequenti scansioni con un software AV e poi dare uno sguardo alle comunicazioni di rete. Dovete assicurarvi che non ci sia nessun elemento alieno, né connessione inaspettata.

Per quanto riguarda la seconda linea di difesa, sfortunatamente, l’attuale architettura dei computer non la offre di default. Chiunque possieda un computer è responsabile della sua protezione. Neutralizzare le minacce in remoto è considerato un’intrusione nella rete ed è illegale nella maggior parte dei casi. Dopo tutto, una volta che il tuo sistema è stato compromesso, non lo puoi considerare affidabile fino a quando il problema non sia stato risolto e sia stato reso ancora più forte. Alla maggior parte dei proprietari di computer non importa molto delle infezioni, se non fino a quando iniziano a perdere dei soldi.

È importante per una moderna botnet essere controllata via IRC? È sufficiente togliere al proprietario la capacità di controllare la botnet per poter eliminarla?

I criminali possono usare diversi approcci per controllare una botnet. Il protocollo IRC è solo uno dei tanti protocolli, ha i suoi punti forti e i suoi punti deboli. Direi che si tratta di un metodo piuttosro ‘datato’, in genere le moderne botnet sono costruite attraverso l’HTTP.

Per eliminare definitivamente una botnet, sarà necessario trovare e arrestare il proprietario. E questo è esattamente quello che abbiamo fatto in collaborazione con INTERPOL. I tentativi di togliere la capacità di controllare la botnet al suo proprietario, non sono una soluzione definitiva dato che la maggior parte dei criminali sono ben preparati per questo genere di misure.

Quali strumenti e metodi sono i più adeguati quando vengono scoperti attacchi DDoS tenendo in considerazione un contesto customer edge, ISP e ISP regionali, nazionali o persino transnazionali?

Beh, tra gli strumenti più efficaci, dal customer edge fino ai grandi Internet Service Provoder, sarà sempre un filtering efficace. Tuttavia per implementarlo, si deve prima di tutto fare un po’ di ricerca sulla minaccia. Ecco perché è importante catturare il responsabile della bot per DDoS e analizzarla attentamente. La soluzione definitiva è estirpare il meccanismo di controllo della botnet e bloccarla dal centro, ma questa è un’altra storia.

Come è possibile ridurre il rischio di un‘espansione di un attacco DDoS?

Sparpagliare geograficamente il target dell’attacco e implementare un filtering multi stratificato.

Come posso sapere se sono parte di una botnet o di un ‘Bitcoin mining’?

Controlla il tuo sistema alla ricerca di malware perché è il malware che inizia un Bitcoing mining senza il tuo consenso e rende il tuo PC parte di una botnet.

Alcuni dei modi più efficaci per controllare se hai dei malware includono:

  1. Realizzare una scansione del sistema con una soluzione AV molto affidabile; questo potrebbe farti risparmiare un sacco di tempo, ma non credere che una scansione automatica possa risolvere tutti i tuoi problemi. Perciò stai in allerta!
  2. Controllare i processi in corso alla ricerca di guest e elementi non voluti e sospetti: credo che gli utenti dovrebbero sconoscere tutti i processi in corso ed attivi nel proprio computer.
  3. Controllare la lista dei programmi che si avviano automaticamente. Esiste un tool per Windows molto utile che si chiama Sysinternals Autoruns.
  4. Infine, un controllo avanzato include collegare il tuo compter ad un altro (via Internet) e registrare tutto il traffico di rete che vi passa attraverso. Questo dovrebbe rivelare la presenza di attività sospette, anche se invisibili al sistema compromesso.

Pubblicheremo altre risposte nel prossimi giorni. Stay tuned!

Consigli