rmarinho Postado Abril 18, 2020 em 14:15 Compartilhar Postado Abril 18, 2020 em 14:15 Chief Research Officer da MorphusLabs e Incident Handler na SANS Internet Storm Center, Renato é pesquisador das antigas e dá aulas de forense na pós-graduação na Universidade de Fortaleza. Nesta apresentação, vai trazer pra gente a análise de uma Botnet P2P, desde o comprometimento de um honeypot à enumeração dos nós da rede! Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble Fabiano Furtado Postado Abril 18, 2020 em 15:13 Apoiador Nibble Compartilhar Postado Abril 18, 2020 em 15:13 Pessoal... boa tarde. Seguem as minhas perguntas sobre a palestra. Agradeço desde já. * Esse tipo de BOT P2P não deveria estar predominando neste mundo dos ataques? Pq não está? * Quais ferramentas foram usadas para fazer essa pesquisa? Achei interessante como foi obtido o tráfego SSH e consequentemente o certificado utilizado na BOT. * Tem algum paper sobre essa pesquisa? Link para o comentário Compartilhar em outros sites More sharing options...
rmarinho Postado Abril 18, 2020 em 16:35 Autor Compartilhar Postado Abril 18, 2020 em 16:35 Oi Fabiano, Botnets como esta são utilizadas em ataques - sobretudo nos ataques DDoS. Talvez um dos maiores tenha sido o da Mirai em 2016. Algumas notícias recentes envolvendo o assunto: https://www.techrepublic.com/article/new-botnet-attack-puts-other-iot-botnets-to-shame/, https://www.cpomagazine.com/cyber-security/nation-state-ddos-attacks-may-be-the-new-normal-leaked-documents-reveal-russias-fsb-is-seeking-to-build-a-massive-iot-botnet/ Para obter os logs do SSH, na verdade, apliquei um patch no openssh server para fazer com que o serviço gerasse um arquivo com os comandos executados pelos clientes. O paper da pesquisa está disponível em: https://journal.cecyf.fr/ojs/index.php/cybin/article/view/16/22 Obrigado pelas perguntas. Abraço. Renato Marinho Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble Fabiano Furtado Postado Abril 18, 2020 em 17:30 Apoiador Nibble Compartilhar Postado Abril 18, 2020 em 17:30 52 minutos atrás, rmarinho disse: Oi Fabiano, Botnets como esta são utilizadas em ataques - sobretudo nos ataques DDoS. Talvez um dos maiores tenha sido o da Mirai em 2016. Algumas notícias recentes envolvendo o assunto: https://www.techrepublic.com/article/new-botnet-attack-puts-other-iot-botnets-to-shame/, https://www.cpomagazine.com/cyber-security/nation-state-ddos-attacks-may-be-the-new-normal-leaked-documents-reveal-russias-fsb-is-seeking-to-build-a-massive-iot-botnet/ Para obter os logs do SSH, na verdade, apliquei um patch no openssh server para fazer com que o serviço gerasse um arquivo com os comandos executados pelos clientes. O paper da pesquisa está disponível em: https://journal.cecyf.fr/ojs/index.php/cybin/article/view/16/22 Obrigado pelas perguntas. Abraço. Renato Marinho Renato... primeiramente, obrigado pelo retorno. Cara... achei muito legal esse estudo! Vou tentar fazer esse patch no openssh para monitorar os comandos enviados. Muito interessante e útil esse patch!!!!! Vou ler o seu paper. Parabéns pela pesquisa! Obrigado mais uma vez. Link para o comentário Compartilhar em outros sites More sharing options...
Fernando Mercês Postado Abril 19, 2020 em 16:17 Compartilhar Postado Abril 19, 2020 em 16:17 @rmarinho seguem as demais perguntas que resgatamos do chat! ? 10. A detecção desses dispositivos vulneráveis é feita normalmente por onde? ferramentas como o shodan? 11. Skaros e checkers funcionam no mesmo princípio de namenode e datanodes em clusters? Derrubando os namenode (skaros) derruba a botnet...não digo tecnicamente, mas na infra, abs. 12. Na pesquisa houve colaboração de outros profissionais de outros países? 13. Essa ausência de comandos para atacar terceiros não pode ter sido por conta do bloqueio que você fez quanto às comunicações de saída, permitindo apenas pacotes SYN? 14. É possível através da Botnet, resolver questões das credenciais? Exemplo: COmando de mudança de senha? 15. Os Skaros tinham controle independente da rede ou tinha um nível acima de controle sobre eles, foi possível identificar isso? Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Arquivado
Este tópico foi arquivado e está fechado para novas respostas.