|
There are no translations available.
Аналітик в області інформаційної безпеки Парт Шукла (Parth Shukla) для конференції AusCERT підготував цікаву презентацію, присвячену ботнету Carna.
Нагадаємо, що саме за допомогою цього глобального ботнету був здійснений найбільший скан Інтернету в наукових цілях - Internet Census 2012.
За десять місяців 2012 року були просканувати всі IP-адреси в адресному просторі IPv4 за допомогою більше 420 тисяч незахищених пристроїв, які експлуатувалися в щадному режимі. Сканування включало в себе розсилку сервісних пакетів на всі популярні номери портів, ICMP-пінг, зворотний запит DNS (запит імені хоста за IP-адресою) і запит SYN (запит на підключення за протоколом TCP). Результати сканування опубліковані у вільному доступі: 9 терабайт логів.
Для вищезгаданої презентації про ботнет Crana автор добув безпосередньо у анонімного хакера базу з 1,2 млн вразливих пристроїв в Інтернеті, 30% яких у свій час увійшли в ботнет Carna і використовувалися для здійснення глобального скана.
Кожен з 1,2 млн пристроїв відповідає такими ознаками:
-
Безпосередньо доступний через Інтернет.
-
Telnet працює на дефолтному порту 23, без файрволу.
-
Дозволяє доступ через стандартні логін/пароль: admin:admin, admin:password, root:password і т.д.
У 420 тис. ботів потрапили тільки ті з пристроїв, які відповідають мінімальним вимогам до RAM і CPU і дозволяють завантаження довільного бінарного коду.
Здобута база містить MAC і IP-адреси всіх вразливих пристроїв, назву виробника, обсяг пам'яті, результат виконання uname-a та /proc/cpuinfo, а також код країни.
Після усунення дублікатів в базі залишилося 1285192 записи.
Розподіл вразливих пристроїв за країною
Розподіл вразливих пристроїв за виробниками
Розподіл вразливих пристроїв за унікальними IP
Автоматично знайти в Інтернеті вразливі пристрої можна за допомогою open source програми lightaidra.
|
