Новости из Блогов Охота на ботнеты с помощью ZMAP

В прошлом месяце я писал о новом подходе к поиску зараженных хостов при помощи сканнера портов ZMap. С того момента прошло много времени и было проведено повторное сканирование хостов, о том что изменилось, читайте далее.

Два шага вперед, один назад
В целом, количество инфицированных систем значительно снизилось. Четыре из пяти портов которые я проверял, используются Zero Access. Существенное снижение произошло на 14671 порту, более 1500 хостов. Исключением стал порт 16464, количество хостов слушающих этот порт необъяснимо поднялось с момента прошлого сканирования.

​

Похожая ситуация происходит при разделении хостов на провайдеры. ТОП-10 остается прежний, количество зараженных хостов замечается почти у всех провайдеров.
На Comcast погибло более 270 зараженных хостов, это 27% от общего количества зараженных систем.
Активность в таких компаниях, как BSNL и Korea Telecom снизилась примерно вдвое. Но есть и некоторые исключения, например у Cantv и Венесуэла телеком, увеличилось количество инфицированных хостов (Cantv поднялся на 6 местов в ТОП-10). Эти данные показывают, что, несмотря на общий прогресс в очистке систем, есть точенчные удары по некоторым провайдерам.

И если говорить о Венесуэле
Темпы распространения инфекции увеличились почти в каждой южноамериканской стране. В Чили произошло увеличение количество зараженных хостов на 21, в Аргентине на 61, в Венесуэле рост составил на впечатляющие 80 хостов. Самыми безопасными странами оказались Парагвай и Перу. Статистика в Южной Америке, является самой худшей.

​

Альтернативный путь
Два месяца наблюдений, конечно мало, чтобы нарисовать действительно четкую картину того, что именно происходит, но мы можем придти к некоторым закономерностям. Возможно, популярные IPS просто добавили блокировку 16471 порта, что приводит к уменьшению детектирования количества зараженных хостов. Всплески в Венесуэле и Аргентине может быть связано с их политическими компаниями (было бы интересно посмотреть на уровень заражения по приближению к чемпионату мира в Бразилии). Данный метод используется в качестве разминки, но его достаточно для демонстрации самого подхода по поиску и мониторингу зараженных хостов. Как всегда, не стесняйтесь, пишите свои мысли.

Автор: Ricky “HeadlessZeke” Lawshae
Дата: 5 марта 2014
Источник: http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Botnet-Hunting-with-ZMap-Continuing-the-Hunt/ba-p/6401003​