Premetto che questo report non ha la pretesa di essere come quelli generati da appositi software che permettono rilevazioni precise di attacchi informatici o di distribuzione di computers che hanno problemi di sicurezza; vuole solo evidenziare come con 3 righe di script sia possibile, anche se in maniera semplificata, generare un report che si avvicina comunque ai dati rilevati da applicazioni ben piu' complesse.
Il sito http://www.shadowserver.org/, che si occupa di fornire dettagliate informazioni su internet, sulle reti botnet, virus, malware attraverso dettagliate statistiche e mappe pubblica questa carta che visualizza la distribuzione attuale delle macchine botnet storm worm.
Come vedrete nei report successivi, utilizzando una configurazione software, per cosi' dire casalinga, i risultati si avvicinano abbastanza a quelli visualizzati in mappa ed ottenuti sicuramente con softwares molto piu' complessi.
Con un piccolo script Autoit e' possibile automatizzare il whois di una pagina storm worm per creare un report che mostri in quale nazione sono ospitati i computer attaccati da storm worm.
Attraverso il whois si puo risalire al provider che gestisce la connessione ad internet per quel computer che, attaccato dal malware, fa parte ora della rete botnet e diffonde la pagina web.
Chiaramente, dato che la rete botnet di storm worm usa la tipologia fast flux, i computers utilizzati cambiano continuamente e quindi cambia anche l'IP delle macchine infette che ci forniscono la pagina web.
Facendo un po di letture del dominio ptowl.com , uno di quelli utilizzati da storm worm, otteniamo questo risultato.
Come si vede dal report (alle ore 5 PmGMT 11 AM USA) i computer che fanno parte della botnet sono locati in Usa in maniera consistente, seguono poi l'Inghilterra, il Giappone, la Korea ed alcuni paesi dell'Est Europa ecc..
In USA il New Jersey ha la maggior parte di IP assegnati ma una delle spiegazioni potrebbe essere che New York e il New Jersey confinano; in auto bastano 5 minuti da New York al New Jersey, ed e' possibile che parecchi provider abbiano sede in New Jersey anche se servono New York e dintorni.
L'Italia compare 4 volte nell'elenco IP, vuole cioe' dire che per 4 volte chi a visitato in intervalli di tempo diversi la pagina storm worm puo' aver visto un IP di provider italiano, come se la pagina fosse hostata su di un server situato in italia.
Non necessariamente il numero di IP rilevati indica quello dei computer infetti in quanto uno stesso IP puo' comparire piu' volte a rotazione.
Esempio se andiamo a vedere quante sono le letture di IP attribuibili all'Italia che appaiono in lista per 2 volte vediamo uno stesso indirizzo.
Quindi i computer che si trovano in Italia e che sono utilizzati da Storm Worm, al momento di questa scansione, erano solo 3 e non 4.
Ripetendo la stessa rilevazione quando in Europa sono le 4 di mattina (le10 di sera in usa ) si vede che il numero di computer USA utilizzati da storm worm aumenta mentre si riducono i computers presenti in stati europei.
Questo potrebbe significare che comunque in Europa molti home computers infetti, dato l'orario sono OFF, mentre in USA molti sono attivi, visto che sono le 10 di sera.
Sarebbe in controtendenza l'Argentina dove i computer infetti risultano in numero maggiore in orari lavorativi che serali. (forse e' piu' alta la percentuale di pc usati in ambito lavorativo che sono infetti)
Per completare il report aggiungo una serie di letture effettuate alle 10 GMT ora Europea (le 4 del mattino in USA) dove c'e' una diminiziune degli IP USA ed un nuovo aumento di quelli europei
Un particolare che si nota da tutte qeste letture di indirizzi IP e' che sono praticamente assenti IP cinesi, e anche quasi nulli quelli italiani.
La conferma viene anche dalla visione della mappa iniziale, ottenuta con sistemi piu' attendibili che un semplice whois (almeno credo) e che per l'Italia e anche per la Cina mostra un solo riferimento di computer botnet.
C'e' da dire che la tipologia delle pagine che sono apparse in questi mesi su storm worm botnet collegate a mails di spam in lingua inglese hanno quasi sempre trattato argomenti specifici per utenti USA (vedi ad esempio la falsa pagina web sul campionato di football americano).
Questo fa pensare ad un sitema storm worm orientato a colpire, almeno per ora, preferenzialmente computer di USA, Canada o comunque situati in aree di lingua inglese (vedi esempio l'UK con un elevato numero di IP di computers compromessi).
Come ultima considerazione, vedendo i risultati delle scansioni, c'e' da tenere anche conto di come la rete botnet e' attivata ed utilizzata nel momento che leggiamo gli IP delle pagine (si parla sempre di una piccola percentuale di macchine infette resa attiva) e se vengano selezionati specifici gruppi di pc infetti per ip ( nazione) o la scelta dei computers da attivare sia del tutto casuale; infatti adesso il protocollo p2p botnet e' criptato con chiave e questo dovrebbe permette di segmentare la rete botnet in piu' sottoreti indipendenti tra di loro.
Il sito http://www.shadowserver.org/, che si occupa di fornire dettagliate informazioni su internet, sulle reti botnet, virus, malware attraverso dettagliate statistiche e mappe pubblica questa carta che visualizza la distribuzione attuale delle macchine botnet storm worm.
Come vedrete nei report successivi, utilizzando una configurazione software, per cosi' dire casalinga, i risultati si avvicinano abbastanza a quelli visualizzati in mappa ed ottenuti sicuramente con softwares molto piu' complessi.
Con un piccolo script Autoit e' possibile automatizzare il whois di una pagina storm worm per creare un report che mostri in quale nazione sono ospitati i computer attaccati da storm worm.
Attraverso il whois si puo risalire al provider che gestisce la connessione ad internet per quel computer che, attaccato dal malware, fa parte ora della rete botnet e diffonde la pagina web.
Chiaramente, dato che la rete botnet di storm worm usa la tipologia fast flux, i computers utilizzati cambiano continuamente e quindi cambia anche l'IP delle macchine infette che ci forniscono la pagina web.
Facendo un po di letture del dominio ptowl.com , uno di quelli utilizzati da storm worm, otteniamo questo risultato.
Come si vede dal report (alle ore 5 PmGMT 11 AM USA) i computer che fanno parte della botnet sono locati in Usa in maniera consistente, seguono poi l'Inghilterra, il Giappone, la Korea ed alcuni paesi dell'Est Europa ecc..
In USA il New Jersey ha la maggior parte di IP assegnati ma una delle spiegazioni potrebbe essere che New York e il New Jersey confinano; in auto bastano 5 minuti da New York al New Jersey, ed e' possibile che parecchi provider abbiano sede in New Jersey anche se servono New York e dintorni.
L'Italia compare 4 volte nell'elenco IP, vuole cioe' dire che per 4 volte chi a visitato in intervalli di tempo diversi la pagina storm worm puo' aver visto un IP di provider italiano, come se la pagina fosse hostata su di un server situato in italia.
Non necessariamente il numero di IP rilevati indica quello dei computer infetti in quanto uno stesso IP puo' comparire piu' volte a rotazione.
Esempio se andiamo a vedere quante sono le letture di IP attribuibili all'Italia che appaiono in lista per 2 volte vediamo uno stesso indirizzo.
Quindi i computer che si trovano in Italia e che sono utilizzati da Storm Worm, al momento di questa scansione, erano solo 3 e non 4.
Ripetendo la stessa rilevazione quando in Europa sono le 4 di mattina (le10 di sera in usa ) si vede che il numero di computer USA utilizzati da storm worm aumenta mentre si riducono i computers presenti in stati europei.
Questo potrebbe significare che comunque in Europa molti home computers infetti, dato l'orario sono OFF, mentre in USA molti sono attivi, visto che sono le 10 di sera.
Sarebbe in controtendenza l'Argentina dove i computer infetti risultano in numero maggiore in orari lavorativi che serali. (forse e' piu' alta la percentuale di pc usati in ambito lavorativo che sono infetti)
Per completare il report aggiungo una serie di letture effettuate alle 10 GMT ora Europea (le 4 del mattino in USA) dove c'e' una diminiziune degli IP USA ed un nuovo aumento di quelli europei
Un particolare che si nota da tutte qeste letture di indirizzi IP e' che sono praticamente assenti IP cinesi, e anche quasi nulli quelli italiani.
La conferma viene anche dalla visione della mappa iniziale, ottenuta con sistemi piu' attendibili che un semplice whois (almeno credo) e che per l'Italia e anche per la Cina mostra un solo riferimento di computer botnet.
C'e' da dire che la tipologia delle pagine che sono apparse in questi mesi su storm worm botnet collegate a mails di spam in lingua inglese hanno quasi sempre trattato argomenti specifici per utenti USA (vedi ad esempio la falsa pagina web sul campionato di football americano).
Questo fa pensare ad un sitema storm worm orientato a colpire, almeno per ora, preferenzialmente computer di USA, Canada o comunque situati in aree di lingua inglese (vedi esempio l'UK con un elevato numero di IP di computers compromessi).
Come ultima considerazione, vedendo i risultati delle scansioni, c'e' da tenere anche conto di come la rete botnet e' attivata ed utilizzata nel momento che leggiamo gli IP delle pagine (si parla sempre di una piccola percentuale di macchine infette resa attiva) e se vengano selezionati specifici gruppi di pc infetti per ip ( nazione) o la scelta dei computers da attivare sia del tutto casuale; infatti adesso il protocollo p2p botnet e' criptato con chiave e questo dovrebbe permette di segmentare la rete botnet in piu' sottoreti indipendenti tra di loro.
Edgar
Nessun commento:
Posta un commento