venerdì 6 febbraio 2009

Botnet Waledac. Alcune verifiche

Per verificare se uno script che esegue un whois ripetuto di un dominio Waledac possa avvicinarsi a fornire dati attendibili al riguardo della distribuzione dei PC infetti della omonima Botnet ho voluto fare alcuni test al riguardo della distribuzione degli IP.
Per questo ho confrontato i risultati forniti dal tracker Waledac di sudosure.net con quelli ottenuti eseguendo lo script Autoit con whois ripetuto sul dominio Waledac attivo yourgreatlove.com

Per eseguire un confronto tra i dati ottenuti con lo script e quelli con il tracker, lo stesso script e' stato eseguito per circa 5 ore (questa mattina 6 febbraio dalle ore 7 alle 12 ora thai) sul dominio yourgreatlove.com ed ho poi provveduto ad acquisire gli IP rilevati dal Tracker Sudosecure per l'equivalente intervallo di tempo. (7 -12)

A questo punto ho eseguito un conteggio degli IP suddivisi per nazione ed acquisiti con i due metodi e trasformato i valori in percentuale in quanto attraverso lo script whois la quantita' di IP catturati e' piu' alta del numero di IP presenti sul report del Tracker sempre per uno stesso intervallo di tempo.

Ai dati acquisiti tramite script inoltre e' stato applicato un filtro per eliminare gli IP duplicati.

Ecco i risultati ottenuti

che hanno superato tutte le aspettative in fatto di convergenza dei valori trovati.

Come si puo' notare ad esempio la percentuale degli IP rilevati di provenienza USA per una scansione di cinque ore del dominio yourgreatlove.com e quasi identica a quello rilevata con il tracker, ma anche altri valori sono abbastanza vicini.

Inoltre ho voluto verificare se, come prevedibile, IP acquisiti con i due sistemi fossero identici come valore (esempio su IP di provenienza UK)

ed infatti abbiamo una grande quantita di stessi numeri IP tra quelli rilevati dal tracker (in giallo) e quelli dello script whois (in verde) (in rosso i valori uguali)

Sembra quindi confermato che, anche nella sua estrema semplicita', l'eseguire un whois ripetuto su un dominio botnet sia abbastanza indicativo della provenienza dei pc che fanno parte della rete di macchine compromesse anche se evidentemente il tracker simula molto piu' da vicino il comportamento di un pc in rete botnet e quindi acquisisce i risultati con maggiore precisione.

Come commento ai risultati c'e' da notare come l'Italia , limitatamente all'intervallo di tempo preso in considerazione e in entrambi i report (script e tracker) si piazzi al quinto posto della graduatoria il che dimostra una certa attenzione agli IP italiani da parte della botnet, mentre anche il Regno Unito passa al secondo posto con notevole incremento di pc infetti
Invece sia la Korea che la Cina (non presente nel report del Tracker) passano in posizioni molto piu basse anche se si stima che abbiano ancora il maggior numero di PC compromessi online.

In riferimento al numero di pc infetti per nazione va sempre comunque ricordato che la variare dell'orario di acqusizione varia la percentuale di macchine infette online per quella zona del globo (es. ore serali giorni festivi ecc....).

Edgar

Nessun commento: