1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Статистика по ботнету Carna

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 27 май 2013.

  1. Mila
    Оффлайн

    Mila Основатель

    Сообщения:
    4.970
    Симпатии:
    13.606
    Аналитик в области информационной безопасности Парт Шукла (Parth Shukla) для конференции AusCERT подготовил интересную презентацию, посвященную ботнету Carna. Напомним, что именно с помощью этого глобального ботнета был осуществлен самый большой скан интернета в научных целях — Internet Census 2012.

    [​IMG]

    За десять месяцев 2012 года были просканированы все IP-адреса в адресном пространстве IPv4 при помощи более 420 тысяч незащищенных устройств, которые эксплуатировались в щадящем режиме. Сканирование включало в себя рассылку сервисных пакетов на все популярные номера портов, ICMP-пинг, обратный запрос DNS (запрос имени хоста по IP-адресу) и запрос SYN (запрос на подключение по протоколу TCP). Результаты сканирования опубликованы в свободном доступе: 9 терабайт логов.

    Для вышеупомянутой презентации по ботнету Crana автор добыл напрямую у анонимного хакера базу из 1,2 млн уязвимых устройств в интернете, 30% которых в своем время вошли в ботнет Carna и использовались для осуществления глобального скана.

    Каждое из 1,2 млн устройств соответствует следующим признакам:

    *Напрямую доступно через интернет.
    *Telnet работает на дефолтном порту 23, без файрвола.
    *Позволяет доступ через стандартные логин/пароль: admin:admin, admin:, root: и т.д.

    В 420 тыс. ботов попали только те из устройств, которые соответствуют минимальным требованиям по RAM и CPU и позволяют загрузку произвольного бинарного кода.


    Добытая база содержит MAC- и IP-адреса всех уязвимых устройств, название производителя, объем памяти, результат выполнения uname -a и /proc/cpuinfo, а также код страны.

    После устранения дубликатов в базе осталось 1 285 192 записи.
    *200 стран
    *2058 производителей устройств
    *3881 вариант объема RAM
    *10871 уникальный uname
    *35997 уникальных CPU
    *787 665 уникальных IP-сетей (C-класса)


    Распределение уязвимых устройств по странам

    [​IMG]


    Распределение уязвимых устройств по производителям

    [​IMG]

    Автоматически найти в интернете уязвимые устройства можно с помощью open source программы lightaidra.



    источник
     
    Последнее редактирование: 27 май 2013
    5 пользователям это понравилось.

Поделиться этой страницей