IRC van levensbelang voor zombie netwerken
Internet Relay Chat (IRC) is van cruciaal belang voor criminelen die botnets, bestaande uit honderden of duizenden zombie computers, beheren. Vooral thuisgebruikers met een breedbandverbinding worden steeds vaker het doelwit van een aanval, aangezien hun machines vaak slecht beveiligd zijn, en zonder dat de eigenaar het in de gaten heeft, door aanvallers misbruikt kunnen worden. "We hebben verschillende IRC bots ontdekt, de een geavanceerder dan de ander, maar ze hebben allemaal wat gemeen. De bots maken verbinding met een specifiek IRC kanaal op een IRC server en wachten op verdere instructie. Hierdoor kan een aanvaller de bot op afstand besturen." aldus de bevindingen van het Honeynet Project, dat via Honeypots verschillende botnetwerken in de gaten hield.
De bots verspreiden zich via open poorten, waarbij meer dan 80% poorten 445, 139, 137 en 135 gebruikt, allemaal poorten die door Windows software gebruikt worden. "Veel van deze mensen houden van IRC omdat het "old school" is", aldus Olaf Linder van Symantec. IRC is een op tekst-gebaseerd systeem dat al sinds het begin van het internet bestaat. Het is ook anoniem, wat een ander groot voordeel is. Naast het besturen van de zombie computers via IRC, worden de kanalen ook door aanvallers gebruikt voor het bespreken van de voortgang die ze geboekt hebben. Volgens het rapport zijn de meeste aanvallers die een botnet beheren jonge mannen met beperkte programmeervaardigheden, die vaak via IRC chatten. (VNU)
zien vanaf welk IP adres de gebruiker op die server zit.
En dan kun je ook wel weer wat verder puzzelen denk ik zo.
Een abuse melding naar de provider zal al snel laten blijken
of het een geinfecteerde bot is, of iemand die dit bewust doet.
En IRC is old skool :) Net als ik. IM's heb ik nooit aan kunnen wennen.
IRC is al sinds het ontstaan een verzamelplaats voor hackers en crackers.
hoe ze wat moet doen in Word ofzo (IRC snapt ze niet).
Maare hebbie nog interessante IRC links? mail ze even naar
me op walter.vaneijk AT gmail.com. De servers waar ik zat,
zijn enigszins vervuild door trollen en dus behoorlijk
leeggelopen (jammer jammer).
Da's vaak wel zo handig. Wat ik in 2 min. kan doen ben je vaak een uur
bezig om uit te leggen en dan nog snappen ze het niet.
"Als je daar op klikt komt er een venster"
"Er komt geen venster.."
"huh?"
etc.
Vroeger veel op undernet gezeten, dalnet is ook wel leuk. Daar kun je
tenminste je nick en een channel registreren. En AntiOnline had of heeft
ook z'n eigen IRC. Ik kan alleen even niet meer vinden waar die zat/zit.
Waste. Lijkt me dat in de toekomst dit soort netwerken wel
overstappen op peer to peer achtige protocollen met een vorm
van encryptie en rerouting van packets. Gezien de informatie
in het artikel hebben we nu nog te maken met spielerei. maar
1 bot wordt neergezet als zijnde goed geschreven en gebouwd.
voorgestelde /whois username, het lijkt me niet dat als je een botnet op
gaat zetten dat je dan zelf niet connect via een aantal bouncers/bncs,
bijvoorbeeld door even psybnc op een gehackt systeem te installeren,
geen logs laten maken en klaar is Kiddy.
de telnet BBS, heb ook maar 1 URL in mijn firewall staan,
voor de rest is het spul dicht.
IRC heb ik nooit wat aan gevonden, en als mensen lekker
old-skool willen doen, dan moeten ze ook maar leren om hun
PC te beveiligen. hetzelfde geldt voor MSN gebruikers.
Qua ICQ en MSN gebruik ik gewoon Miranda IM. Geen gezeur
hiermee, werkt goed en heb geen last van malware die normaal
gesproken binnenkomt via MSN.
Met betrekking tot anonimiteit op IRC en de b.v. door Walter voorgestelde /whois username, het lijkt me niet dat als je een botnet op gaat zetten dat je dan zelf niet connect via een aantal bouncers/bncs, bijvoorbeeld door even psybnc op een gehackt systeem te installeren,
geen logs laten maken en klaar is Kiddy.
Die zorgt er inderdaad wel voor dat'ie via een proxy ofzo bounced. De bots
zelf doen dat echter niet. Die maken gewoon rechtstreeks een connectie
naar IRC. Da's wel zo makkelijk ook voor de "bestuurder", kan'ie gelijk zien
welk IP adres zo'n zombie heeft.
Sowieso gebruik ik geen IRC, ik geef liever de voorkeur aan
de telnet BBS, heb ook maar 1 URL in mijn firewall staan,
voor de rest is het spul dicht.
IRC heb ik nooit wat aan gevonden, en als mensen lekker
old-skool willen doen, dan moeten ze ook maar leren om hun
PC te beveiligen. hetzelfde geldt voor MSN gebruikers.
een connectie maken naar IRC. Daar vandaan worden de geinfecteerde
PC's "bestuurd" door opdrachten te geven om bijv. spam te versturen of
om scans te starten. Het is dus niet zo dat je geinfecteerd wordt omdat je
op IRC zit. Al is dat ook goed mogelijk. En dan heb je wel weer gelijk.
eens wat irc is.....dat er een onbekende servers op de
achtergrond lopen zegt ze niets..
Inderdaad, zo anoniem is IRC nu ook weer niet. Althans, die
bots niet.
En IRC is old skool :) Net als ik. IM's heb ik nooit aan
kunnen wennen.
IRC is al sinds het ontstaan een verzamelplaats voor hackers
en crackers.
Kvond hier nog wel een aardig recent voorbeeld van het
gebruik van IRC door kiddies voor het bespreken (verhandelen
van botnets) kiddy zaken...
http://www.geenstijl.nl/paginas/chatlogscriptkiddies.html
Volgens het artikel wordt niet alleen IRC gebruikt, maar ook
Waste. Lijkt me dat in de toekomst dit soort netwerken wel
overstappen op peer to peer achtige protocollen met een vorm
van encryptie en rerouting van packets. Gezien de informatie
in het artikel hebben we nu nog te maken met spielerei. maar
1 bot wordt neergezet als zijnde goed geschreven en gebouwd.
btw: Waste IS een peer to peer protocol, met encrypty en anonymisering
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
