PIllole di #MalwareAnalysis

I tipi di #Botnet

Le #botnet sono gruppi di device infetti (#zombie) controllati da un centro di comando e controllo (#C2)

Il numero di device tipicamente può superare il milione di unità e vengono comandati all'unisono dal C2 che è il punto debole.

Spento il C2, la botnet muore. Non vale la stessa cosa se viene eliminato un device dalla botnet.

Quindi il Re in questo scacchiere è proprio il C2 e deve essere superprotetto!

Per fare ciò le botnet si sono evolute da Botnet Centralizzate, dove il C2 risiede in un'unica infrastruttura, a quelle decentralizzate.

Nelle decentralizate, il c2 è composto da differenti zombie, quindi il #botMaster è in grado di controllare la botnet anche quando uno degli elementi del c2 viene spento.

Spesso queste utilizzano reti p2p già esistenti.

Le botnet sono una risorsa preziosa e vengono spessissimo affittate ad altri gruppi criminali per diffondere i propri #malware o per eseguire attacchi #DDoS a bersagli inconsapevoli.

Un esempio è il malware #Ryuk diffuso grazie alla botnet Trickbot.

Tra le botnet più pericolose degli ultimi anni troviamo #Emotet, #Trickbot e #Formbook.

Il protocollo di comunicazione utilizzato può essere sia di tipo pull che push, ma di questo vene parlo in un'altra pillola ;-)