Día en la vida de un bot



Un día de trabajo típico para un bot, desde su propio punto de vista.

Volviendo a la rutina: es hora de revisar lo que hay que hacer hoy. Como botnet, tengo un trabajo muy interesante en algunos aspectos, pero en otros, parece que la película Día de la marmota. Originalmente fui creado por una organización felony para realizar ataques distribuidos de denegación de servicio (DDoS) y luego exigir dinero de «protección» para asegurarme de que no volviera a suceder. No es un modelo de negocio muy innovador, pero ¿por qué arreglar lo que no está roto?

Soy afortunado porque mis propietarios han mantenido mi código a la vanguardia, por lo que puedo ser utilizado para ataques más nuevos como el relleno de credenciales, el descifrado de contraseñas por fuerza bruta, el criptominado e incluso como un bot de entradas para obtener los mejores asientos para reventa. Algunos de mis amigos trabajan como agregadores, robots de spam, raspadores net o motores de búsqueda, y aunque todos hacemos funciones similares, estoy haciendo cosas realmente emocionantes.

Con el tiempo, han cambiado los sistemas de los que estoy hecho y los tipos de modelos de negocio criminales para los que estoy acostumbrado. Hoy, parte de mi red de computadoras pirateadas son parte del World-wide-web de las cosas, como las cámaras de videovigilancia doméstica. Mientras tengan una buena capacidad de computación y conectividad, soy un empleador que ofrece igualdad de oportunidades.

Antes de profundizar demasiado en lo que debo hacer hoy, quiero abordar el panorama common. Si bien mi organización es sobresaliente en lo que hace, pienso en mí como parte de un ecosistema más grande. Otras organizaciones me pagan por mi información robada, como el acceso a la cuenta bancaria de alguien. También me pagan por mi capacidad de causar un impacto, como realizar un ataque DDoS en la página world wide web principal de una empresa. Eso es algo que me gusta de Dark Internet: se encuentra en un estado de innovación constante en torno a la reutilización de malware y modelos de negocio.

Suficiente panorama general: hablemos de la parte divertida de mi día: ¡atacar cosas! Generalmente, el proceso que sigo es el mismo que una unidad militar que ataca un objetivo. Comienzo con el reconocimiento, luego ejecuto el ataque para obtener acceso. Luego viene capturar el objetivo, o en ciber terminología, la explotación. Esto consiste en robar datos para venderlos.

Cubramos lo que hago mirando una tarea de muestra, como el relleno de credenciales. Para empezar, requiero inteligencia o información procesable, por lo que debo asegurarme de que mi reconocimiento resulte en el descubrimiento de una parte vulnerable de la red. Esto significa que tengo que determinar qué tipo de defensas existen para poder adaptar mi ataque para evitarlas. Qué tan bien pase mi día realmente depende de lo que haya hecho la compañía a la que me dirijo para mejorar su postura de seguridad.

Si tiene un firewall de aplicación website (WAF) con capacidades de mitigación de fraude y bot, es un verdadero dolor de cabeza. Si bloquea el país del que provienen mis bots (llamado bloque de geolocalización), necesito cambiar la fuente de ataque a una ubicación no bloqueada. Si se bloquea en función de la velocidad y el volumen de mis intentos, entonces debo ralentizar el ataque para permanecer bajo el radar. Si united states CAPTCHA o validación del navegador, entonces debo usar técnicas más avanzadas para vencer sus defensas. Algunas compañías incluso están mirando los registros de la pink para determinar si realmente hay una persona en el otro extremo de la conexión, observando el comportamiento. Pero para cada defensa, mi equipo de investigación presenta un contador.

Después de establecer cómo obtener acceso a los sitios de inicio de sesión correctos para la víctima, también necesito tener acceso a la última munición para mis ataques, ya sea ese malware actualizado, nuevas técnicas de ingeniería social para correos electrónicos de phishing o un conjunto de nombres de usuario comprometidos y contraseñas (a menudo llamadas credenciales). Por hoy, voy a acceder a las cuentas para tomarlas, lo que significa que necesito muchas credenciales. Esta técnica se denomina relleno de credenciales y se utiliza para obtener acceso a las cuentas de los clientes. Si alguien united states las mismas credenciales de usuario para varias cuentas en línea, cuando una cuenta se ve comprometida, los ciberdelincuentes pueden usar estas credenciales para obtener acceso a todas sus otras cuentas. Para hacer esta escala, he automatizado el proceso para probar múltiples credenciales comprometidas contra la empresa, con la esperanza de que algunas de ellas hayan sido reutilizadas. Funciona aproximadamente del 1% al 2% del tiempo, pero si tengo un millón de credenciales que estoy viendo, es un buen retorno de la inversión.

Una vez que tenga acceso a una cuenta, debo asegurarme de poder venderla. A menudo cambiaré la información de contacto, de modo que si la empresa detecta un problema, me contactará para confirmar que todo está bien. A continuación, ofreceré la cuenta a la venta a alguien que pueda transferir dinero a través de algo tan uncomplicated como comprar tarjetas de regalo o comprar productos que se envían a los miembros de las operaciones de lavado de dinero del comprador (llamadas mulas).

Existen varias variaciones en la forma en que funciona el proceso, dependiendo de si alguien en la Dark World-wide-web contrata mis servicios. Entonces, ese es un día típico en mi vida. Lo que desearía poder hacer es formar parte de una red de investigación universitaria. Esos tipos lo han logrado: fines de semana libres y trabajo significativo. Dicho esto, ¡puedo interactuar con muchos sitios interesantes!

Contenido relacionado:

Steve Winterfeld es el CISO asesor de Akamai. Steve se enfoca en ser la voz del cliente para la visión de seguridad de Akamai y ayudar a los CISO a resolver sus problemas más apremiantes. Aporta experiencia con Zero Have faith in Security Architectures e integra múltiples herramientas … Ver biografía completa

Más concepts





Enlace a la noticia initial