Я спросил, если прокси действительно обеспечивают анонимность, и хотел бы знать, как это делают хакеры, когда они пытаются атаковать правительственные веб-сайты и тому подобное.
Они взламывают компьютеры, превращая их в зомби и управляющих ими, например, используя IP-адрес своей жертвы? Они к нему подключаются через VPN, что?
(Мне просто любопытно)
Хакер -> Взломанная машина -> Взломанная машина -> Взломанная машина -> Правительство. Машина
Отражая соединения, создавая частные прокси и управляя удаленными машинами через IRC, контроллеры, например, крупных ботнетов могут сохранять анонимность, в то время как их скомпрометированные подчиненные (очень публично) выполняют атаки, сканирование портов, DDoS, рассылку спама, сниффинг, кейлоггинг, идентификацию кража или распространение собственного программного обеспечения ботнета и т. д.
Некоторые интересные ссылки включают:
Вы начинаете с ботов и полагаетесь на незнание пользователей. Затем он сам по себе распространяется как сеть.
В какой-то момент проследить это больше работы, чем она того стоит. Если вы проскользнете мимо радара и времени, когда боты будут обнаружены, будет труднее узнать, когда и где он появился.
Сегодня они работают в группах, так что распространение происходит из разных почти одновременных точек.
Можно ли их отследить? Да, и есть группы, которые этим занимаются. Другая проблема заключается в том, что, если они находятся в других странах, то, что они делают, не может быть незаконным, или нет никаких законов, позволяющих нам экстрадировать их, даже если кто-то был готов пройти через документы.
Обычно они работают через каналы IRC и избыточно распространяют свои коммуникации. Есть статьи из исследований безопасности, в которых описывается, как они работают, если вы погуглите их для каналов управления ботнетами и исследователей безопасности Google. Они регулярно проникают в каналы управления ботнетами и просматривают их, чтобы получить представление о том, сколько систем заражено и на что они способны ... в сложных сетях даже есть методы удаленного обновления зомби-систем.
И технически они не хакеры. Хакеры очень раздражаются, когда вы называете преступников хакерами. Я думаю, что предпочтительным термином являются взломщики, например системные взломщики. Или черные шляпы. Взлом системы сейчас довольно прибылен и в некоторых странах поддерживается реальными деньгами и коррумпированными чиновниками. Это уже не «хакеры», которые демонстрируют презрение к невежественным пользователям или показывают, насколько они умны, гоня анимированные машины скорой помощи в нижней части экрана. Они стремятся украсть деньги и пароли у людей и использовать социальную инженерию, чтобы грабить других. Если бот обнаружен, это происходит случайно или случайно.
В общем, злоумышленник, который хочет остаться анонимным, будет использовать любые доступные механизмы, чтобы скрыть свою личность. Описанный вами прием - запуск атак с взломанных компьютеров - довольно распространенный прием (см. Яйцо кукушки например, рассказ об использовании злоумышленником такой техники в конце 1980-х годов). Задача злоумышленника - сделать достаточно сложным с административной точки зрения, чтобы третьи стороны отслеживали вас через «прыжки», через которые проходят ваши команды. Увеличьте количество прыжков через скомпрометированные машины (особенно когда они находятся в «захолустных» странах с устаревшими законами о компьютерных преступлениях), и вам будет сложно обнаружить, где на самом деле находится злоумышленник.
Что касается фактического управления скомпрометированными компьютерами, злоумышленник может использовать некоторую уже установленную программу, которая прослушивает входящие запросы. Однако с такими ОС, как Windows, которые обычно не имеют демонов TELNET или SSH, более вероятно, что злоумышленник оставит какое-то вредоносное программное обеспечение.
Я не знаю о готовых инструментах VPN, используемых для управления взломанными компьютерами, но это определенно возможно.
IRC долгое время использовался как сеть «управления и контроля» для взломанных компьютеров. Скомпрометированные компьютеры войдут на IRC-сервер, подключатся к определенному каналу и будут ждать команд.
Сети управления и контроля в современных «ботах» становятся довольно сложными и используют шифрование с открытым ключом для аутентификации команд. Кроме того, были некоторые «боты», способные обнаруживать подделку в сети управления и контроля и, в конечном итоге, запускать DDoS-атаки против того, кто пытается подделать пакеты управления и контроля. (Довольно хитро, это ...)