IRC sembra ancora il modo più importante per la comunicazione all'interno di botnet.
Perché gli attaccanti scelgono IRC?
Nella mia (molto ingenua) opinione, impostare un servizio web è molto più facile.
IRC sembra ancora il modo più importante per la comunicazione all'interno di botnet.
Perché gli attaccanti scelgono IRC?
Nella mia (molto ingenua) opinione, impostare un servizio web è molto più facile.
Esistono almeno due tipi di schemi su come controllare le botnet:
Esistono i seguenti metodi di reti botnet C & C:
Senza C & C:
Sono anche possibili schemi combinati, sfruttando il meglio di ciascuna tecnologia. Non è raro che gli sviluppatori di botnet creino i propri protocolli per sfruttare le capacità di controllo.
Prima di tutto, IRC viene utilizzato perché consente un modo semplice di distribuire la rete di comunicazione. Per una quantità molto piccola di bot è sufficiente con un server IRC, quando il server non è in grado di gestire alcuni momenti di picco di quando i bot online, è possibile unire diversi server IRC. Ma questo tipo di reti non è per botnet seria al giorno d'oggi. Vedi i miei commenti qui: Malware noto per utilizzare il knockout della porta per eludere il rilevamento dagli scanner di rete? .
Il controllo della complessità minimo tramite server web è simile a IRC. Tuttavia, consente più possibilità di variazioni dello schema di controllo. È facile da schierare, controllare e perdere troppo. Uno dei modi più popolari su come controllare botnet.
Il controllo tramite messaggistica Internet non è popolare, perché è difficile creare tale rete senza mal di testa per botmaster. La registrazione di account per una persona non è un problema, ma quando si tratta di automazione del processo, iniziano i problemi.
Le botnet Peer-to-peer sono difficili da sviluppare, ma possono fornire una rete più stabile e robusta.
Il cosiddetto " trust ring " è uno schema ancora più complesso, ma a causa del suo modo di schema decentralizzato è difficile ucciderlo. Questo è simile allo schema utilizzato in Skype.
Le botnet C & C sono facili da creare, ma anche facili da uccidere: basta distruggere il centro di controllo. Gli ultimi due tipi di botnet C & C-less sono spesso usati in botnet seri, perché gli autori veramente seri tendono a fare grandi affari con i cattivi ragazzi.
A proposito, le botnet sono utilizzate non solo a scopi dannosi.
Sono d'accordo, i siti web sono più semplici e Conficker, per esempio, ha dimostrato che uno schema di creazione casuale di nomi di dominio può essere usato per configurare i server C & C, dove ognuno dei nomi di dominio è valido solo per un giorno (o qualunque sia il periodo che definisce il codice).
Ma a mio parere l'argomento killer per IRC rispetto a un sito web è che IRC consente controllo interattivo del bot. Ciò significa che un utente malintenzionato può scegliere uno qualsiasi dei bot dalla botnet e inviare comandi personalizzati. Ciò significa che hai un grado molto più elevato di controllo su una botnet con IRC con uno sforzo relativamente basso, mentre lo stesso livello di controllo con un sito web richiede innanzitutto un software server Web personalizzato.
Quindi, mentre in generale un sito è più semplice da configurare ed è (sulla maggior parte dei sistemi) più semplice ottenere la funzionalità client HTTP, le caratteristiche che i cattivi cercano non sono facilmente (o prontamente ) disponibile su server HTTP di riserva.
Tuttavia, ho anche schierato con Mark Davidson che IRC è semplicemente meglio provato e che ci sono implementazioni che possono essere afferrate.
IRC era il metodo principale per controllare le botnet ma secondo le ricerche fatte da Team Cymru a novembre 2010 , le botnet controllate da web ora superano quelle controllate dal metodo tradizionale del canale IRC di un fattore cinque. Quindi la tua opinione potrebbe essere corretta.
Uno dei motivi principali che vorrei dire dell'uso di IRC per il controllo delle botnet è che quando le botnet iniziarono ad emergere nel 1999 ( Storia della Botnet ) L'IRC esisteva già da 11 anni e probabilmente era considerato una comunicazione testata per molti utenti.
skiddos che non sanno leggere bene o codice (ma chiamano h4xorZ) prendono ciò che possono ottenere e php / perl / c - i bot irc si trovano facilmente. Recentemente ho cancellato un bot risalente al 2001 ma ancora usato.
L'altra parte della risposta alla domanda di WHY: perché gli amministratori di sistema non fanno il loro lavoro. di solito non c'è bisogno di un server per consentire connessioni in uscita in irc (o qualsiasi altra connessione in uscita, visto che si usa un mailgateway e un server di aggiornamento per la propria dc)
Penso che un motivo importante sia che per utilizzare un servizio web un utente malintenzionato dovrebbe eseguire il proprio servizio web. Per fare questo, evitare di essere spenti e coprire le loro tracce è un PITA per il controller botnet. Con il controllo IRC possono utilizzare una rete IRC esistente e controllare i robot unendoli come utenti particolari.
Leggi altre domande sui tag botnet