In che modo i server CC comunicano con bot botnet in una rete locale?

Naviga le tue risposte
8

Una domanda più generale In che modo i robot comunicano nello Zeus botnet? in realtà non risponde alla mia domanda.

Sto cercando di capire come un bot può comunicare con la macchina di comando e controllo (CC). A livello tecnico, so che i bot usano socket (per esempio), ma non ho idea di come il CC possa inviare comandi a un bot / computer che è probabilmente all'interno di una rete privata LAN. Molti computer sono in una LAN dietro una scatola o un router. Quindi per la comunicazione dietro una porta con un server devi usare NAT credo.

Qualcuno può spiegare come funziona?

    
posta kafson 23.02.2015 - 09:58
fonte

4 risposte

12

Di solito non è l'infrastruttura di comando e controllo che si connette ai robot, perché non può sapere magicamente quando un sistema viene infettato. Sono i client botnet che contattano l'infrastruttura C & C e chiedono i comandi.

La maggior parte dei router (almeno nel segmento consumer) sono configurati per inoltrare ciecamente qualsiasi connessione dall'interno della rete ai sistemi esterni alla rete. Il port forwarding deve essere configurato solo quando un servizio deve essere contattato dall'esterno.

In che modo esattamente i bot contattano i server C & C differisce enormemente tra botnet diversi. Si mascherano come altri protocolli (come HTTP), usano reti di anonimizzazione come TOR e vari altri metodi per evitare di essere facilmente rilevati.

    
risposta data 23.02.2015 - 10:08
fonte
0

Allo stesso modo del tuo browser web

Alcuni robot (ad es. Stuxnet) possono avere percorsi alternativi molto sofisticati, ma la maggior parte di essi inizia semplicemente una connessione https con un server C & C controllato dagli attaccanti. Ci sono casi in cui non funziona, ma la maggior parte delle reti sono configurate per consentire tali connessioni e la maggior parte degli strumenti automatici di screening / filtro non la rileva come insolita.

Una volta che il bot ha effettuato tale connessione, ha un canale ragionevolmente sicuro (crittografato per impedire la registrazione e con autenticazione in modo da sapere che si collega al C reale e C, non a un dominio di simulazione o sorpassato) e può periodicamente interrogarlo per ordini da eseguire ed elenchi di altri server C & backup.

    
risposta data 23.02.2015 - 16:48
fonte
0

Come i robot comunicano con il CC non fa differenza con il modo in cui i programmi normali comunicano tra loro. La maggior parte dei robot ha un CC che è un vero server, questo significa che hanno un vero indirizzo IP e possono ascoltare una porta. Molti usano protocolli standard come HTTP, XML-RPC, SMTP / POP / IMAP, IRC, Web Socket, ecc. Alcuni usano protocolli personalizzati scritti in TCP o UDP. Molti crittografano e / o proxy i loro protocolli per evitare il rilevamento, solitamente utilizzando socket di crittografia standard come TLS (ad esempio HTTPS). Pochi potrebbero fare il peer to peer invece di un comando e controllo centrale, le tecniche utilizzate per comunicare peer to peer sono essenzialmente le stesse di altri protocolli peer to peer.

I robot devono fare i conti con le topologie di rete che limitano le connessioni in entrata, questo non è diverso dalle applicazioni legittime. Le tecniche utilizzate sono le stesse delle applicazioni legittime, il bot, come le applicazioni legittime, dovrebbe avviare la connessione, che apre un socket a due vie. Questa presa a due vie consente a un sistema esterno di inviare tutti i dati che è necessario premere.

    
risposta data 23.02.2015 - 16:48
fonte
0

Questo non risponde direttamente alla tua domanda per dire poiché sono tutti diversi, e i seguenti link sono un po 'vecchi ... ma qui ci sono alcuni PDF che spiegano come funziona in ambito distribuito (P2P con mascherato / dinamico / attivo -demando livello C & C). Leggende legacy leggere indipendentemente:

Nugache:

The malware receives several inbound connections per day, and makes (or attempts to make) several outbound connections per day. Overall there are about a dozen connections active at a given time, and comprise regular peer list exchanges, software comparisons and upgrades, and simple commands via a set of numeric commands

https://staff.washington.edu/dittrich/misc/malware08-dd-final.pdf

Torpig:

As we mentioned previously, Torpig opens two ports on the local machine, one to be used as a SOCKS proxy, the other as an HTTP proxy. 20.2% of the machines we observed were publicly accessible. Their proxies, therefore, could be easily leveraged by miscreants to, for example, send spam or navigate anonymously.

https://seclab.cs.ucsb.edu/media/uploads/papers/torpig.pdf

Peacomm:

Peer-to-peer botnets have more flexibility. The Trojan.Peacomm bot provides one such method for the attacker to issue commands to bots in a peer-to-peer architecture. Essentially, the bot downloads a secondary injection that can be arbitrary, which allows flexibility in the payload of the bot.

http://juliangrizzard.com/pubs/2007_grizzard_hotbots.pdf

    
risposta data 23.02.2015 - 16:53
fonte

Leggi altre domande sui tag

Domanda sulla sicurezza HTTPS [duplicato] PGP Dimensione chiave RSA - tempo di crittografia / decrittografia