Come comunicano le botnet senza essere catturati?

4

Questo è qualcosa su cui ho riflettuto per un po 'ora, ma non ho mai pensato di chiederlo. Com'è possibile che le botnet possano comunicare con un controller di qualche tipo per coordinare gli attacchi DDoS e altri fastidi senza che vengano ricondotti all'operatore della botnet?

Sicuramente la botnet deve sapere dove ricevere i suoi comandi da per rimanere in sincronia con ciò che sta facendo il resto della botnet, com'è che questa fonte non può essere trovata e fatta risalire al autore?

Un altro pensiero che ho avuto è che forse le botnet funzionano su base peer-to-peer e che tutti i robot sanno di tutti gli altri robot nella loro "rete", e tutto ciò che il controller deve fare è posare come un altro membro non disposto della botnet per rendere la macchina di controllo indistinguibile dalle macchine bot, ma non riesco a vedere come questo potrebbe funzionare abbastanza bene da nascondere completamente la loro indentità sia?

Com'è possibile che riescano a farcela senza essere scoperti?

    
posta James Trotter 16.10.2015 - 14:54
fonte

4 risposte

3

Oltre alla risposta di Jay sul flusso del DNS , un altro modo per aggirare le blacklist dei domini è per un operatore di botnet utilizzare un DGA (algoritmo generato dal dominio).

La rete bot utilizzerà un algoritmo segreto condiviso per generare il successivo dominio di check-in. Questo algoritmo è tenuto segreto per impedire che le forze dell'ordine o un concorrente C & C l'operatore determinino il prossimo check-in e assumano il controllo del bot.

Quando un dominio viene rimosso a causa di contenuti dannosi (o il dominio viene aggiunto a una lista nera), esiste la possibilità che il bot non possa effettuare il check-in con il server. L'uso di un DGA aumenta l'affidabilità della comunicazione tra server e bot.

Questo è il metodo utilizzato da Conficker ed era un protocollo di backup utilizzato da Zeus .

Ulteriori informazioni sui DGA: link

Algoritmo DGA incrinato porta a domini 200k + takendown: link

    
risposta data 16.10.2015 - 17:14
fonte
2

Un metodo è 'Flusso DNS', dove i robot interrogano una serie di nomi di dominio per trovare un server CnC valido. Il proprietario del bot deve solo registrare uno dei domini, che può essere rimosso e sostituito con un altro.

È possibile rilevarli con analisi del traffico.

Questo documento contiene molti dettagli link

    
risposta data 16.10.2015 - 15:02
fonte
0

Perché è possibile per chiunque di noi muoversi nell'oscurità se lo si sceglie. Cerca servizi come TOR. Puoi registrare nomi DNS o fare praticamente tutto quello che vuoi da dietro un proxy non rintracciabile.

    
risposta data 16.10.2015 - 18:14
fonte
0

Le botnet possono comunicare con protocolli personalizzati \ criptati, il più delle volte usano anche un hosting "bullet" proof che consente loro di ospitare i controlpanel e non vengono rimossi perché questi servizi di ISP \ Hosting si trovano in alcuni paesi come la Cina, Russia, Asia ..
anche:
- I robot possono raggiungere il loro C & C con altri tunnel di connessione dei Bot rendendo così difficile individuare un vero C & C
-Rendundancy .. (ad esempio se C & C1 va giù .. bot si connette a C & C2 o C & C3 .. o potrebbe ricevere i comandi da un altro bot)
- I router infetti con server DNS dannosi rendono più difficile tracciare dove vanno i tuoi dati
-Botnet controllate via tor

    
risposta data 16.10.2015 - 18:32
fonte

Leggi altre domande sui tag