Perché il ricercatore deve controllare tutti i server C & C di una botnet?

Naviga le tue risposte
3

Perché i ricercatori devono controllare tutti i server C & C di una botnet?

Non sarebbe più facile diffondere un comando deinstall su tutti i PC raggiungibili per bloccare la botnet? Questo può essere fatto più e più volte fino a quando la maggior parte dei PC è pulita.

A quanto pare non ne so abbastanza delle botnet, quindi per favore aiutami. I clienti controllano i comandi da più fonti? Cioè in una botnet P2P, accettano più comandi da vari altri bot e li confrontano per verificare quale sia valido? Lo stesso vale per i server C & C. Si collegheranno al primo C & C attivo e eseguiranno qualunque comando venga piazzato lì? In tal caso, le uniche due cose che impediscono ai ricercatori di utilizzare l'infrastruttura botnet sono l'accesso ai server C & C e possibilmente le chiavi di crittografia per inviare comandi validi.

Il punto è che la semplice rimozione dei server C & C lascia aperto il PC interessato, forse anche in uno stato in cui cerca costantemente di comunicare con altri bot / comandi di download? Quindi, se mai un altro server C & C è raggiungibile, i bot saranno di nuovo attivi.

Una possibile ragione che mi è venuta in mente è che la deinstallazione di qualsiasi cosa da un PC di destinazione potrebbe essere vista come un'interazione illecita con il proprio PC.

    
posta botty 25.02.2015 - 17:01
fonte

2 risposte

2

In risposta alle tue domande sui bot, questo dipende dal bot stesso, voglio dire che spetta al suo designer progettare come il bot stesso riceve i comandi.

Il metodo 'tradizionale' è naturalmente in grado di connettersi a un canale IRC e attendere le istruzioni,

Il P2P è spesso più difficile da implementare (a causa di NAT / Port Forwarding) e più facile da rilevare (perché i buchi nei firewall sono più facili da vedere.)

'Assumere la proprietà' dei server C & C, è principalmente quello di garantire che nessun altro lo faccia, anche accidentalmente, e soprattutto per garantire che un indirizzo IP non viene "battuto" molto se l'IP viene riattivato nella circolazione generale (ad esempio, l'imaging di una botnet di 2 milioni di macchine che colpisce un IP indirizzo una volta al giorno, questo è 1388,8 connessioni TCP al minuto. potrebbe avere un effetto dannoso. )

Per quanto riguarda "non autodistruggere" i robot stessi, è perché non è etico eseguire il codice su un'altra macchina senza il consenso degli utenti (anche se è per il loro bene.). È possibile che la rimozione possa richiedere un riavvio in alcuni casi o che possa influire sui processi in esecuzione. (se la mia macchina si riavvia a mia insaputa, andrò a caccia di sangue. Riesci a immaginare il contraccolpo se il processo di disinstallazione ha causato qualche danno per caso?)

    
risposta data 26.02.2015 - 03:54
fonte
1

Ci sono probabilmente implicazioni legali ed etiche nell'utilizzo dell'infrastruttura di una botnet per disinstallarlo da remoto su tutti gli host interessati. Potrebbe non essere legale nemmeno per le autorità di un paese accedere alle risorse personali o aziendali. Inoltre, se la disinstallazione non ha esito positivo o è pianificata male potrebbe avere ulteriori conseguenze negative. Non è inoltre garantito che venga disinstallato da tutti i nodi interessati.

Chiudendo i server C & C, le forze dell'ordine spesso prendono di mira le persone e le risorse, cioè cercano più di una soluzione tecnica.

    
risposta data 26.02.2015 - 01:23
fonte

Leggi altre domande sui tag

Blocco dei certificati e problema di distribuzione delle chiavi Vantaggio della firma di gruppo sulla firma singola