Ho letto su link che: ZeuS ora utilizza una "lista IP" che contiene gli indirizzi IP di altri droni che partecipano alla botnet P2P. Un elenco iniziale di indirizzi IP è hardcoded nel binario ZeuS. Da quello che ho capito, i robot usano una lista IP hardcoded per comunicare tra loro. quello che non capisco è, come possono i bot dietro una rete NAT comunicare tra loro quando gli indirizzi IP dietro una rete NAT non sono validi?
Potresti leggere qualcosa come Botnets dell'Istituto Infosec Unearthed - The ZEUS BOT , ma si riduce a:
Non è una configurazione peer-to-peer, è una configurazione client / server. I client malware tentano di contattare i server di comando e controllo che non sono protetti da firewall che impediscono l'accesso.
Vedi un elenco di nodi di comando e controllo (o, meglio, assicurati che il tuo firewall li blocchi tutti) su il Tracker ZeuS , che è la fonte della blocklist di I-Blocklist ZeuS (e molti altri).
Ci sono un paio di modi. In primo luogo, ci sono molti computer che non sono protetti da firewall NATing: i proprietari potrebbero fare affidamento su Windows Firewall o sul nulla. Qualcuno con un modem via cavo e un PC senza router è completamente aperto.
Oppure un firewall stateful potrebbe restituire pacchetti UDP alla macchina di origine.
Il collegamento nonostante NAT è chiamato NAT Traversal . Dalla pagina di Wikipedia:
Many techniques exist, but no single method works in every situation since NAT behavior is not standardized. Many NAT traversal techniques require assistance from a server at a publicly routable IP address.
Quindi, gli IP hardcoded.
NAT Traversal è un campo minato e non qualcosa che sono qualificato per spiegare. Tuttavia, la pagina di Wikipedia contiene un utile elenco di tecniche . Di particolare interesse è Hole Punching che, se ha successo, non richiede affatto un server.