Limitazioni di botnet [chiuso]

1

La mia domanda è strettamente correlata a questa domanda ma non ho trovato la mia risposta lì. In particolare, sono interessato a sapere se il server C2 può modificare aspetti / proprietà del malware e, in tal caso, senza far sapere alla vittima.

Il malware di cui sono interessato è CryptoLocker, quindi non sono realmente in grado di fare un'analisi dinamica di ciò che accade dopo aver stabilito la connessione al server C2. Le informazioni reali che alla fine ho bisogno è se la quantità di riscatto Bitcoin visualizzata nel modulo CryptoLocker fosse sincronizzata in tutte le istanze (ad esempio ottenendo queste informazioni dal server C2) o se fosse statica e dipendente da ogni CryptoLocker istanza, cioè il campione del malware. So già che la chiave di crittografia, che crittografa i file locali della vittima, è stata ricevuta dal server C2 ed è stata archiviata nel registro delle vittime. Non ho trovato prove che questo metodo sia stato applicato per visualizzare la quantità di Bitcoin.

La domanda è , se ci sarebbero altri modi per adattare dinamicamente la quantità di Bitcoin visualizzati alla vittima. Se è stato effettivamente il caso con CryptoLocker è secondario. Anche se è un bel bonus, se qualcuno è in grado di fornire una risposta lì.

    
posta Juergen 17.12.2014 - 16:59
fonte

2 risposte

1

Ci sono molte sfaccettature nella tua risposta. Le botnet fanno ricorso a innumerevoli possibilità di eludere il rilevamento e persino di comunicare con la C2.

Il malware può aggiornarsi periodicamente?

DEFINITIVAMENTE. Ho visto malware in natura che contatta il C2 e scarica gli aggiornamenti anche ogni ora. Ma un aggiornamento giornaliero è piuttosto comune. In sostanza, il binario già installato scaricherà il nuovo malware (exe) e si sostituirà con la nuova versione, cambiando sostanzialmente il comportamento complessivo.

Il malware può aggiornare solo la quantità di riscatto Bitcoin?

Sì. Ora il fastidio potrebbe dipendere dal tipo di botnet. Forse il malware è addestrato a visitare un account canaglia su twitter in particolari momenti della giornata e a prelevare il numero seme dal tweet, che alla fine definirà l'importo del riscatto? Oh sì, direi che qualcuno lo sta già facendo da qualche parte.

Nota che non ho esperienza specifica con Cryptolocker ma ti suggerirei di non sposarti con un particolare comportamento.

    
risposta data 17.12.2014 - 21:09
fonte
0

Sì, fintanto che sono in comunicazione con il server e la vittima, possono modificare da remoto qualsiasi cosa abbiano accesso. Un altro modo è includere nel malware qualche tipo di funzione che modifichi periodicamente la quantità visualizzata.

    
risposta data 17.12.2014 - 19:39
fonte

Leggi altre domande sui tag