Questa è una domanda accademica, ho cercato spesso su Google ma non ho trovato risposte adatte a questa domanda:
What are the different Command & Control infrastructures (Botnets) & what are the countermeasures?
Qualsiasi aiuto è molto apprezzato.
Hai provato Wikipedia ? In breve, il malware (A) deve connettersi a (B). Questo può essere fatto usando molti metodi diversi.
Il più semplice (secondo me) da configurare è utilizzando il protocollo HTTP (Webserver) .
Realizzi un semplice web server con brevi script PHP che gestiscono le richieste in arrivo. Invia / chiedi richieste utilizzando i socket (ad esempio) l'API di Windows.
Contromisura: Blocco di questo dominio / indirizzo IP specifico nel firewall. Dovrei menzionare che il malware spesso ha più indirizzi server codificati nella sua origine per controbilanciare questa contromisura.
Se stai lavorando presso una società / un ente governativo, le contromisure dovrebbero contattare il fornitore host per rimuovere quel sito Web o, in alcuni casi, persino hackerare il server.
Un altro molto usato è usando le chat room IRC . Crei una chat room IRC protetta e privata e quindi puoi "chattare" con il tuo malware. In altre parole, si invia un comando nella chat-box, e il malware ('leggendo' i messaggi della chat) riceverà i comandi e li eseguirà. L'IRC viene principalmente utilizzato per semplicità e per i suoi requisiti di larghezza di banda ridotta.
Contromisura: Blocca porte TCP specifiche come 6667 (specifiche per IRC), ancora una volta dovrei menzionare che IRC tenta anche altre porte se 6667 è bloccato.
Ciò che viene spesso usato è P2P (peer-to-peer), usi la tua connessione / computer come server C & C. Il malware comunica direttamente con la rete per ricevere comandi.
Questo è ciò che usi la maggior parte del tempo con framework come Metasploit.
Contromisura: qui l'IP dell'attaccante sarebbe statico, quindi è sufficiente bloccare l'IP dovrebbe funzionare. Di nuovo, se lavori in una compagnia di sicurezza / governo, puoi registrare l'IP e fortunatamente hai l'IP dell'attaccante. L'hacker potrebbe anche utilizzare una VPN che consente il port forwarding, ma non è più un vero P2P.
Come vedi, il tuo firewall è importante.
Vorrei aggiungere DNS alla risposta di O'Niels:
Alcune botnet usano il tunneling DNS per comunicare tra botmaster e bot. F.e. puoi (ab) utilizzare record TXT per trasmettere i dati. Poiché si tratta di una domanda accademica ecco un buon documento su questo argomento (richiede l'accesso IEEE o forse lo puoi trovare su Google pure).
Contromisura: Questo è difficile. Citando il documento sopra:
Even in environments with heavily restricted Internet access, e.g. by means of firewalling and proxying, DNS is usually one of the few protocols – if not the only one – that is allowed to pass without further ado.
Ovviamente non puoi semplicemente bloccare tutto il tuo traffico DNS. Invece il monitoraggio del traffico DNS e la ricerca di anomalie potrebbero essere una soluzione. Sopra la carta suggerisce un rilevamento delle anomalie basato sull'entropia. Gli approcci più semplici (menzionati qui ) potrebbero essere l'uso di un IDS o la ricerca di richieste DNS di grandi dimensioni e record TXT DNS.
Leggi altre domande sui tag botnet