¿Cómo se comunican las botnets sin ser atrapadas?

Navega tus respuestas
4

Esto es algo sobre lo que he reflexionado durante un tiempo, pero nunca pensé en preguntar. ¿Cómo es posible que las botnets se puedan comunicar con un controlador de algún tipo para coordinar los ataques DDoS y otros nasties sin que se rastreen al operador de la botnet?

Seguramente la botnet necesita saber de dónde para recibir sus comandos para estar en sintonía con lo que está haciendo el resto de la botnet, ¿cómo es que no se puede encontrar esta fuente y rastrearla? perpetrador?

Otro pensamiento que tuve fue que tal vez las botnets funcionan de igual a igual, y que todos los bots conocen a todos los otros bots en su 'red', y todo lo que el controlador debe hacer es hacerse pasar por otro miembro no dispuesto. ¿De la botnet para hacer que la máquina controladora no se pueda distinguir de las máquinas bot, pero no puedo ver cómo esto funcionaría lo suficientemente bien como para ocultar su identidad por completo?

¿Cómo es posible que se salgan con la suya sin ser atrapados?

    
pregunta James Trotter 16.10.2015 - 14:54
fuente

4 respuestas

3

Además de Respuesta de Jay sobre el flujo de DNS , otra forma de eludir las listas negras de dominios es para un operador de red de bots. utilizar un DGA (algoritmo generado por el dominio).

La botnet utilizará un algoritmo secreto compartido para generar el siguiente dominio de registro. Este algoritmo se mantiene en secreto para evitar que la policía o un operador rival de C & C determine el próximo check-in y tome el control del bot.

Cuando un dominio se elimina debido a contenido malicioso (o el dominio se agrega a una lista negra), existe la posibilidad de que el robot no pueda registrarse con el servidor. El uso de una DGA aumenta la confiabilidad de la comunicación entre el servidor y el bot.

Este es el método utilizado por Conficker y fue un protocolo de respaldo utilizado por Zeus .

Más información sobre DGA: enlace

El algoritmo DGA agrietado conduce a 200k + dominios takendown: enlace

    
respondido por el pr- 16.10.2015 - 17:14
fuente
2

Un método es el 'flujo de DNS', donde los robots consultan una serie de nombres de dominio para encontrar un servidor CnC válido. El propietario del bot solo necesita registrar uno de los dominios, que puede ser eliminado y reemplazado por otro.

Es posible detectarlos con análisis de tráfico.

Este documento incluye muchos detalles enlace

    
respondido por el Jay 16.10.2015 - 15:02
fuente
0

Porque es posible que cualquiera de nosotros se mueva en la oscuridad si lo decidimos. Busque en servicios como TOR. Puede registrar nombres DNS o hacer casi cualquier cosa que desee desde un proxy no rastreable.

    
respondido por el David- 16.10.2015 - 18:14
fuente
0

Las redes de bots pueden comunicarse con protocolos encriptados / personalizados, la mayoría de las veces también utilizan algún tipo de alojamiento de prueba de "bala" que les permite alojar paneles de control y no se eliminan porque estos servicios de ISP \ Hosting se encuentran en algunos países como China. Rusia, Asia ..
también:
-Los botes pueden alcanzar su C & C con otros túneles de conexión de Bots, lo que hace que sea muy difícil localizar un C & C real.
-Rendundancia ... (por ejemplo, si C & C1 deja de funcionar ... el bot se conecta a C & C2 o C & C3 .. o podría recibir comandos de otro bot)
- Los enrutadores infectados con servidores DNS maliciosos hacen que sea más difícil rastrear dónde van sus datos
-Botnets controlados vía tor

    
respondido por el S4mick 16.10.2015 - 18:32
fuente

Lea otras preguntas en las etiquetas

¿Es posible el cifrado para TCP / IP simplex (unidireccional) y, de ser así, cómo? ¿Cómo funcionan los ataques DoS en no servidores?