¿Por qué los investigadores necesitan controlar todos los servidores de C&C de una red de bots?

Navega tus respuestas
3

¿Por qué los investigadores necesitan controlar todos los servidores C & C de una red de bots?

¿No sería más fácil distribuir un comando de desinstalación a todas las PC accesibles para paralizar la red de bots? Esto podría hacerse una y otra vez hasta que la mayoría de las PC estén limpias.

Aparentemente no sé lo suficiente acerca de las botnets, así que por favor, ayúdame. ¿Los clientes verifican los comandos de múltiples fuentes? Es decir. en una botnet P2P, ¿aceptan varios comandos de otros bots y luego los comparan para verificar cuál es el válido? Lo mismo para los servidores C & C. ¿Se conectarán al primer C & C activo y ejecutarán cualquier comando que se coloque allí? Si es así, las dos únicas cosas que impiden que los investigadores utilicen la infraestructura de la botnet son el acceso a los servidores C & C y posiblemente las claves de cifrado para enviar comandos válidos.

El punto es que simplemente eliminar los servidores C & C deja la PC afectada totalmente abierta y posiblemente incluso en un estado en el que intenta comunicarse constantemente con otros bots / comandos de descarga. Por lo tanto, si alguna vez se llega a otro servidor C & C, los bots volverán a estar activos.

Una posible razón que me vino a la mente fue que la desinstalación de cualquier PC de destino podría verse como una interacción ilegal con la PC de uno.

    
pregunta botty 25.02.2015 - 17:01
fuente

2 respuestas

2

En respuesta a tus preguntas sobre bots, esto depende del bot en sí mismo, quiero decir que depende de su diseñador diseñar cómo el bot en sí recibe los comandos.

El método 'tradicional' es, por supuesto, para conectarse a un canal IRC y esperar instrucciones,

P2P es a menudo más difícil de implementar (debido a NAT / Port Forwarding) y más fácil de detectar (porque es más fácil ver los agujeros en los firewalls)

'Tomar posesión' de los servidores C & C, es principalmente para garantizar que nadie más lo haga, incluso por accidente, y principalmente para garantizar que una dirección IP no se "acentúa" demasiado si se permite que la IP vuelva a la circulación general (por ejemplo, una imagen de botnet de 2 millones de máquinas que golpean una IP) dirección una vez por día, eso es 1388.8 conexiones tcp por minuto. Podría tener un efecto perjudicial. )

En cuanto a 'no autodestruir' a los robots, es porque no es ético ejecutar código en otra máquina sin el consentimiento de los usuarios (aunque sea por su propio bien). Es posible que la eliminación requiera un reinicio en algunos casos o que afecte a los procesos en ejecución. (Si mi máquina se reinicia sin mi conocimiento, saldré a buscar sangre. ¿Te imaginas la reacción si el proceso de desinstalación causó algún daño por accidente?)

    
respondido por el Damian Nikodem 26.02.2015 - 03:54
fuente
1

Es probable que existan implicaciones legales y éticas en la utilización de la infraestructura de una botnet para desinstalarla de forma remota en todos los hosts afectados. Puede que no sea legal incluso para las autoridades de un país acceder a recursos personales o corporativos. Además, si la desinstalación no tiene éxito o está mal planificada, podría tener más consecuencias negativas. Tampoco hay garantía de que se desinstale de todos los nodos afectados.

Al cerrar los servidores de C & C, la aplicación de la ley a menudo también se dirige a las personas y los recursos, es decir, buscan más que una solución técnica.

    
respondido por el Eric G 26.02.2015 - 01:23
fuente

Lea otras preguntas en las etiquetas

Ofreciendo un escenario de privacidad con la biblioteca PHP mcrypt Ventaja de la firma de grupo sobre la firma única