IRC parece ser aún la forma más prominente de comunicación dentro de las redes de bots.
¿Por qué los atacantes eligen IRC?
En mi opinión (muy ingenua), configurar un servicio web es mucho más fácil.
IRC parece ser aún la forma más prominente de comunicación dentro de las redes de bots.
¿Por qué los atacantes eligen IRC?
En mi opinión (muy ingenua), configurar un servicio web es mucho más fácil.
Hay al menos dos tipos de esquemas para controlar botnets:
Existen las siguientes formas de redes de red de bots C & C:
Sin C & C:
Los esquemas combinados también son posibles, por lo tanto, lo mejor de cada tecnología. No es raro que los desarrolladores de botnets creen sus propios protocolos para aprovechar las capacidades de control.
En primer lugar, se utiliza IRC porque permite una forma sencilla de implementar la red de comunicaciones. Para una cantidad muy pequeña de bots es suficiente con un servidor IRC, cuando el servidor no puede manejar algunos momentos pico de bots en línea, se pueden unir varios servidores IRC. Pero, este tipo de redes no es para botnets serias en la actualidad. Vea mis comentarios aquí: Malware ¿Se sabe que el uso de detonación de puertos para evadir la detección mediante escáneres de red? .
Por un control de complejidad mínimo a través de servidor web es similar a IRC. Sin embargo, permite más posibilidades de variaciones en el esquema de control. Es fácil de desplegar, controlar y soltar también. Una de las formas más populares de controlar botnet.
El controla través de mensajeros de Internet no es popular, porque es difícil crear una red de este tipo sin dolor de cabeza para el botmaster. El registro de cuentas para una persona no es un problema, pero cuando se trata de la automatización del proceso, los problemas comienzan.
Las botnets de igual a igual son difíciles de desarrollar, pero pueden proporcionar una red más estable y robusta.El llamado " anillo de confianza " es un esquema aún más complejo, pero debido a su forma de esquema descentralizado es difícil matarlo. Esto es similar al esquema que se usa en Skype.
Las botnets C & C son fáciles de crear, pero también fáciles de matar: simplemente destruye el centro de control. Los dos últimos tipos de botnets C & C-less a menudo se utilizan en botnets serios, debido a que los autores realmente serios intentan estar en el gran negocio de los chicos malos.
Por cierto, las botnets se utilizan no solo en propósitos maliciosos.
Estoy de acuerdo, los sitios web son más fáciles y Conficker, por su parte, demostró que se puede usar un esquema de creación aleatoria de nombres de dominio para configurar los servidores C y C, donde cada uno de los nombres de dominio es válido solo por un día (o cualquiera que sea el período que define el código).
Pero en mi opinión, el principal argumento para IRC en lugar de un sitio web es que IRC permite control interactivo del bot. Eso significa que un atacante puede seleccionar cualquiera de los bots de la red de bots y enviarle comandos personalizados. Esto significa que tiene un grado mucho mayor de control sobre una botnet con IRC con un esfuerzo comparativamente bajo, mientras que el mismo nivel de control con un sitio web requeriría, en primer lugar, un software de servidor web personalizado.
Entonces, mientras que en general un sitio web es más fácil de configurar y (en la mayoría de los sistemas) es más fácil obtener la funcionalidad del cliente HTTP, las características que los malos están buscando no son fáciles (ni fáciles de obtener). ) disponible en servidores HTTP de stock.
Sin embargo, también me pongo del lado de Mark Davidson en que IRC simplemente se prueba mejor y que hay implementaciones que pueden ser tomadas.
El IRC solía ser el método principal para controlar las botnets, pero de acuerdo con las investigaciones realizadas por Team Cymru en noviembre 2010 , las botnets controladas por web ahora superan en número a las controladas por el método tradicional del canal IRC por un factor de cinco. Así que tu opinión puede ser correcta.
Una de las principales razones por las que diría que detrás del uso de IRC para el control de botnets es que las botnets comenzaron a aparecer en 1999 ( Historia de la Botnet ) El IRC había existido durante 11 años y probablemente fue considerado como una comunicación probada y comprobada para muchos usuarios.
los skiddos que no pueden leer bien o codificar (pero se autodenominan h4xorZ) toman lo que pueden obtener, y php / perl / c - irc-bots se encuentran fácilmente. Recientemente eliminé un bot que se remonta a 2001 pero aún se usaba.
La otra parte de la respuesta a tu pregunta POR QUÉ: porque los administradores de sistemas no hacen su trabajo. por lo general, no es necesario que un servidor permita conexiones irc salientes (o cualquier conexión saliente, dado el hecho de que utiliza un gateway de correo y un servidor de actualización para su dc)
Creo que una razón importante es que para usar un servicio web, un atacante tendría que ejecutar su propio servicio web. Para hacer esto, evite apagarse y cubrir sus pistas es un PITA para el controlador de la botnet. Con el control IRC, pueden usar una red IRC existente y controlar los robots uniéndose como usuario particular.
Lea otras preguntas en las etiquetas botnet