Limitaciones de botnets [cerrado]

Navega tus respuestas
1

Mi pregunta está muy relacionada con esta pregunta pero no encontré mi respuesta allí. Específicamente, me interesa saber si el servidor C2 puede modificar aspectos / propiedades del malware y, de ser así, sin avisar a la víctima.

El malware que me interesa es CryptoLocker, por lo que no puedo hacer un análisis dinámico de lo que sucede después de que se establece la conexión con el servidor C2. La información real que eventualmente necesito es si la cantidad de Bitcoin de rescate mostrada en el formulario de CryptoLocker se sincronizó en todas las instancias (por ejemplo, al obtener esta información del servidor C2) o si fue estática y dependiente de cada CryptoLocker instancia, es decir, la muestra del malware. Ya sé que la clave de cifrado, que encripta los archivos locales de la víctima, se recibió del servidor C2 y se almacenó en el registro de víctimas. No encontré evidencia de que este método se haya aplicado para mostrar la cantidad de Bitcoin.

La pregunta es , si habría otras formas de ajustar dinámicamente la cantidad de Bitcoins mostrados a la víctima. Si ha sido realmente el caso con CryptoLocker es secundario. Aunque es una buena ventaja, si alguien puede proporcionar una respuesta allí.

    
pregunta Juergen 17.12.2014 - 16:59
fuente

2 respuestas

1

Tu respuesta tiene muchas facetas. Las botnets recurren a innumerables posibilidades para evadir la detección e incluso a la comunicación segura con el C2.

¿El malware se puede actualizar periódicamente?

DEFINITIVAMENTE. He visto malware en la naturaleza que se pone en contacto con el C2 y descarga actualizaciones incluso cada hora. Pero una actualización diaria es bastante común. En esencia, el binario ya instalado descargará el nuevo malware (exe) y se reemplazará con la nueva versión, esencialmente cambiando el comportamiento en general.

¿Puede el malware actualizar solo la cantidad de rescate de Bitcoin?

Sí. Ahora la molestia podría depender del tipo de botnet. Tal vez el malware está entrenado para visitar una cuenta maliciosa en Twitter a una hora determinada del día, y recoger el número de semilla del tweet, lo que finalmente definirá la cantidad de rescate. Oh sí, yo diría que alguien ya está haciendo eso en algún lugar.

Tenga en cuenta que no tengo experiencia específica con Cryptolocker pero sugeriría que no se case con un comportamiento en particular.

    
respondido por el sandyp 17.12.2014 - 21:09
fuente
0

Sí, siempre y cuando se comuniquen con el servidor y con la víctima, también podrán modificar de forma remota cualquier cosa a la que tengan acceso. Otra forma es incluir algún tipo de función en el malware que cambie periódicamente la cantidad que se muestra.

    
respondido por el opesfortuna 17.12.2014 - 19:39
fuente

Lea otras preguntas en las etiquetas

¿Debe protegerse una clave privada con una contraseña, incluso si el software que la usa necesita saber esa contraseña? ¿Mi configuración de Postfix y Dovecot es segura?