Infraestructura de Comando y Control

0

Esta es una pregunta académica, busqué en Google pero no pude encontrar las respuestas adecuadas para esta pregunta:

  

¿Cuáles son los diferentes comandos y amp; Infraestructuras de control (botnets) &   ¿Qué son las contramedidas?

Cualquier ayuda es muy apreciada.

    
pregunta Jishan 24.07.2016 - 17:51
fuente

2 respuestas

4

¿Has probado Wikipedia ? En resumen, el malware (A) necesita conectarse a (B). Esto se puede hacer usando muchos métodos diferentes.

Lo más fácil de configurar (en mi opinión) es usar el protocolo HTTP (servidor web) . Usted crea un servidor web simple con scripts PHP cortos que manejan las solicitudes entrantes. Usted envía / solicita solicitudes utilizando sockets (por ejemplo) la API de Windows.
Contramedidas: Bloqueo de este dominio / dirección IP específico en su firewall. Debería mencionar que, con frecuencia, el malware tiene múltiples direcciones de servidor codificadas en su fuente para contrarrestar esta contramedida.
Si trabaja en una empresa / gobierno de seguridad, la contramedida sería ponerse en contacto con el proveedor del host para eliminar ese sitio web o, en algunos casos, incluso piratear el servidor.

Otro uso muy frecuente es el uso de IRC en las salas de chat. Usted crea una sala de chat IRC segura y privada, y luego puede "chatear" con su malware. En otras palabras, envía un comando al chat-box, y el malware ("leyendo" los mensajes del chat) recibirá los comandos y los ejecutará. IRC se utiliza principalmente debido a la simplicidad y sus bajos requisitos de ancho de banda.
Contramedida: Bloquee puertos TCP específicos como 6667 (específico a IRC), nuevamente debo mencionar que IRC intenta otros puertos también si 6667 está bloqueado.

Lo que también se usa con frecuencia es P2P (Peer-to-peer), usas tu propia conexión / computadora como servidor C & C. El malware se comunica directamente con su red para recibir comandos. Esto es lo que usas la mayoría del tiempo con marcos como Metasploit.
Contramedidas: Aquí, la IP del atacante sería estática, por lo que el simple bloqueo de la IP debería funcionar. Nuevamente, si está trabajando en una empresa / gobierno de seguridad, puede registrar la IP y con suerte tiene la IP del atacante. El atacante también podría usar una VPN que permita el reenvío de puertos, pero entonces ya no es un P2P real.

Como ve, su firewall es importante.

    
respondido por el O'Niel 24.07.2016 - 18:01
fuente
1

Me gustaría agregar DNS a la respuesta de O'Niels:

Algunas botnets usan túneles DNS para comunicarse entre botmaster y bots. F.e. puede (ab) usar registros TXT para transmitir datos. Ya que esta es una pregunta académica aquí hay un buen documento sobre este tema (requiere acceso a IEEE o tal vez lo pueda encontrar en Google también).

Contramedidas: Esta es difícil. Citando el artículo anterior:

  

Incluso en entornos con acceso a Internet muy restringido, por ejemplo, por   Por medio de cortafuegos y proxy, el DNS es generalmente uno de los pocos   protocolos - si no el único - que se permite pasar sin   más ado.

Por supuesto, no puedes simplemente bloquear todo el tráfico de tu DNS. En su lugar, monitorear el tráfico de su DNS y buscar anomalías puede ser una solución. El artículo anterior sugiere una detección de anomalías basada en la entropía. Los enfoques más simples (mencionados aquí ) podrían ser usar un IDS o buscar solicitudes de DNS grandes y registros TXT de DNS.

    
respondido por el Phonolog 18.02.2017 - 11:36
fuente

Lea otras preguntas en las etiquetas