¿Cómo se comunican los servidores CC con los bots botnet en una red local?

8

Una pregunta más general ¿Cómo se comunican los bots en el Zeus? ¿botnet? realmente no responde a mi pregunta.

Estoy tratando de entender cómo un bot puede comunicarse con la máquina de comando y control (CC). A nivel técnico, sé que los bots usan sockets (por ejemplo), pero realmente no tengo idea de cómo el CC puede enviar comandos a un bot / computadora que probablemente se encuentre dentro de una red privada de LAN. Muchas computadoras están en una LAN detrás de una caja o un enrutador. Entonces, para la comunicación detrás de un puerto con un servidor, debe usar NAT, creo.

¿Alguien puede explicar cómo funciona esto?

    
pregunta kafson 23.02.2015 - 09:58
fuente

4 respuestas

12

Por lo general, no es la infraestructura de comando y control la que se conecta a los robots, porque no puede saber mágicamente cuándo se infecta un sistema. Son los clientes de la red de bots los que contactan con la infraestructura de C & C y solicitan los comandos.

La mayoría de los enrutadores (al menos en el segmento del consumidor) están configurados para reenviar ciegamente cualquier conexión desde dentro de la red a sistemas fuera de la red. El reenvío de puertos solo debe configurarse cuando un servicio necesita ser contactado desde el exterior.

La forma exacta en que los bots se ponen en contacto con los servidores de C & C difiere enormemente entre las diferentes botnets. Se disfrazan de otros protocolos (como HTTP), usan redes de anonimización como TOR y varios otros métodos para evitar ser detectados fácilmente.

    
respondido por el Philipp 23.02.2015 - 10:08
fuente
0

De la misma forma que lo hace su navegador web

Algunos bots (por ejemplo, Stuxnet) pueden tener rutas alternativas muy sofisticadas, pero la mayoría de ellos simplemente inician una conexión https a un servidor C & C controlado por los atacantes. Hay casos en los que no funciona, pero la mayoría de las redes están configuradas para permitir tales conexiones y la mayoría de las herramientas automatizadas de filtrado / filtrado no lo detectarían como inusual.

Una vez que el bot ha realizado esa conexión, tiene un canal razonablemente seguro (cifrado para evitar el registro y, con la autenticación, de modo que sepa que se conecta a la C & C real, no a una simulación o dominio superado) y puede realizar encuestas periódicas. para órdenes de ejecución y listas de otros servidores C & copia de seguridad.

    
respondido por el Peteris 23.02.2015 - 16:48
fuente
0

La forma en que los bots se comunican con el CC no tiene ninguna diferencia con la forma en que los programas regulares se comunican entre sí. La mayoría de los bots tienen un CC que es un servidor real, lo que significa que tienen una dirección IP real y pueden escuchar un puerto. Muchos usarían protocolos estándar como HTTP, XML-RPC, SMTP / POP / IMAP, IRC, Web Socket, etc., algunos usarán protocolos personalizados escritos en TCP o UDP. La mayoría de ellos cifrarían y / o presentarían sus protocolos para evitar la detección, usualmente utilizando sockets de cifrado estándar como TLS (por ejemplo, HTTPS). Unos pocos harían peer to peer en lugar de un comando y control central, las técnicas utilizadas para comunicarse peer to peer son esencialmente las mismas que los protocolos peer to peer.

Los bots tienen que lidiar con topologías de red que limitan las conexiones entrantes, esto no es diferente de las aplicaciones legítimas. Las técnicas utilizadas son las mismas que en las aplicaciones legítimas, el bot, como las aplicaciones legítimas, tendría que iniciar la conexión, lo que abre un socket de dos vías. Este zócalo bidireccional permite que un sistema externo envíe cualquier dato que necesite enviar.

    
respondido por el Lie Ryan 23.02.2015 - 16:48
fuente
0

Esto no responde directamente a su pregunta por voz, ya que todas difieren, y los siguientes enlaces son un poco antiguos ... pero aquí hay algunos PDF que explican cómo funciona en el ámbito distribuido (P2P con enmascarado / dinámico / en -demand C & C capa). Cool legado lee independientemente:

Nugache:

  

El malware recibe varias conexiones entrantes por día y realiza   (o intentos de hacer) varias conexiones salientes por día. En general   hay alrededor de una docena de conexiones activas en un momento dado, y   comprenden intercambios regulares de listas de pares, comparaciones de software y   actualizaciones y comandos simples a través de un conjunto de comandos numéricos

     

enlace

Torpig:

  

Como mencionamos anteriormente, Torpig abre dos puertos en el local   máquina, una para ser utilizada como un proxy SOCKS, la otra como un proxy HTTP.   El 20,2% de las máquinas que observamos eran de acceso público. Sus proxies, por lo tanto, podrían ser fácilmente aprovechados por malhechores para, por   ejemplo, enviar spam o navegar de forma anónima.

     

enlace

Peacomm:

  

Las botnets peer-to-peer tienen más flexibilidad. El bot Trojan.Peacomm   proporciona uno de estos métodos para que el atacante emita comandos a los robots en   Una arquitectura peer-to-peer. Esencialmente, el bot descarga un   inyección secundaria que puede ser arbitraria, lo que permite flexibilidad en   La carga útil del bot.

     

enlace

    
respondido por el dhaupin 23.02.2015 - 16:53
fuente

Lea otras preguntas en las etiquetas