mboost-dp1
Microsoft Corporation
#1
det er nok når et domæne bliver nedlagt så vil botnettet stadig fungere. Du ved ikke at have alle æg i en kurv. Ved at sprede (diversificere) over en stor mængde gør man jo botnettet mere robust overfor at blive nedlagt. Dem der laver botnet ved jo udemærket godt microsoft og andre myndigheder vil prøve at nedlægge dette og det er jo ikke i bagmændendes interesse og de vil derfor gøre det så svært som muligt at nedbringe botnettet.
Ikke for at give andre gode ideer så forstår jeg ikke at folk bag et botnet ikke også indbygger noget p2p kode så de kan kommunikere med hinanden indbyrdes så man ikke har brug for et domæne men bare skal fortælle nogle få inficerede computere hvilken handling man ønsker og så sende det retur i botnettet og f.eks. generere en IP liste på hvem der er blevet inficeret så man opbygger en IP liste med de inficerede pc'ere som indgår i netværket.
Det er nu meget godt det arbejde microsoft gør for at nedlægge botnetværk og andet skrammel på nettet. Vil være rart den dag vi fuldstændig slipper for virus og trojanere.
det er nok når et domæne bliver nedlagt så vil botnettet stadig fungere. Du ved ikke at have alle æg i en kurv. Ved at sprede (diversificere) over en stor mængde gør man jo botnettet mere robust overfor at blive nedlagt. Dem der laver botnet ved jo udemærket godt microsoft og andre myndigheder vil prøve at nedlægge dette og det er jo ikke i bagmændendes interesse og de vil derfor gøre det så svært som muligt at nedbringe botnettet.
Ikke for at give andre gode ideer så forstår jeg ikke at folk bag et botnet ikke også indbygger noget p2p kode så de kan kommunikere med hinanden indbyrdes så man ikke har brug for et domæne men bare skal fortælle nogle få inficerede computere hvilken handling man ønsker og så sende det retur i botnettet og f.eks. generere en IP liste på hvem der er blevet inficeret så man opbygger en IP liste med de inficerede pc'ere som indgår i netværket.
Det er nu meget godt det arbejde microsoft gør for at nedlægge botnetværk og andet skrammel på nettet. Vil være rart den dag vi fuldstændig slipper for virus og trojanere.
f-style (2) skrev:#1
det er nok når et domæne bliver nedlagt så vil botnettet stadig fungere. Du ved ikke at have alle æg i en kurv. Ved at sprede (diversificere) over en stor mængde gør man jo botnettet mere robust overfor at blive nedlagt.
Men det er jo bare underdomæner. Det svarer til at fordele sine æg i 70.000 kurve - for derefter at putte alle kurvene i én stor kurv.
Ja de skulle nok have haft flere top domæner som fordelte det ud på de mindre domæner. Men det jo bare et stort bonus nu hvor de skulle stoppes. Havde de været kloge havde de brugt de 70.000 som hoveddomæner og have en fil som kunne blive opdateret til at udvidde antallet af domæner dynamisk.
Som #3 siger, så er det jo bare 1 kurv med alle 70.000 sub-domæner under sig.
Men det er immervæk billigere at købe 1 domænenavn istedet for 70.000 domænenavne eller flere hundrede eller tusinde. Gætter på det er for at holde udgifterne nede i forhold til om det hele nu også løber rundt som planlagt. Det er jo ikke ligefrem billigt at registrere domæner i det antal de åbenbart har/havde brug for.
Hvem ved, næste gang har de måske planlagt en lidt anderledes struktur i distributionen af deres malware?
Men det er immervæk billigere at købe 1 domænenavn istedet for 70.000 domænenavne eller flere hundrede eller tusinde. Gætter på det er for at holde udgifterne nede i forhold til om det hele nu også løber rundt som planlagt. Det er jo ikke ligefrem billigt at registrere domæner i det antal de åbenbart har/havde brug for.
Hvem ved, næste gang har de måske planlagt en lidt anderledes struktur i distributionen af deres malware?
Man behøver ikke købe dem på forhånd. Man kan bare købe et nyt når et af de eksisterende bliver nedlagt. Desuden har jeg hørt om registranter der tillader at man kan få et domæne på prøve i et par uger og returnere det, hvis ikke man vil betale for det.qwest (5) skrev:Men det er immervæk billigere at købe 1 domænenavn istedet for 70.000 domænenavne eller flere hundrede eller tusinde.
Men andre kan prøve at forudsige, hvilke domæner, botnettet vil bruge i fremtiden. Dette er tidligere blevet brugt til at stjæle botnets. Men opdateringerne kan jo beskyttes med digitale signaturer. Så kan det ikke længere bruges til at stjæle botnets, men derimod kun som et DoS angreb.
Som sidste udvej kan bots prøve tilfældige IP adresser i håbet om at finde andre bots. Med blot 100.000 bots på offentlige IPv4 adresser tror jeg den metode er forholdsvis effektiv. Med IPv6 vil den metode ikke fungere, men der er andre metoder til at holde sammen på et botnet.
f-style (2) skrev:Ikke for at give andre gode ideer så forstår jeg ikke at folk bag et botnet ikke også indbygger noget p2p kode
De fleste computere sidder vel bag NAT, så det må kræve nogle nodes i botnettet som ikke gør, og som fungerer som en slags "lokale" C&C-servere.
Derudover er der vel også brug for en eller anden ip eller dns-navn hardcoded i selve malwaren så computeren ved hvordan den skal blive en del af botnettet. For hvis der ikke er det, så kan jeg kun se at den skal kunne finde andre botnet-computere via broadcasting på lokalnettet, og det er nok ikke så sandsynligt, ligesom det vil generere store mængder af mistænksom trafik.
Der er masser af måder at lave hul gennem NAT. Man er nødt til at starte med at kontakte en server, som ikke er bagved NAT, men det kan sagtens være en anden bot. Men når først man er i gang og har fået lavet de første huller mellem to maskiner, som er bagved hver deres NAT, så kan de hjælpe hinanden med at lave flere huller.Tukanfan (8) skrev:De fleste computere sidder vel bag NAT, så det må kræve nogle nodes i botnettet som ikke gør, og som fungerer som en slags "lokale" C&C-servere.
Man kunne også køre botnettet over ren IPv6 og så indbygge en Teredo klient i botten, så den kan bruges på computere uden native IPv6. Teredo med alle udvidelserne har masser af metoder til at lave hul gennem NAT. Desuden er kommunikation mellem to Teredo klienter vist nok pålidelig, så længe en af dem ikke er bagved en NAT. Det er kun hvis de begge er bagved NAT at det ikke altid virker.
Ikke nødvendigvis. Man kan også bare prøve tilfældige IP adresser indtil man finder en anden bot.Tukanfan (8) skrev:Derudover er der vel også brug for en eller anden ip eller dns-navn hardcoded i selve malwaren
Men at starte med en hardcodet IP adresse eller et domænenavn er det mest oplagte. Det kan dog nemt laves dynamisk, så botten kan opdateres løbende med ny IP og/eller domænenavn.
Domænenavnet behøver ikke være involveret med botnettet. Man kan kommunikere gennem legitime services. Men de legitime services, som misbruges af et botnet på den måde, vil nok prøve at opdage det og filtrere det.
Jo flere metoder en bot bruger, des sværere er det at blokere dem alle.
... endnu en grund til ikke at køre med pre-installeret Windows. Det første jeg gør ved en ny computer er at formatere harddisken og ligge Windows 7 Ultimate på. Det gør hele dette problem fuldstændigt irrelevant for mit vedkommende.
Magten (11) skrev:#10
Medmindre du konstant sørger for at holde dit image opdateret med samtlige sikkerhedsopdateringer så sidder du i præcis samme situation.
Jeg tror han mener at malware fra OEM eller andre er lige gyldigt fordi han selv smider et image på. Jeg kan så ikke genenmskue meningen med din kommentar uanset hvordan man så skal forstå #10.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund