mboost-dp1
remora.ca
Hvad vil det betyde for internettet i helhed, når det botnet ikke længere er der? Er der mere frit båmdbredde til os andre, eller noget ander vi rent elektronisk vil kunne nyde godt af?
^Det kan de ikke bare! Tror jeg..
De skal jo mindst have en C&C server aktiv for at give klienterne de nye adresser.
De skal jo mindst have en C&C server aktiv for at give klienterne de nye adresser.
Qw_freak (2) skrev:er det så ikke et spørgsmål om tid før de får oprettet en ny C&C server?
Hvis botnettet forventer at få listen af nye C&C'er fra en C&C, så er det reelt set dødt nu...
Men hvis de har kode der fx kigger på pastebin efter C&C'er i tilfælde af manglende svar fra de andre C&C'er, så kan det godt være at botnettet bliver genoplivet...
Hvis jeg havde lavet et botnet ville jeg nok bare have brugt google.com til sekundær C&C, ved at lade klienterne lede efter en eksakt sætning.
Botnettet skule være helt dødt uden mulighed for genoplivning.
FireEye har postet en udførlig forklaring på hvordan botnettet virkede.
FireEye har postet en udførlig forklaring på hvordan botnettet virkede.
http://blog.fireeye.com/research/2012/07/killing-the-beast-part-5.html skrev:Grum's weak points are as follows:
1. Grum has no fallback mechanism. Once the master CnCs are dead, no new connection can be made to the secondary servers. That said, bots already connected to secondary servers will be unaffected until the infected machine gets rebooted.
2. There is just a handful of master IPs hard-coded inside Grum binaries.
3. The Grum CnC mechanism depends upon the hard-coded IP addresses so we just have to deal with the data centers hosting these servers. ...
Sorrydprocs (4) skrev:Hvis jeg havde lavet et botnet ville jeg nok bare have brugt google.com til sekundær C&C, ved at lade klienterne lede efter en eksakt sætning.
Jeg forstår ikke hvorfor vi gang på gang hører om botnets der på denne måde bliver overtaget eller går i opløsning fordi serverne bliver afbrudt.Qw_freak (7) skrev:Jamen så er de vel bare heldige at GRUM's skaber ikke har være helt så fremsynet som han kunne...
Det kan ikke være svært at designe et botnet så det er modstandsdygtigt overfor enkelte computere der bliver pillet af nettet. Selvom jeg ikke ved præcist hvad der skal til for at opbygge et botnet i første omgang, så kender jeg masser af metoder til at holde sammen på sådan et netværk når det først er opbygget.
Måske er det derfor de to største stadig er i live. De er måske skabt af personer som var fremsynede.
kasperd (8) skrev:Det kan ikke være svært at designe et botnet så det er modstandsdygtigt overfor enkelte computere der bliver pillet af nettet.
Iflg. Wikipedia er Conficker det største botnet i øjeblikket. Det bruger tilfældigt genererede domænenavne som C&C servere.
Nr. 2 er TDL-4, som bruger et P2P netværk kaldet Kad som C&C. Kad bruger ingen centrale servere, men man skal bare kende mindst én anden klient, for at komme på netværket. Hver klient kender så adresser på en masse andre klienter.
kasperd (8) skrev:Måske er det derfor de to største stadig er i live. De er måske skabt af personer som var fremsynede.
Det ser sådan ud.
Helt tilfældige kan de ikke være. De enkelte bots er jo nødt til at sende forespørgsler på de samme domæner som bliver oprettet til serverne. De kan være psuedotilfældige baseret på tidspunktet og et seed i koden.doctorx (9) skrev:Det bruger tilfældigt genererede domænenavne som C&C servere.
Den metode har været brugt i nogle botnets, men har man først fundet et eksemplar af koden, så kan man regne ud hvilke domæner den vil bruge i fremtiden. Botnets er blevet overtaget ved at registrere domænerne før botnettets bagmand.
Hvis TLD udbyderne vil hjælpe med at forhindre misbrug, så kan de undersøge om domænet bruges af et kendt botnet før de tillader registreringen at blive gennemført. Der kan selvfølgelig være legitime årsager til at man ønsker at registrere et domænenavn, som bruges af et botnet. Men en lille smule ekstra bureaukrati ville nok gavne i det tilfælde.
Det er nok den metode som i sig selv giver det mest pålidelige botnet. Kombineret med andre metoder kan det blive endnu mere pålideligt.doctorx (9) skrev:man skal bare kende mindst én anden klient, for at komme på netværket. Hver klient kender så adresser på en masse andre klienter.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund