web-dev-qa-db-ja.com

ボットネットがIRCを使用しますが、通信にWebサービスを使用しないのはなぜですか?

IRCはまだボットネット内での通信に最も有名な方法のようです。

攻撃者はなぜIRCを選択するのですか?

私の(非常に素朴な)意見では、セットアップはWebサービスの方がはるかに簡単です。

botnet
14
user1221

ボットネットを制御する方法には、少なくとも2つのタイプのスキームがあります。

  • c&C経由
  • 分散型スキーム。

C&Cボットネットネットワークには次の方法があります。

  • IRC(1つまたは複数);
  • webサーバー経由の制御。
  • インターネットメッセンジャー;

C&Cなし:

  • ピアツーピアネットワーク。
  • 信頼リング;

組み合わせたスキームも可能であり、各テクノロジーの利点を最大限に活用します。ボットネット開発者が制御機能を活用するために独自のプロトコルを作成するのは珍しいことではありません。

まず、[〜#〜] irc [〜#〜]は、通信ネットワークを展開する簡単な方法を可能にするために使用されます。非常に少量のボットの場合、1つのIRCサーバーで十分です。サーバーがボットがオンラインのときのピーク時を処理できない場合は、いくつかのIRCサーバーがしかし、このタイプのネットワークは、最近の深刻なボットネットには向いていません。ここに私のコメントを参照してください: ネットワークスキャナーによる検出を回避するためにポートノッキングを使用することが知られているマルウェア?

Webサーバーを介した最小限の複雑さの制御により、IRCに似ています。ただし、制御方式のバリエーションの可能性が広がります。展開、制御、および緩みも簡単です。ボットネットを制御する最も一般的な方法の1つ。

インターネットメッセンジャーを介した制御は、ボットマスターの頭痛なしにそのようなネットワークを作成することが難しいため、一般的ではありません。一人のアカウントの登録は問題ではありませんが、プロセスの自動化になると問題が発生します。

ピアツーピアボットネットは開発が困難ですが、より安定した堅牢なネットワークを提供できます。

いわゆる「トラストリング」はさらに複雑なスキームですが、分散型のスキームであるため、殺すことは困難です。これは、Skypeで使用されるスキームに似ています。

C&Cボットネットは作成が簡単ですが、殺すのも簡単です-コントロールセンターを破壊するだけです。最後の2種類のC&Cレスボットネットは、悪意のある少年の大企業に真剣に取り組む作家の意図により、深刻なボットネットで使用されることがよくあります。

ところで、ボットネットは悪意のある目的だけでなく使用されます。

13
anonymous

私は同意します、ウェブサイトは簡単であり、Confickerは、ランダムドメイン名作成のスキームを使用してC&Cサーバーをセットアップできることを証明しました。ドメイン名のうち1日(またはコードで定義されている期間)のみ有効です。

しかし、私の意見では、IRCに対するウェブサイトとは対照的なキラー引数は、IRCが許可するinteractiveです。ボットのcontrolです。これは、攻撃者がボットネットからボットを選択してカスタムコマンドを送信できることを意味します。これは、ボットネットをより高度に制御できることを意味します。 IRCが比較的手間が少ないボットネット。一方、Webサイトと同じレベルの制御には、カスタムWebサーバーソフトウェアが最初に必要です。

したがって、一般的にWebサイトは設定が簡単で、HTTPクライアント機能を取得するのは(ほとんどのシステムでは)簡単ですが、悪意のあるユーザーは探しているものは、ストックHTTPサーバーでは簡単に(またはすぐに)利用できません。

ただし、IRCの方がテストが簡単であるおよびという点でMark Davidsonの側にもいます。つかむことができます。

8
0xC0000022L

IRCはボットネットを制御する主要な方法でしたが、 Team Cymruが2010年11月に行った調査によると 、Web制御のボットネットは、 IRCチャネルの従来の方法の5倍。だからあなたの意見は正しいかもしれません。

ボットネット制御にIRCを使用する背後にあると私が言う主な理由の1つは、ボットネットが1999年に出現し始めたとき( ボットネットの歴史 )IRCはすでに11年間存在しており、おそらく多くのユーザーにとって試行錯誤されたコミュニケーションであると考えられていました。

3
Mark Davidson

良いコードやコードを読むことができないスキッドス(ただし、自分自身をh4xorZと呼ぶ)は、取得できるものを使用します。php/ Perl/c-irc-botは簡単に見つかります。私は最近、2001年にさかのぼるがまだ使用されているボットを一掃しました。

あなたのWHYに対する答えの他の部分-質問:システム管理者は自分の仕事をしないからです。通常、サーバーが発信irc接続を許可する必要はありません(または、すべての発信接続を許可します。DCにメールゲートウェイと更新サーバーを使用しているという事実があれば、それは可能です)。

1
that guy from over there

主な理由は、Webサービスを使用するには、攻撃者が独自のWebサービスを実行する必要があるためだと思います。これを行うには、シャットダウンされないようにし、ボットネットコントローラーのPITAがそのトラックをカバーします。 IRCコントロールを使用すると、既存のIRCネットワークを使用して、特定のユーザーとして参加することでボットを制御できます。

1
paj28