web-dev-qa-db-ja.com

CCサーバーはローカルネットワークのボットネットボットとどのように通信しますか?

より一般的な質問 ボットはZeusボットネットでどのように通信しますか? は私の質問に実際に対応していません。

ボットがコマンドアンドコントロール(CC)マシンと通信する方法を理解しようとしています。技術レベルでは、ボットがソケットを使用していることを知っていますが(たとえば)、CCがボット/コンピューター(おそらくLANプライベートネットワーク内にある)にコマンドを送信する方法がわかりません。多くのコンピュータは、ボックスの後ろのLANまたはルーターにあります。したがって、サーバーとのポートの背後で通信するには、NATを使用する必要があると思います。

これがどのように機能するか誰でも説明できますか?

botnetrouternat
8
kafson

通常、ボットに接続するのはコマンドアンドコントロールインフラストラクチャではありません。システムが感染したことを魔法のように知ることができないためです。 C&Cインフラストラクチャに接続してコマンドを要求するのはボットネットクライアントです。

ほとんどのルーター(少なくともコンシューマーセグメント内)は、ネットワーク内部からネットワーク外部のシステムに接続を盲目的に転送するように構成されています。外部からサービスにアクセスする必要がある場合にのみ、ポート転送を構成する必要があります。

ボットがC&Cサーバーに正確に接続する方法は、ボットネットによって大きく異なります。他のプロトコル(HTTPなど)になりすまし、TORなどの匿名化ネットワークや他のさまざまな方法を使用して、簡単に検出されないようにします。

12
Philipp

あなたのウェブブラウザがするのと同じ方法で

一部のボット(Stuxnetなど)は非常に高度な代替ルートを持っている可能性がありますが、それらのほとんどは、攻撃者が制御するC&Cサーバーへのhttps接続を開始するだけです。それが機能しない場合がありますが、ほとんどのネットワークはそのような接続を許可するように構成されており、ほとんどの自動スクリーニング/フィルタリングツールはそれを異常として検出しません。

ボットがその接続を確立すると、適度に安全なチャネル(ロギングを防止するために暗号化され、シミュレーションやオーバーテイクドメインではなく実際のC&Cに接続していることがわかるように認証されている)があり、実行するために定期的にポーリングして注文と他の/バックアップC&Cサーバーのリスト。

0
Peteris

ボットがCCと通信する方法は、通常のプログラムが相互に通信する方法と違いはありません。ほとんどのボットには、実際のサーバーであるCCがあります。つまり、実際のIPアドレスがあり、ポートをリッスンできます。多くは、HTTP、XML-RPC、SMTP/POP/IMAP、IRC、Webソケットなどの標準プロトコルを使用し、一部はTCPまたはUDPで記述されたカスタムプロトコルを使用します。ほとんどは暗号化および/または通常はTLS(HTTPSなど)の標準的な暗号化ソケットを使用して、検出を回避するためにプロトコルをプロキシします。少数のユーザーは、中央のコマンドと制御の代わりにピアツーピアを行います。ピアツーピアの通信に使用される手法は、基本的に他のピアと同じですピアプロトコルへ。

ボットは着信接続を制限するネットワークトポロジを処理する必要があります。これは正当なアプリケーションと同じです。使用される手法は正規のアプリケーションと同じです。ボットは、正規のアプリケーションと同様に、双方向ソケットを開く接続を開始する必要があります。このような双方向ソケットにより、外部システムはプッシュする必要のあるデータをプッシュできます。

0
Lie Ryan

これらはすべて異なるため、質問ごとに直接回答するわけではなく、次のリンクは古くなっています...しかし、分散スコープ(P2Pがマスクされた/動的/オンデマンドのC&Cでどのように機能するか)を説明するPDFの一部を次に示します層)。クールなレガシーは、以下に関係なく読み取ります。

ヌガチェ:

マルウェアは1日に複数のインバウンド接続を受信し、1日に複数のアウトバウンド接続を作成(または試行)します。全体として、ある時点で約12の接続がアクティブであり、定期的なピアリストの交換、ソフトウェアの比較とアップグレード、および一連の数値コマンドによる単純なコマンドで構成されています。

https://staff.washington.edu/dittrich/misc/malware08-dd-final.pdf

トルピッグ:

前述したように、Torpigはローカルマシンで2つのポートを開きます。1つはSOCKSプロキシとして使用され、もう1つはHTTPプロキシとして使用されます。私たちが観察したマシンの20.2%は公にアクセス可能でした。したがって、それらのプロキシは悪意のあるユーザーによって簡単に利用され、たとえば、スパムを送信したり、匿名でナビゲートしたりできます。

https://seclab.cs.ucsb.edu/media/uploads/papers/torpig.pdf

ピーコム:

ピアツーピアボットネットには、より高い柔軟性があります。 Trojan.Peacommボットは、攻撃者がピアツーピアアーキテクチャでボットにコマンドを発行するための1つの方法を提供します。基本的に、ボットは任意のセカンダリインジェクションをダウンロードするため、ボットのペイロードに柔軟性を持たせることができます。

http://juliangrizzard.com/pubs/2007_grizzard_hotbots.pdf

0
dhaupin