vx7.pl - hacking / coding / vx | Poland |

 Kanały komunikacji Command&Control

Napisane  23 lipca 2018 godz. 07:50 przez  Dawid_vx7

1. Command & Control — informacje ogólne

Złośliwe oprogramowanie typu Command and Control (w skrócie C&C) służy do wydawania rozkazów zainfekowanym urządzeniom. Najprostszym sposobem komunikacji jest utworzenie serwera C&C z którego przejęte przez atakującego maszyny pobierają polecenia, które mają wykonać np. rozproszony atak odmowy usługi (ang. Distributed Denial of Service) czy inne szkodliwe działania.

Jednak pojedynczy, samodzielny serwer powoduje centralizację i jeśli zostanie „zdjęty” to atakujący może stracić dostęp do całej sieci komputerów zombie (ang. botnet), którą stworzył.

2. Kanały komunikacji C&C

W celu utrudnienia wykrycia i dezaktywacji sieci zainfekowanych komputerów, hakerzy spod znaku black hat wymyślają coraz to nowsze sposoby na komunikację i zdalne sterowanie.

Poniżej przedstawiono niektóre sposoby komunikacji w programach C&C:

  • Serwer ze statycznym IP — komunikacja może odbywać się poprzez protokół TCP, IRC (ang. Internet Relay Chat), FTP (ang. File Transfer Protocol) czy też HTTP (nawet z użyciem szyfrowania SSL/TLS). Serwer może być utrzymywany na tak zwanym kuloodpornym hostingu (ang. Bulletproof Hosting), który potrafi mocno utrudnić zablokowanie serwera C&C.
  • Dynamiczny DNS (ang. Dynamic Domain Name System) — w przypadku „zdjęcia” serwera możliwe jest uruchomienie kolejnego pod innym adresem IP, ale tym samym hostem (domeną). Złośliwe oprogramowanie mając zapisany adres serwera jako domena może bez problemu łączyć się i pobierać polecenia z nowego serwera.
  • Połączenia P2P (ang. Peer-to-peer) — złośliwy program zainstalowany na zainfekowanych komputerach działa jak klient sieci P2P. Powoduje to rozproszenie, decentralizację sterowania siecią maszyn zombie.
  • Portale internetowe — zdalne sterowanie zainfekowanymi komputerami odbywa się poprzez umieszczanie poleceń np. w portalach społecznościowych lub innych globalnych usługach. Dość pomysłowe rozwiązanie. Post czy komentarz w serwisie internetowym może mieć w sobie ukryte polecenie, które pobiera i wykonuje złośliwa aplikacja.
  • i inne... — polecenia dla botnetu mogą być również np. ukryte w obrazkach itp.

Umieszczanie poleceń dla botnetu np. na portalu społecznościowym daje dodatkowy czas atakującemu w przypadku wykrycia. Może on wtedy przykładowo zmienić adres URL do zdalnego wydawania rozkazów na inny.

3. Zakończenie

Artykuł przedstawia sposoby działania twórców botnetów w celach informacyjnych. Nie zachęca do działań niezgodnych z prawem. Dzięki za przeczytanie :)

Tagi:  hacking  VX 


Wszystkie treści, kody źródłowe i programy umieszczone na portalu vx7.pl są chronione prawem autorskim. Surowo zabronione jest kopiowanie i rozpowszechnianie zawartości tej witryny bez zgody autora. Wszelkie materiały opublikowane na portalu vx7.pl służą jedynie celom edukacyjnym. Autorzy portalu vx7.pl i materiałów umieszczanych na nim nie biorą odpowiedzialności za niewłaściwe wykorzystanie udostępnionych zasobów. Nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania zasobów zawartych w witrynie. Osoby zarządzające portalem vx7.pl zastrzegają sobie prawo do usunięcia wpisów opublikowanych przez użytkowników bez podania przyczyny. Wszelkie znaki towarowe i nazwy zastrzeżone zostały użyte jedynie w celach informacyjnych i należą wyłącznie do ich prawnych właścicieli. Korzystając z zasobów portalu vx7.pl oświadczasz, że akceptujesz powyższe warunki.