it-swarm-es.com

¿Por qué las botnets usan IRC pero no un servicio web para la comunicación?

IRC parece ser la forma más destacada de comunicación dentro de las botnets.

¿Por qué los atacantes eligen IRC?

En mi opinión (muy ingenua), configurar n servicio web es mucho más fácil.

14
user1221

Existen al menos dos tipos de esquemas para controlar las botnets:

  • a través de C&C;
  • esquema descentralizado;

Existen las siguientes formas de redes de botnet de C&C:

  • IRC (uno o muchos);
  • control a través de servidores web;
  • mensajeros de internet;

Sin C&C:

  • redes de igual a igual;
  • anillos de confianza;

Los esquemas combinados también son posibles, tomando así lo mejor de cada tecnología. No es raro que los desarrolladores de botnets creen sus propios protocolos para aprovechar las capacidades de control.

En primer lugar, se utiliza [~ # ~] irc [~ # ~] porque permite una forma sencilla de implementar la red de comunicación. Para una cantidad muy pequeña de bots, es suficiente con un servidor IRC, cuando el servidor no puede manejar algunos momentos pico de cuando los bots están en línea, varios IRC servidores pueden unirse. Pero, este tipo de redes no es para botnets serias hoy en día. Vea mis comentarios aquí: ¿Se sabe que el malware utiliza el golpeteo de puertos para evadir la detección de los escáneres de red? .

Mediante un control de complejidad mínima a través del servidor web es similar al IRC. Sin embargo, permite más posibilidades de variaciones del esquema de control. Es fácil de implementar, controlar y perder también. Una de las formas más populares de cómo controlar botnet.

El control a través de mensajeros de Internet no es popular, porque es difícil crear dicha red sin dolor de cabeza para botmaster. El registro de cuentas para una persona no es un problema, pero cuando se trata de la automatización del proceso, comienzan los problemas.

Las botnets punto a punto son difíciles de desarrollar, pero pueden proporcionar una red más estable y robusta.

El llamado " anillo de confianza " es un esquema aún más complejo, pero debido a su forma de esquema descentralizado es difícil matarlo. Esto es similar al esquema que se usa en Skype.

Las botnets C&C son fáciles de crear, pero también fáciles de matar: simplemente destruya el centro de control. Los dos últimos tipos de botnets sin C & C se ven a menudo utilizados en botnets serias, debido a que los autores realmente serios intentan estar en el gran negocio de los chicos malos.

Por cierto, las botnets se usan no solo con fines maliciosos.

13
anonymous

Estoy de acuerdo, los sitios web son más fáciles y Conficker, por ejemplo, demostró que se puede usar un esquema de creación aleatoria de nombres de dominio para configurar servidores C&C, donde cada uno de los nombres de dominio es válido solo por un día (o cualquier período que defina el código).

Pero en mi opinión, el argumento decisivo para IRC en lugar de un sitio web es que IRC permite interactivo control del bot. Eso significa que un atacante puede elegir cualquiera de los bots de la botnet y enviarle comandos personalizados. Esto significa que tiene un grado mucho mayor de control sobre un botnet con IRC con un esfuerzo comparativamente bajo, mientras que el mismo nivel de control con un sitio web requeriría en primer lugar un software de servidor web personalizado.

Entonces, aunque en general un sitio web es más simple de configurar y (en la mayoría de los sistemas) es más fácil obtener la funcionalidad del cliente HTTP, las características que los malos son buscando no están fácilmente (o fácilmente) disponibles en los servidores HTTP de stock.

Sin embargo, también estoy del lado de Mark Davidson en que IRC simplemente está mejor probado y que hay implementaciones por ahí que puede ser agarrado.

8
0xC0000022L

El IRC solía ser el método principal para controlar las botnets, pero según una investigación realizada por Team Cymru en noviembre de 201 , las botnets controladas por la web ahora superan en número a las controladas por el método tradicional del canal IRC por un factor de cinco. Entonces su opinión puede ser correcta.

Una de las razones principales que diría detrás del uso de IRC para el control de botnets es que cuando las botnets comenzaron a surgir en 1999 ( History of the Botnet ) IRC había existido durante 11 años y probablemente se consideraba una comunicación probada para muchos usuarios.

3
Mark Davidson

los skiddos que no pueden leer bien o codificar (pero se llaman h4xorZ) toman lo que pueden obtener, y php/Perl/c - se encuentran fácilmente los irc-bots. Recientemente eliminé un bot que databa de 2001 pero que todavía se usaba.

La otra parte de la respuesta a su pregunta POR QUÉ: porque los administradores de sistemas no hacen su trabajo. Por lo general, no es necesario que un servidor permita conexiones irc salientes (o ninguna conexión saliente, dado que utiliza una puerta de correo y un servidor de actualización para su CC)

Creo que una razón importante es que para usar un servicio web, un atacante tendría que ejecutar su propio servicio web. Para hacer esto, evite que se apague, y cubrir sus pistas es un PITA para el controlador de botnet. Con el control IRC) pueden usar una red existente IRC, y controlar los bots uniéndose como un usuario particular.

1
paj28