it-swarm-korea.com

봇넷이 IRC을 사용하지만 통신에 웹 서비스는 사용하지 않는 이유는 무엇입니까?

IRC는 여전히 봇넷 내에서 의사 소통을위한 가장 두드러진 방법으로 보입니다.

공격자는 왜 IRC를 선택합니까?

내 (매우 순진한) 견해로는 웹 서비스를 설정하는 것이 훨씬 쉽습니다.

14
user1221

봇넷을 제어하는 ​​방법에는 최소한 두 가지 유형이 있습니다.

  • c & C를 통해;
  • 탈 중앙화 계획;

C & C 봇넷 네트워크에는 다음과 같은 방법이 있습니다.

  • IRC (하나 이상);
  • 웹 서버를 통한 제어;
  • 인터넷 메신저;

C & C없이 :

  • 피어 투 피어 네트워크;
  • 트러스트 링;

결합 된 계획도 가능하므로 각 기술을 최대한 활용하십시오. 봇넷 개발자가 자신의 프로토콜을 만들어 제어 기능을 활용하는 경우는 드물지 않습니다.

우선 IRC 는 통신 네트워크를 간단하게 배포 할 수 있기 때문에 사용됩니다. 매우 적은 양의 봇의 경우 하나의 IRC 서버로 충분합니다. 서버가 봇이 온라인 상태 일 때 피크 순간을 처리 할 수없는 경우 여러 IRC 서버를 참여시킬 수 있습니다. 그러나 오늘날 이러한 유형의 네트워크는 심각한 봇넷이 아닙니다. 내 의견은 여기를 참조하십시오 : 네트워크 스캐너로 탐지를 피하기 위해 포트 노킹을 사용하는 것으로 알려진 맬웨어? .

최소한의 복잡성 제어를 통해 web server는 IRC와 유사합니다. 그러나 제어 체계 변형 가능성이 더 높습니다. 배포, 제어 및 풀기가 쉽습니다. 봇넷을 제어하는 ​​가장 보편적 인 방법 중 하나입니다.

인터넷 메신저를 통한 제어는 봇 마스터에게 두통없이 그러한 네트워크를 만들기가 어렵 기 때문에 인기가 없습니다. 한 사람의 계정을 등록하는 것은 문제가되지 않지만 프로세스 자동화와 관련하여 문제가 시작됩니다.

Peer-to-Peer 봇넷은 개발하기 어렵지만보다 안정적이고 강력한 네트워크를 제공 할 수 있습니다.

소위 "trust ring"은 훨씬 더 복잡한 방식이지만 분산 된 방식이기 때문에 죽이기 어렵습니다. 이는 Skype에서 사용되는 체계와 유사합니다.

C & C 봇넷은 쉽게 생성 할 수 있지만 쉽게 제어 센터를 파괴 할 수 있습니다. C & C-less 봇넷의 마지막 두 가지 유형은 심각한 봇넷에서 자주 사용되는 것으로 보입니다.

그런데 봇넷은 악의적 인 목적으로 만 사용되는 것이 아닙니다.

13
anonymous

웹 사이트는 easier이고 Conficker는 임의의 도메인 이름 생성 체계를 사용하여 C & C 서버를 설정할 수 있다는 데 동의합니다. 각 도메인 이름은 하루 동안 만 유효합니다 ( 또는 코드가 정의하는 기간이 무엇이든).

그러나 내 의견으로는 IRC에 대한 킬러 논쟁은 웹 사이트와 반대로 IRC 허용 interactive control) 공격자는 봇넷에서 봇을 골라 사용자 지정 명령을 보낼 수 있습니다 IRC 웹 사이트에 대한 동일한 수준의 제어에는 우선 사용자 지정 웹 서버 소프트웨어가 필요합니다.

따라서 일반적으로 웹 사이트 is 설정이 간단하고 (대부분의 시스템에서) HTTP 클라이언트 기능을 얻는 것이 더 쉽지만, 악의적 인 사용자가 찾고있는 기능은 쉽게 (또는 쉽게) 사용할 수 없습니다 재고 HTTP 서버.

그러나 Mark Davidson과 함께 IRC 테스트를 더 잘하는 것이 더 좋습니다 and.

8
0xC0000022L

IRC는 봇넷을 제어하는 ​​기본 방법 이었지만 2010 년 11 월 Team Cymr 에 의해 수행 된 연구에 따르면 웹 제어 봇넷은 기존의 IRC 채널 방법으로 제어 된 봇넷보다 수 5 배로 따라서 귀하의 의견은 정확할 수 있습니다.

봇넷 제어에 IRC를 사용하지 않은 주요 이유 중 하나는 1999 년에 봇넷이 등장하기 시작했을 때 ( 봇넷 기록 ) IRC 이미 11 년 동안 사용되어 왔으며 아마도 많은 사용자에게 시도되고 테스트 된 커뮤니케이션으로 간주되었을 것입니다.

3
Mark Davidson

좋은 책이나 코드를 읽을 수없는 스키도 (하지만 스스로 h4xorZ라고 부름)는 얻을 수있는 것을 취하고 php/Perl/c-irc-bots를 쉽게 찾을 수 있습니다. 나는 최근 2001 년으로 거슬러 올라간 봇을 지 웠지만 여전히 사용되었습니다.

WHY에 대한 답변의 다른 부분-질문 : sysadmins가 작업을 수행하지 않기 때문입니다. 일반적으로 서버가 나가는 irc- 연결을 허용 할 필요가 없습니다 (또는 나가는 연결은 전혀 DC에 대해 메일 게이트웨이와 업데이트 서버를 사용한다는 사실을 알고 있습니다).

공격자가 웹 서비스를 실행해야하는 웹 서비스를 사용하는 것이 주된 이유라고 생각합니다. 이렇게하려면 시스템 종료를 피하고 트랙을 커버하는 것이 봇넷 컨트롤러의 PITA입니다. IRC 제어를 통해 기존 IRC 네트워크를 사용하고 특정 사용자로 참여하여 봇을 제어 할 수 있습니다.).

1
paj28