Najwyraźniej botnet Storm stracił koronę. Do niedawna uważany za największy, został zdetronizowany przez botnet nazwany roboczo Kraken. W/gWedług odkrywców, z firmy Damballa, na botnet składa się armia 400 000 zombie.
Ciekawy jest fakt, że Kraken zaatakował głównie komputery korporacyjne około 80 firm ze znanej listy Fortune 500 Forbesa. Widać ktoś odkrył, że nie tylko komputery użytkownika końcowego mogą być przydatne jako część armii zombie.
Kraken wykorzystuje do komunikacji własny protokół oparty o TCP i UDP, co nowością raczej nie jest, jednak cała transmisja jest szyfrowana. To dla odmiany jest nowość, ponieważ większość „standardowych” botów korzysta w dalszym ciągu z protokołów nieszyfrowanych. Widać szyfrowanie transmisji już nie zajmuje tyle mocy obliczeniowej co kiedyś.
Bardzo interesujący jest natomiast sposób komunikacji z C&C. Kraken ma wbudowane mechanizmy redundancji, które w razie likwidacji jednej centrali, pozwalają się połączyć do innej. Znamienne, że operatorzy botnetu nie wybrali modelu fast-flux, być może zwykły failover na dwie czy trzy dodatkowe centrale w zupełności wystarczy.
Botnet został wykryty pod koniec zeszłego roku, jednak jego wczesne ślady są datowane nawet na rok 2006. Jak widać, w tym „biznesie” zdecydowanie pomaga brak rozgłosu. Serwery C&C są zlokalizowane we Francji oraz w Rosji.
2 komentarze do
8 kwietnia, 2008 o godzinie 15:56
Ja tak trochę ortograficznie :)
„W/g odkrywców, firmy Damballa, na botnet składa się armia 400 000 zombie.”
Wszystkie skróty typu „w/w”, „j/w”, „w/g” są niepoprawne. Należy używać litery pierwszej i ostatniej albo pierwszej, którejś z środka i kropki. Według: http://so.pwn.pl/lista.php?co=wed%B3ug
W powyższym zdaniu jest również za dużo przecinków oraz dziwne określenie tych odkrywców. Najpierw liczba mnoga (odkrywcy), potem pojedyncza (firma).
8 kwietnia, 2008 o godzinie 20:04
Usterki poprawione. Nikt nie jest doskonały, chociaż może to i dobrze ;-)