Każde oprogramowanie się rozwija. Jak można przeczytać w tej publikacji, także fast-flux, najbardziej skuteczna technologia p2p do komunikacji zainfekowanych hostów z serwerem C&C.
Przypomnijmy jak to wszystko działa: zombie-końcowe łącza się do zombie-pośredników, które łączą się do serwera C&C. Każdy zarażony host może zostać pośrednikiem bądź serwerem C&C. Do tego domeny zmieniają adresy IP bardzo szybko, co w oczywisty sposób utrudnia namierzenie takiego szkodnika.
Mimo wymienionych utrudnień, botnet wykorzystujący technologię fast-flux ma także wady. Jeżeli wyeliminujemy zombie-pośrednika, to chwilowo odłaczymy od reszty struktury jakąś część zombie-końcowych, które tego pośrednika wykorzystują. Chwilowo, ponieważ boty poszukają sobie nowego pośrednika, i zapewne go znajdą. Jeżeli natomiast namierzymy i wyłączymy serwer C&C, botnet straci sterowanie. Tak, jest to trudne, ale wykonalne. Przynajmniej podobno tak mówią ;-).
Czyli najsłabsze ogniwo to serwer C&C. Rozwiązanie, jakie tu zastosowano jest naprawdę proste, i na pierwszy rzut oka wydaje mi się, że będzie miało wysoką skuteczność. Jak to działa? standardowa technologia fast-flux została wzbogacona o… prosty failover ;-). Po prostu bot łączący się za pierwszym razem do C&C dostaje listę wielu serwerów C&C, pomiędzy którymi jest oczywiście zachowana łączność – w celu utrzymania spójności zarządzania. Stąd też zapewne wzięła się nazwa, tak jak w przypadku hydry ucięcie jednej głowy nie załatwi problemu. Głowy odrosną. Dokładnie tak jest też i tutaj. Eliminowanie zarazy zrobiło się jakby trudniejsze…
Obrazek tytułowy do posta pochodzi stąd.
Jeden komentarz do
2 sierpnia, 2008 o godzinie 07:11
jak w medycynie – zarazę trzeba eliminować inną zarazą :)