Оцеляване на ботнет и DNS

Книги: "Създаване на сайтове" - "Войни на домейни". Информационна сигурност: техническо описание на TLS, тестов сървърTLS 1.3. Ресурси: LaTeX

Оцеляване на ботнет и DNS

оцеляване
Ботнет мрежите активно използват DNS. Включително за такава жизненоважна функция като осигуряване на комуникация с контролни центрове. Тук, в статията по препратка, механизмът за генериране на имена на домейни от червеи на ботнет Srizbi е разглобен. (Текстът на линка е технически, ще представлява интерес само за специалисти.)

Като цяло тук е интересно да се отбележат няколко момента, които несъмнено ще определят развитието на ботнетите през следващата 2009 година.

Например, кодът на червей, който образува ботнет, е задължително достъпен за анализатори за проучване, така че създателите на ботнети (поне квалифицирани) трябва да разберат това и да вземат предвид фактора на отворен код в своите алгоритми. И така, в току-що описания случай на Srizbi, последователността от „свързани домейни“ беше определена чрез анализиране на изходния код на червея, след което оставаше само да се регистрират необходимите домейни пред собствениците на ботнета и да се прихванат някои от зомби машините - тези, които кандидатстваха за нови инструкции в даден период от време: ясно е, че ботнетът се актуализира постепенно. Естествено, разработчиците на следващото поколение на червея ще вземат предвид този ефект.

И тези машини изобщо не са контролни центрове, а същите зомбита, само от друга, по-проста ботнет. Машините работят като прокси сървъри, пренасочвайки заявки към някои, може би съвсем официални, хостинг. Този хостинг вече има истински контролен център за ботнет. Най-добрият вариант обаче е някой заразен сайт, от който ботнет червеите тихо приемат команди.

Краищата са добре скрити.

Можете да търсите тези, които са настроилиDNS е за злонамерени домейни, но вече е много трудно за домейни от второ ниво: трябва да се свържете с регистратора, да поискате данни (а регистраторът просто не може да ги даде), да проверите получените данни, да се уверите, че са фалшиви и т.н. А за домейните под третото ниво ситуацията е още по-сложна, регистраторът изобщо не ги контролира директно: не се знае кой управлява зоновите файлове там.

По принцип всички тези технологии вече са усвоени. Проблемът на Сризби очевидно е, че механизмите за оцеляване не са напълно внедрени в него поради някои вътрешни инженерни причини на създателите. Може би са използвали недостатъчно модерен набор от библиотеки и инструменти за разработка. Но през следващата година, тъй като ситуацията в DNS не се е променила в еднаква степен (въпреки всички усилия), ще се появят много повече дебъгвани библиотеки и модули и в резултат на това по-упорити ботнети. И упоритият ботнет е голям ботнет, защото броят на зомби машините е пряко пропорционален на времето на активен живот (в контакт с "нервния център") на един червей.