2014.10.31
The Attack and Defense of Computers 141029
Dr. Fu-Hau Hsu (許富皓)
C&C (Command and Control) System

# Botnet(通訊協定重要)構建於IRC-Network(見講義p.51)
Botmaster set C&C server => usually IRC server
被感染後連回去,IRC botnet加入IRC channel,監聽訊息達到互相溝通的目的。
(1)   Centralized Model
高頻寬電腦(High bandwidth)被選為C&C Server,只要bot入侵則加入C&C Server,有些在加入Channel時需要輸入密碼。
*一台電腦可能同時被不同攻擊者入侵,同時屬於不同botnet,例如B1和B2同時入侵電腦H,B2可sniff traffic B1的Channel password,B2可加入B1之Botnet,得知Command後可將B1之Botnet全部撈走。
早期Botnet揭示Centralized架構,可寄生在熱門通訊軟體中進行。
IRC Service是原本就有的功能,IRC based botnet則是後期出現(合法技術濫用)
優點:C&C架構的訊息傳遞時間少
缺點:大量訊息=>weakest(早期只要找到server便能掛掉botnet,現在技術可換central)
(2)   P2P Based Model(即使被抓到也能繼續運轉)
比C&C Server 難發覺/摧毀,存活率上升,size較小
 
(3)   Random Model(臆測階段)=> Scalability problem
 
# Rallying Mechanisms(聚集)
(1)   Hard-coded IP Address(早期)
A bot includes hard-coded C&C server IP address in its binary.
->C&C Server 容易被臆測->只要一台被抓,C&C Server就會被抓
通訊channel易被Block
(2)   Dynamic DNS Domain Name
The bots today often include hard-coded domain names, assigned by dynamical DNS providers.
(3)   Distributed DNS Service
Botnet自己架DNS service=>不用follow原通訊協定,並能提升port位置,難以偵測(低port給standard service用,高位置通常給user使用)
 
# Commutation Portal 通訊協定
èBot之間,Bot master間須互相通訊
è影響Botnet建立方式
èMost cases, botnet don’t create new network protocols.(不引人注目、便利)───通常使用已存在之protocols
觀察traffic可知botnet之通訊對象、來源、tool
E.g. IRC, HTTP, P2P
 
# Evasion Techniques(規避技術)例如隱藏目錄、Rootkit
èFor AV, IDS(針對掃毒)e.g. sophisticated, executable packers(加密、壓縮變形),增加存活率及攻擊成功機會
è通訊規避,e.g. fast-flux 隱藏通訊來源、隱藏內容=>加密(如TCP)、修改protocols
# Observable Activities(正常行為/惡意行為)
(1)   Network based behavior
i.                    Observable commutation => 平時通訊之traffic => IRC|HTTP => abnormal patterns(奇怪Domain Name,觀察IP變化)
ii.                  Observable Attacking traffic => 預備攻擊與實際攻擊之行為不同
(2)   Host-based behavior(單機)例如竄改systemfile
(3)   Global correlated behavior(廣域如:洲、全球)-> DNS traffic
Use dynamic DNS entry to track C&C server,若DNS entry被竄改,則大量DNS queries
comment 0 trackback 0
引用 URL
http://icebreak310.blog.fc2blog.us/tb.php/202-961ea7ff
引用:
留言:
只对管理员显示