C&C PROTOKOLLERİ
Komut ve kontrol (C&C) Botnet protokolleri, geleneksel IRC yaklaşımlarından daha karmaşık sürümlere kadar çeşitli şekillerde uygulanmıştır.
TELNET
Telnet botnetleri, botların botnet'i barındırmak için ana komut sunucusuna bağlandığı basit bir C&C botnet Protokolü kullanır.
Botnet, bir tarama komut dosyası kullanılarak botnet'e eklenir, tarama komut dosyası harici bir sunucuda çalıştırılır ve telnet ve SSH sunucusu varsayılan oturum açma işlemleri için IP aralıklarını tarar.
Bir oturum açma bulunduğunda, bir bulaşma listesine eklenir ve tarayıcı sunucusundaki SSH aracılığıyla kötü amaçlı bir bulaşma hattıyla enfekte olur.
SSH komutu çalıştırıldığında, sunucuya bulaşır ve sunucuya kontrol sunucusuna ping göndermesi için komut verir ve onu etkileyen kötü amaçlı koddan kölesi olur
Böylelikle Sunucular sunucuya bulaştıktan sonra, bot kontrolörü ana sunucudaki C&C panelini kullanarak yüksek hacimli DDoS saldırıları başlatabilir.
IRC
IRC, Client üzerinden bağlanılarak insanların konuşmasını sağlayan bir internet protokolüdür.
IRC ağları basit, düşük bant genişliğine sahip iletişim yöntemlerini kullanır ve bu yüzden botnet'leri barındırmak için yaygın olarak kullanılır.
Yapım aşamasında nispeten basit olma eğilimindedirler ve DDoS saldırılarını ve spam kampanyalarını koordine etmek için orta derecede başarıyla kullanılırken, bir yandan da kapatılmamak için sürekli olarak kanallar arasında geçiş yapabilirler. Bununla birlikte, bazı durumlarda, yalnızca belirli anahtar kelimelerin engellenmesinin IRC tabanlı botnet'leri durdurmada etkili olduğu kanıtlanmıştır.
IRC'yi kullanmanın bir sorunu, her bot istemcisinin botnet için herhangi bir şekilde IRC sunucusunu, bağlantı noktasını ve kanalı bilmesi gerektiğidir.
Kötü amaçlı yazılımdan koruma kuruluşları, bu sunucuları ve kanalları tespit edip kapatarak botnet saldırısını etkin bir şekilde durdurabilir. Bu olursa, müşteriler hala enfekte olurlar, ancak talimat almanın hiçbir yolu olmadığı için tipik olarak uykuda kalırlar.
Bu sorunu hafifletmek için bir botnet birkaç sunucudan veya kanaldan oluşabilir.
Sunuculardan veya kanallardan biri devre dışı kalırsa, botnet basitçe diğerine geçer. IRC trafiğini sniffing ile ek botnet sunucularını veya kanallarını tespit etmek ve bozmak hala mümkündür.
PEE TO PEE(P2P)
IRC ağlarını ve Domainleri kullanan çoğu botnet zamanla kapatılabildiğinden, bilgisayar korsanları, kapatılmayı zorlaştırmanın bir yolu olarak P2P C&C botnetlerine geçtiler.
Bazıları botnet'i diğerlerinden korumak veya kilitlemek için şifrelemeyi de kullandılar.
Çoğu zaman açık anahtarlı kriptografinin hem uygulanması hem de kırılmasında zorlukları olduğu için kullandılar.
DOMAİNS
Birçok büyük botnet yapımlarında IRC yerine etki alanlarını kullanma eğilimindedir.
Genellikle Bulletproof hosting hizmetleriyle barındırılırlar . Bu, en eski C&C türlerinden biridir.
Bir zombi bilgisayar, kontrol komutlarının listesini sunan özel olarak tasarlanmış bir web sayfasına veya etki alanlarına erişmektedir.
C&C olarak web sayfalarını veya etki alanlarını kullanmanın avantajları, büyük bir botnet'in kolayca güncellenebilen çok basit bir kodla etkin bir şekilde kontrol edilebilmesi ve korunabilmesidir.
Bu yöntemi kullanmanın dezavantajları, hatrı sayılır bir büyük ölçekte bant genişliği kullanması ve DOMAİNLERİN devlet kurumları tarafından çok fazla sorun veya çaba olmaksızın hızla ele geçirilebilmesidir.
Botnet'leri kontrol eden DOMAİNLER ele geçirilmezse, DDOS ile uzlaşması ile kolay hedefler haline gelir.
Fast-flux DNS , günden güne değişebilen kontrol sunucularının izlenmesini zorlaştırmanın bir yolu olarak kullanılabilir. Kontrol sunucuları, denetleyici sunucuları için yeni DNS adları oluşturmak için kullanılan etki alanı oluşturma algoritmalarıyla , DNS etki alanından DNS etki alanına da atlayabilir .
Bazı botnet'ler , bir alt alanı botları barındıran bir IRC sunucusuna yönlendirmek için DynDns.org , No-IP.com ve Afraid.org gibi ücretsiz DNS barındırma hizmetlerini kullanır . Genellikle çalıştırılabilir botnet'e sabit kodlanırlar.
Bu sayede ücretsiz DNS hizmetlerinin kendileri saldırıları barındırmasa da, referans noktaları sağlarlar (Bu tür hizmetlerin kaldırılması tüm botnet'in işlevini aksatabilir.)
Büyük Sosyal Medya Siteleri ve Tor Gizli Servisler
GitHub, Twitter,Reddit, Instagram, açık kaynak anlık ileti protokolü ile ve Tor gizli servisleriyle bir C&C sunucusuyla iletişim kurmak için çıkış filtrelemesinden kaçınmanın popüler yollarıdır .
Last updated
