Виживання ботнетів та DNS

Книги: "Створення сайтів" - "Доменні війни". Захист інформації: технічний опис TLS, тестовий серверTLS 1.3. Ресурси: LaTeX

Виживання ботнетів та DNS

виживання
Ботнети активно використовують DNS. У тому числі для такої життєво важливої ​​функції, як забезпечення зв'язку з центрами управління. Ось у статті за посиланням розібрано механізм генерації доменних імен хробаками ботнету Srizbi. (Текст за посиланням технічний, буде цікавим лише фахівцям.)

Взагалі тут цікаво відзначити кілька моментів, які, безсумнівно, визначать розвиток ботнетів вже в найближчому, 2009, році.

Скажімо, код хробака, який формує ботнет, обов'язково доступний аналітикам для вивчення, так що творцям ботнетів (кваліфікованим, принаймні) потрібно це розуміти та враховувати фактор відкритості коду у своїх алгоритмах. Так, в описаному тільки-но випадку Srizbi, послідовність "зв'язкових доменів" була визначена за допомогою аналізу вихідного коду черв'яка, після чого залишалося лише зареєструвати потрібні домени раніше господарів ботнета і перехопити частину зомбі-машин - ті з них, які в даний період часу звернулися за новими інструкціями: зрозуміло, що ботнет поступово оновлюється. Природно, цей ефект врахують розробники наступного покоління черв'яка.

А ці машини - зовсім і не центри управління, а такі ж зомбі, тільки з іншого ботнета, простіше. Машини працюють proxy-серверами, перенаправляючи запити на якийсь, можливо цілком офіційний, хостинг. На цьому хостингу вже працює справжній центр керування ботнетом. Втім, найкращий варіант - якийсь заражений сайт, з якого непомітно забирають команди черв'яки ботнета.

Кінці добре заховані.

Можна шукати тих, хто налаштовуєDNS для шкідливих доменів, але це вельми непросто вже й для доменів другого рівня: потрібно зв'язуватися з реєстратором, запитувати дані (а реєстратор їх так просто не може видати), перевіряти отримані дані, переконуватися, що вони липові і таке інше. А для доменів нижче за третій рівень – ситуація ще складніша, реєстратор їх безпосередньо взагалі не контролює: хто там править файли зон – невідомо.

У принципі всі ці технології вже освоєні. Проблема Srizbi, мабуть, у тому, що механізми виживання реалізовані в ньому неповно, з якихось внутрішніх інженерних причин творців. Можливо, використали недостатньо сучасний комплект бібліотек та засобів розробки. А ось вже наступного року, тому що в DNS ситуація рівним рахунком не змінилася (попри всі зусилля), з'являться вже куди більш налагоджені бібліотеки і модулі і, як результат, живучі ботнети. А живучий ботнет - це великий ботнет, тому що чисельність машин-зомбі знаходиться в прямій залежності від часу активного життя (в контакті з "нервовим центром") одного хробака.