先发一个我以前给别人写的一个邮件的内容,他们有大网管理权限,他们只需要“追踪”,我们没有大网,只有去“追寻”(如果有人愿意提供大网资源,在下不胜感激),这比追踪又多了一层困难,先看看下面的介绍吧,大家有什么好的想法和资源请跟帖。
*最终目的,完全控制这个botnet
随着钓鱼攻击和IE EXP的广泛流传,通过挂马十分容易收集到大量的肉鸡,而对大量肉鸡的管理,最好的办法就是通过irc了,因为现在一般的木马都是直接C/S模式,一个client管理多个server端的,一旦肉鸡太多,client会处理不过来:)而做成专业的傀儡式的木马我暂时还没听说。
在学校的时候,ircbot也算是比较流行的后门之一,我在河南CERNET出口折腾过一下子这个事,不过可能因为当时ircbot主要还是下在服务器上,而不是象现在都下在一些终端的桌面机上,那时CERNET出公网速度又慢,基本上没抓到任何东西:(
在学校的时候,ircbot也算是比较流行的后门之一,我在河南CERNET出口折腾过一下子这个事,不过可能因为当时ircbot主要还是下在服务器上,而不是象现在都下在一些终端的桌面机上,那时CERNET出公网速度又慢,基本上没抓到任何东西:(
关于追踪botnet,我现在有如下的想法:
botnet的组成:
1:桌面系统,攻击难度低,方式单一,往往通过挂马收集,但随机性强,没有目标意识,但bot来的十分之快,botnet管理者所需要付出的劳动也十分之少,是现在比较流行的bot类型,但bot相对不怎么稳定,可能会遇到重装系统什么之类的。
2:服务器系统,攻击难度相对高,攻击方式很多,有的通过web漏洞进入,有的通过扫描弱密码进入,有的通过0day
exp攻击进入。而这类攻击大多数是针对linux/bsd系统,不需要root就可以挂bot了的。
1:桌面系统,攻击难度低,方式单一,往往通过挂马收集,但随机性强,没有目标意识,但bot来的十分之快,botnet管理者所需要付出的劳动也十分之少,是现在比较流行的bot类型,但bot相对不怎么稳定,可能会遇到重装系统什么之类的。
2:服务器系统,攻击难度相对高,攻击方式很多,有的通过web漏洞进入,有的通过扫描弱密码进入,有的通过0day
exp攻击进入。而这类攻击大多数是针对linux/bsd系统,不需要root就可以挂bot了的。
botnet的表现:botnet是数量大,而且一次性目标地址和端口单一,但目标地址是多变的,而目标端口一般来说是固定的,当然根据bot的编写会有所不同。
先可以在设备上做netflow之类的,抓一下,看irc的常用端口6667 6668 6669
7000的情况,如果遇到有厚道的同学直接用了默认端口下bot,那么就可以直接跟过去了,至于服务器密码,频道密码什么的,抓一下包即可获得。
7000的情况,如果遇到有厚道的同学直接用了默认端口下bot,那么就可以直接跟过去了,至于服务器密码,频道密码什么的,抓一下包即可获得。
如果无法直接从端口检测的话,那么可能就要上sniffer了,或许这个应该是一个分布式的,通过sniffer的协议检测,发现irc流量,然后再跟过去。
跟过去之后,基本上算是跟上了一个botnet了,但是botnet的主人很可能会不定期的更换irc server,这个大致会有三种形式
1:根据bot里写死的几个server地址调换,比如1 server挂了,就自动登陆到2 server去。
2:通过修改域名的解析地址来调换server。
3:直接给bot下命令换server。
对于1和2,如果我们没有进入某个bot去观察,基本上这个事情我们又要从头做起去追踪去检测。
1:根据bot里写死的几个server地址调换,比如1 server挂了,就自动登陆到2 server去。
2:通过修改域名的解析地址来调换server。
3:直接给bot下命令换server。
对于1和2,如果我们没有进入某个bot去观察,基本上这个事情我们又要从头做起去追踪去检测。
所以我觉得在找到一个irc server之后,应该迅速的想办法获得某个bot的权限,要么合法的监视他,要么非法的进入他。
合法监视:这个做起来困难比较大,因为桌面用户的IP基本上都是变的,哪怕是在一个区域里面变,找起来也挺麻烦。合法监视估计只有zhenghui做起来稍微方便一点,貌似现在cernet上网多有登记的,或许稍微容易定位最终用户。
合法监视:这个做起来困难比较大,因为桌面用户的IP基本上都是变的,哪怕是在一个区域里面变,找起来也挺麻烦。合法监视估计只有zhenghui做起来稍微方便一点,貌似现在cernet上网多有登记的,或许稍微容易定位最终用户。
非法监视:就是黑吃黑了,发现bot了之后,我们再黑进去,保持长期对这个botnet的跟踪。
