僵尸 络(简称“机器人 络”)是由感染的计算机 络的恶意软件在一个攻击方的控制之下,被称为“僵尸牧民”。每个在bot-herder控制下的个人机器被称为机器人。从一个中心点来看,攻击方可以命令其僵尸 络上的每台计算机同时执行协调的刑事诉讼。僵尸 络的规模(许多由数百万个僵尸程序组成)使攻击者能够执行以前不可能使用恶意软件的大规模操作。由于僵尸 络仍然受远程攻击者的控制,受感染的计算机可以动态接收更新并更改其行为。因此,僵尸牧民通常能够在黑市上租用他们的僵尸 络段,以获得巨大的经济收益。
DDoS攻击 – 利用僵尸 络的大规模来使目标 络或服务器超载请求,使其无法访问目标用户。不法分子执行DDoS攻击针对个人或政治动机或勒索付款以换取停止攻击。
C&C服务器指挥控制僵尸 络的主控服务器,用来和僵尸 络的每个感染了恶意软件的宿主机进行通讯并指挥它们的攻击行为,如果C&C服务器出现问题,那么整个僵尸 络将瘫痪。
一.通过IP地址访问C&C服务器
最简单的方法就是租用一台云服务器,将服务器ip直接写远控脚本中反弹的ip中,然后所有肉鸡都会每隔一段时间与这个ip进行一次通信,我们也就可以在服务器上用脚本控制僵尸 络发动攻击。
但是由于ip地址是直接写死在远控脚本或远控程序中的,如果对方捕获了远控脚本或者远控程序,进行简单的二进制逆向扫描就可以得到我们服务器ip地址,并且对方机器经常访问同一个ip也会增加被发现的几率。一旦被发现,对方直接将ip加入黑名单,并且将ip提交给我们购买云服务器的提供商,服务器被封禁就会使远控全部失效。
二.通过域名访问C&C服务器
通过域名再指向服务器比起直接指向服务器只是将反弹ip改为反弹的域名。如果注册一些较正常的域名并且做一个伪装的主页,被发现的几率就会降低,而且直接二进制扫描不会被发现。但是逆向程序或着搭建蜜罐进行动态测试,很容易就能追踪到这些域名,将域名丢给运营商的黑名单就会造成大规模的远控失效。
三.多个域名和IP
如果我们有M个域名和N个ip这样就产生了M*N组的C&C通道,不会因为个别的服务器或域名被封禁导致僵尸 络失效。
四.使用论坛等作为C&C服务器
自己架设服务器很容易被封禁,然后丢失僵尸 络的控制权,有的攻击者想到一个绝佳的办法:通过在一些论坛的冷门区域发一些C&C控制指令,然后让恶意软件通过爬虫在访问这些论坛的时候获取指令,最开始主要是在twitter上进行C&C控制,这种情况一开始很让安全人员头疼,因为访问这些论坛的请求本就和正常数据包差不多很难被发现,而且就算发现了,总不能把twitter的域名或者服务器添加很名单吧,这会影响 络的正常使用。后来发现了这种情况可以进行举 ,从而封禁对应的账 。
当Twitter成为一个功能齐全的后门C&C服务
https://m.freebuf.com/news/81914.html
僵尸 络生成框架,仅用于学习,不可用于非法行为
https://github.com/malwaredllc/byob
https://github.com/proxycannon/proxycannon-ng
https://github.com/byt3bl33d3r/gcat ,使用 gmail 作为 C&C 服务器
https://github.com/Ne0nd0g/merlin C&C 通讯,一对多
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!