Botnets (باتنتها) شبکههایی از کامپیوترهای آلوده به بدافزار هستند که قادر به دریافت و اجرای فرامین صادر شده توسط Botmasters (مهاجمین راهدور) میباشند. باتنت، نه تنها حمله را از دید کاربران مخفی نگه میدارند، بلکه به عنوان یک زیربنا برای بسیاری از انواع جرایم اینترنتی محسوب میشوند. از این نوع جرایم میتوان به ارسال انبوه هرزنامه، حملههای DDoS (جلوگیری از سرویس توزیعی)، سرقت هویت و غیره اشاره کرد.
در سالهای اخیر بر روی روشهای تشخیص و جلوگیری از باتنتها تحقیقات زیادی انجام شده است، اما باتنتها نیز به همان اندازه در حال رشد و گسترش هستند. مهاجمین برای محکم سازی زیربنای ارسال فرامین خود از انواع روشهای مختلف از قبیلِ رمزنگاری، پروتکلهای ارتباطی جدید و … استفاده میکنند. معماری اولیهی Command and Control (کانالهای فرمان و کنترل) باتنتها به صورت متمرکز بود، ولی به دلیل وجود Single point of failure (در این حالت کل باتنت از بین میرود)، امروزه از پروتکل ارتباطی نظیر به نظیر غیر متمرکز استفاده میکنند. در باتنتهای غیرمتمرکز با شناسایی تعدادی از میزبانهای آلوده به بات نمیتوان کل شبکه باتنت را از کار انداخت. باتنتهای غیر متمرکز به دو دسته ی نظیر به نظیر و Hybrid (ترکیبی) تقسیم میشوند. در یک باتنت نظیر به نظیر، باتها میتوانند با سایر باتها ارتباط برقرار کرده و ترافیک فرمان و کنترل را مبادله کنند. یک نمونهی بارز از باتنتها storm است که مبتنی بر پروتکل Kademlia میباشد.
باتنت waledac را میتوان نسل جدیدی از Storm در نظر گرفت، با این تفاوت که Waledac براساس پروتکلهای ارتباطی جدید کار میکند. به عبارت دیگر، Storm یک باتنت ساخت یافتهی مبتنی بر شبکهی Overnet است که براساس Kademlia پیاده سازی شده است، در حالی که فرمان و کنترل Waledac غیر ساخت یافته است و از پروتکل HTTP برای ارسال فرامین استفاده میکند.
ساختار بات نت Waledac:
این بات نت حداقل دارای 4 لایه است. شکل 1، نحوه ی اتصال این لایه ها به یکدیگر و این که چه نوع اطلاعاتی بین آنها مبادله میشود را نشان میدهد:
طرح کلی از ساختار سلسله مراتبی بات نت Waledac:
در پایینترین لایهی باتنت، Spammerها قرار دارند. این سیستم ها برای انتشار هرزنامه مورد استفاده قرار می گیرند. یک ویژگی که Spammerها را از سایر باتها متمایز میکند، عدم دسترسی عموم به آدرس IP آنها است. به عنوان مثال، Spammerها در پشت مسیریابهای NAT قرار دارند وبه صورت مستقیم قابلیت دسترسی به آنها بوسیلهی اینترنت ممکن نیست. مزیت این ویژگی آن است که با وجود ارسال انبوهی از هرزنامه توسط Spammerها به راحتی قابل شناسایی و پیگیری نمیباشند.
در لایه ی بالاتر از Spammerها باتهایی به نام Repeater قرار دارند که هر بات جدید میتواند به آنها ملحق شود. به همین دلیل، آدرسهای IP این نوع باتها در شبکهی اینترنت قابل دسترسی هستند. Repeaterها را میتوان به عنوان واسط بین لایهی پایین (Spammer) و لایهی سوم (Backend_Server) یک باتنت در نظر گرفت. Spammerها با Repeaterها تماس برقرار کرده تا فرامین جدید دریافت شده از مدیر باتها را بدست آورند و یا گزارش عملیات موفقیت آمیز قبلی را ارسال کنند. این درخواستها به لایه سوم وابسته هستند. Waledac از تکنیک DNS Double Fast Flux برای نگهداری نامهای دامنه استفاده میکند.
لایهی بعدی شامل Backend-Serverها است که به درخواستهای ارسالی Spammerها و پرس و جوهای Fast Flux متعلق به Repeaterها پاسخ میدهد. از طرفی، Backend-Serverها کاملاً با یکدیگر همگام سازی شدهاند و از یک نرمافزار سرویس دهنده وب به نام nginx استفاده میکنند. Nginx عمدتا به عنوان پراکسی مورد استفاده قرار میگیرد. یک سرویس دهنده واحد نیز در بالای شبکهی باتنت فرض میشود که Mothership نام دارد. این سرویس دهنده، سرویس دهندهی فرمان و کنترل اصلی میباشد.
با وجود اینکه waledac در بسیاری از مقاله ها به عنوان یک بات نت کاملاً نظیر به نظیر معرفی شده است، ولی این بات نت در لایههای بالا از ساختار متمرکز استفاده میکند و تنها در لایهی پایین اتصالات نظیر به نظیر را به کار گرفته است. بنابراین Repeaterها و Spammerها دائماً فهرست فعال فعلی خود را با یکدیگر مبادله میکنند. با این عمل اطمینان حاصل خواهد شد که در هر زمان، باتها حداقل یک repeater فعال در فهرست خود دارند که میتوانند از طریق آن به شبکه ی باتنت متصل شوند. به عنوان نسخه ی پشتیبان اضافی، در کد منبع هر بات یک URL به طور سخت جاسازی شده است که در این URL به فهرست دیگری از Repeaterهای فعال اشاره میکند. بنابراین در صورت عدم اتصال بات به 10 مورد از Repeaterهای فهرست محلی، خود با سرویس دهندهی HTTP ارتباط برقرار کرده، سپس فهرست جدید را از URL دانلود میکند. این فهرست ها در هر 10 دقیقه توسط سرویس دهندهی فرمان و کنترل به روز رسانی شده و شامل آخرین Repeaterهای فعال است. همچنین Repeaterها فهرستهای Backend-Serverهای فعال فعلی را با هم مبادله میکنند. تا ارتباط خود را با Mothership حفظ کنند. این فهرست توسط کلید خصوصی مدیر باتها امضا میشود تا اطمینان حاصل شود که هیچ مهاجم دیگری نمیتواند Backend_Serverهای خود را به این باتنت اضافه کند.
تحقیقات نشان داده سیستمعامل اکثر سیستمهای آلوده به بات، ویندوز XP است. نرخ انتشار هرزنامه توسط Waledac بسیار بالا میباشد. تغییرات سریع باتنت با استفاده از تولید نسخههای جدید نشان میدهد که Waledac هنوز فعالانه در حال رشد و گسترش میباشد.
منبع: http://cert.um.ac.ir/index.
4 دیدگاه. دیدگاه تازه ای بنویسید
مطلب بسیار عالی و بروزی است. برای من بسیار کاربردی است.
عالی بود. اگه امکانش هست این مطلب را بیشتر تشریح کنید
واقعا از ایران سرور بعید بوده که از وب سایت های دیگه مطالب رو کپی کنه
بهتر بود منبع مطالب ذکر شده را هم بگید.
آدرس وب سایت منبع :
http://cert.um.ac.ir/index.php?r=fileManager/getFile&id=312
در حال پیگیری از طریق آپا هستیم برای مشخص شدن مالکیت معنوی این متن.