تحلیل Botnet نظیر به نظیر waledac

4 دیدگاه
دسته بندی: آموزش, امنیت
تحلیل Botnet نظیر به نظیر waledac

Botnets (بات‌نت‌ها) شبکه‌هایی از کامپیوترهای آلوده به بدافزار هستند که قادر به دریافت و اجرای فرامین صادر شده توسط Botmasters (مهاجمین راه‌دور) می‌باشند. بات‌نت، نه تنها حمله را از دید کاربران مخفی نگه می‌دارند، بلکه به عنوان یک زیربنا برای بسیاری از انواع جرایم اینترنتی محسوب می‌شوند. از این نوع جرایم می‌توان به ارسال انبوه هرزنامه، حمله‌های DDoS (جلوگیری از سرویس توزیعی)، سرقت هویت و غیره اشاره کرد.

در سال‌های اخیر بر روی روش‌های تشخیص و جلوگیری از بات‌نت‌ها تحقیقات زیادی انجام شده است، اما بات‌نت‌ها نیز به همان اندازه در حال رشد و گسترش هستند. مهاجمین برای محکم سازی زیربنای ارسال فرامین خود از انواع روش‌های مختلف از قبیلِ رمزنگاری، پروتکل‌های ارتباطی جدید و … استفاده می‌کنند. معماری اولیه‌ی Command and Control (کانال‌های فرمان و کنترل) بات‌نت‌ها به صورت متمرکز بود، ولی به دلیل وجود Single point of failure (در این حالت کل بات‌نت از بین می‌رود)، امروزه از پروتکل ارتباطی نظیر به نظیر غیر متمرکز استفاده می‌کنند. در بات‌نت‌های غیرمتمرکز با شناسایی تعدادی از میزبان‌های آلوده به بات نمی‌توان کل شبکه بات‌نت را از کار انداخت. بات‌نت‌های غیر متمرکز به دو دسته ی نظیر به نظیر و Hybrid (ترکیبی) تقسیم می‌شوند. در یک بات‌نت نظیر به نظیر، بات‌ها می‌توانند با سایر بات‌ها ارتباط برقرار کرده و ترافیک‌ فرمان و کنترل را مبادله کنند. یک نمونه‌ی بارز از بات‌نت‌ها storm است که مبتنی بر پروتکل Kademlia می‌باشد.

بات‌نت waledac را می‌توان نسل جدیدی از Storm در نظر گرفت،  با این تفاوت که Waledac براساس پروتکل‌های ارتباطی جدید کار می‌کند. به عبارت دیگر، Storm یک بات‌نت ساخت یافته‌ی مبتنی بر شبکه‌ی Overnet است که براساس Kademlia پیاده سازی شده است، در حالی که فرمان و کنترل Waledac غیر ساخت یافته است و از پروتکل HTTP برای ارسال فرامین استفاده می‌کند.

ساختار بات نت Waledac:

این بات نت حداقل دارای 4 لایه است. شکل 1، نحوه ی اتصال این لایه ها به یکدیگر و این که چه نوع اطلاعاتی بین آن‌ها مبادله می‌شود را نشان می‌دهد:

طرح کلی از ساختار سلسله مراتبی بات نت Waledac
شکل 1 – طرح کلی از ساختار سلسله مراتبی بات‌نت Waledac

طرح کلی از ساختار سلسله مراتبی بات نت Waledac:

در پایین‌ترین لایه‌ی بات‌نت، Spammerها قرار دارند. این سیستم ها برای انتشار هرزنامه مورد استفاده قرار می گیرند. یک ویژگی که Spammerها را از سایر بات‌ها متمایز می‌کند، عدم دسترسی عموم به آدرس IP آن‌ها است. به عنوان مثال، Spammerها در پشت مسیریاب‌های NAT  قرار دارند وبه صورت مستقیم قابلیت دسترسی به آن‌ها بوسیله‌ی اینترنت ممکن نیست. مزیت این ویژگی آن است که با وجود ارسال انبوهی از هرزنامه توسط Spammerها به راحتی قابل شناسایی و پیگیری نمی‌باشند.

در لایه ی بالاتر از Spammerها بات‌هایی به نام Repeater قرار دارند که هر بات جدید می‌تواند به آن‌ها ملحق شود. به همین دلیل، آدرس‌های IP این نوع بات‌ها در شبکه‌ی اینترنت قابل دسترسی هستند. Repeaterها را می‌توان به عنوان واسط بین لایه‌ی پایین (Spammer) و لایه‌ی سوم (Backend_Server) یک بات‌نت در نظر گرفت. Spammerها با Repeaterها تماس برقرار کرده تا فرامین جدید دریافت شده از مدیر بات‌ها را بدست آورند و یا گزارش عملیات موفقیت آمیز قبلی را ارسال کنند. این درخواست‌ها به لایه سوم وابسته هستند. Waledac از تکنیک DNS Double Fast Flux برای نگهداری نام‌های دامنه استفاده می‌کند.

لایه‌ی بعدی شامل Backend-Serverها است که به درخواست‌های ارسالی Spammerها و پرس و جوهای Fast Flux متعلق به Repeaterها پاسخ می‌دهد. از طرفی، Backend-Serverها کاملاً با یکدیگر همگام سازی شده‌اند و از یک نرم‌افزار سرویس دهنده وب به نام nginx استفاده می‌کنند. Nginx عمدتا به عنوان پراکسی مورد استفاده قرار می‌گیرد. یک سرویس دهنده واحد نیز در بالای شبکه‌ی بات‌نت فرض می‌شود که Mothership نام دارد. این سرویس دهنده، سرویس دهنده‌ی فرمان و کنترل اصلی می‌باشد.

با وجود اینکه waledac در بسیاری از مقاله ها به عنوان یک بات نت کاملاً نظیر به نظیر معرفی شده است، ولی این بات نت در لایه‌های بالا از ساختار متمرکز استفاده می‌کند و تنها در لایه‌ی پایین اتصالات نظیر به نظیر را به کار گرفته است. بنابراین Repeaterها و Spammerها دائماً فهرست فعال فعلی خود را با یکدیگر مبادله می‌کنند. با این عمل اطمینان حاصل خواهد شد که در هر زمان، بات‌ها حداقل یک repeater فعال در فهرست خود دارند که می‌توانند از طریق آن به شبکه ی بات‌نت متصل شوند. به عنوان نسخه ی پشتیبان اضافی، در کد منبع هر بات یک URL به طور سخت جاسازی شده است که در این URL به فهرست دیگری از Repeaterهای فعال اشاره می‌کند. بنابراین در صورت عدم اتصال بات به 10 مورد از Repeaterهای فهرست محلی، خود با سرویس دهنده‌ی HTTP ارتباط برقرار کرده، سپس فهرست جدید را از URL دانلود می‌کند. این فهرست ها در هر 10 دقیقه توسط سرویس دهنده‌ی فرمان و کنترل به روز رسانی شده و شامل آخرین Repeaterهای فعال است. همچنین Repeaterها فهرست‌های Backend-Serverهای فعال فعلی را با هم مبادله می‌کنند. تا ارتباط خود را با Mothership حفظ کنند. این فهرست توسط کلید خصوصی مدیر بات‌ها امضا می‌شود تا اطمینان حاصل شود که هیچ مهاجم دیگری نمی‌تواند Backend_Serverهای خود را به این بات‌نت اضافه کند.

تحقیقات نشان داده سیستم‌عامل اکثر سیستم‌های آلوده به بات، ویندوز XP است. نرخ انتشار هرزنامه توسط Waledac بسیار بالا می‌باشد. تغییرات سریع بات‌نت با استفاده از تولید نسخه‌های جدید نشان می‌دهد که Waledac هنوز فعالانه در حال رشد و گسترش می‌باشد.

منبع: http://cert.um.ac.ir/index.php?r=fileManager/getFile&id=312

امتیاز شما

مایلید هر دو هفته یک ایمیل مفید دریافت کنید؟

ما را در شبکه‌های اجتماعی دنبال کنید

همچنین شاید دوست داشته باشید!

نظرات کاربران

4 دیدگاه. دیدگاه تازه ای بنویسید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
شما برای ادامه باید با شرایط موافقت کنید

فهرست