عضویت در پرتال

عضویت در پرتال پشتیبانی

پرتال پشتیبانی

ورود به پرتال پشتیبانی

با ساختار بات‌نت waledac آشنا شوید

بات‌نت waledac را می‌توان نسل جدیدی از Storm در نظر گرفت، با این تفاوت که Waledac براساس پروتکل‌های ارتباطی جدید کار می‌کند. به عبارت دیگر، Storm یک بات‌نت ساخت یافته‌ی مبتنی بر شبکه‌ی Overnet است که براساس Kademlia پیاده سازی شده است، در حالی که فرمان و کنترل Waledac غیر ساخت یافته است و از پروتکل HTTP برای ارسال فرامین استفاده می‌کند.

ساختار بات نت Waledac:

این بات نت حداقل دارای ۴ لایه است. شکل ۱، نحوه ی اتصال این لایه ها به یکدیگر و این که چه نوع اطلاعاتی بین آن‌ها مبادله می‌شود را نشان می‌دهد:

طرح کلی از ساختار سلسله مراتبی بات نت Waledac
شکل ۱ – طرح کلی از ساختار سلسله مراتبی بات‌نت Waledac

طرح کلی از ساختار سلسله مراتبی بات نت Waledac:

در پایین‌ترین لایه‌ی بات‌نت، Spammerها قرار دارند. این سیستم ها برای انتشار هرزنامه مورد استفاده قرار می گیرند. یک ویژگی که Spammerها را از سایر بات‌ها متمایز می‌کند، عدم دسترسی عموم به آدرس IP آن‌ها است. به عنوان مثال، Spammerها در پشت مسیریاب‌های NAT قرار دارند وبه صورت مستقیم قابلیت دسترسی به آن‌ها بوسیله‌ی اینترنت ممکن نیست. مزیت این ویژگی آن است که با وجود ارسال انبوهی از هرزنامه توسط Spammerها به راحتی قابل شناسایی و پیگیری نمی‌باشند.

در لایه ی بالاتر از Spammerها بات‌هایی به نام Repeater قرار دارند که هر بات جدید می‌تواند به آن‌ها ملحق شود. به همین دلیل، آدرس‌های IP این نوع بات‌ها در شبکه‌ی اینترنت قابل دسترسی هستند. Repeaterها را می‌توان به عنوان واسط بین لایه‌ی پایین (Spammer) و لایه‌ی سوم (Backend_Server) یک بات‌نت در نظر گرفت. Spammerها با Repeaterها تماس برقرار کرده تا فرامین جدید دریافت شده از مدیر بات‌ها را بدست آورند و یا گزارش عملیات موفقیت آمیز قبلی را ارسال کنند. این درخواست‌ها به لایه سوم وابسته هستند. Waledac از تکنیک DNS Double Fast Flux برای نگهداری نام‌های دامنه استفاده می‌کند.

لایه‌ی بعدی شامل Backend-Serverها است که به درخواست‌های ارسالی Spammerها و پرس و جوهای Fast Flux متعلق به Repeaterها پاسخ می‌دهد. از طرفی، Backend-Serverها کاملاً با یکدیگر همگام سازی شده‌اند و از یک نرم‌افزار سرویس دهنده وب به نام nginx استفاده می‌کنند. Nginx عمدتا به عنوان پراکسی مورد استفاده قرار می‌گیرد. یک سرویس دهنده واحد نیز در بالای شبکه‌ی بات‌نت فرض می‌شود که Mothership نام دارد. این سرویس دهنده، سرویس دهنده‌ی فرمان و کنترل اصلی می‌باشد.

با وجود اینکه waledac در بسیاری از مقاله ها به عنوان یک بات نت کاملاً نظیر به نظیر معرفی شده است، ولی این بات نت در لایه‌های بالا از ساختار متمرکز استفاده می‌کند و تنها در لایه‌ی پایین اتصالات نظیر به نظیر را به کار گرفته است. بنابراین Repeaterها و Spammerها دائماً فهرست فعال فعلی خود را با یکدیگر مبادله می‌کنند. با این عمل اطمینان حاصل خواهد شد که در هر زمان، بات‌ها حداقل یک repeater فعال در فهرست خود دارند که می‌توانند از طریق آن به شبکه ی بات‌نت متصل شوند. به عنوان نسخه ی پشتیبان اضافی، در کد منبع هر بات یک URL به طور سخت جاسازی شده است که در این URL به فهرست دیگری از Repeaterهای فعال اشاره می‌کند. بنابراین در صورت عدم اتصال بات به ۱۰ مورد از Repeaterهای فهرست محلی، خود با سرویس دهنده‌ی HTTP ارتباط برقرار کرده، سپس فهرست جدید را از URL دانلود می‌کند. این فهرست ها در هر ۱۰ دقیقه توسط سرویس دهنده‌ی فرمان و کنترل به روز رسانی شده و شامل آخرین Repeaterهای فعال است. همچنین Repeaterها فهرست‌های Backend-Serverهای فعال فعلی را با هم مبادله می‌کنند. تا ارتباط خود را با Mothership حفظ کنند. این فهرست توسط کلید خصوصی مدیر بات‌ها امضا می‌شود تا اطمینان حاصل شود که هیچ مهاجم دیگری نمی‌تواند Backend_Serverهای خود را به این بات‌نت اضافه کند.

تحقیقات نشان داده سیستم‌عامل اکثر سیستم‌های آلوده به بات، ویندوز XP است. نرخ انتشار هرزنامه توسط Waledac بسیار بالا می‌باشد. تغییرات سریع بات‌نت با استفاده از تولید نسخه‌های جدید نشان می‌دهد که Waledac هنوز فعالانه در حال رشد و گسترش می‌باشد.

بازدید 273 بار

اضافه کردن نظر


کد امنیتی
تازه سازی