باتنت waledac را میتوان نسل جدیدی از Storm در نظر گرفت، با این تفاوت که Waledac براساس پروتکلهای ارتباطی جدید کار میکند. به عبارت دیگر، Storm یک باتنت ساخت یافتهی مبتنی بر شبکهی Overnet است که براساس Kademlia پیاده سازی شده است، در حالی که فرمان و کنترل Waledac غیر ساخت یافته است و از پروتکل HTTP برای ارسال فرامین استفاده میکند.
ساختار بات نت Waledac:
این بات نت حداقل دارای ۴ لایه است. شکل ۱، نحوه ی اتصال این لایه ها به یکدیگر و این که چه نوع اطلاعاتی بین آنها مبادله میشود را نشان میدهد:
طرح کلی از ساختار سلسله مراتبی بات نت Waledac
شکل ۱ – طرح کلی از ساختار سلسله مراتبی باتنت Waledac
طرح کلی از ساختار سلسله مراتبی بات نت Waledac:
در پایینترین لایهی باتنت، Spammerها قرار دارند. این سیستم ها برای انتشار هرزنامه مورد استفاده قرار می گیرند. یک ویژگی که Spammerها را از سایر باتها متمایز میکند، عدم دسترسی عموم به آدرس IP آنها است. به عنوان مثال، Spammerها در پشت مسیریابهای NAT قرار دارند وبه صورت مستقیم قابلیت دسترسی به آنها بوسیلهی اینترنت ممکن نیست. مزیت این ویژگی آن است که با وجود ارسال انبوهی از هرزنامه توسط Spammerها به راحتی قابل شناسایی و پیگیری نمیباشند.
در لایه ی بالاتر از Spammerها باتهایی به نام Repeater قرار دارند که هر بات جدید میتواند به آنها ملحق شود. به همین دلیل، آدرسهای IP این نوع باتها در شبکهی اینترنت قابل دسترسی هستند. Repeaterها را میتوان به عنوان واسط بین لایهی پایین (Spammer) و لایهی سوم (Backend_Server) یک باتنت در نظر گرفت. Spammerها با Repeaterها تماس برقرار کرده تا فرامین جدید دریافت شده از مدیر باتها را بدست آورند و یا گزارش عملیات موفقیت آمیز قبلی را ارسال کنند. این درخواستها به لایه سوم وابسته هستند. Waledac از تکنیک DNS Double Fast Flux برای نگهداری نامهای دامنه استفاده میکند.
لایهی بعدی شامل Backend-Serverها است که به درخواستهای ارسالی Spammerها و پرس و جوهای Fast Flux متعلق به Repeaterها پاسخ میدهد. از طرفی، Backend-Serverها کاملاً با یکدیگر همگام سازی شدهاند و از یک نرمافزار سرویس دهنده وب به نام nginx استفاده میکنند. Nginx عمدتا به عنوان پراکسی مورد استفاده قرار میگیرد. یک سرویس دهنده واحد نیز در بالای شبکهی باتنت فرض میشود که Mothership نام دارد. این سرویس دهنده، سرویس دهندهی فرمان و کنترل اصلی میباشد.
با وجود اینکه waledac در بسیاری از مقاله ها به عنوان یک بات نت کاملاً نظیر به نظیر معرفی شده است، ولی این بات نت در لایههای بالا از ساختار متمرکز استفاده میکند و تنها در لایهی پایین اتصالات نظیر به نظیر را به کار گرفته است. بنابراین Repeaterها و Spammerها دائماً فهرست فعال فعلی خود را با یکدیگر مبادله میکنند. با این عمل اطمینان حاصل خواهد شد که در هر زمان، باتها حداقل یک repeater فعال در فهرست خود دارند که میتوانند از طریق آن به شبکه ی باتنت متصل شوند. به عنوان نسخه ی پشتیبان اضافی، در کد منبع هر بات یک URL به طور سخت جاسازی شده است که در این URL به فهرست دیگری از Repeaterهای فعال اشاره میکند. بنابراین در صورت عدم اتصال بات به ۱۰ مورد از Repeaterهای فهرست محلی، خود با سرویس دهندهی HTTP ارتباط برقرار کرده، سپس فهرست جدید را از URL دانلود میکند. این فهرست ها در هر ۱۰ دقیقه توسط سرویس دهندهی فرمان و کنترل به روز رسانی شده و شامل آخرین Repeaterهای فعال است. همچنین Repeaterها فهرستهای Backend-Serverهای فعال فعلی را با هم مبادله میکنند. تا ارتباط خود را با Mothership حفظ کنند. این فهرست توسط کلید خصوصی مدیر باتها امضا میشود تا اطمینان حاصل شود که هیچ مهاجم دیگری نمیتواند Backend_Serverهای خود را به این باتنت اضافه کند.
تحقیقات نشان داده سیستمعامل اکثر سیستمهای آلوده به بات، ویندوز XP است. نرخ انتشار هرزنامه توسط Waledac بسیار بالا میباشد. تغییرات سریع باتنت با استفاده از تولید نسخههای جدید نشان میدهد که Waledac هنوز فعالانه در حال رشد و گسترش میباشد.