Progress in Command and Control Server Finding Schemes of Botnet === ###### tags: `論文研討` `2016` --- ## Abstract(摘要) - C2是殭屍網路的核心，因此找出C2是關鍵 - 目前針對C2的查找分成三種 - 固定的IP - 網路設備 - 第三方應用或服務 - 第三類的靈活性、隱蔽性與複雜性高於前兩項 --- ## Introduction(前言) - 殭屍網路由多個bot組成通常包含 - PC - 手機 - 平板 --- ## Introduction(前言)(續) - 通常黑客會利用bot發動 - DDos攻擊 - 網路釣魚 - 利用受害端session - 電子郵件炸彈 --- ## Introduction(前言)(續) - C2即為黑客與bot的核心，沒有C2的殭屍網路沒有任何意義 - 因此找出C2伺服器是拖出整個殭屍網路的關鍵 --- ## Classification(類型) - 黑客為了避免被偵測或發現，都希望指令發送快速且匿蹤  --- ## Classification(類型)(續) - T-1:專用IP - 靜態或寫死在程式中的IP - T-2:網路基礎設施 - fast-flux([殭屍網路連接技術(上)](http://download.icst.org.tw/attachfilearticles/%E6%AE%AD%E5%B1%8D%E7%B6%B2%E8%B7%AF%E9%80%A3%E6%8E%A5%E6%8A%80%E8%A1%93(%E4%B8%8A)%20-%20Fast-flux.pdf)) 將大量C2的IP藏在domain後，藉以逃脫以IP列入黑名單的機制 - domain-flux([殭屍網路連接技術(下)](https://download.nccst.nat.gov.tw/attachfilearticles/%E6%AE%AD%E5%B1%8D%E7%B6%B2%E8%B7%AF%E9%80%A3https://www.youtube.com/?gl=TW&hl=zh-tw%E6%8E%A5%E6%8A%80%E8%A1%93(%E4%B8%8B)%20-%20Domain-flux.pdf)) 讓bot連線有規則的DNS，當預設的DNS失效時，只要申請在規則中的domain name即可 --- ## Classification(類型)(續) - T-3:第三方應用或服務 - P2P應用 - skpe、PPlive(PP視頻)、KuGoo(酷狗文件傳輸) - 網頁搜尋服務 - 利用在搜尋引擎中搜尋單個或多個網站，再將其拼湊出C2的真實位置 --- ## Classification(類型)(續) - T-3:第三方應用或服務(續) - OSN服務 - 利用facebook等社交軟體成為C2 - GCM服務 - GCM即為Google Cloud Messaging，主要功能為將伺服器上的資料傳送到設定好的android app中 --- ## T-1:專用IP - 這類型的bot會將C2的IP寫到bot中 - 通常會將其加密或編碼 - 缺點是透過逆向工程即可汲取出IP --- ## T-2:網路基礎設施 - 這裡指的基礎設施像是BGP、DNS、PKI、CDN等等 - FFSN(fast-flux service network)是由bot組成的分散式網路，其中的bot須具備固定IP，其他的bot都得利用這些bot與C2溝通 - 但目前已有良好的解決方案 - DGA(domain generation algorithm)即利用演算法自動產生新的domain name藉以躲過黑名單domain name等機制 --- ## T-3:第三方應用或服務 - P2P協定常被利用在C2的溝通上，但目前也已經有良好的解決方案 - bot能利用搜尋引擎來找出C2的IP，藉此跟C2溝通  --- ## T-3:第三方應用或服務(續) - bot能利用搜尋引擎來找出C2的IP，藉此跟C2溝通(續)  --- ## T-3:第三方應用或服務(續) - GCM的匿蹤性式即高，主要是因為Gmail只要求地址是否存在  --- ## T-3:第三方應用或服務(續) - 社交應用或網站是現在流行的趨勢，同時也被當成C2利用 - 有案例利用文章圖片藏入C2所下指令與bot溝通  --- ## Comparison(比較) - 主要針對`複雜度`、`彈性`、`隱蔽性`、`整體評分`進行比較  --- ## Conclution(結論) - bot如何找到C2對於殭屍網路非常重要 - 本文主要將典型方案分為三種類型，並在四個方面進行比較 --- ## End