2015_лекции / Лекция №9_2015_botnets
.pdf
Этап заражения 2.1
Этап заражения 2.1
|
Установка модуля |
|
Бот-модуль: взаимодействие |
перехвата трафика и |
|
подмены страниц в |
||
с ботнетом и загрузки обновления |
||
браузере |
||
|
Установка модуля перехвата трафика и
подмены страниц браузера
Установка модуля перехвата трафика. v1
Открытие приложение браузера Safari.app (Applications/Safari.app/Contents/Resources/) на запись.
Запись двух модулей: модуль перехвата трафика и подмену страниц и модуль загрузки его в процесс браузера. (имена модулей произвольные: «.ИМЯ.png» или ”. ИМЯ. xsl”).
Изменение файла /Applications/Safari.app/Contents/Info.plist,
дописываются следующие строки:
<key>LSEnvironment</key>
<dict> <key>DYLD_INSERT_LIBRARIES</key>
<string>/Applications/Safari.app/Contents/Resources/.имя_файла.xsl</string> </dict>
Если все прошло удачно установка соединения с ЦУ, по некоторому адресу, напромер 31.31.79.87/stat_d/, иначе соединение по адресу
31.31.79.87/stat_n/.
Перезапуск браузер Safari
Самоудаление из системы.
Установка модуля перехвата трафика. v2
Проверка на наличие в системе приложений Microsoft Word.app, Microsoft Office 2008, Applications/Microsoft Office 2011, Skype.app.
Если такие приложения обнаружены, установщик прекращает свою работу и самоудаляется.
Модуль перехвата и подмены трафика будет установлен в /Users/Shared/ с именем «.libgmalloc.dylib».
Редактирование файла $HOME/.MacOS/environment.plist:
<key>DYLD_INSERT_LIBRARIES</key> <string>/Users/Shared/.libgmalloc.dylib</string>
Установление соединения с центром управления по адресу 31.31.79.87/stat_u/
Самоудаление установщика.
Функционал ботнета
:
функции обновления и заражения браузеров
первоначальный список доменов, выступающих в роли серверов управления данной библиотеки;
функция генерации доменных имен в зонах org ,com, co.uk, cn, in для поиска серверов управления;
функция генерации доменов 3-го уровня для доменов
.PassingGas.net, .MyRedirect.us, .rr.nu, .Kwik.To, .myfw.us,
.OnTheWeb.nu и т.д.;
функция поиска серверов управления через генерацию поисковых запросов для мобильной версии Twitter’a
функция внедрения стороннего кода в контекст посещаемых пользователем сайтов.
Компьютерная вирусология
•Математическая модель эпидемии - 1760 Д. Бернулли
•Чувствительность 1930 Мк Кендрик, Кермак
Используются термины:
•Зараженный
•Здоровый обладающий иммунитетом, то есть дискретные состояния.
Компьютерная вирусология
Биологическая среда
гомогенная
• симметричная
Информационная среда: гетерогенная
• ассиметричная
Эпидемиологическая модель SIS
Самая простая модель
susceptible → infected → susceptible
S I
Эпидемиологическая модель SIS
Модели представления топологии сети:
•Направленный граф
•Иерархическая модель (дерево).
•Решетка