botnet的追踪和追寻专题

转载地址： [url]http://www.cnhonker.org/bbs/simple/index.php?t1779.html[/url]

先发一个我以前给别人写的一个邮件的内容，他们有大网管理权限，他们只需要“追踪”，我们没有大网，只有去“追寻”（如果有人愿意提供大网资源，在下不胜感激），这比追踪又多了一层困难，先看看下面的介绍吧，大家有什么好的想法和资源请跟帖。

*最终目的，完全控制这个botnet

随着钓鱼攻击和IE EXP的广泛流传，通过挂马十分容易收集到大量的肉鸡，而对大量肉鸡的管理，最好的办法就是通过irc了，因为现在一般的木马都是直接C/S模式，一个client管理多个server端的，一旦肉鸡太多，client会处理不过来：）而做成专业的傀儡式的木马我暂时还没听说。
在学校的时候，ircbot也算是比较流行的后门之一，我在河南CERNET出口折腾过一下子这个事，不过可能因为当时ircbot主要还是下在服务器上，而不是象现在都下在一些终端的桌面机上，那时CERNET出公网速度又慢，基本上没抓到任何东西:(

关于追踪botnet，我现在有如下的想法：

botnet的组成：
1：桌面系统，攻击难度低，方式单一，往往通过挂马收集，但随机性强，没有目标意识，但bot来的十分之快，botnet管理者所需要付出的劳动也十分之少，是现在比较流行的bot类型，但bot相对不怎么稳定，可能会遇到重装系统什么之类的。
2：服务器系统，攻击难度相对高，攻击方式很多，有的通过web漏洞进入，有的通过扫描弱密码进入，有的通过0day
exp攻击进入。而这类攻击大多数是针对linux/bsd系统，不需要root就可以挂bot了的。

botnet的表现：botnet是数量大，而且一次性目标地址和端口单一，但目标地址是多变的，而目标端口一般来说是固定的，当然根据bot的编写会有所不同。

先可以在设备上做netflow之类的，抓一下，看irc的常用端口6667 6668 6669
7000的情况，如果遇到有厚道的同学直接用了默认端口下bot，那么就可以直接跟过去了，至于服务器密码，频道密码什么的，抓一下包即可获得。

如果无法直接从端口检测的话，那么可能就要上sniffer了，或许这个应该是一个分布式的，通过sniffer的协议检测，发现irc流量，然后再跟过去。

跟过去之后，基本上算是跟上了一个botnet了，但是botnet的主人很可能会不定期的更换irc server，这个大致会有三种形式
1：根据bot里写死的几个server地址调换，比如1 server挂了，就自动登陆到2 server去。
2：通过修改域名的解析地址来调换server。
3：直接给bot下命令换server。
对于1和2，如果我们没有进入某个bot去观察，基本上这个事情我们又要从头做起去追踪去检测。

所以我觉得在找到一个irc server之后，应该迅速的想办法获得某个bot的权限，要么合法的监视他，要么非法的进入他。
合法监视：这个做起来困难比较大，因为桌面用户的IP基本上都是变的，哪怕是在一个区域里面变，找起来也挺麻烦。合法监视估计只有zhenghui做起来稍微方便一点，貌似现在cernet上网多有登记的，或许稍微容易定位最终用户。

非法监视：就是黑吃黑了，发现bot了之后，我们再黑进去，保持长期对这个botnet的跟踪。

几个相关的地址：
[url]http://www.cymru.com/[/url]
[url]http://puck.nether.net/mailman/listinfo/nsp-security[/url]
[url]http://isc.sans.org/[/url]
[url]http://shadowserver.org/[/url]