ボットネットの未来、または私たちを待っているものについて考える。

私の主な仕事と組み合わせて、ウイルス活動のパートタイム分析に従事していると、ボットネット（スパム、DoSなど）に関して近い将来に予想されることについて特定のアイデアが生まれました。 ボットネットを制御する可能な方法について説明します。



最新のボットネット管理方法を分析すると、主にDNSに重点が置かれていることが明らかです。 つまり 管理サーバーを決定するには、登録済みドメインの特定の名前を使用してサーバーアドレスを決定します（データは、さまざまなバージョンのKidoウイルスの分析に基づいています）。

この方法は効果的ではなくなります。なぜなら Kidoの最新バージョンから判断すると、ウイルスは特別な方法で1日50,000個の量のDNS名を作成します。 当然、この方法により、DNSトラフィックが増加し、ウイルスマシンの検出が容易になるだけでなく、このマシンを迅速に分離して管理サーバーへのアクセスをブロックします。

p2pがウイルスマシンがボットネットセンターと対話する主な方法であることは誰もが知っています。場合によってはsshまたはhttpである場合もあります。 p2pの主な問題は、許可された範囲外のudpパケットとtcpパケットをブロックするルールの簡単なセットによって非常に簡単にフィルタリングされることです。 SSHはゲートウェイで常に開いているわけではなく、http / httpsはプロキシサーバーを介して非常に簡単にキャッチされるため、コントロールセンターは非常に簡単に検出されます。



おそらく、ボットネット管理の開発における次のステップは、ソーシャルネットワークの活用です。 ほとんどのソーシャルネットワーク（個人、公開ブログ、出会い系サイト、同級生など）は、ボットネット同士の隠れた相互作用を提供するために簡単に使用できるサービスを提供します。 顕著な例はtwitterです。

ドメイン名の登録とDNSサービスの提供にお金とハードウェアリソースを費やすことなく、所定のアルゴリズムに従って数十の名前を登録します。 次に、このサイトの簡単なステータス更新で、管理サーバーのアドレスまたはボットネット制御ディレクティブ（どこで何を取得し、どこに配信するか）を暗号化形式で指定します。 なぜなら ソーシャルネットワークには膨大なトラフィックがあり、新しいユーザーまたはコミュニティの作成と登録の観点から制御するのは非常に困難です。

CAPTCHAおよびその他の登録保護は、人的資源を賃金で引き付けることによってバイパスされます（インターネット上にはすでに十分なものがあります）。 1日に数千の登録があり、ステータスを更新するために、これらのプロトコルを元に戻すことができる独自のプロトコルとプログラムが既に存在します。 その結果、ボットネットを制御するための柔軟なシステムが実現し、このサービスを提供する会社のサービスによってほぼすべての側面から保護されます。

以前はIRC経由でボットネットを制御していた方法は、制御手段としてJabberを使用するようにエスカレートできます。 Jabberを使用すると、送信者から受信者への情報を暗号化することができ、対話者の通常の承認システムの形式で外部からの侵入に対して非常に強力な保護があります。 T.O. 管理サーバーは、制御を傍受するためのアンチウイルス会社の侵入の観点からは事実上無敵です。 現時点では、Web経由でJabberで作業するための膨大な数のゲートウェイがあります。これにより、Jabberサービスのポートをフィルタリングするときに制御を取得するタスクが大幅に簡素化されます。 「なぜJabberですか？」と尋ねます。 すべてが非常に簡単です。 Jabberは勢いを増しており、オープンで、クライアントサイド（xml）に簡単に実装でき、Google、Yandex、Livejournal、Mail.ruなどのかなり大規模なサービスから真剣にサポートされています。



この情報は、現代のインフラストラクチャの開発や人気のあるサービスの悪用のために、コインの反対側を示す試みの形で提供されます。 ここでは、サービスの誤用の2つのオプションのみを説明しましたが、これらのオプションには数百ではないにしても数十個あり、さまざまな保護および普及メカニズムの実装に頭を含めて、信じられないほど真に無限の可能性を得ることができます。