探秘僵尸网络替代命令与控制技术
1. 为何需要替代的命令与控制(C&C)技术
在过去十多年里,僵尸网络技术主要基于IRC(Internet Relay Chat)。充当僵尸的木马会使用IRC协议作为客户端连接到IRC服务器,僵尸网络控制者(近年来也被称为僵尸网络主脑或放牧者)通过这些服务器控制僵尸大军。
IRC技术有诸多优点:
-交互性强:作为相对简单的协议,IRC具有交互性,便于客户端和服务器进行全双工和响应式通信。
-易于创建:搭建IRC服务器很容易,必要时也有足够多的现有服务器可供使用。
-多僵尸网络控制便捷:利用昵称、聊天频道和密码保护频道等功能,可轻松创建和控制多个僵尸网络。
-易于实现冗余:通过连接多个服务器可实现冗余。
然而,IRC也有致命弱点,即中心化。一旦控制中心被发现,就可能被中断,被报告给托管方,或被ISP封锁。而且,IRC服务器易被监听,控制者可能会失去对僵尸网络的控制。如今,这些威胁日益普遍,迫使控制者寻求替代方案。尽管IRC仍是最常见的C&C服务器形式,但正逐渐被更高级的技术所补充。
2. 历史C&C技术作为指引
早期,僵尸和僵尸网络是合法工具,主要用于维护IRC频道开放或控制频道。随着木马在1996 - 1997年成为流行的大规模感染工具,新的僵尸网络时代到来。感染发生时,木马会连接到IRC服务器并通知控制者。昵称或聊天频道成为控制通道,通知消息则为回显。
随着技术发展,
)
