Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Sinowal/Torpig Domain-Flux (https://www.trojaner-board.de/76273-sinowal-torpig-domain-flux.html)

Zerl0line 10.08.2009 18:16
Sinowal/Torpig Domain-Flux
 
Hallo ich bin neu hier,naja nicht wirklich ich kenne das Forum schon Jahre lang,hatte nur noch nie von dem Forum gebrauch gemacht.

Ich habe großes Interesse an dem bereich Internet-Security und habe vor ein paar tagen einen Interessanten bericht zu dem Torpig Botnet gelesen.

Nun der Bot ist in der large eigenständig Domains zu generieren mit dem Domain-Generation-Algorithmus (DGA).

Dieses ist im Bot integriert,ein solcher DGA könnte z.b so aussehn.
http://www.cs.ucsb.edu/~seclab/proje...g/wepawet1.png

Das ganze funst nun so,der Bot generiert eine Domain und der Botnet betreiber hat den gleichen DGA noch mal in seim ACP oder selber ncoh mal extra als GUI gecoded wie auch immer.Und durch das abrufen des DGA weis der Betreiber imemr welche Domain der bot gerade generiert und er dann nur noch Registieren muss.

So nun wäre es aber dumm einfach eine eine Domain auf einen C&C zu legen,da kommt ja gleich die ICANN und nimmt es Down.

Also läuft es ähnlich ab wie bei dem Fast-Flux,beim fast-Flux wird das Round-Robin DNS verfahren verwendet.Hier gibt es einen DNS Server meist mit Bind9 betrieben und dieser verwendet nun das Round-Robin verfahren zur last verteilung in dem ihm bei den A Records Proxys mit einer geringen TTL (Time to Live) zugewiesen werden.

Diese Proxys stellen sich dann wie eine Mauer vor dem C&C.

So nun der Teil auf dem ich kommen möchte,beim Domain-Flux ist Torpig anscheint in der large die IP des Servers zu ändern,aber wie stellt er das an ?

Alles was ich dazu gefunden habe ist ein kleienr texst von Viruslist.com
http://www.viruslist.com/de/analysis?pubid=200883634#6

Zitat:
Diese Methode ähnelt der Technologie Fast-Flux, die Würmer der Familie Zhelatin (Sturmwurm) einsetzen. Während mit Fast-Flux ausgestattete Schädlinge ständig die IP-Adresse der schädlichen Domain wechseln können, gelingt es dem Bootkit, sowohl die Domains als auch die IP-Adressen zu ändern.

Das Steuerungszentrum des Botnetzes enthält eine Datenbank mit allen registrierten Domains, die zur Verschiebung des CC benutzt werden können.
Beispiele registrierter Domains
Code:
ccuuuag.biz        67.228.229.122        registered : 2008-08-07
ewwxbhdh.com        74.50.107.78        registered : 2008-08-07
paiuuag.com        208.73.210.32        registered : 2008-08-06
paiuuag.net        208.73.210.32        registered : 2008-08-06
Ich habe mir gedacht das auf dem C&C wider ein DNS Server läuft mit (Bind9)
Aber dieses mal werden nicht die A Records für die Domain verwendet sondern die NS Records für den Server,dazu habe ich aber keinerlei Infos gefunden.

Weder in der Torpig Analyse http://www.buha.info/board/redirecto...g%2Ftorpig.pdf noch bei der Conficker Analyse.

http://mtc.sri.com/Conficker/
http://mtc.sri.com/Conficker/addendumC/

Wen jemand infos darüber hat,wäre wirklich gut.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131