Einige C&C Fragen

[AgainsT]

Hi,
mich würde mal interessieren, wie C&Cs überhaupt gefunden werden. Machen das nur Labore wie Symantec oder werden die hautsächlich durch aktive Vics oder durch die Hoster gefunden?
Und wie ist der Ablauf, wenn feststeht, dass es sich bei dem Server um einen C&C handelt? Werden die nur abgeschaltet und gelöscht? Oder erst genau analysiert? Wie ist da der Ablauf? Wer wird Zugriff auf die Daten haben?
Und wie sieht es mit Domains aus, die die C&C-IP auflösen - Legt die DENIC die lahm oder wer macht sowas?

Wär über Antworten sehr dankbar

[Atropos]

Die Firmen wie Symantec haben da Hineypots stehen und analysieren ja immer neue Malware. Ich denke der Großteil kommt wird von denen entdeckt.
Ja zu den Konsequenzen: Die Daten werden denke ich alle an die Behörde weitergeleitet und diese kümmert sich dann drum.
Natürlich gibt es auch Leute die den Unternehmen helfen

[AgainsT]

Ja danke erstmal für die Antwort.

diese kümmert sich dann drum

Genau das interessiert mich am Meisten. Wenn man das weiß, kann man ja viel besser planen.
Beispielsweise kann man alle Daten über nen kleines VPN an den eigentlichen C&C weiterleiten. Sollte Symantec aber den Server genau untersuchen, würde sowas aber raus kommen Nur ein Beispiel...
Vieleicht darf Symantec ja gar nicht auf den Server zugreifen, weils ja nicht ihre Daten sind =P
Bitte helft mir da weiter

[Atropos]

Also ich rede hier jetzt mal von großen Nets.
Ich gehe davon aus dass die Behörden (Polizei, Gestapo, blablabla) zuerst mal den Hoster mitteilen dass dieser den Server sofort vom Netz nehmen muss und jegliche IP-Logs hergeben muss + eventuelle Daten des Besitzers.
Sollte der Hoster als vorwiegend illegal bekannt sein denke ich ist eine Analyse der Festplatte auch noch drin.
Geht es dir darum dass du gerne einen Backup-Server hättest?
Weil das wird sobald dein Bot entdeckt wurde und dieser nicht Metamorph ist recht schwer geheim zuhalten da die Binary dann vl auch weiter analysiert wird.

Also nur Vermutungen, Fakten liegen hier keine vor.

[AgainsT]

Also ich rede hier jetzt mal von großen Nets.

Das ist schonmal gut =)

Weil das wird sobald dein Bot entdeckt wurde und dieser nicht Metamorph ist recht schwer geheim zuhalten da die Binary dann vl auch weiter analysiert wird.

Ich hab mir einen metamorphen Crypter gebaut.. allerdings ist der Bot noch nicht Metamorpf und somit wirds eher Polymorph. Na ja egal ob Poly oder Meta kann man die Binary trotzdem (wenn auch erschwert) analysieren oder den Traffic sniffen.
Aber das ist eine andere Geschichte, denn die Binary wird eh als Erstes analysiert. Was danach mit dem Server passiert ist wichtig.

Geht es dir darum dass du gerne einen Backup-Server hättest?

Nein mir geht es nur darum um den besten Weg zu finden ein Botnetz aufzubauen und darum interessiert mich das. Das mit dem Backup war nur ein Beispiel.

Sollte der Hoster als vorwiegend illegal bekannt sein denke ich ist eine Analyse der Festplatte auch noch drin.

Ich denke nicht dass die da zwischen Hostern unterscheiden. Ich denk mal eher die Hoster haben zu entscheiden ob die die Server bzw. Platten an private Firmen wie Symantec geben. Und das BKA wird nicht den ganzen Tag Platten checken... glaub ich nich..

[Atropos]

Sorry ich war da schon bei den Behörden. Symantec leitet nur weiter soweit ich weiß. Die Festplatte dürfen die nicht anschauen

[|)4NT3]

Hi,
ist keine Antwort auf deine Frage,
passt aber zu dem was du (glaube ich) möchtest:


Wie wäre es wenn das Botnet ein P2P ist und die Peers unter sich selbst ein VPN_Netzwerk aufbauen.
Also z.B. du startest mit einem Bot, dann merkt der das da noch einer hinzugekommen ist und dann handeln die untereinander (Handshake) aus wer den VPN-Server spielt. Der andere verbindet sich dann nur noch durch den VPN-Server-Bot zu dem C&C Server.


.... aber nur so ein Gedanke von mir

[AgainsT]

@|)4NT3
Das ist dann ja praktisch so ne Art Proxy. Aber wenn der down ist, ist auch das Botnetz weg.
Und Daten Backups kann man lieber schubweise machen.

P2P ist überigends auch fürn Arsch, da das ja alles reverse sein muss, da ja fast jeder PC nen Router hat. Und wenn der Server zur "Vermittlung" weg ist, ist auch wieder dein Netz weg.

passt aber zu dem was du (glaube ich) möchtest

btw: Ich möchte gar nix, ich will nur wissen was mit C&Cs passiert, wenn sie entdeckt werden.