Storm'un Yapısı

Storm'un Yapısı

Basit bir Botnet, dünya genelinde güvenlikleri tehdit altına girmiş binlerce masaüstü bilgisayara bağlanan bir Command and Control (C&C) (komuta kontrol) sunucusuna sahiptir. Eğer bu her zaman geçerli olsaydı, Botnet'ler kolayca bulunarak ve C&C sunucuları kapatılarak devre dışı bırakılabilirdi. Storm'un yaklaşımı ise çok daha katmanlı ve incelik dolu. En tepede bir Command & Control (komuta kontrol) sunucusu Apache, muhtemelen Rusya'da bir yerlerde bulunuyor. Bir sonraki seviyede ise bir Nginx 0.5.17 proxy kullanan başka bir sunucu, Apache makinesini gizlemek için tasarlanmış. Üçüncü seviyede birkaç Nginx 0.5.17 proxy'si ana Nginx 0.5.17 proxy'nin görülmesini engelliyor. Dördüncü seviyede denetleyiciye götüren ve fast-flux (Botnetlerin, Proxy işlevi gören ve sürekli değişen, tehdit altındaki bilgisayar ağının arkasındaki kötü niyetli ve dolandırıcılık sitelerinin görünmesini engellemek için kullandıkları bir DNS tekniği) sunucusu işlevi gören normal kullanıcı bilgisayarları konumlanıyor.

Son seviyede, dünya genelinde güvenlikleri tehdit altına alınmış binlerce bilgisayardan oluşuyor. Stewart, Storm'un bir bilgisayarı bir damlayla enfekte ettiğini söylüyor. Şu anda tercih edilen enfeksiyon işlemiş bir e-posta linkiyle oluyor fakat bu bir eş düzeyler arası (peer-to-peer) işleme dönüşebilir. Ne kadar enfekte edilmiş olursa olsun, son kullanıcı tarafından bir kez bu linke tıklanmasından sonra, dördüncü düzey bir süper "node" dan EXE dosyasına ulaşan bir kökçük, kullanıcının bilgisayarına kurulur. Bu bilgisayara bir kez bu işlem uygulandığında süper "node", tehdit altına alınmış masaüstü bilgisayarın IP bilgileri elde ediliyor ve bu bilgi, eşleme işlemi olarak üçüncü düzeydeki bir süper "node" proxy'sine gönderiliyor. Üçüncü düzeyde ayrıca bu bilgi sıkıştırılıyor ve gizlemek için şifreleniyor, daha sonra ikinci düzeydeki proxy'ye gönderiliyor ve son olarak da en üstteki sunucuya bu bilgi ulaştırılıyor.

Saygılar.

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Storm'un Yapısı GÃ¶nderim ZamanÄ±: 05-04-2010 Saat 18:46
	Storm'un Yapısı Basit bir Botnet, dünya genelinde güvenlikleri tehdit altına girmiş binlerce masaüstü bilgisayara bağlanan bir Command and Control (C&C) (komuta kontrol) sunucusuna sahiptir. Eğer bu her zaman geçerli olsaydı, Botnet'ler kolayca bulunarak ve C&C sunucuları kapatılarak devre dışı bırakılabilirdi. Storm'un yaklaşımı ise çok daha katmanlı ve incelik dolu. En tepede bir Command & Control (komuta kontrol) sunucusu Apache, muhtemelen Rusya'da bir yerlerde bulunuyor. Bir sonraki seviyede ise bir Nginx 0.5.17 proxy kullanan başka bir sunucu, Apache makinesini gizlemek için tasarlanmış. Üçüncü seviyede birkaç Nginx 0.5.17 proxy'si ana Nginx 0.5.17 proxy'nin görülmesini engelliyor. Dördüncü seviyede denetleyiciye götüren ve fast-flux (Botnetlerin, Proxy işlevi gören ve sürekli değişen, tehdit altındaki bilgisayar ağının arkasındaki kötü niyetli ve dolandırıcılık sitelerinin görünmesini engellemek için kullandıkları bir DNS tekniği) sunucusu işlevi gören normal kullanıcı bilgisayarları konumlanıyor. Son seviyede, dünya genelinde güvenlikleri tehdit altına alınmış binlerce bilgisayardan oluşuyor. Stewart, Storm'un bir bilgisayarı bir damlayla enfekte ettiğini söylüyor. Şu anda tercih edilen enfeksiyon işlemiş bir e-posta linkiyle oluyor fakat bu bir eş düzeyler arası (peer-to-peer) işleme dönüşebilir. Ne kadar enfekte edilmiş olursa olsun, son kullanıcı tarafından bir kez bu linke tıklanmasından sonra, dördüncü düzey bir süper "node" dan EXE dosyasına ulaşan bir kökçük, kullanıcının bilgisayarına kurulur. Bu bilgisayara bir kez bu işlem uygulandığında süper "node", tehdit altına alınmış masaüstü bilgisayarın IP bilgileri elde ediliyor ve bu bilgi, eşleme işlemi olarak üçüncü düzeydeki bir süper "node" proxy'sine gönderiliyor. Üçüncü düzeyde ayrıca bu bilgi sıkıştırılıyor ve gizlemek için şifreleniyor, daha sonra ikinci düzeydeki proxy'ye gönderiliyor ve son olarak da en üstteki sunucuya bu bilgi ulaştırılıyor. Saygılar.