Overnet/Donkey Sistemi

Öngörülebilir sağlamalar, araştırmacılar için de pozitif bir etkiye sahip

Overnet/eDonkey

İkinci ve üçüncü düzeylerde, Nginx proxy'leri Overnet/eDonkey, eş düzeyler arası internet trafiğini dinliyorler. Overnet/eDonkey, Amerika Kayıt Endüstrisi Birliği tarafından kapatılana kadar, popüler bir eş düzeyler arası (peer-to-peer) ağ uygulamasıydı. Hizmet kapatılmış olmasına rağmen kodu hala duruyor. Botnet operatörlerinin yapmayı en çok sevdikleri şey Overnet/eDonkey'nin yayılmış halii; burada merkezi bir eş düzey listesi bulunmuyor. Bu yüzden her bir "node" kullanıcı komşu eş düzeylerin küçük bir listesine sahip.

Merkezi olmayan bu ağ, Stewart'ın ve diğer birçok uzmanın söylediği gibi Storm'un bu kadar başarılı olmasının nedeni. 

Bu, neredeyse Storm'un çöküşü anlamına geliyor. Overnet/eDonkey, hala dosya paylaşımında kullanılıyor, bu yüzden Storm'un bakış açısıylayoğun bir düzmece trafik var. Kendi trafiğini diğer trafikten daha iyi ayırmak için Storm'un Kadamlia tarafından yayılan sağlama (hash) tablosunu kullandığını ve C&C sunucusunun da sadece bu ön görülebilir MD4 sağlamalarını dinlediğini söylüyor Stewart. Bu sağlamalar, IP adresi ve kullanılan portu içeren basit bir sağlama algoritmasından türetiliyor.

"Öngörülebilir sağlamalar, araştırmacılar için de pozitif bir etkiye sahip" diyor Stewart: "Eğer bir eş düzey (peer), arattığınız özel "node"un yerini bilmiyorsa, bilinen eş düzey, aradığınıza en yakın eş düzeylerin bir listesini sağlar." Tüm Overnet/eDonkey süper "node"ları eş düzeyleri, kendilerini yayımladıkları için, Stewart ve diğer araştırmacılar, tüm bu "node"ları gezerek Botnet'in boyutuyla ilgili çok doğru bir bilgi edinebiliyorlar. 

Mükemmel Değil

Fakat son zamanlarda Storm yine evrim geçirmeye başladı. Bu defa, yerleşik bir anahtar ve basit bir XOR kullanıp, paketleri şifreleyerek kendi ağını genel İnternet trafiğinden izole ediyor. Ayrıca, ilk enfeksiyon yoğunlaştırmasını veya sıkıştırma işlemini de değiştiriyor. Dış katmanlar her 10 dakikada bir değişiyor, içindeki bot koduysa yoğunluğunu ayda bir değiştiriyor. Yoğunlaşması ya da şifrelemesi, güvenlik araştırmacılarını henüz yenemedi. 

Fakat, şifrelemenin bir kötü yanı, Storm'un yaratıcılarının ağlarını bölümlere ayırıp satabilecekleri - bu, Botnet'i diğerlerine satmaları ya da kiralamaları anlamına geliyor. Parçalama ile ilgili bu spekülasyonların çok geniş şekilde yayılmış olmasına rağmen Stewart, henüz bunu gözlemlemediğini söylüyor.

Saygılar. 

DÃ¼zenleyen megabros - 05-04-2010 Saat 18:49

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Overnet/Donkey Sistemi GÃ¶nderim ZamanÄ±: 05-04-2010 Saat 18:48
	Overnet/eDonkey İkinci ve üçüncü düzeylerde, Nginx proxy'leri Overnet/eDonkey, eş düzeyler arası internet trafiğini dinliyorler. Overnet/eDonkey, Amerika Kayıt Endüstrisi Birliği tarafından kapatılana kadar, popüler bir eş düzeyler arası (peer-to-peer) ağ uygulamasıydı. Hizmet kapatılmış olmasına rağmen kodu hala duruyor. Botnet operatörlerinin yapmayı en çok sevdikleri şey Overnet/eDonkey'nin yayılmış halii; burada merkezi bir eş düzey listesi bulunmuyor. Bu yüzden her bir "node" kullanıcı komşu eş düzeylerin küçük bir listesine sahip. Merkezi olmayan bu ağ, Stewart'ın ve diğer birçok uzmanın söylediği gibi Storm'un bu kadar başarılı olmasının nedeni. Bu, neredeyse Storm'un çöküşü anlamına geliyor. Overnet/eDonkey, hala dosya paylaşımında kullanılıyor, bu yüzden Storm'un bakış açısıylayoğun bir düzmece trafik var. Kendi trafiğini diğer trafikten daha iyi ayırmak için Storm'un Kadamlia tarafından yayılan sağlama (hash) tablosunu kullandığını ve C&C sunucusunun da sadece bu ön görülebilir MD4 sağlamalarını dinlediğini söylüyor Stewart. Bu sağlamalar, IP adresi ve kullanılan portu içeren basit bir sağlama algoritmasından türetiliyor. "Öngörülebilir sağlamalar, araştırmacılar için de pozitif bir etkiye sahip" diyor Stewart: "Eğer bir eş düzey (peer), arattığınız özel "node"un yerini bilmiyorsa, bilinen eş düzey, aradığınıza en yakın eş düzeylerin bir listesini sağlar." Tüm Overnet/eDonkey süper "node"ları eş düzeyleri, kendilerini yayımladıkları için, Stewart ve diğer araştırmacılar, tüm bu "node"ları gezerek Botnet'in boyutuyla ilgili çok doğru bir bilgi edinebiliyorlar. Mükemmel Değil Fakat son zamanlarda Storm yine evrim geçirmeye başladı. Bu defa, yerleşik bir anahtar ve basit bir XOR kullanıp, paketleri şifreleyerek kendi ağını genel İnternet trafiğinden izole ediyor. Ayrıca, ilk enfeksiyon yoğunlaştırmasını veya sıkıştırma işlemini de değiştiriyor. Dış katmanlar her 10 dakikada bir değişiyor, içindeki bot koduysa yoğunluğunu ayda bir değiştiriyor. Yoğunlaşması ya da şifrelemesi, güvenlik araştırmacılarını henüz yenemedi. Fakat, şifrelemenin bir kötü yanı, Storm'un yaratıcılarının ağlarını bölümlere ayırıp satabilecekleri - bu, Botnet'i diğerlerine satmaları ya da kiralamaları anlamına geliyor. Parçalama ile ilgili bu spekülasyonların çok geniş şekilde yayılmış olmasına rağmen Stewart, henüz bunu gözlemlemediğini söylüyor. Saygılar. DÃ¼zenleyen megabros - 05-04-2010 Saat 18:49