Sayfayı Yazdır | Pencereyi Kapat

Storm'un Yapısı

Nereden Yazdırıldığı: Bilginin Adresi
Kategori: Bilgisayar Güvenliği / Computer Security
Forum Adı: Güvenlik / Security Makaleleri
Forum Tanımlaması: Bilgisayarınızı Her Türlü Saldırıya Karşı Korumak İçin Yapmanız Gerekenler
URL: https://www.bilgineferi.com/forum/forum_posts.asp?TID=8414
Tarih: 22-11-2024 Saat 13:48


Konu: Storm'un Yapısı
Mesajı Yazan: megabros
Konu: Storm'un Yapısı
Mesaj Tarihi: 05-04-2010 Saat 18:46
 
 
Storm'un Yapısı


Basit bir Botnet, dünya genelinde güvenlikleri tehdit altına girmiş binlerce masaüstü bilgisayara bağlanan bir Command and Control (C&C) (komuta kontrol) sunucusuna sahiptir. Eğer bu her zaman geçerli olsaydı, Botnet'ler kolayca bulunarak ve C&C sunucuları kapatılarak devre dışı bırakılabilirdi. Storm'un yaklaşımı ise çok daha katmanlı ve incelik dolu. En tepede bir Command & Control (komuta kontrol) sunucusu Apache, muhtemelen Rusya'da bir yerlerde bulunuyor. Bir sonraki seviyede ise bir Nginx 0.5.17 proxy kullanan başka bir sunucu, Apache makinesini gizlemek için tasarlanmış. Üçüncü seviyede birkaç Nginx 0.5.17 proxy'si ana Nginx 0.5.17 proxy'nin görülmesini engelliyor. Dördüncü seviyede denetleyiciye götüren ve fast-flux (Botnetlerin, Proxy işlevi gören ve sürekli değişen, tehdit altındaki bilgisayar ağının arkasındaki kötü niyetli ve dolandırıcılık sitelerinin görünmesini engellemek için kullandıkları bir DNS tekniği) sunucusu işlevi gören normal kullanıcı bilgisayarları konumlanıyor.
 

Storm%20un%20yapısı

 

Son seviyede, dünya genelinde güvenlikleri tehdit altına alınmış binlerce bilgisayardan oluşuyor. Stewart, Storm'un bir bilgisayarı bir damlayla enfekte ettiğini söylüyor. Şu anda tercih edilen enfeksiyon işlemiş bir e-posta linkiyle oluyor fakat bu bir eş düzeyler arası (peer-to-peer) işleme dönüşebilir. Ne kadar enfekte edilmiş olursa olsun, son kullanıcı tarafından bir kez bu linke tıklanmasından sonra, dördüncü düzey bir süper "node" dan EXE dosyasına ulaşan bir kökçük, kullanıcının bilgisayarına kurulur. Bu bilgisayara bir kez bu işlem uygulandığında süper "node", tehdit altına alınmış masaüstü bilgisayarın IP bilgileri elde ediliyor ve bu bilgi, eşleme işlemi olarak üçüncü düzeydeki bir süper "node" proxy'sine gönderiliyor. Üçüncü düzeyde ayrıca bu bilgi sıkıştırılıyor ve gizlemek için şifreleniyor, daha sonra ikinci düzeydeki proxy'ye gönderiliyor ve son olarak da en üstteki sunucuya bu bilgi ulaştırılıyor.

 
Saygılar.



Sayfayı Yazdır | Pencereyi Kapat