Ha harc, legyen harc - gondolták a botnet pásztorok. És megint mertek egy nagyot álmodni, majd pedig reggel a JPG állományoknál kellett felütniük az álmoskönyvet.
A TCP/IP forgalom figyelése sok érdekességgel szolgálhat a botnetek elleni küzdelemben. Emiatt aztán adja magát az ötlet, álcázni kellene az utasításokat. Eleinte az IRC csatorna volt az kezdet, aztán mára eljutottunk odáig, hogy már a Twitter üzeneteket is felhasználták az ilyen kommunikációban. A mostani ötlet pedig az, hogy álcázzák a zombigépeknek küldött utasításokat, és JPG állományként próbálják azt feltüntetni. Ehhez egy valódi JPG képállomány fejlécét használják - erre sok parser meg is állapítja, ez itten kérem nagy tisztelettel egy JPEG típusú image - a maradék binárisba meg egyszerűen belapátolják a kívánt utasítást XOR-olva 0x4-gyel.
A network monitorok meg esetleg benézik, mint szokványos webes forgalmat a kliens-szerver között. A leleplezéshez alaposabb fájl ellenőrzést kellene elvégezniük, ami viszont már jelentős többlet terhelést okozna.
A Waledac botnet már alkalmazott hasonló trükköt, ott ha a bot kap egy valós image fájlt a szerverről, akkor a kártevő kódját XOR-olva hozzáfűzte azt annak végéhez. Ismeretlentől tehát továbbra se fogadjunk el tudatmódosító cukorkát és JPG állományt.
szilvacska 2009.10.01. 23:17:05
lolperec 2009.10.01. 23:47:34
az új számomnak ez lesz a címe:
"I want a botnet on my Mac" ^^
JohnWatt · http://allas.dolgok.com 2009.10.02. 06:30:59
sonance · http://www.sonance.hu 2009.10.02. 07:00:38
futureboy (törölt) 2009.10.02. 09:08:04
grizzancs 2009.10.02. 09:14:41
mert ha a gepem egy botnet halozat egy tagja, akkor valoszinuleg valaki odaadja a kezembe a jpgt, hogy ugyan nezzem mar meg a botnet-jpg-parser.exe nevu kepnezegetomnek, mi?
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.10.02. 10:15:03
Egyébként kézbe venni is lehet, meg játszani is szabad vele ;-) de a képnézegetőd maximum annyit mond, hogy Ooopsz, ez egy sérült képállomány.