与的沟通木马与命令与控制服务器之间的信息交

shuklarani95201

换过程同样引人注目。那个时代的大多数木马都在源代码中添加了地址前缀。作者只是指定了域名这样他们就可以在必要时更改服务器的地址也就是说如果他们失去了对主要地址的控制他们可以简单地用备份替换它们。简而言之这是种相当原始的安全机制。在这方面非常同该组织采用了种堪比间谍小说的方法。

在通信会话之前会计算服务器的地址。网络犯罪分子搜索了雅虎特定公司的股价（在我们的研究中是麦当劳。根据特定时间股票的价值他们生成个域名并访问它。也就是说为了控制木马网络犯罪分子研究了当时的股票价格并根据这些数字注册了域名。换句 最新的邮件数据库 话说无法提前知道服务器将使用什么域名。这就提出了个合理的问题如果该算法嵌入到特洛伊木马中那么是什么阻止研究人员生成该序列在网络犯罪分子之前注册域名并等待特洛伊木马连接到它？但的创建者已经采取了预防措施。




他们使用了非对称加密技术。也就是说生成了对密钥机器人在访问服务器时使用公钥来检查它是否真正属于其所有者（验证数字签名。如果知道密钥这是可能伪造的。因此只有密钥的所有者才能接收机器人请求并发出命令外部研究人员无法模拟服务器。当时其他网络犯罪分子并没有使用这种保护方法所以如果我们检测到服务器上有私钥保护我们就可以确定这是次攻击。