I kdyz tam nebudou "jen tak" napsane, nekde ty adresy c&c serveru byt musi. Jak jinak bych chtel bota ovladat? Tedy jestli si sebou neveze seznam cilu a cas kdy ma zautocit...
Spominam na zajimavej clanek kterej kdysi davno zverejnil jistej Steve Gibson (nemohu ted najit link). Nekdo skousel ddos na jeho web. Sehnal si malware z jednoho z infikovanych pocitacu, disassembloval, a nasel adresu irc-serveru kam se ten bot pripojoval a kde cekal na prikazy. Tak se tam Steve pripojil take, a hezky si poklabosil s tim "hackerem". Kloucek byl hezky vyjukanej kdyz mu Steve rekl, jak ho nasel...
To nic nemeni na faktu, ze ten malware nejak "vola domu". Tedy jestli ma byt soucasti botnetu a nejak aktivne vyuzivan. Proto musi znat adresu kam se prihlasit. Je jedno, jestli je to IP nebo FQDN, facebook nebo irc, a jestli je to kryptovano a vyuzivan tor. Porad musi znat nakou adresu, kde se ozvat, a odkud prijimat pokyny...
To je prave to, nemusi. Respektive pokud zna tor adresu cile, tak je tobe ta informace naprosto naprd, protoze nejsi schopnej ten cil nijak lokalizovat => ani ho eliminovat. Tak maximalne se na tu adresu muzes podivat a zjistit, co tam najdes.
Navic ta adresa muze existovat jen docasne ...
Adresy tam sice nejspis primo nebudou, ale analyza chovani muze poskytnout celkem hodnotne info, ktere identifikaci C2 serveru pomuze.
Ale taky bych cekal, ze tu analzyu nebude nutne delat from scratch, otazka je, jestli je k dispozici a to dostatecne podrobna. Mit signaturu malwaru v databazi je jedna vec a podrobne prouzkoumat jeho chovani je vec druha.