ボットネットの制限
私の質問は この質問 と非常に密接に関連していますが、そこで答えが見つかりませんでした。具体的には、C2サーバーがマルウェアの側面/プロパティを変更できるかどうか、変更できる場合は、被害者に通知せずに変更できるかどうかに関心があります。
私が興味を持っているマルウェアはCryptoLockerであるため、C2サーバーへの接続が確立された後に何が起こるかを動的に分析することはできません。 実際の情報最終的に必要なのは、CryptoLockerフォームに表示される身代金ビットコインの量がすべてのインスタンス間で同期されているかどうかです(たとえば、C2サーバーからこの情報を取得することによって) )または静的であり、各CryptoLockerインスタンス、つまりマルウェアのサンプルに依存しているかどうか。被害者のローカルファイルを暗号化する暗号化キーがC2サーバーから受信され、被害者のレジストリに保存されていることはすでに知っています。ビットコインの金額を表示するためにこの方法が適用されたという証拠は見つかりませんでした。
問題は、被害者に表示されるビットコインの量を動的に調整する他の方法があるかどうかです。 CryptoLockerが実際にそうであったかどうかは、二次的なものです。それは素晴らしいボーナスですが、誰かがそこで答えを提供することができれば。
あなたの答えには多くの側面があります。ボットネットは、検出を回避するための無数の可能性に頼り、C2との安全な通信さえも行います。
マルウェアは定期的に更新できますか?
間違いなく。 C2に接続し、1時間ごとに更新をダウンロードするマルウェアを実際に見たことがあります。しかし、毎日の更新はかなり一般的です。本質的に、すでにインストールされているバイナリは新しいマルウェア(exe)をダウンロードし、それ自体を新しいバージョンに置き換え、本質的に全体的な動作を変更します。
マルウェアはビットコインの身代金だけを更新できますか?
はい。現在、迷惑はボットネットの種類に依存している可能性があります。おそらく、マルウェアは1日の特定の時間にTwitterの不正なアカウントにアクセスし、ツイートからシード番号を取得するように訓練されています。これにより、最終的に身代金の金額が定義されますか?そうそう、誰かがすでにどこかでそれをしていると思います。
Cryptolockerに関する特定の経験はありませんが、特定の1つの動作と結婚しないことをお勧めします。
はい、サーバーと被害者と通信している限り、アクセスできるものはすべてリモートで変更できます。もう1つの方法は、表示される量を定期的に変更するマルウェアに何らかの機能を含めることです。