答案1
黑客 -> 被入侵机器 -> 被入侵机器 -> 被入侵机器 -> 政府机器
通过反弹连接、创建私有代理以及通过 IRC 命令远程机器,大型僵尸网络的控制者能够保持匿名,而其受感染的下属则可以(非常公开地)执行攻击、端口扫描、DDoS、垃圾邮件、嗅探、键盘记录、身份盗窃或传播僵尸网络自己的软件等。
一些有趣的链接包括:
答案2
你从机器人开始,依靠用户的无知。然后它就会像一张网一样自行传播。
有时候,追踪它需要付出的努力比它本身的价值还要多。如果你在机器人被发现时没有被雷达发现,就很难知道它的起源时间和地点。
如今,他们以小组形式开展工作,因此可以从不同且几乎同时的点进行更多传播。
能追踪到他们吗?能,而且有组织在做这件事。另一个问题是,如果他们在其他国家,他们所做的事情可能并不违法,或者即使有人愿意办理手续,也没有法律允许我们引渡他们。
通常,它们通过 IRC 频道工作,并冗余地传播其通信。如果您在 Google 上搜索僵尸网络控制频道并搜索安全研究人员,就会发现安全研究人员的论文概述了它们的运作方式。他们定期渗透并监视僵尸网络控制频道,以了解有多少系统受到感染以及它们能够做什么……复杂的网络甚至有远程升级僵尸系统的方法。
从技术上讲,他们不是黑客。当你把罪犯称为黑客时,黑客会非常恼火。我认为他们更喜欢用破解者这个词,比如系统破解者。或者黑帽。现在,破坏系统非常有利可图,而且在某些国家,有金钱和腐败官员的支持。现在不再是“黑客”在蔑视无知的用户,或者在屏幕底部用动画救护车飞驰来显示自己的聪明才智。他们的目的是窃取人们的钱和密码,并使用社会工程学来抢劫他人。如果机器人被发现,那完全是意外或无意的。
答案3
一般来说,想要保持匿名的攻击者会使用任何可用的机制来隐藏自己的身份。您描述的技术——从受感染的计算机发起攻击——是一种相当常见的技术(请参阅杜鹃蛋例如,20 世纪 80 年代后期关于攻击者使用这种技术的记录。作为攻击者,目标是使第三方很难通过您的命令所经过的“跳数”来追踪您。通过受感染的机器积累足够的跳数(尤其是当它们位于计算机犯罪法律过时的“落后”国家时),您将很难发现攻击者的实际位置。
至于实际控制受感染的计算机,攻击者可能会使用一些已安装的程序来监听传入的请求。但是,对于像 Windows 这样的操作系统,通常没有 TELNET 或 SSH 守护程序,攻击者更有可能留下一些恶意软件。
我不知道是否有现成的 VPN 工具可用于控制受感染的计算机,但这确实是可能的。
长期以来,IRC 一直被用作受感染计算机的“命令和控制”网络。受感染的计算机将登录 IRC 服务器,加入特定频道,然后等待命令。
现代“机器人”中的命令和控制网络变得相当复杂,并使用公钥加密来验证命令。此外,有些“机器人”能够检测命令和控制网络中的篡改行为,并最终对试图伪造命令和控制数据包的人发起 DDoS 攻击。(这很狡猾……)