パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

FlamerのC&Cサーバーがアンインストールコマンドを送信していた」記事へのコメント

  • Computers & Communications ?

    • Re: (スコア:4, 参考になる)

      by Anonymous Coward

      マジレスするとCommand & Control

      http://en.wikipedia.org/wiki/Botnet [wikipedia.org]
      >This server is known as the command-and-control server ("C&C").

      • by Anonymous Coward on 2012年06月10日 15時22分 (#2170592)
        要するにただの管理サーバーですよね?

        > マルウェア「Flamer (Flame)」のC&Cサーバーが、感染したコンピューター
        > にFlamerをアンインストールするコマンドを送信していたそうだ

        このサーバーが全クライアントを把握してることはないと思うのですが、
        サーバー側からコマンドを送信(Push)することは可能なんでしょうか?
        親コメント
        • by JULY (38066) on 2012年06月10日 16時15分 (#2170607)

          仕組みは簡単で、クライアント側から C&C サーバに接続して、コマンドが送られてくるのを待つんです。世界各国に散らばったエージェントが、ボスのところへ電話をかけて、命令を待つ、みたいな。

          一般的に感染しているコンピュータに、インターネット側から接続をする事は容易ではないですが、感染したコンピュータから、あらかじめ指定されたインターネット側のサーバに接続するのは簡単です。それも、HTTPS の 443 番ポートあたりを利用すると、間に Proxy があっても、CONNECT メソッドでつながってしまえば、任意の通信が可能になります。つながってしまえば、

          クライアント:「ボス、着きました。」
          サーバ:「やれ」

          見たいな感じで、サーバ側からクライアント側のプログラムに指示を出す事ができます。

          親コメント
          • by Anonymous Coward
            だからそれはPushじゃないでしょ?って言いたかったんですが。
            • by taka2 (14791) on 2012年06月11日 3時12分 (#2170735) ホームページ 日記

              送信-受信というデータの流れと、Push/Pullという通信モデルは、独立した話なんだから、元コメの「送信(Push)する」という言葉自体が変なの。
              勝手にPushって言葉を持ち出して「それはPushじゃないでしょ」と言うのがおかしい。

              Pushモデルは、データの送信側(サーバ側)が受信側に接続するもの。ネットワーク的に負荷(無駄)が少なく、また送信すべきデータが発生してからデータ送信までのタイムラグが少ないのがメリットだが、サーバ側の管理負荷が大きいのがデメリット。

              Pullモデルは、データの受信側が適宜送信側に問い合わせるもの。送信すべきデータが無いのにアクセスする場合があるのでネットワーク負荷が重いし、送信すべきデータが発生しても問い合わせが来るまでは送信されないのでそれなりなタイムラグが発生するのがデメリット。その代わり、サーバ側の管理負荷は軽い。

              Pullモデルで実装されたクライアント(感染したbot)からの問い合わせに対し、C&Cサーバはコマンドを送信している、という処理の流れであって、「サーバ側からコマンドを送信している」ということには何の間違いもない。

              親コメント
              • by Anonymous Coward

                そもそも元のブログ(英語版)は「shipping a file」 ってなってますからね…。
                勝手にpushに再翻訳してそれは違うと騒ぐとか滑稽の極み。

        • W32.Flamer Technical Details | Symantec [symantec.com]

          W32.Flamer is a worm that has the ability to spread from one computer to another. However, the worm does not automatically spread, but instead it waits for instructions from the attackers. If required, it can spread using the following methods:

          W32.Flamer has built-in modules to gather information from compromised computers,,,

          W32.Flamer は感染コンピュータの情報を収集し C&C サーバー(攻撃者)側に返

          --
          モデレータは基本役立たずなの気にしてないよ

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...