آیا بات‌نت IRC کماکان فعال است؟

 برخلاف گمان بسیاری از پژوهش‌گران، بات‌نت IRC هنوز هم زنده و فعال است. مطالعات جدیدی که توسط شرکت امنیتی Zscaler انجام شده نشان می‌دهد که بات‌نت‌های IRC، که از نرخ رشد و تکثیر بالایی برخوردار نیستند، کماکان فعال بوده و طی این سال‌ها گروهی از قابلیت‌های تازه را به کار گرفته‌اند که این قابلیت‌ها آن‌ها را به محتمل‌ترین تهدید تبدیل کرده است. تمرکز تجزیه و تحلیل انجام‌شده توسط Zscaler بیششتر روی چهار خانواده‌ی جدید IRC بوده که سندباکس‌های ابری این شرکت را در سال ۲۰۱۵ مورد حمله قرار داده‌اند. Zscaler چهار بات‌نت مذکور را با عناوین DorkBot، IRCBot.HI، RageBot و Phorpiex شناسایی نموده است. در این میان شایع‌ترین بات‌نت DorkBot می‌باشد. 

اگرچه پای‌لود این قبیل بات‌نت‌ها برابر با سهم اندکی از پای‌لودهای متعلق به خانواده‌ی بات‌نت‌های شناخته‌شده است اما باز هم یک تهدید محسوب می‌شود. کشورهایی که توسط پای‌لود‌های بات‌نت IRC بیشتر آسیب‌ دیده‌اند شامل آمریکا، آلمان و هند می‌باشند.

حال که در عصر بات‌نت‌های پیچیده‌ی مجهز به کانال‌های ارتباطی C&C، پروتکل‌های سفارشی، و تعاملات رمزشده به سر می‌بریم، شاهد پای‌لود بات‌نت‌های مبتنی بر IRC جدیدی هستیم.

بات‌نت‌های مبتنی بر IRC در دهه‌ی ۹۰ و اوایل دهه‌ی نخست سال ۲۰۰۰ میلادی شایع شدند، اما پس از آن به تدریج از تعداد آن‌ها کاسته شد. این بات‌نت‌ها اساساً از مجموعه‌ای از سامانه‌های آلوده تشکیل شده‌اند که از راه دور از طریق یک کارگزار و کانال IRC از پیش پیکربندی شده کنترل می‌شوند. اگرچه این‌گونه بات‌نت‌ها می‌توانند اثر مثبتی داشته باشند مستعد مبدل شدن به یک پایگاه خرابکاری هم هستند، به این صورت که فردی خراب‌کار کارگزار IRC یا کانال ارتباطات IRC را مسدود نماید.

در سال ۲۰۰۷ میلادی، زمانی که هنوز هزاران بات‌نت فعال IRC در جهان وجود داشت، محققان متوجه شدند که عمر بیشتر این بات‌نت‌ها تنها دو ماه است زیرا مسدود نمودن آن‌ها کار بسیار ساده‌ای است. به همین خاطر مجرمان سایبری طی این سال‌ها رویه‌ی خود را به استفاده از کانال‌های ارتباطی C&C تحت وب تغییر دادند. اما تحقیقات Zscaler نشان داده که بات‌نت‌های IRC هم بیکار ننشسته و متحول شده‌اند.

در حالی که پروتکل هسته‌ی C&C کماکان همان IRC باقی مانده، چندین قابلیت جدید به آن اضافه شده که موجب شده با برخی از بات‌نت‌های تحت وب پیچیده قابل مقایسه شود. به‌طور مثال این روزها اپراتورهای بات‌نت IRC از کارگزارها و کانال‌های متعدد برای اهداف کنترل و فرماندهی استفاده می‌کنند، از این رو دیگر مانند گذشته با از کار افتادن یک نقطه از شبکه، کل شبکه را از دست نمی‌دهیم؛ به عبارتی دیگر یک SPOF نداریم. 

بسیاری از کاربران از رمزنگاری برای حفاظت از ارتباطات IRC میان یک میزبان آلوده و کارگزار C&C استفاده می‌کنند. پای‌لودهای جدید، شامل اطلاعات C&C‌های نوین، که به‌طور دوره‌ای از نشانی‌های وب از پیش پیکربندی شده در سامانه‌های آلوده بارگیری می‌شوند و بسیاری از کاربران از فوت و فن‌های ضد تجزیه و تحلیل برای سد کردن عمل‌کرد سندباکس خودکار استفاده می‌نمایند. 

پیشرفت‌های IRC به همین‌جا ختم نمی‌شود؛ بات‌‌نت‌های IRC از روش‌های مشابه با سایر بات‌نت‌ها برای انتشار استفاده می‌کنند، نظیر تزریق پرونده، برنامه‌های P۲P، پیام‌رسانی فوری، و درایوهای قابل حمل مورد نفوذ. همچنین بات‌نت‌های  IRCبرای بسیاری از کاربردهای مشابه دیگر مانند راه‌اندازی حملات انسداد سرویس، نصب یا پاک‌سازی پای‌لودهای بدافزاری جهت ربودن نام کاربری و اطلاعات حساس دیگر استفاده می‌شوند.