Como se oculta un atacante

Buenas tardes amigos, acudo a ustedes con una duda; como un atacante se oculta para realizar sus actividades.

En concreto mi duda es la siguiente y voy a tomar una botnet como ejemplo:

Una botnet siempre dispone de un C&C quien los controla, por lo que los equipos infectados van a realizar conexiones contra este equipo directamente para luego recibir ordenes. Es aquí donde surge mi duda; como los atacantes ocultan sus direcciones IP de destino para no ser rastreados fácilmente y que los equipos infectados puedan seguir estableciendo la comunicación contra el C&C?

O lo pongo con otro ejemplo; si se ejecuta un payload en un equipo víctima, este debe conectar a un servidor con quien establece la conexión. Como se puede ocultar esa conexión para no ser rastreado fácilmente?

Espero haber sido claro con la pregunta y mil disculpas si este tema ya fue planteado anteriormente. Soy nuevo en este tema.

Quedo pendiente de sus respuestas.

Saludos

Pues en numerosas ocasiones la gente no se oculta. En otras, como por ejemplo en el caso de algunos c&c se utilizan servicios intermedios como twitter, irc, etc... que hacen de pantalla.

Mucha gente utiliza proxys (ya sean cifrados, sin cifrar. VPNs, tor,...). No obstante el anonimato en Internet, es bastante complicado conseguirlo. Muchas veces no tanto por la falta de herramientas, si no porque en general cualquier pequeño fallo en la forma de uso hace que dejes de ser anónimo (por no hablar de problemas derivados de exploits en los programas que usas que te suelen dejar en pelotas, como en su día tor browser que exponía las IPs en determinadas circunstancias).

Por otro lado, ten en cuenta que siempre en cualquier comunicación hay un camino (ya séa directo o indirecto) entre tu y el otro extremo, al final fíjate que tus paquetes tienen que llegar a él y los paquetes que envía él tienen que llegar a ti.

Resumiendo, si en algún momento estás pensando en algo así como conseguir riesgo 0 (tanto para una víctima como para un atacante), eso no existe. Como ejemplo tienes silkroad, todo estaba super escondido y al final pillaron a clientes del servicio cómo proveedores del servicio.

A lo que le han dicho (bastante abarcador), pudiera añadírsele ciertas especificaciones.
En lo particular no me gusta emplear el término "ocultamiento" porque es bastante ficticio. Siempre lo he denominado "enmascaramiento", porque se ajusta más a lo que realmente se suele hacer.

Es muy popular el uso de cadenas de proxys entre privados y públicos. También en esa madeja se hacen mirror con VPS especialmente hechos para tal fin, según la estrategia de lo que se haga. Sin grandes misterios, prácticamente es igual a cómo funciona la red Tor: cadena de proxys y técnicas de encriptación.

Los proxys de entidades públicas como educacionales, tuvieron una era dorada. Recuerdo el proyecto SoftEther VPN en la Universidad de Tsukuba, Japón. Que sirvió para enmascarar no pocos ataques notorios sobre internet, dada las oportunidades que ofrecía. Si dejaba el equipo copiando, encendido, resultaba que, con la copia, también estaba haciendo DDOS a un objetivo.
Según he leído, en la actualidad se usan muchos proxys chinos, o de países eslávicos como plataforma de proyección.

También tenga en cuenta que, todos estos caminos se hacen y se deshacen. Así como el uso de dispositivos especialmente comprometidos con malware o puertas traseras. Es como una gran telaraña que, según los recursos que se dispongan, se expande la red de enmascaramiento.

Los grandes ataques de DDOS, por lo general se hacen comprometiendo servidores, a nivel mundial.
Entre mayor sea la cantidad, mejor será el impacto del ataque.
Por ello ciertos países como Rusia o China, implementan grandes Firewalls, o Switch de desprendimiento del internet global, pues una IA atacante pudiera arruinar al país en pocas horas, sin que dé tiempo a nada.
También hay un creciente recelo con los fabricantes de hardware, pues se vislumbra el ocultamiento, en partes vitales de hardware, de código malicioso latente a modo de células, que son integradas y despertadas para espionaje.
Tal es el caso actual de Huawei en sus redes de telefonía. 

Otro ejemplo: no ha mucho, los rusos tenían una enorme botnet a través de millones de Routers comprometidos a nivel mundial, a través de un malware con backdoors. Y a través de ella se proyectaban.
Era impresionante.

Hola, Daniel Jiménes

Lo que dice AXCESS tiene razón y respetos:

Citar
A lo que le han dicho (bastante abarcador), pudiera añadírsele ciertas especificaciones.
En lo particular no me gusta emplear el término "ocultamiento" porque es bastante ficticio. Siempre lo he denominado "enmascaramiento", porque se ajusta más a lo que realmente se suele hacer.

Como mismo lo mencionan aquí hay multitud de herramientas/tecnicas para el enmascaramiento desde proxys, vpns, la red tor, pivoteo, redes p2p (está es la más efectiva), hasta malware sofisticados con inteligencias artificiales capaz de vulnerar no sólo a una red, si no, a sus dispositivos conectados con una facilidad impresionante y mucho más.

La p2p (peer to peer - punto a punto), es una red de computadores donde todos los clientes son a la misma vez servidores. Está es peligrosa y es la mas usada para crear botnet's (Aunque actualmente se está apoderando los C&C de servicios públicos y muy conocidos, Gmail es un ejemplo claro ...), Una red en la es difícil detectar quien es el que controla la misma y como.

Hola Las grandes botnets utilizan 4 recursos  .
DGA Algorithm
DNS Fast Flux
Doble Fast-Flux
Triple VPN - Random

cambiando mac y usando un wifi publico