Forum Library
Professional
В данной статье будет описано общее устройство,функционирование разных типов ботнетов,также будут описаны некоторые подводные камни.
*Программные решения описаны не будут.
*Весь софт упоминаемый в статье назван исключительно с целью ознакомительного,но никак не рекламного характера.
*Все непонятные для человека "не в теме" термины приведены на англ. что упрощает их поиск в google.
Часть 1: Назначение ботнета.
Будут рассмотрены такие функции ботнета как:
1. DDOS.
2. Сбор информации. (Личной,платежной и прочей).
3. Установка сокса/прокси.
4. Брутнет.
5. Другие функции.
*функций ботнета может быть больше (напр. подмена выдачи) но я не считаю себя компетентным в этой сфере и не буду описывать то чем не занимался на практике.
Итак разберем общую структуру и понятие ботнет.
Ботнет — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением,контроллируемыми извне.
1. Что такое DDOS аттака вы можете найти в гугле,не считаю нужным описывать в данной статье.Можете поискат в гугле определение данного термина,или поискать к примеру BlackEnergy бот с целью понимания работы данного модуля.
2. Пример сбора информации мы можем увидеть тут.Это,к примеру,троян Zeus,принцип его работы можно понять,прочитав статью по вышеприведенной ссылке.
3. Соксификация бота может нам понадобится для самых различных целей.
Для анонимности,для брута,для кардинга и так далее.
4. Брутнет.
Мы устанавливаем на бота программу для брута хеша,разбиваем работу по диапазонам,даем ботам хеш и ждем результата.Так скорость перебора увеличивается в десятки и сотни раз.В админ панели мониторим статистику.
5. Функции могут быть самые разные,все зависит от цели задачи.Это может быть сервер для рассылки спама,или программа для подмены выдачи поисковиков,может просто модификатор файла hosts с целью редиректа на фейки/накрутки траффа.По сути что угодно.
Функции описанные выше могут быть как поотдельности так и комбинироваться в одном боте.
К примеру в вашем боте есть не только модуль установки socks но и DDOS.
Т.к. мы будем распростронять наш софт массово то следует предвидеть что он будет определяться антивирусами и фаерволлы при запуске файла будут оповещать о подозрительной активности,а хуже - заблокируют коннекты сразу.
Следует учесть,что чем больше будет загрузок - тем чаще ваш криптованый файл будет у антивирусных компаний.Для средних/крупных ботнетов "чистка" файла должна происходить не реже 1 раза в сутки,а может доходить и до 2,3 раз.
Методы крипта описывать не буду для этого есть тематические форумы,множество статей и т.д.
Более подробно рассмотрим базовые способы обхода фаерволлов.
1.Инжект вашего софта в доверенный процесс.
2.Создание драйвера и работа на уровне драйвера.
3.Работа на уровне ядра,самый низкий уровень.(Руткит,сюда также входит автозагрузка,прописывание в автовосстановление,безопасный режим и т.д.).
4.Создание своего процесса,обход алертов фаерволла с помощь кликов разрешения/скрытия окна.
5.Создание своего процесса через уязвимость в фаерволле.
Имеется файл с нужными для вас функциями,крипт сервис,возможность частого крипта.
Часть 2 Лоадер.
Лоадер и его назначение.
Цитата из статьи:
Загружая файлы большого объема сразу,шеллкод может не успеть загрузить файл.Для этого нам нужен лоадер.
Основные функции лоадера:
загрузка и запуск основного файла.
Статистика отстука. (у продвинутых лоадеров есть статистика отстука загруженных,также статистика может быть и с другими функциями,зависит от лоадера).
Втопростепенные функции лоадера:
Создание обходов в фаерволлах.
Отключение/патчинг антивирусов.
Сбор паролей.
И множество других.
Лоадер должен весить мало.До 20 кб.В идеале 1-3 кб.Поэтому обычно,кроме как загрузки основного файла делать в нем что либы еще - не рекомендуется.
В лоадере должен быть реализован обход фаерволла,неопределяемость антивирусами.
Его тоже нужно криптовать и следить за его чистотой.
Теперь нужно распространить имеющийся лоадер загружающий основной файл.
Часть 3.Распространение.
Способы увеличения количества зараженных машин:
1.Связка эксплойтов.
2.Соц.инжинерия.
3.Спам.
4.Прочие.
Распространение через связки эксплойтов.
Что такое связка эксплоитов и из чего она состоит можно подробно ознакомиться тут.
Схема:Хост заходит на нужный скрипт (как правило index.php) заражается или не заражается нашим софтом.Что бы не делать прямые редиректы,да и для удобства/невидимости мы будем ставить iframe на свой скрипт на связку.(что такое iframe и как ставиться - google).
Для трудности вычсиления iframe он шифруется разными методами.Напр base64,url encode и прочие.Расставляются зашифрованные iframe на ваших сайтах/шеллах и прочих местах где читается html.Способы добычи траффика в данной статье мы не будем,для этого есть SEO,взлом и прочее.
Итак,у нас есть 100 FTP.В index.php/html на нужно поставить наш iframe код.Для этого берется iframer.Напр Serotka FTP Cheker/iframer - софта подобного рода достаточно,оптимально написать самому на php что бы точно знать что ваши фта никто не уведет.
Итак,у нас есть 100 сайтов в index'е которых стоит наш криптованный iframe.Это равносильно тому что заходя на такой сайт с айфреймом хост посещает index.php нашей связки с эксплоитами.
Эксплоиты,а в навороченых связках криптор эксплоитов начинается определяться антивирусами как вредноностный код.Поэтому антивирусы будут блокировать содержимое сайтов с айфреймами,также браузер будет блокировать,т.е. без подтверждения на сайт не зайдешь.А врядли кто то нажмет это подтверждение.
Хозяин сайта после абузы сразу заметит айфрейм,удалит его,сменит данные на фтп.
Тем временем АВ компании расшифруют ваш ифрйм и уже напишут абузы и запретят доступ на ваш сайт со связкой.Также у многих USA провайдеров есть блокираторы траффика,сделаные специально для этих целей,вовремя срабатывают они,правда редко
1.Можно хостится на абузоустойчивом хосте - закрывать его будут долго,если еще закроют.С этим борьба ведется не только на уровне абуз.
2.TDS - traffic direct system.
Для чего нужна TDS? Для подсчета траффика,разграничения по странам (geoip),статстики реферреров (т.е. откуда хост пришел - для выявления тематики траффа),блокировка ненужных стран,хостов,редиректов,и отвода глаз АВ компаний от реального хоста со связкой.Также TDS может считать еще и пробив если интегрировать ее с базой связки.К примеру удобно для тестирования чужой связки или продажи траффика,загрузок. - Все делается не напрямую.
Социальная инженерия.
Тут описать нечто конкретное будет сложно.Зависит от фантазии.
Чаще всего это фейк,может быть ложным кодеком,может быть грамотным разводом с использованием психологии.Готовые решения будут выпадать из тематики данной статьи.
Спам.
Спам чаще всего напрямую пересекается с Соц.Инжинерией.Это может быть рассылка по нужным email или диапазонам email.Спам на форумах через тематически программы,спам в соц. сетях.
В сообщении может призываться как зайти на сайт где стоит iframe связки так и напрямую скачать основной файл по какой либы легенде или лоадер.
Прочие.
Тут можно описать уязвимости в локальных сетях.Распространение файла через P2P сети,торренты,автозапись с последующей автозагрузкой с флешки и множества других методов.
Spreading.
Функция Spreading может быть как встроена в ваш продукт так и использована отдельно.
Часть 4.Везде есть свои подводные камни.
Подводные камни.
Один из самых основных подводных камней создания ботнет сетей - это траффик.
Много о траффике писать не буду.В общих чертах.
Траффик делится на типы и на страны/регионы.
Типов много,это может быть: бизнесс,игровой,датинг,тематический.Под тематическим может пониматься что угодно,смотря что вам нужно.
Траффик нужен именно под цели ботнета.
Если задача поставлена в создании DDOS аттаки на Монгольские правительственные учереждения - то нам нужен именно траффик страны Монголия и граничащих с ней стран ближайших к границе городов.Качество - неважно.
Если нужны аккаунты US PayPal то соответственно нужен траффик бизнесс тематики т.е. магазинов,мерчантов вообщем всего где может быть использована данная платежная система.
Логика подбора траффика думаю понятна.
Также некоторые подводные камни при покупки траффика.
Нам нужен именно нужный траффик а не весь подряд.Поэтому покупая траффик нужно четко сказать селлеру какой именно и какой тематики траффик вам нужен.Убедиться в том что это именно нужный вам траффик можно по стране и тематике.Все это можно увидеть в TDS или панели статистики связки.
Нас интересуют - referrer.Мы можем зайти и посмотреть какой тематики сайт.Если не нужной нам - то сообщить селлеру,траффик залитый ненужной вам тематики если оплачена другая тематика считаться недолжен,хотя это ньюансы площадок,в разных случаях арбитр поразному решит.Но смысл думаю понятент.
Еще следует акцентироват внимание на:
Загружаемый файл:
Крипте основного файла,крипте лоадера,обходе фаерволлов.
Связка:
Обновление/модификация эксплоитов.Крипт эксплоитов.
TDS:
Крипт iframe.Методов общирное количество,не зацикливайтесь на base64 и прочих частоиспользуемых алгоритмах.
Заключение.
Также следите за уязвимостями,допустим была уязвимость с возможностью помещения ифрейма в картинку.Т.е. поставить на аватарку такую картинку - заходящие будут попадаться на вашу связку.
Header'ы форумов,сайтов если есть доступ к админке но нет доступа к фтп.
Модификация контента сайта.
И прочие методы.
(c) DasModell
*Программные решения описаны не будут.
*Весь софт упоминаемый в статье назван исключительно с целью ознакомительного,но никак не рекламного характера.
*Все непонятные для человека "не в теме" термины приведены на англ. что упрощает их поиск в google.
Часть 1: Назначение ботнета.
Будут рассмотрены такие функции ботнета как:
1. DDOS.
2. Сбор информации. (Личной,платежной и прочей).
3. Установка сокса/прокси.
4. Брутнет.
5. Другие функции.
*функций ботнета может быть больше (напр. подмена выдачи) но я не считаю себя компетентным в этой сфере и не буду описывать то чем не занимался на практике.
Итак разберем общую структуру и понятие ботнет.
Ботнет — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением,контроллируемыми извне.
1. Что такое DDOS аттака вы можете найти в гугле,не считаю нужным описывать в данной статье.Можете поискат в гугле определение данного термина,или поискать к примеру BlackEnergy бот с целью понимания работы данного модуля.
2. Пример сбора информации мы можем увидеть тут.Это,к примеру,троян Zeus,принцип его работы можно понять,прочитав статью по вышеприведенной ссылке.
3. Соксификация бота может нам понадобится для самых различных целей.
Для анонимности,для брута,для кардинга и так далее.
4. Брутнет.
Мы устанавливаем на бота программу для брута хеша,разбиваем работу по диапазонам,даем ботам хеш и ждем результата.Так скорость перебора увеличивается в десятки и сотни раз.В админ панели мониторим статистику.
5. Функции могут быть самые разные,все зависит от цели задачи.Это может быть сервер для рассылки спама,или программа для подмены выдачи поисковиков,может просто модификатор файла hosts с целью редиректа на фейки/накрутки траффа.По сути что угодно.
Функции описанные выше могут быть как поотдельности так и комбинироваться в одном боте.
К примеру в вашем боте есть не только модуль установки socks но и DDOS.
Т.к. мы будем распростронять наш софт массово то следует предвидеть что он будет определяться антивирусами и фаерволлы при запуске файла будут оповещать о подозрительной активности,а хуже - заблокируют коннекты сразу.
Следует учесть,что чем больше будет загрузок - тем чаще ваш криптованый файл будет у антивирусных компаний.Для средних/крупных ботнетов "чистка" файла должна происходить не реже 1 раза в сутки,а может доходить и до 2,3 раз.
Методы крипта описывать не буду для этого есть тематические форумы,множество статей и т.д.
Более подробно рассмотрим базовые способы обхода фаерволлов.
1.Инжект вашего софта в доверенный процесс.
2.Создание драйвера и работа на уровне драйвера.
3.Работа на уровне ядра,самый низкий уровень.(Руткит,сюда также входит автозагрузка,прописывание в автовосстановление,безопасный режим и т.д.).
4.Создание своего процесса,обход алертов фаерволла с помощь кликов разрешения/скрытия окна.
5.Создание своего процесса через уязвимость в фаерволле.
Имеется файл с нужными для вас функциями,крипт сервис,возможность частого крипта.
Часть 2 Лоадер.
Лоадер и его назначение.
Цитата из статьи:
Загружая файлы большого объема сразу,шеллкод может не успеть загрузить файл.Для этого нам нужен лоадер.
Основные функции лоадера:
загрузка и запуск основного файла.
Статистика отстука. (у продвинутых лоадеров есть статистика отстука загруженных,также статистика может быть и с другими функциями,зависит от лоадера).
Втопростепенные функции лоадера:
Создание обходов в фаерволлах.
Отключение/патчинг антивирусов.
Сбор паролей.
И множество других.
Лоадер должен весить мало.До 20 кб.В идеале 1-3 кб.Поэтому обычно,кроме как загрузки основного файла делать в нем что либы еще - не рекомендуется.
В лоадере должен быть реализован обход фаерволла,неопределяемость антивирусами.
Его тоже нужно криптовать и следить за его чистотой.
Теперь нужно распространить имеющийся лоадер загружающий основной файл.
Часть 3.Распространение.
Способы увеличения количества зараженных машин:
1.Связка эксплойтов.
2.Соц.инжинерия.
3.Спам.
4.Прочие.
Распространение через связки эксплойтов.
Что такое связка эксплоитов и из чего она состоит можно подробно ознакомиться тут.
Схема:Хост заходит на нужный скрипт (как правило index.php) заражается или не заражается нашим софтом.Что бы не делать прямые редиректы,да и для удобства/невидимости мы будем ставить iframe на свой скрипт на связку.(что такое iframe и как ставиться - google).
Для трудности вычсиления iframe он шифруется разными методами.Напр base64,url encode и прочие.Расставляются зашифрованные iframe на ваших сайтах/шеллах и прочих местах где читается html.Способы добычи траффика в данной статье мы не будем,для этого есть SEO,взлом и прочее.
Итак,у нас есть 100 FTP.В index.php/html на нужно поставить наш iframe код.Для этого берется iframer.Напр Serotka FTP Cheker/iframer - софта подобного рода достаточно,оптимально написать самому на php что бы точно знать что ваши фта никто не уведет.
Итак,у нас есть 100 сайтов в index'е которых стоит наш криптованный iframe.Это равносильно тому что заходя на такой сайт с айфреймом хост посещает index.php нашей связки с эксплоитами.
Эксплоиты,а в навороченых связках криптор эксплоитов начинается определяться антивирусами как вредноностный код.Поэтому антивирусы будут блокировать содержимое сайтов с айфреймами,также браузер будет блокировать,т.е. без подтверждения на сайт не зайдешь.А врядли кто то нажмет это подтверждение.
Хозяин сайта после абузы сразу заметит айфрейм,удалит его,сменит данные на фтп.
Тем временем АВ компании расшифруют ваш ифрйм и уже напишут абузы и запретят доступ на ваш сайт со связкой.Также у многих USA провайдеров есть блокираторы траффика,сделаные специально для этих целей,вовремя срабатывают они,правда редко
1.Можно хостится на абузоустойчивом хосте - закрывать его будут долго,если еще закроют.С этим борьба ведется не только на уровне абуз.
2.TDS - traffic direct system.
Для чего нужна TDS? Для подсчета траффика,разграничения по странам (geoip),статстики реферреров (т.е. откуда хост пришел - для выявления тематики траффа),блокировка ненужных стран,хостов,редиректов,и отвода глаз АВ компаний от реального хоста со связкой.Также TDS может считать еще и пробив если интегрировать ее с базой связки.К примеру удобно для тестирования чужой связки или продажи траффика,загрузок. - Все делается не напрямую.
Социальная инженерия.
Тут описать нечто конкретное будет сложно.Зависит от фантазии.
Чаще всего это фейк,может быть ложным кодеком,может быть грамотным разводом с использованием психологии.Готовые решения будут выпадать из тематики данной статьи.
Спам.
Спам чаще всего напрямую пересекается с Соц.Инжинерией.Это может быть рассылка по нужным email или диапазонам email.Спам на форумах через тематически программы,спам в соц. сетях.
В сообщении может призываться как зайти на сайт где стоит iframe связки так и напрямую скачать основной файл по какой либы легенде или лоадер.
Прочие.
Тут можно описать уязвимости в локальных сетях.Распространение файла через P2P сети,торренты,автозапись с последующей автозагрузкой с флешки и множества других методов.
Spreading.
Функция Spreading может быть как встроена в ваш продукт так и использована отдельно.
Часть 4.Везде есть свои подводные камни.
Подводные камни.
Один из самых основных подводных камней создания ботнет сетей - это траффик.
Много о траффике писать не буду.В общих чертах.
Траффик делится на типы и на страны/регионы.
Типов много,это может быть: бизнесс,игровой,датинг,тематический.Под тематическим может пониматься что угодно,смотря что вам нужно.
Траффик нужен именно под цели ботнета.
Если задача поставлена в создании DDOS аттаки на Монгольские правительственные учереждения - то нам нужен именно траффик страны Монголия и граничащих с ней стран ближайших к границе городов.Качество - неважно.
Если нужны аккаунты US PayPal то соответственно нужен траффик бизнесс тематики т.е. магазинов,мерчантов вообщем всего где может быть использована данная платежная система.
Логика подбора траффика думаю понятна.
Также некоторые подводные камни при покупки траффика.
Нам нужен именно нужный траффик а не весь подряд.Поэтому покупая траффик нужно четко сказать селлеру какой именно и какой тематики траффик вам нужен.Убедиться в том что это именно нужный вам траффик можно по стране и тематике.Все это можно увидеть в TDS или панели статистики связки.
Нас интересуют - referrer.Мы можем зайти и посмотреть какой тематики сайт.Если не нужной нам - то сообщить селлеру,траффик залитый ненужной вам тематики если оплачена другая тематика считаться недолжен,хотя это ньюансы площадок,в разных случаях арбитр поразному решит.Но смысл думаю понятент.
Еще следует акцентироват внимание на:
Загружаемый файл:
Крипте основного файла,крипте лоадера,обходе фаерволлов.
Связка:
Обновление/модификация эксплоитов.Крипт эксплоитов.
TDS:
Крипт iframe.Методов общирное количество,не зацикливайтесь на base64 и прочих частоиспользуемых алгоритмах.
Заключение.
Также следите за уязвимостями,допустим была уязвимость с возможностью помещения ифрейма в картинку.Т.е. поставить на аватарку такую картинку - заходящие будут попадаться на вашу связку.
Header'ы форумов,сайтов если есть доступ к админке но нет доступа к фтп.
Модификация контента сайта.
И прочие методы.
(c) DasModell
