IRC боты становятся орудием DDOS — атак. Юних-машины уже не
требуются для проведения DOS-атак (вероятно, у вас есть проги типа TFN, Trin00 которые работают на *nix-ах), все уже стало гораздо проще.

Теперь на любой Windows машине можно повесить своего бота, который легок в настройке и управлении. Атаки же контролируются с канала, на который джойнятся боты. Придя на канал, бот просто «сидит и ждет» команд хозяина. Обычно такие
каналы либо секретные или запароленные, поэтому зайти на канал и контролировать действия бота может только его владелец.

Но у подобного метода DDOS — атак есть один огромный минус: жертва может вычислить сервер, канал и пароль к нему. Это может привести к тому, что он просто «выкрадет» вашу армию ботов. Но этого можно избежать, скомандовав ботам коннектиться на разные серверы, поэтому проследить всех ботов на всех серверах будет очень геморройно (представьте допустим ,что десяток ботов коннектится на первый канал, десяток на второй и так далее — вычислить ВСЕ боты в такой ситуации довольно трудно). 

Как боты атакуют жертву?

Разница между DOS и DDOS атаками огромна: в то время когда DOS — атака проводится с помощью известной дыры в системе, то DDOS — атака флудит машину с разных хостов бессмысленными пакетами, чем замедляет способность системы получать и обрабатывать данные, а от этого
защититься чрезвычайно трудно. DDOS IRC боты, сидящие на Вин9х, посылают UDP и ICMP
пакеты (то бишь пингуют), насколько позволяет максимальная исходящая пропускная способность хоста.

Существуют боты, которые могут генерировать гораздо более опасные пакеты, которые нарушают TCP — синхронизацию соединения (TCP Syn/Ack), но подобные атаки не могут осуществляться с хостов, на которых стоит Вин9х. Обычно такие боты ставятся на Вин2К/ХР —
только там есть все необходимые средства. Они могут делать атаку на веб-сервер очень каверзной и трудно блокируемой: UDP и ICMP еще как-то могут фильтроваться провайдером и не могут влиять на качество работы сервисов, но TCP пакеты нельзя отключить, не повлияв на трафик. Обычно, когда отключаются TCP, это означает, что сервер не может нормально предоставлять web и ftp услуги. 

Существуют уже готовые боты, написанные специально для использования в среде Win2k и WinXP (например Evilbot или Slackbot 1.0 ). Именно с помощью Evilbot’ а был завален grc.com. Сам бот представляет собой маленький файл (размером 10-16 кб), который запускает жертва на своей машине, после чего бот прописывает себя в директорию Windows (например так: \Windows\WinRun2.exe). Для запуска каждый раз бот прописывает себя и в разделе автостарта в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run\ и выглядит примерно следующим образом:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\WinRun. Evilbot никогда не будет переписывать свои файлы, а только перепрописывает себя в реестре, где указывает путь к своей директории. 

Потом бот пытается законнектиться на конкретный IRC — сервер, заходит туда и тихо сидит на канале в ожидании команд. Параллельно он
коннектится на другой сервер, откуда качает трояна, запускает его примерно таким образом: «update.ur.address./thepath.exe». Если бот первым зашел на незарегистрированный канал, то он тут же по умолчанию ставит мод + nstk. Evilbot слушается любого присутствующего на канале человека (а Slackbot 1.0 просит пароль). Ему можно скомандовать пинг определенного хоста: «!udp 101.105.201.212 1000 0», где 1000 — количество пакетов, а 0 в конце — задержка времени между пакетами. 
Пинг Evilbot’ а представляет собой следующее:

!p4 <ip жертвы>
Sends 10000 64 kbyte ping пакетов на определенный ip
!p3 < ip жертвы >
Sends 1000 64 kbyte ping пакетов на определенный ip
!p2 < ip жертвы >
Sends 100 64 kbyte ping пакетов на определенный ip
!p1 < ip жертвы >
Sends 10 64 kbyte ping пакетов на определенный ip

Количество пингов и их размер можно варьировать — например, команда !p4 посылает 15000 32-байтных ICMP пакетов на указанный ip.

Как узнать, сидит ли у меня в системе бот?

Некоторые антивирусы не видят ботов в системе, но обнаружить их можно ручками, проверив комп на наличие несанкционированного IRC — коннекта. Можно просто проверить все свои сетевые соединения: netstat -an | find «:6667»

Если она подтвердит вам активное соединение, то вполне может быть, что ваша машина заражена. Не помешает проверить и другие порты, которые часто использует IRC. 
Можно заглянуть в реестр и проверить его на наличие новых подозрительных изменений тут:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run. Если найдете ключ, указывающий на присутствие бота, то удалите его, ребутните комп и удалите гадкого бота.  

Бот Slack Bot: slackbot.zip

Оставить мнение

Check Also

Поймать нарушителя! Учимся детектировать инструменты атак на Windows

Атаки на Windows в наше время одна из наиболее реальных угроз для компаний. При этом исход…