• Партнер

  • Первая часть |
    Вторая часть

    Децентрализованные сети

    Самым продвинутым вариантом управления ботами является распределенная
    децентрализованная сеть. О сложности реализации такой  сети тоже можно
    говорить очень долго. Суть заключается в том, что каждая зараженная машина
    коннетится с другой, постоянно поддерживая соединение с ней.  Благодаря
    этому все тачки передают команды друг другу, то есть отсутствует центральный
    сервер. Для того, чтобы заставить ботов выполнить какую-либо команду, достаточно
    приконнектиться к какой-нибудь зараженной машине на backdoor-порт и отдать
    команду, к примеру icmp microsoft.com (ICMP-флуд мелкомягких). Эта тачка
    разошлет сама всем команду. Кроме того можно (даже нужно) добавить сканирование
    IP-адресов на наличие трояна в системе (по порту), хотя это достаточно палевно.
    Сам пакет может быть "уникален" - иметь свою цифровую подпись.

    Прикинем самую простую  децентрализованную сеть. У нас имеется локальная
    сеть 127.0.0.1 - 127.0.0.150. В ней имеется 150 тачек. Допустим мы нашли
    какую-то супер багу и написали червя (авторутер локалки :)), который бы сканил
    эти адреса на 31337-порт (там вертится бажный сервис) и атаковал его, заливая и
    запуская свою копию на каждой машине. Итак, сеть протроянена. Теперь при каждом
    автозапуске трояна биндится шелл на 800 порту, а каждый червь коннектится со
    следующим, по следующему алгоритму:

    1. запускается скан на 127.0.0.2
    2. если порт 800 открыт, то коннетимся к нему и заставляем коннетиться
      следующего на 127.0.0.2
    3. если уже сконнетился кто-то ранее, то коннектимся на 127.0.0.3 и т.д.
    4. повторяем на приконнекченной тачке то, что сделала та, что коннектится:
      все с пункта #1 приплюсовав к IP + 1 =)

    Это самая примтивиная схема. Можно научить ботов пополнять базу IP-адресов
    захваченных машин, диапозонов IP-адрессов и т.д. Честно говоря, реализаций таких
    методов ни разу не видел в паблик-источниках. Но ходят слухи, что такая система
    реализована, да и не один раз =) Так, что дерзай! Жду твоих работ! =))

    Плюсы [+], Минусы [-], Спорно/Нейтрал [~]:

    • [+] Удобное управление.
      Нет централизованной сети - мечта хакера. Чтобы заставить ботов выполнить
      что-то достаточно отдать одному соответствующую команду и он разошлет ее
      остальным ботам.
    • [-] Боты довольно быстро попадают в антивирусные базы + палевное
      сканирование IP-адресов. Хотя при правильном распространении и техниках
      стелсирования продержаться они могут очень долго ;). Любой файер достаточно
      просто определит сканирование портов ;).
    • [-] Сложное написание.
      За этой системой - будущее. Но реализовать задуманное не так-то просто.
      Делай выводы.
    • [+] Практически невозможно отследить узел, откуда пошла команда.
      Анонимность гарантирована, но все равно VPN/Socks/Proxy не помешал бы 😉
      Можно также отдать команду зараженной машине через PHP-гейт, что даст
      возможность еще больше скрыть свою причастность к ботнету ;).
    • [+] Стойкость ботнета.
      Как ты его разрушить захотел? Все зависит от пользователя.

    Немного о том, как поднять ботов

    Если ты не забыл, то я обещал тебе рассказать о том, как набрать все это стадо
    ботов. В случае с шеллами все ясно. Написал google-червя и разживайся шеллами. А
    как поступить с windows-машинами? Есть огромное количество методов. Я расскажу
    лишь о некоторых.

    Первый заключается во взломе ресурса с высокой посещаемостью. Здесь тебе
    понадобится либо вклад немалых денег, либо собственные знания. Вклад своих
    усилий/денег в:

    • DDoS-бот под свои нужды
    • Эксплойт для браузера
    • Сам взлом

    Расскажу подробнее. Вот, к примеру, ты заломал icq.com :). Здесь есть где
    разгуляться: прицепил к архиву с аськой свой троян и боты польются рекой. Затем,
    если есть возможность - протроянить index. Естественно, это делается при помощи
    эксплойта: юзеры с непатченными браузерами заходят на icq.com и эксплойт
    начинает пробивать их системы. Если все OK, то в системе выполнится шеллкод,
    который в свое время скачает и запустит твой троян. Неплохо, правда? Но эксплойт
    не так просто достатать. Если ты, к примеру, решил заюзать паблик эксплойт, то
    эта идея не совсем удачна. Самую большую пробивную способность имеют так
    называемые "связки" - это несколько эксплойтов, объединенных в одну целостную
    систему. Например, они могут использовать сразу несколько уязвимостей:

    • WMF Exploit - PPP 4 Exploit - JRL Exploit - .ANI Exploit - IFRAME
      Exploit
    • JPG & CHM Exploit - WScript Exploit - XMLHTTP Exlpoit - XHTA Exploit и
      т.д

    Как видишь, есть где разгуляться. Если у тебя хватает знаний писать такие
    вещи - пиши, также сможешь поднять на этом пару сотен зеленых президентов ;).

    Следующий метод - взлом хостера и массдефейсинг: добавление в каждую страницу
    своего вредоносного кода. Тут тоже все ясно.

    Ну и конечно же функции червя в трояне - методы разные: от EMAIL-рассыла
    своей копии по адресной книге зараженной тачки, атак на бажные службы вроде
    LSASS, RPC-DCOM, до p2p-червя с функциями PE-инфектора. Вся муть здесь в том,
    что твой зверек достаточно скоро может оказать в антивирусной базе. Конечно,
    можно и систему самообновления написать, грохать антивирусные базы, блокировать
    обновления и прочее, но это тоже далеко не 100% гарант удачной атаки. Также
    возможна спам-рассылка, но тут уж точно твоего зверя закинут в антивирусную БД,
    или сделать очередной сайт с генераторами кредитных карт, beeline-пинов и
    freeinet-генераторов 😉

    В последнее время участились кражи ботнетов. А это и не удивительно - найти
    инфу на данную тему просто. И вот можно задать вопрос - а может и не создавать
    свой ботнет, а угнать чужой? Достаточно спорный вопрос, ведь если все станут
    уводить ботов, то кто будет их создавать? В общем, совсем чуток я расскажу тебе
    об этом. Начнем с самого простого. Во-первых тебе понадобится чужой троян, чтобы
    его анализировать. Именно серверная часть трояна. Где его взять? Вопрос
    интересный. Часто это exe'шки с заманчивым названием в p2p сетях, надо искать.
    Но скажу по секрету - просматривай форумы, где ведутся блэк-листы с кидалами :).
    В логах бывает очень полезная инфа. Много раз там я находил линки на exe'шки
    троянов. С этим разбирайся сам.

    Допустим ты нашел троян. Тут главное уметь анализировать эти трои: берешь в
    руки дизассемблер, отладчик и hex-редактор, а также запусти трой под виртуальной
    тачкой (VMWare), но может случиться такое, что он вылезет из нее к тебе на
    тачку, или вообще откажется работать, или дизассемблер с отладчиком не захотят
    работать - это зависит от квалификации троянмэйкера. Если троян писал человек
    еще не совсем опытный в данном деле, то можно секануть адрес IRC-сервера или
    адрес до админки ботнета прямо в теле программы или логах файрвола. Отличную
    статью на данную тематику писал Крис Касперски в своей статье "Смена
    Командования
    ". Советую почитать. Ознакомившись с теорией угона ботнета тебе
    ничего не стоит осознать как это предотвратить.

    Заключение

    На этом, пожалуй, все. Я рассказал тебе все основы (и даже больше) о
    зомби-сетях, их управлении. Надеюсь, у тебя все получится и ты напишешь
    крутейшего DDoS-бота с таким же крутейшим методом управления, который доселе
    нигде описан не был. Тема очень большая и можно говорить о ней часами:
    управление через ICQ, плагинная основа, различные архитектуры... Конечно, нету
    такой системы "Здорово и Вечно" (c) Летов. Поэтому расширять свой ботнет
    придется постоянно, так как в ином случае он будет потихоньку вымирать. Все
    заметки, вопросы, исходники, пожелания шлите мне на email: 1nf3ct0r[fuck_spamers]mail.ru.

    Удач, не попадайся ;). Ах да! Статья написана в исключительно ознакомительных
    целях. За ваши действия я никакой ответственности не несу 😉 Если что, то пиши -
    чем смогу, помогу.

    Скачать файлы к статье:

    http://hellknights.void.ru/articles/z0mbie-commanding.zip

    Дополнительная Литература:

    • Статья "Сеть Зомби"
      Прочитать ее можно из MaZaFakA-ezine, выпуск за лето 2005:
      MaZafaKa - NetWork Terrorism:
      http://mazafaka.ru/
    • Статья "Some D.D.o.S. IDEAZ" из Defaced#4 ezine
      Некоторые идеи о DDoS:
      Defaced-mirror:
      http://web-hack.ru/ezine/
    • Статья "Крыса на веревочке"
      Методы управлением RAT и работа с mail в RAT (Delphi + WinApi
      Хakep:
      http://www.xakep.ru/magazine/xa/079/
    • Статья "Три волшебные буквы способные изменить мир"
      Статья о DoS-атаках и обзор соответствующих DoS-тулз:
      Ufo-Labs:
      http://ufo-labs.org/
    • Ресурс, целиком и полностью посвященный Google-хакингу:

      http://johny.ihackstuff.com/
    • Ресурс с инфой по боту EggDrop:

      http://amiga.org.ru/eggdrop/
    • Ресурс, где можно найти исходники DDoS-ботов:

      http://www.securityfocus.com/

    Greetz: n4n0bit, xh4ck, Nik8, CgI-6a№, ShadOS, Rein.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии