Первая часть |
Вторая часть

Децентрализованные сети

Самым продвинутым вариантом управления ботами является распределенная
децентрализованная сеть. О сложности реализации такой  сети тоже можно
говорить очень долго. Суть заключается в том, что каждая зараженная машина
коннетится с другой, постоянно поддерживая соединение с ней.  Благодаря
этому все тачки передают команды друг другу, то есть отсутствует центральный
сервер. Для того, чтобы заставить ботов выполнить какую-либо команду, достаточно
приконнектиться к какой-нибудь зараженной машине на backdoor-порт и отдать
команду, к примеру icmp microsoft.com (ICMP-флуд мелкомягких). Эта тачка
разошлет сама всем команду. Кроме того можно (даже нужно) добавить сканирование
IP-адресов на наличие трояна в системе (по порту), хотя это достаточно палевно.
Сам пакет может быть "уникален" — иметь свою цифровую подпись.

Прикинем самую простую  децентрализованную сеть. У нас имеется локальная
сеть 127.0.0.1 — 127.0.0.150. В ней имеется 150 тачек. Допустим мы нашли
какую-то супер багу и написали червя (авторутер локалки :)), который бы сканил
эти адреса на 31337-порт (там вертится бажный сервис) и атаковал его, заливая и
запуская свою копию на каждой машине. Итак, сеть протроянена. Теперь при каждом
автозапуске трояна биндится шелл на 800 порту, а каждый червь коннектится со
следующим, по следующему алгоритму:

  1. запускается скан на 127.0.0.2
  2. если порт 800 открыт, то коннетимся к нему и заставляем коннетиться
    следующего на 127.0.0.2
  3. если уже сконнетился кто-то ранее, то коннектимся на 127.0.0.3 и т.д.
  4. повторяем на приконнекченной тачке то, что сделала та, что коннектится:
    все с пункта #1 приплюсовав к IP + 1 =)

Это самая примтивиная схема. Можно научить ботов пополнять базу IP-адресов
захваченных машин, диапозонов IP-адрессов и т.д. Честно говоря, реализаций таких
методов ни разу не видел в паблик-источниках. Но ходят слухи, что такая система
реализована, да и не один раз =) Так, что дерзай! Жду твоих работ! =))

Плюсы [+], Минусы [-], Спорно/Нейтрал [~]:

  • [+] Удобное управление.
    Нет централизованной сети — мечта хакера. Чтобы заставить ботов выполнить
    что-то достаточно отдать одному соответствующую команду и он разошлет ее
    остальным ботам.
  • [-] Боты довольно быстро попадают в антивирусные базы + палевное
    сканирование IP-адресов. Хотя при правильном распространении и техниках
    стелсирования продержаться они могут очень долго ;). Любой файер достаточно
    просто определит сканирование портов ;).
  • [-] Сложное написание.
    За этой системой — будущее. Но реализовать задуманное не так-то просто.
    Делай выводы.
  • [+] Практически невозможно отследить узел, откуда пошла команда.
    Анонимность гарантирована, но все равно VPN/Socks/Proxy не помешал бы 😉
    Можно также отдать команду зараженной машине через PHP-гейт, что даст
    возможность еще больше скрыть свою причастность к ботнету ;).
  • [+] Стойкость ботнета.
    Как ты его разрушить захотел? Все зависит от пользователя.

Немного о том, как поднять ботов

Если ты не забыл, то я обещал тебе рассказать о том, как набрать все это стадо
ботов. В случае с шеллами все ясно. Написал google-червя и разживайся шеллами. А
как поступить с windows-машинами? Есть огромное количество методов. Я расскажу
лишь о некоторых.

Первый заключается во взломе ресурса с высокой посещаемостью. Здесь тебе
понадобится либо вклад немалых денег, либо собственные знания. Вклад своих
усилий/денег в:

  • DDoS-бот под свои нужды
  • Эксплойт для браузера
  • Сам взлом

Расскажу подробнее. Вот, к примеру, ты заломал icq.com :). Здесь есть где
разгуляться: прицепил к архиву с аськой свой троян и боты польются рекой. Затем,
если есть возможность — протроянить index. Естественно, это делается при помощи
эксплойта: юзеры с непатченными браузерами заходят на icq.com и эксплойт
начинает пробивать их системы. Если все OK, то в системе выполнится шеллкод,
который в свое время скачает и запустит твой троян. Неплохо, правда? Но эксплойт
не так просто достатать. Если ты, к примеру, решил заюзать паблик эксплойт, то
эта идея не совсем удачна. Самую большую пробивную способность имеют так
называемые "связки" — это несколько эксплойтов, объединенных в одну целостную
систему. Например, они могут использовать сразу несколько уязвимостей:

  • WMF Exploit — PPP 4 Exploit — JRL Exploit — .ANI Exploit — IFRAME
    Exploit
  • JPG & CHM Exploit — WScript Exploit — XMLHTTP Exlpoit — XHTA Exploit и
    т.д

Как видишь, есть где разгуляться. Если у тебя хватает знаний писать такие
вещи — пиши, также сможешь поднять на этом пару сотен зеленых президентов ;).

Следующий метод — взлом хостера и массдефейсинг: добавление в каждую страницу
своего вредоносного кода. Тут тоже все ясно.

Ну и конечно же функции червя в трояне — методы разные: от EMAIL-рассыла
своей копии по адресной книге зараженной тачки, атак на бажные службы вроде
LSASS, RPC-DCOM, до p2p-червя с функциями PE-инфектора. Вся муть здесь в том,
что твой зверек достаточно скоро может оказать в антивирусной базе. Конечно,
можно и систему самообновления написать, грохать антивирусные базы, блокировать
обновления и прочее, но это тоже далеко не 100% гарант удачной атаки. Также
возможна спам-рассылка, но тут уж точно твоего зверя закинут в антивирусную БД,
или сделать очередной сайт с генераторами кредитных карт, beeline-пинов и
freeinet-генераторов 😉

В последнее время участились кражи ботнетов. А это и не удивительно — найти
инфу на данную тему просто. И вот можно задать вопрос — а может и не создавать
свой ботнет, а угнать чужой? Достаточно спорный вопрос, ведь если все станут
уводить ботов, то кто будет их создавать? В общем, совсем чуток я расскажу тебе
об этом. Начнем с самого простого. Во-первых тебе понадобится чужой троян, чтобы
его анализировать. Именно серверная часть трояна. Где его взять? Вопрос
интересный. Часто это exe’шки с заманчивым названием в p2p сетях, надо искать.
Но скажу по секрету — просматривай форумы, где ведутся блэк-листы с кидалами :).
В логах бывает очень полезная инфа. Много раз там я находил линки на exe’шки
троянов. С этим разбирайся сам.

Допустим ты нашел троян. Тут главное уметь анализировать эти трои: берешь в
руки дизассемблер, отладчик и hex-редактор, а также запусти трой под виртуальной
тачкой (VMWare), но может случиться такое, что он вылезет из нее к тебе на
тачку, или вообще откажется работать, или дизассемблер с отладчиком не захотят
работать — это зависит от квалификации троянмэйкера. Если троян писал человек
еще не совсем опытный в данном деле, то можно секануть адрес IRC-сервера или
адрес до админки ботнета прямо в теле программы или логах файрвола. Отличную
статью на данную тематику писал Крис Касперски в своей статье "Смена
Командования
". Советую почитать. Ознакомившись с теорией угона ботнета тебе
ничего не стоит осознать как это предотвратить.

Заключение

На этом, пожалуй, все. Я рассказал тебе все основы (и даже больше) о
зомби-сетях, их управлении. Надеюсь, у тебя все получится и ты напишешь
крутейшего DDoS-бота с таким же крутейшим методом управления, который доселе
нигде описан не был. Тема очень большая и можно говорить о ней часами:
управление через ICQ, плагинная основа, различные архитектуры… Конечно, нету
такой системы "Здорово и Вечно" (c) Летов. Поэтому расширять свой ботнет
придется постоянно, так как в ином случае он будет потихоньку вымирать. Все
заметки, вопросы, исходники, пожелания шлите мне на email: 1nf3ct0r[fuck_spamers]mail.ru.

Удач, не попадайся ;). Ах да! Статья написана в исключительно ознакомительных
целях. За ваши действия я никакой ответственности не несу 😉 Если что, то пиши —
чем смогу, помогу.

Скачать файлы к статье:

http://hellknights.void.ru/articles/z0mbie-commanding.zip

Дополнительная Литература:

  • Статья "Сеть Зомби"
    Прочитать ее можно из MaZaFakA-ezine, выпуск за лето 2005:
    MaZafaKa — NetWork Terrorism:
    http://mazafaka.ru/
  • Статья "Some D.D.o.S. IDEAZ" из Defaced#4 ezine
    Некоторые идеи о DDoS:
    Defaced-mirror:
    http://web-hack.ru/ezine/
  • Статья "Крыса на веревочке"
    Методы управлением RAT и работа с mail в RAT (Delphi + WinApi
    Хakep:
    http://www.xakep.ru/magazine/xa/079/
  • Статья "Три волшебные буквы способные изменить мир"
    Статья о DoS-атаках и обзор соответствующих DoS-тулз:
    Ufo-Labs:
    http://ufo-labs.org/
  • Ресурс, целиком и полностью посвященный Google-хакингу:

    http://johny.ihackstuff.com/
  • Ресурс с инфой по боту EggDrop:

    http://amiga.org.ru/eggdrop/
  • Ресурс, где можно найти исходники DDoS-ботов:

    http://www.securityfocus.com/

Greetz: n4n0bit, xh4ck, Nik8, CgI-6a№, ShadOS, Rein.

Оставить мнение

Check Also

Конкурс хаков: пишем на PowerShell скрипт, который уведомляет о днях рождения пользователей Active Directory

В компаниях часто встречается задача уведомлять сотрудников о приближающихся днях рождения…