Децентрализованные сети
Самым продвинутым вариантом управления ботами является распределенная
децентрализованная сеть. О сложности реализации такой сети тоже можно
говорить очень долго. Суть заключается в том, что каждая зараженная машина
коннетится с другой, постоянно поддерживая соединение с ней. Благодаря
этому все тачки передают команды друг другу, то есть отсутствует центральный
сервер. Для того, чтобы заставить ботов выполнить какую-либо команду, достаточно
приконнектиться к какой-нибудь зараженной машине на backdoor-порт и отдать
команду, к примеру icmp microsoft.com (ICMP-флуд мелкомягких). Эта тачка
разошлет сама всем команду. Кроме того можно (даже нужно) добавить сканирование
IP-адресов на наличие трояна в системе (по порту), хотя это достаточно палевно.
Сам пакет может быть "уникален" - иметь свою цифровую подпись.
Прикинем самую простую децентрализованную сеть. У нас имеется локальная
сеть 127.0.0.1 - 127.0.0.150. В ней имеется 150 тачек. Допустим мы нашли
какую-то супер багу и написали червя (авторутер локалки :)), который бы сканил
эти адреса на 31337-порт (там вертится бажный сервис) и атаковал его, заливая и
запуская свою копию на каждой машине. Итак, сеть протроянена. Теперь при каждом
автозапуске трояна биндится шелл на 800 порту, а каждый червь коннектится со
следующим, по следующему алгоритму:
- запускается скан на 127.0.0.2
- если порт 800 открыт, то коннетимся к нему и заставляем коннетиться
следующего на 127.0.0.2 - если уже сконнетился кто-то ранее, то коннектимся на 127.0.0.3 и т.д.
- повторяем на приконнекченной тачке то, что сделала та, что коннектится:
все с пункта #1 приплюсовав к IP + 1 =)
Это самая примтивиная схема. Можно научить ботов пополнять базу IP-адресов
захваченных машин, диапозонов IP-адрессов и т.д. Честно говоря, реализаций таких
методов ни разу не видел в паблик-источниках. Но ходят слухи, что такая система
реализована, да и не один раз =) Так, что дерзай! Жду твоих работ! =))
Плюсы [+], Минусы [-], Спорно/Нейтрал [~]:
- [+] Удобное управление.
Нет централизованной сети - мечта хакера. Чтобы заставить ботов выполнить
что-то достаточно отдать одному соответствующую команду и он разошлет ее
остальным ботам. - [-] Боты довольно быстро попадают в антивирусные базы + палевное
сканирование IP-адресов. Хотя при правильном распространении и техниках
стелсирования продержаться они могут очень долго ;). Любой файер достаточно
просто определит сканирование портов ;). - [-] Сложное написание.
За этой системой - будущее. Но реализовать задуманное не так-то просто.
Делай выводы. - [+] Практически невозможно отследить узел, откуда пошла команда.
Анонимность гарантирована, но все равно VPN/Socks/Proxy не помешал бы 😉
Можно также отдать команду зараженной машине через PHP-гейт, что даст
возможность еще больше скрыть свою причастность к ботнету ;). - [+] Стойкость ботнета.
Как ты его разрушить захотел? Все зависит от пользователя.
Немного о том, как поднять ботов
Если ты не забыл, то я обещал тебе рассказать о том, как набрать все это стадо
ботов. В случае с шеллами все ясно. Написал google-червя и разживайся шеллами. А
как поступить с windows-машинами? Есть огромное количество методов. Я расскажу
лишь о некоторых.
Первый заключается во взломе ресурса с высокой посещаемостью. Здесь тебе
понадобится либо вклад немалых денег, либо собственные знания. Вклад своих
усилий/денег в:
- DDoS-бот под свои нужды
- Эксплойт для браузера
- Сам взлом
Расскажу подробнее. Вот, к примеру, ты заломал icq.com :). Здесь есть где
разгуляться: прицепил к архиву с аськой свой троян и боты польются рекой. Затем,
если есть возможность - протроянить index. Естественно, это делается при помощи
эксплойта: юзеры с непатченными браузерами заходят на icq.com и эксплойт
начинает пробивать их системы. Если все OK, то в системе выполнится шеллкод,
который в свое время скачает и запустит твой троян. Неплохо, правда? Но эксплойт
не так просто достатать. Если ты, к примеру, решил заюзать паблик эксплойт, то
эта идея не совсем удачна. Самую большую пробивную способность имеют так
называемые "связки" - это несколько эксплойтов, объединенных в одну целостную
систему. Например, они могут использовать сразу несколько уязвимостей:
- WMF Exploit - PPP 4 Exploit - JRL Exploit - .ANI Exploit - IFRAME
Exploit - JPG & CHM Exploit - WScript Exploit - XMLHTTP Exlpoit - XHTA Exploit и
т.д
Как видишь, есть где разгуляться. Если у тебя хватает знаний писать такие
вещи - пиши, также сможешь поднять на этом пару сотен зеленых президентов ;).
Следующий метод - взлом хостера и массдефейсинг: добавление в каждую страницу
своего вредоносного кода. Тут тоже все ясно.
Ну и конечно же функции червя в трояне - методы разные: от EMAIL-рассыла
своей копии по адресной книге зараженной тачки, атак на бажные службы вроде
LSASS, RPC-DCOM, до p2p-червя с функциями PE-инфектора. Вся муть здесь в том,
что твой зверек достаточно скоро может оказать в антивирусной базе. Конечно,
можно и систему самообновления написать, грохать антивирусные базы, блокировать
обновления и прочее, но это тоже далеко не 100% гарант удачной атаки. Также
возможна спам-рассылка, но тут уж точно твоего зверя закинут в антивирусную БД,
или сделать очередной сайт с генераторами кредитных карт, beeline-пинов и
freeinet-генераторов 😉
В последнее время участились кражи ботнетов. А это и не удивительно - найти
инфу на данную тему просто. И вот можно задать вопрос - а может и не создавать
свой ботнет, а угнать чужой? Достаточно спорный вопрос, ведь если все станут
уводить ботов, то кто будет их создавать? В общем, совсем чуток я расскажу тебе
об этом. Начнем с самого простого. Во-первых тебе понадобится чужой троян, чтобы
его анализировать. Именно серверная часть трояна. Где его взять? Вопрос
интересный. Часто это exe'шки с заманчивым названием в p2p сетях, надо искать.
Но скажу по секрету - просматривай форумы, где ведутся блэк-листы с кидалами :).
В логах бывает очень полезная инфа. Много раз там я находил линки на exe'шки
троянов. С этим разбирайся сам.
Допустим ты нашел троян. Тут главное уметь анализировать эти трои: берешь в
руки дизассемблер, отладчик и hex-редактор, а также запусти трой под виртуальной
тачкой (VMWare), но может случиться такое, что он вылезет из нее к тебе на
тачку, или вообще откажется работать, или дизассемблер с отладчиком не захотят
работать - это зависит от квалификации троянмэйкера. Если троян писал человек
еще не совсем опытный в данном деле, то можно секануть адрес IRC-сервера или
адрес до админки ботнета прямо в теле программы или логах файрвола. Отличную
статью на данную тематику писал Крис Касперски в своей статье "Смена
Командования". Советую почитать. Ознакомившись с теорией угона ботнета тебе
ничего не стоит осознать как это предотвратить.
Заключение
На этом, пожалуй, все. Я рассказал тебе все основы (и даже больше) о
зомби-сетях, их управлении. Надеюсь, у тебя все получится и ты напишешь
крутейшего DDoS-бота с таким же крутейшим методом управления, который доселе
нигде описан не был. Тема очень большая и можно говорить о ней часами:
управление через ICQ, плагинная основа, различные архитектуры... Конечно, нету
такой системы "Здорово и Вечно" (c) Летов. Поэтому расширять свой ботнет
придется постоянно, так как в ином случае он будет потихоньку вымирать. Все
заметки, вопросы, исходники, пожелания шлите мне на email: 1nf3ct0r[fuck_spamers]mail.ru.
Удач, не попадайся ;). Ах да! Статья написана в исключительно ознакомительных
целях. За ваши действия я никакой ответственности не несу 😉 Если что, то пиши -
чем смогу, помогу.
Скачать файлы к статье:
http://hellknights.void.ru/articles/z0mbie-commanding.zip
Дополнительная Литература:
- Статья "Сеть Зомби"
Прочитать ее можно из MaZaFakA-ezine, выпуск за лето 2005:
MaZafaKa - NetWork Terrorism:
http://mazafaka.ru/ - Статья "Some D.D.o.S. IDEAZ" из Defaced#4 ezine
Некоторые идеи о DDoS:
Defaced-mirror:
http://web-hack.ru/ezine/ - Статья "Крыса на веревочке"
Методы управлением RAT и работа с mail в RAT (Delphi + WinApi
Хakep:
http://www.xakep.ru/magazine/xa/079/ - Статья "Три волшебные буквы способные изменить мир"
Статья о DoS-атаках и обзор соответствующих DoS-тулз:
Ufo-Labs:
http://ufo-labs.org/ - Ресурс, целиком и полностью посвященный Google-хакингу:
http://johny.ihackstuff.com/ - Ресурс с инфой по боту EggDrop:
http://amiga.org.ru/eggdrop/ - Ресурс, где можно найти исходники DDoS-ботов:
http://www.securityfocus.com/
Greetz: n4n0bit, xh4ck, Nik8, CgI-6a№, ShadOS, Rein.