Поговорим о botnet сетях

Всем привет. Очень интересует данная тема, поэтому хотелось бы получить побольше инфы.
Как работает рампределеная сеть? Правильно ли я понимаю, что сервером может одновременно являться любой из зараженных компьютеров?
Какие есть способы самораспространенеия?
Каким минимальным набором функций должен обладать хороший бот?
Что такое "админка" и нужна ли она?
Что такое "отстук" о ктором так часто упоминают в коммерц и как он определяется?
Какой протокол лучше (удобнее) испльзовать для "общения" с ботами?

На самом деле у меня куча вопросов, каша в голове, и очень охота во всем разобраться...
Поскольку тема создана в хип, то флуд тоже приветсвуется
Так же приветсвуются всякие сцылки на полезную инфу, интересные бинарники и тд, но хотелось бы развить эту тему именно на этом форуме.

 

Через дыры в ПО. Как правило переполнение буффера в браузерах.

Была бы ненужна то не писали бы !
Админка рулит всей этой армией ...

отстук это количество активных "зомби" ...

 

ИМХО "отстук" это КПД сплоита, а определяется наверно статистически отношением "количество заражений" к "количеству посещений веб-страницы" например.

 

Aspire
Самое главное в этом деле - не вляпаться.
Для саморазвития интересно, а перед тем как подвязываться по объявлению,
задумайся кто его даёт

 

заимев тек-ий ип клиента, может производиться опрос портов на наличие актиивных сетевых сервисов, прог(асек, p2p.....), так что бравзер не единственный путь) такие вещи обычно делаются на развлекушных сайтах. ещё один путь - это варезные файлы, так что стоит проверять контрольную сумму, коли не гнушаетесь вЫреЗААААА)) опасность даже может подстерегать на файлах: .jpg, .avi..........))
а так wsd прав залететь на этой теме можно сильно

 

asmlamo

Я предполагаю, что "админка" - это всего лишь удобная облочка (через барузер, напр.) для отдачи комманд и пр.
Отписаля бы кто-нить, кто знает, а то только догадки ))

wsd А что там вляпываться-то? Прежде чем писать что-то на заказ, нужно хотябы для себя написать приличную вещь.

И еще.. Если я правильно понимаю, что в распределенной сети любой компьютер может являться сервером с которго подаются коммады для остальных ботов, значит к каждому из компьютеров дожен быть доступ для удаленного администрирования? Или как же иначе?

 

что значит всего лишь ? Ты ожидал нечто большего ???

 

Aspire
так сам бот сложности большой не представляет.
Основная сложность обход фаеров и свежий сплоит для распространения.
А насчёт вляпывания, я имел ввиду последствия таких дел.

 

asmlamo

Тогда, наверное не "админка" рулит, а одмин-ка рулит через "админку" ))
wsd

Так вот об этом не хотелось бы здесь говорить, хоть обход фаеров и аверов тоже является задачей бота.
Что касается сплоета, то не единым сплоитом должен жить бот, мне так кажется ...
Полиморф, метаморф, обход фаеров - это все понятно и более подробно об этом можно узнать из отдельных источников.
На данный момент, мне бы хотелось понять алгоритм работы нормального бота для распределенной сети.
Мы отдаем комманды боту со своего сервера, ну там, например, для ддос атаки ли для скачивания обновлений или там для рассылки спама или еще для чего (я имею ввиду для всех ботов). Но как отдавать комманды не с сервера, а с нашего бота? Если это делается с помощью удаленного администрирования, то это "немного" усложняет всю конструкцию...

 

wsd

обычно добросовестные члены ботсети не юзают фаер и работают в админе)
кстати, сам факт, что мыльные черви удачно атакуют говорит не просто о ламерстве подавляющей части юзеров, но и о слабой работе админов коорпаративных и малых сетей

 

А каком КПД сплоетов вы говорите? =)
КПД в электрических двигателях, тепловых двигателях или трансформаторах?
Тем более от сплоетов отстук бывает разный, допустим службы делают не плохой отстук к вам в дверь )))

 

synthetic
забыл о вас.
на "коммерц" это звучит "правильно разложить товар" .

 

synthetic

неплохо сказано +4)

 

Aspire
ПМ

 

Очень просто, да ты можешь реализовать такую схему, что твоей армии ботов, нужен будет командир, и они будут слушаться кого-то из стаи ( пусть будет Вожак ). Такую схему реализовать..не скажу что трудно, но накладно, за то интересно. Дело в том что боты ( в зависимости от качества ) дохнут часто, поэтому важак может просто подохнуть.
Например:
1) Есть два юнита, это БОТ и АДМИНКА. Бот через определенное время "отстукивает" на админку, и сообщает что он ещё жив, админка же заносит его в базу и показывает уже ботмастеру на одного бота больше. В зависимости от типа бота , админка выполняет всякие махинации ( если Socks то проверка порта, обновление, если DDoS то отдает команды боту для атак и тд )
2) Если три юнита, это БОТ, ВОЖАК и Админка.
Схема такая, бот стучит в админку, админка проверяет, стучал ли уже вожак, если стучал, то ( предварительно проверив его работоспособность ) отдает боту IP вожака. Если же не стучал, то админка делает этого бота вожаком, и сообщает ему об этом. Фактически адмика в данном случае нужна для распределения ботов по группам, ну и для статистики. Если допустим 10 дней 800 ботов жили у одного вожака ( что палевно, ибо трафик будет большой у этой жертвы, вожаков можно определять по активности сетевых соединений, количеству трафика in\out и типа соединения, и при отстуке в админку, сообщать что мол я могу быть вожаком ) , а вожак потом умер, боты просто стучат в админку и требуют нового вожака =)
Схем много, тут главное фантазия.
Например команды ботам можно отдавать вообще не имея своего сервер, но как собирать статистику я ещё не придумал, работаю над этим. Например бот будет забирать команды из странички http://www.icq.com/people/about_me.php?uin=437843, где в поле About будет строка типо "cmd:ddos:http://www.gmail.com:80", ну и соответственно исполнять её. Сейчас я работаю над тем, как сделать статистику, не отсуткивая на наш сервер ( где будет статистика ).

Этого лучше не делать, а работать либо на сплоите либо на загрузках уже готовых. Ибо это увеличивает шансы попадания бота к плохим дядям.

Опять таки смотря какой бот. Но все обязаны уметь делать:
* Автозагрузка
* Обновление
* Обход файрволлов

Что такое "отстук" о котором так часто упоминают в коммерц и как он определяется?
Читай выше.

Да тот же TCP или ICMP. Можно даже SYN пакетами обходится, в опциональном заголовке отправлять нужные данные. Тут проблема в том что сервер для ботмастера должен быть свой, и нужно уметь перехватывать пакеты в ядре, для определения ботов. Я это делал на OpenBSD. Боты отправляли команды с помощью ICMP пакетов, а я OpenBSD я перехватывал in_input и соответственно отлавливал ботов( если надо было отправлял им ответ)
Можно придумать свой протокол поверх IP.

Вот собственно и все...

 

После отстука в дверь службы делают оттстук по голове и почкам и отбирают кампеки срочно прекращайте одептацию и забудьте ради бога про админки ботнеты и сплоеты -)))

иначе ваша жизнь закончицо в клоаке под названием веб-хак

 

sl0n
вы несете чушь, изучать можно и для защиты от ботов. Знание принципов\технологии работы\реализации ботов, ботнетов и прочей малварной твари, не помешает для разработчиков защит и IT Security специалистам.
Просьба не флеймить

 

WIN32

ТС сам разрешил..

 

хорошая тема, т.к. сейчас ради интереса пишу сам нечто подобное, и нигде не читал о ботсетях, всё в основном придумываю сам, может придумаю пятиколесный велосипед. Но с ботсетями использую ИРС сервер, т.к. невижу смысла делать админку, бот сеть должна быть такой что бы без спец програм ею можно было бы управлять.

 

dead_body
Понимаешь, управление является объектом, полученным в результате сложения двух компонентов:
* Статистика
* Управление.
С помощью IRC ты можешь только управлять( если конечно не напишешь скрипт\бота )который будет считать и вести статистику твоих ботов. ИРЦ палевно, хотя его можно реализовать "распределённо", т.е. вожак будет поднимать у себя miniIRCD, принимать n-ное количество ботов, а сам коннектится к главному серверу..т.е. управлять ты будешь только вожаками, а они уже своим подчиненным.
"бот сеть должна быть такой что бы без спец програм ею можно было бы управлять. " А IRC клиент это не спец программа? А браузер ? ОН есть везде, наже в мобилке( в принципе там тоже есть ирц клиент, но это не айс. ).