Поговорим о botnet сетях

Тема в разделе "WASM.HEAP", создана пользователем Aspire, 19 мар 2008.

  1. Aspire

    Aspire New Member

    Публикаций:
    0
    Регистрация:
    19 май 2007
    Сообщения:
    1.028
    Всем привет. Очень интересует данная тема, поэтому хотелось бы получить побольше инфы.
    Как работает рампределеная сеть? Правильно ли я понимаю, что сервером может одновременно являться любой из зараженных компьютеров?
    Какие есть способы самораспространенеия?
    Каким минимальным набором функций должен обладать хороший бот?
    Что такое "админка" и нужна ли она?
    Что такое "отстук" о ктором так часто упоминают в коммерц и как он определяется?
    Какой протокол лучше (удобнее) испльзовать для "общения" с ботами?

    На самом деле у меня куча вопросов, каша в голове, и очень охота во всем разобраться...
    Поскольку тема создана в хип, то флуд тоже приветсвуется :)
    Так же приветсвуются всякие сцылки на полезную инфу, интересные бинарники и тд, но хотелось бы развить эту тему именно на этом форуме.
     
  2. asmlamo

    asmlamo Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    1.734
    Через дыры в ПО. Как правило переполнение буффера в браузерах.

    Была бы ненужна то не писали бы !
    Админка рулит всей этой армией ...

    отстук это количество активных "зомби" ...
     
  3. t00x

    t00x New Member

    Публикаций:
    0
    Регистрация:
    15 фев 2007
    Сообщения:
    1.921
    ИМХО "отстук" это КПД сплоита, а определяется наверно статистически отношением "количество заражений" к "количеству посещений веб-страницы" например.
     
  4. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    Aspire
    Самое главное в этом деле - не вляпаться.
    Для саморазвития интересно, а перед тем как подвязываться по объявлению,
    задумайся кто его даёт ;)
     
  5. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    заимев тек-ий ип клиента, может производиться опрос портов на наличие актиивных сетевых сервисов, прог(асек, p2p.....), так что бравзер не единственный путь:)) такие вещи обычно делаются на развлекушных сайтах. ещё один путь - это варезные файлы, так что стоит проверять контрольную сумму, коли не гнушаетесь вЫреЗААААА:))) опасность даже может подстерегать на файлах: .jpg, .avi..........:)))
    а так wsd прав залететь на этой теме можно сильно:)
     
  6. Aspire

    Aspire New Member

    Публикаций:
    0
    Регистрация:
    19 май 2007
    Сообщения:
    1.028
    asmlamo
    Я предполагаю, что "админка" - это всего лишь удобная облочка (через барузер, напр.) для отдачи комманд и пр.
    Отписаля бы кто-нить, кто знает, а то только догадки ))

    wsd А что там вляпываться-то? Прежде чем писать что-то на заказ, нужно хотябы для себя написать приличную вещь.

    И еще.. Если я правильно понимаю, что в распределенной сети любой компьютер может являться сервером с которго подаются коммады для остальных ботов, значит к каждому из компьютеров дожен быть доступ для удаленного администрирования? Или как же иначе?
     
  7. asmlamo

    asmlamo Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    1.734
    что значит всего лишь ? Ты ожидал нечто большего ???
     
  8. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    Aspire
    так сам бот сложности большой не представляет.
    Основная сложность обход фаеров и свежий сплоит для распространения.
    А насчёт вляпывания, я имел ввиду последствия таких дел.
     
  9. Aspire

    Aspire New Member

    Публикаций:
    0
    Регистрация:
    19 май 2007
    Сообщения:
    1.028
    asmlamo
    Тогда, наверное не "админка" рулит, а одмин-ка рулит через "админку" ))
    wsd
    Так вот об этом не хотелось бы здесь говорить, хоть обход фаеров и аверов тоже является задачей бота.
    Что касается сплоета, то не единым сплоитом должен жить бот, мне так кажется ...
    Полиморф, метаморф, обход фаеров - это все понятно и более подробно об этом можно узнать из отдельных источников.
    На данный момент, мне бы хотелось понять алгоритм работы нормального бота для распределенной сети.
    Мы отдаем комманды боту со своего сервера, ну там, например, для ддос атаки ли для скачивания обновлений или там для рассылки спама или еще для чего (я имею ввиду для всех ботов). Но как отдавать комманды не с сервера, а с нашего бота? Если это делается с помощью удаленного администрирования, то это "немного" усложняет всю конструкцию...
     
  10. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    wsd
    обычно добросовестные члены ботсети не юзают фаер и работают в админе:))
    кстати, сам факт, что мыльные черви удачно атакуют говорит не просто о ламерстве подавляющей части юзеров, но и о слабой работе админов коорпаративных и малых сетей:)
     
  11. synthetic

    synthetic New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2005
    Сообщения:
    12
    Адрес:
    Ukraine
    А каком КПД сплоетов вы говорите? =)
    КПД в электрических двигателях, тепловых двигателях или трансформаторах?
    Тем более от сплоетов отстук бывает разный, допустим службы делают не плохой отстук к вам в дверь :))))
     
  12. t00x

    t00x New Member

    Публикаций:
    0
    Регистрация:
    15 фев 2007
    Сообщения:
    1.921
    synthetic
    забыл о вас.
    на "коммерц" это звучит "правильно разложить товар" :).
     
  13. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    synthetic
    неплохо сказано +4:))
     
  14. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    Aspire
    ПМ
     
  15. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    Очень просто, да ты можешь реализовать такую схему, что твоей армии ботов, нужен будет командир, и они будут слушаться кого-то из стаи ( пусть будет Вожак ). Такую схему реализовать..не скажу что трудно, но накладно, за то интересно. Дело в том что боты ( в зависимости от качества ) дохнут часто, поэтому важак может просто подохнуть.
    Например:
    1) Есть два юнита, это БОТ и АДМИНКА. Бот через определенное время "отстукивает" на админку, и сообщает что он ещё жив, админка же заносит его в базу и показывает уже ботмастеру на одного бота больше. В зависимости от типа бота , админка выполняет всякие махинации ( если Socks то проверка порта, обновление, если DDoS то отдает команды боту для атак и тд )
    2) Если три юнита, это БОТ, ВОЖАК и Админка.
    Схема такая, бот стучит в админку, админка проверяет, стучал ли уже вожак, если стучал, то ( предварительно проверив его работоспособность ) отдает боту IP вожака. Если же не стучал, то админка делает этого бота вожаком, и сообщает ему об этом. Фактически адмика в данном случае нужна для распределения ботов по группам, ну и для статистики. Если допустим 10 дней 800 ботов жили у одного вожака ( что палевно, ибо трафик будет большой у этой жертвы, вожаков можно определять по активности сетевых соединений, количеству трафика in\out и типа соединения, и при отстуке в админку, сообщать что мол я могу быть вожаком ) , а вожак потом умер, боты просто стучат в админку и требуют нового вожака =)
    Схем много, тут главное фантазия.
    Например команды ботам можно отдавать вообще не имея своего сервер, но как собирать статистику я ещё не придумал, работаю над этим. Например бот будет забирать команды из странички http://www.icq.com/people/about_me.php?uin=437843, где в поле About будет строка типо "cmd:ddos:http://www.gmail.com:80", ну и соответственно исполнять её. Сейчас я работаю над тем, как сделать статистику, не отсуткивая на наш сервер ( где будет статистика ).

    Этого лучше не делать, а работать либо на сплоите либо на загрузках уже готовых. Ибо это увеличивает шансы попадания бота к плохим дядям.

    Опять таки смотря какой бот. Но все обязаны уметь делать:
    * Автозагрузка
    * Обновление
    * Обход файрволлов

    Что такое "отстук" о котором так часто упоминают в коммерц и как он определяется?
    Читай выше.

    Да тот же TCP или ICMP. Можно даже SYN пакетами обходится, в опциональном заголовке отправлять нужные данные. Тут проблема в том что сервер для ботмастера должен быть свой, и нужно уметь перехватывать пакеты в ядре, для определения ботов. Я это делал на OpenBSD. Боты отправляли команды с помощью ICMP пакетов, а я OpenBSD я перехватывал in_input и соответственно отлавливал ботов( если надо было отправлял им ответ)
    Можно придумать свой протокол поверх IP.

    Вот собственно и все...
     
  16. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    После отстука в дверь службы делают оттстук по голове и почкам и отбирают кампеки срочно прекращайте одептацию и забудьте ради бога про админки ботнеты и сплоеты -)))

    иначе ваша жизнь закончицо в клоаке под названием веб-хак
     
  17. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    sl0n
    вы несете чушь, изучать можно и для защиты от ботов. Знание принципов\технологии работы\реализации ботов, ботнетов и прочей малварной твари, не помешает для разработчиков защит и IT Security специалистам.
    Просьба не флеймить
     
  18. IceStudent

    IceStudent Active Member

    Публикаций:
    0
    Регистрация:
    2 окт 2003
    Сообщения:
    4.300
    Адрес:
    Ukraine
    WIN32
    ТС сам разрешил..
     
  19. dead_body

    dead_body wasm.ru

    Публикаций:
    0
    Регистрация:
    3 сен 2004
    Сообщения:
    603
    Адрес:
    Украина;г.Харьков;г.Н.Каховка
    хорошая тема, т.к. сейчас ради интереса пишу сам нечто подобное, и нигде не читал о ботсетях, всё в основном придумываю сам, может придумаю пятиколесный велосипед. Но с ботсетями использую ИРС сервер, т.к. невижу смысла делать админку, бот сеть должна быть такой что бы без спец програм ею можно было бы управлять. :)
     
  20. WIN32

    WIN32 Member

    Публикаций:
    0
    Регистрация:
    20 янв 2007
    Сообщения:
    338
    dead_body
    Понимаешь, управление является объектом, полученным в результате сложения двух компонентов:
    * Статистика
    * Управление.
    С помощью IRC ты можешь только управлять( если конечно не напишешь скрипт\бота )который будет считать и вести статистику твоих ботов. ИРЦ палевно, хотя его можно реализовать "распределённо", т.е. вожак будет поднимать у себя miniIRCD, принимать n-ное количество ботов, а сам коннектится к главному серверу..т.е. управлять ты будешь только вожаками, а они уже своим подчиненным.
    "бот сеть должна быть такой что бы без спец програм ею можно было бы управлять. :)" А IRC клиент это не спец программа? А браузер ? ОН есть везде, наже в мобилке( в принципе там тоже есть ирц клиент, но это не айс. ).