Русский ботнет — начальный уровень

[starik]

Русский ботнет — начальный уровень.

 

Внимание! Это лишь мой взгляд на ботнет в рунете!

 

1. Кому это нужно ?

 

Да интересно знать кому же это всё-таки нужно ? Ответ прост — нужно тому кто хочет иметь месячный заработок в несколько тысяч долларов. Не правда-ли много таких людей ?

Да и вы не отказались бы от такого заработка! Также уточню что особых знаний от вас не требуется, лишь небольшой стартовый капитал с которого необходимо будет раскрутиться.

Вот такая вот абстракция получается...

 

 

2. Организация проекта

 

Когда у человека есть деньги, первое что ему необходимо это найти программиста который будет писать бота, затем человека который будет следить за серверами (в данных кругах это называется «админка»). Как правило таких людей называют заказчиками, он может быть не один, зачастую это группа лиц задействованных в одном деле, как бы совладельцы ботнета.

Так же необходимо перечесть несколько «проблемных факторов» свойственных не только рунету:

1)Далеко не часто «программисты» доводят бота до релиза т.к. В 30% это кидалы.

2) Не просто найти нормального человека со знаниями, в своей основной массе находятся студенты некого политеха, которые не нашли достойного применения своих знаний и остановились на уровне программирования поделок на Delphi.

Думаю следует сказать что данные боты очень просты, и не о какой продуманной системе говорить не стоит. Думаю следует перечислить список команд одного из таких ботов:

ddos — команда по который бот создаёт некое кол-во потоков которые в бесконечном цикле отправляют get запросы на атакуемый сервер

udp — генерация udp пакетов и их беспорядочная отправка

upd — обновление бота, просто загрузка файла из сети и замена текущего на

новый

icmp — ну это улучшенный аналог всем знакомого пинга

 

Хочется сказать что сегодняшние боты немного похудели в плане команд, раньше было по-богаче как-то. В основном используется ddos т.к. это очень просто и не требует особых усилий, нежели спамерский функционал, который значительно сложнее в реализации, однако за него и платят больше.

 

Боты — сегодня и вчера.

Однажды в сети наткнулся на большой архив с большим кол-вом исходного кода различных ботов, ес-сно стало интересно посмотреть на то с чем борется большинство антивирусных лабораторий. Загрузив и распаковав архив в нём было около сотни различных ботов, но какой бы я не смотрел он был «предыдущим», очень интересно было узнать что весь функционал по атакам был у всех одинаков т.к. использовался один и тот же исходный код, разница была лишь в способах внедрения в систему но и она была не значительно разной.

Это либо регистрация файла в HKLM\...\Run или же регистрация файла как сервиса . Пользователи продуктов ЛК могут быть спокойны (да как в принципе и все остальные) т.к. поведенческие блокираторы уже не один год могут отлавливать такую подозрительную активность. Это как я предполагаю были боты 2003-2005 годов. Сейчас же исходный код ботов всячески скрывается т.к. спрос на ботов растёт. Говоря о ботах прошлых лет необходимо вспомнить BlackEnergy — это один из самых популярных ботов прошлых лет, который иногда встречается и в наши дни. Сегодня можно встретить даже его «билдер», который позволяет за пару секунд собрать бота с необходимой конфигурацией.

Но как утверждают многие сегодняшние владельцы ботнетов - «Он не актуален в наши дни, дохнут боты часто» под словом «дохнут» подразумевается что бот обнаруживается антивирусами и как средство для атак потерял эффективность.

Лаборатория Касперского присвоила боту имя Backdoor.Win32.Kbot.s

Схема по которой работает 90% сегодняшних ботов следующая:

Отправить запрос на получение команды на некий сервер при этом необходимо указать id бота, сгенерированного при первом запуске бота.

Полученную команду передать необходимому обработчику.

Ждать определённое кол-во времени, после чего повторить запрос.

Сегодняшние боты уже практически не получают команды по средствам связи с irc каналом, а просто используют вышеуказанную схему.

 

Громкие слова и ... - шумахер

Наткнулся буквально недавно на некую тему «DDOS бот нового поколения», где авторы бота предлагали свою программу за несколько сотен долларов. Ну в описании они использовали такие завлекающие как «антиэвристика», «хорошая приживаемость в системме» - это конечно рассмешило. И после всего описания бота автор говорит, что бота необходимо криптовать т.к. антивирусы детектят. И тут появляется улыбка по поводу антиэвристики т.к. даже ЕСЛИ они там и есть то после крипта, криптор прицепит свой антиэвристик и того механизма что есть в самом файле будет не видно, зато ведь как слышно! Найдя в сети экземпляр данной поделки, и просмотрев его под в отладчике стало ясно, что он не чем не лучше чем те боты о которых я говорил ранее (2003 — 2005 г.)

Файл регистрирует себя как сервис и копируется в системную директорию. И работает по схеме о которой я писал выше. И кстати - «студенты политеха, которые не нашли достойного применения своих знаний и остановились на уровне программирования поделок на Delphi.» - именно так и есть, это можно применить к данному боту.

Имя присвоенное Лабораторией Касперского - Trojan-Downloader.Win32.Delf.uv

 

Вывод — всё что можно встретить на различных порталах рунета под названием бот, можно смело пропускать мимо ушей и не боятся что когда-то ваш антивирус не сможет ему противостоять! Реальные угрозы чательно скрыты и о их существовании знаю антивирусные лаборатории, которые вовремя смогут защитить своих пользователей, то о чём сдесь писалось можно назвать «ребячеством».

 

 

3. Делаем деньги, гнём пальцы

 

И вот пришло время релиза проекта! Теперь авторы ботнета начинают свою долгожданную деятельность. Тут сразу на некоторых форумах появляются объявления о DdoS услугах,

повышается рейтинг различных так называемых партнёрок — суть которых состоит в том чтобы заключить некое согласие на то чтобы тот или иной портал содержал скрипт, позволяющий загружать программу на компьютер пользователя без его участия.

Деньги же этот бизнес приносить хорошие, атака длительностью в сутки стоит около 100$(смотря что за ресурс), но не стоит сразу смотреть сколько же можно заработать за месяц, ведь бот может проводить несколько атак одновременно — главное чтоб канал был нормальный.

Теперь владелец ботнета начинает свою раскрутку, приобретая\создавая новые ботнеты. Таких людей очень много и все они слишком часто гнут пальцы и много о себе думают, зная лишь несколько понятий необходимых для их «бизнесе».

Изменено 10 августа, 2009 пользователем starik

[starik]

В добавок.

 

Нашумевший Русток вполне вероятно имеет русские корни. Однако к выше описанному отнести его нельзя ибо класс совсем другой.

 

Как плодятся боты ?

 

Очень даже просто, у каждого бота есть возможность загрузки файлов следовательно необходимо отдать команду после чего уже имеющийся в системе бот загрузит нового (в данном случаи не обновится а добавит ещё одного).

Как и говорилось боты попадают в систему через различные уязвимости в софте в большинстве случаев той самой дырочкой является браузер. Сейчас уже сложно встретить письма содержащие подобное ПО, если и есть то это пока ещё не вымершие Rays и т.п.

Странно но я встречал очень малое кол-во ботов размножающихся по сменным носителям, но даже если такое и появится то Антивирусное ПО к этому готово. Однако P2P сети ещё не кто не отменял! Так что следует быть осторожным при работе в таких сетях.

 

Теперь хочется подвести итог и сказать главное. В данное время нельзя быть спокойным не установив все обновления ОС и используемого софта (браузер в первую очередь), а так же одного КАВ'a сейчас явно не хватит, необходимо переходить на комплексную защиту - типа KIS, либо же устанавливать отдельный сетевой экран. По той причине, что все всеми зловредописателями движет не спортивный интерес как раньше, а корысть, необходимо быть предельно внимательным и соблюдать хотя бы малые меры безопасности.

[Safety_mode]

антивирус, установленные обновления (особенно браузер и плагины) и разумная внимательность и осторожность вполне достаточны для обеспечения безопасности рядового ПК, где не хранятся архиважные тайны. Иначе получится, как с Симантек - судят за излишнее запугивание пользователей