Взлом ботнетов

[Wing7]

На днях я купил свой первый резидентный лоадер, и у меня появился небольшой ботнет.
Лодырь закомпилен на 2 (два) домена.

Стало быть, если оба этих домена снесут - прощай ботнет.

Реальна ли такая ситуация?
Более чем.

Опишу, как сносить подобный ботнет:

Ловим одного зверька на тестовый комп.
Отдельный нормальный комп, без всяких виртуалмашин, чтоб он вдруг чего не заподозрил

Траф пускаем через свой второй комп.
Вскоре мы видим, куда стучит бот, получаем первый домен.

Режем доступ к первому домену с админкой (фаервол ессно стоит на 2м компе где траф анализируется).
Бот не может достучаться до основной админки и идет на резервную - и палит ее.

После этого правильной абузой суспендятся оба домена.
----------------

Делать кучу запасных доменов не вариант, их можно точно также мочить по цепи любой длинны.

Как же быть?

Например так:

В случае недоступности основногй и резервной админки бот идет в гугл и делает запрос по редкому ключевику. Парсит выдачу, выбирая урлы, ищет свой новый центр управления.

Также должна быть система авторизации, чтобы кто попало не мог имитировать админку и перехватывать управления.
Каждый бот должен в момент инсталяции обмениваться с центром управления ключами и при обнаружении нового центра управления спрашивать у него авторизацию.

Ну а овнеру если у него отвалились все управляющие центры надо просто сделать пагу с урлом нового центра и вывести ее в гугл по этому очень редкому кейворду, что не сложно.
Ну и ессно нужно иметь бекап базы ключей ботов, чтобы авторизация проходила.

Баян?
В приватных ботах такое давно реализовано?

 

[TrueUser]

Во загнул проще юзать псевдослучайный генератор доменов админки чем индексироваться в гугле.

 

[Left4Dead]

Также должна быть система авторизации, чтобы кто попало не мог имитировать админку и перехватывать управления.

выкладывать команды в открытых неубиваемых источниках типа google, twitter, livejournal и подписывать их цифровой подписью. Открытый ключ у всех, закрытый ключ только у хекера.

 

[karabas-barabas]

если у тебя будет ботнет от 100000 то есть смысл думать что-то другое, например p2p или чота типа icmp туннеля и др извращения... кстати, доп подробности отписал тебе в асику

 

[Wing7]

TrueUser - любая цепочка псевдостучайных доменов будет прекрасно вычислятся по тестовому боту.
Он же будет отстукивать на эти домены в каком то порядке.
Более того, тут получается дыра, реверсеры могут узнать резервные домены из еще не купленных, купить, засуспендить остальные и не просто лишить ботнет управления а получить его в свое пользование.

Mr.Bogus - да, ты развил идею в верном направлении

karabas-barabas - насчет p2p можешь описать как оно будйт работать?

Я пытался сделать модель без единого управляющего центра, но так и не смог..
(паблик ресы это все равно центр)

Вроде бы такая технология в торрентах использована, новые "магнитные ссылки" по описанию работают без центра... но доки видел только на английском и как то мутно было обьяснено я не понял.

 

[TrueUser]

Более того, тут получается дыра, реверсеры могут узнать резервные домены из еще не купленных, купить, засуспендить остальные и не просто лишить ботнет управления а получить его в свое пользование.

Мля, ну тупо реализовывать влоб - дело хозяйское, я описал алго используемый в более достойном софте чем тот что на рынке сейчас.
С p2p возникают те же проблемы что и у торрентов для натовских тачек нужен трекер и без этого никуда.

 

[karabas-barabas]

для p2p нужны более-менее приличные объемы , компы-дедики обычно будут выступать в роли связующих центров , каждый бот запоминает например 100 таких друзей , от которых он будет получать команды , если один недоступен то идет со вторым коннект...
ну это не простая технология , опять же имеет смысл при больших прогрузах от минимум 50-100К ботов

 

[Nightmarе]

delete

 

[karabas-barabas]

нет, знакомые говорили , что знают людей у которых почти лимонный ботнет, так вот они по p2p успешно работают , но опять же нужна нехилая организация и все равно без общих командных центров не обойтись по крайней мере вначале...
а теоретически все можно и Усаму словить и Бареку Обаме трояна закинуть ease:

 

[Ar3s]

На любую хитрую Ж сущестует лом с резьбой.
Универсального способа пока я не вижу. Но варианты общеизвестных варьируются в зависимости от вашего воображения.

Ты можешь следующие домены контрольных центров генерировать с использованием логарифмов и числа ПИ. Но никто не мешает вскрыть твой exe.

 

[Wing7]

Для трекинга следующих доменов то даже exe не надо вкрывать.
Пустил весь траф через другой комп, снифиш, режешь доступы к админкам, переодически бутаешь бота и время на нем вперет в биосе крутишь.
И бот все сам сдаст.

 

[Wing7]

Nightmarе - с ключами как раз никакой сложности.

Тупейшас реализация - каждый бот, после инстала стучит в центр и получает два числа.
Первое число - ID бота, второе - рандомное.

При стуке в админку бот говорит 1е число, если админка не знает 2е число - значит явка провалена ease: и бот уходит искать настоящую админку.

Ну это я так, идею описал, ессно хранить надо хеши и бла бла бла...

 

[Nightmarе]

delete

 

[Left4Dead]

Та-же индексация в гугле, вещь вроде бы как хорошая. Но как бы ты её не реализовал, то всегда тебя могут обхитрить.

Это ж как? Гугл индексацию отменит из-за бота?

 

[salamandra]

Идеальный ключ может и существует,но всеравно этот ключ нужно сообщить
программе для раскодировки,вмпрот уже вскрывают,о чём вы говорите.Хрумер
только вскрыть не могут.

 

[Left4Dead]

Идеальный ключ может и существует,но всеравно этот ключ нужно сообщить
программе для раскодировки,вмпрот уже вскрывают,о чём вы говорите.Хрумер
только вскрыть не могут.

омг.
RTFM: Электронная подпись, асимметричное шифрование.

 

[Nightmarе]

delete

 

[TrueUser]

Ну как вариант бот может не стучать в админку вообще, а вот если че нить упрет, то отсылать инфу и самоликвидироваться. Конечно сложно регистрировать размеры ботнета, но если все отлажено до мелочей, то отстук не нужен. Упер что надо и валить вероятность обнаружения минимальна, ибо надо как то спровоцировать софт на сетевую активность.

 

[yahoo]

1. в RSA есть закрытый и открытый ключ,т.е. бот пытаеться расшифровывать команды открытым ключом и если после расшифровки хня то это не наша команда,а правильную команду может послать только тот кто знает закрытый ключ(т.е. не зная закрытого ключа никто ботнет не увидет)
2. децентрализация основана на том что бот сканит сначала подсеть
"x.y.z.1-до_первого_попавшегося_бота"
а) если ты сам 1й то ты host в подсети(но еще надо проверить 2й - об'ясню позже зачем)
б) если не первый то ты коннектишься к 1му
также идет об'единение и подсетей.. передача апдейта осуществляеться p2p методом с RSA ключом,т.е. автор коннектиться к случайному боту и выкидывает в него зашифрованный апдейт
бот расшифровывает и если cool то передает дальше(aka новый файл в пиринговой сети) и запускает у себя..

короче ИДЕЙ много вот реализация всего этого ммм дело не из легких..

 

[Ar3s]

Если ты это реализуешь - тебе можно идти работать сходу в пентагон
Это конечно шутка юмора, но приобретение подобных навыков и разработка работающей схемы действительно многого стоит.