• XSS.stack #1 – первый литературный журнал от юзеров форума

Нужен ли конкурс на живучесть ботов?

Нужен ли такой конкурс?

Результаты
Отслеживать
Quake3

Quake3

TPU unit
Забанен
Регистрация
03.11.2010
Сообщения
4 529
Решения
4
Реакции
5 305
Депозит
0.046
Пожалуйста, обратите внимание, что пользователь заблокирован
Пришла в голову мысль сделать конкурс на тему выживаемости малвари. Т.е. берем какую-нибудь ОС (пусть с ХР, юзерская учетка). Конкурсанты пишут ботов, которые одновременно будут запущены на этой винде.

Цель - убить всех конкурентов и выжить самому. Прямой коннект к винде запрещен (т.е. никаких рдп и так далее, а то вручную все умные), никаких аверских тулз и т.п. - только свой код. Единственное, я пока не решил как лучше,
- или никакого контакта с внешним миром - т.е. прогружаем ботов, и они там сами смотрят процессы, убивают конкурентов, без любого контакта с создателем. Отключаем инет, rdp и так далее.

-или же контакт с ботоводом будет через админку - т.е. например бот получил список процессов/разделов реестра, отправил кодеру, тот проанализировал, дал команду скачать апдейт чтобы убить скажем такой-то процесс и удалить такой-то файл.

Только ринг3, ибо в ядре кодят единицы.

Интересно узнать ваши мнения и предложения по теме.
 
оно конечно круто, но
нет предложений по такой важной мысли как взаимодействие с пользователем и порядок запуска.
Пример: запускаюсь первым, инжекчусь в проводник, не даю создать никакой процесс
 
Пожалуйста, обратите внимание, что пользователь заблокирован
DASM32
Про CoreWars не слышал раньше, погуглил немного - да, что-то типа того хотелось бы) только под ринг3 win32. Имхо, было бы и полезно в плане кодинга (на практике попробовать способы закрепления в системе и удаления конкурентов), и просто интересно :)

Ragnar
1. По взаимодействию с пользователем - каким именно? Создателем малвары или админом компьютера?
2. По запуску Ar3s предлагал сделать так: копируем все файлы конкурсантов в директорию, какой-то дроппер запускает их всех как CreateProcess Suspended, потом "размораживает" процессы.
По перехват NtCreateProcess - хз даже как лучше сделать. Этот перехват можно сделать лишь под админом, или и под юзерской учеткой?
 
Очень интересная идея, поддерживаю 2 руками и прыгаю на одной ноге, как минимум познавательно) Какие либо АВ ФВ будут в винде стоять?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
DarckSol
Я думаю, что лучше без аверов и т.п., ибо обход не каждый накодит, соответственно уменьшиться число потенциальных конкурсантов.

Apocalypse
Почему? Никто же не говорит раскрывать какие-то зиродей методы закрепления в системе. Доступ ко всем семплам будет иметь только доверенный человек (например, Ar3s).
Или думаешь что все настолько скамерциализировались, что пох на квесты?
 
12309 с меня лично 100$ при условии, что будет как минимум 10 участников.
Либо - говорите что нужно из того что продается. Я поговорю с авторами и постараюсь достать вам нужное.
Либо - я достаю все что могу достать. Победитель выбирает из призов 2-3 наименования.

Добавлено в [time]1348233515[/time]
Quake3 мои корректировки:
1. полное отсутствие АВ
2. полное отсутствие интернета
3. победитель должен не только остаться в живых, но и выдать алерт через 15 (как вариант) секунд после старта.
4. человек который пишет стартер - не участвует в конкурсе.
5. винда не должна упасть. Тот билд который роняет винду - автоматом выбывает.
 
Думаю стоит в корректировки добавить и саму винду и сервиспак;) Я так думаю XP SP3 ?

То что написал рагнар действительно нужно учесть, потому как даже если запускать процессы в суспенд моде, далее даже если через CreateThread запускать все вместе, то все равно кому то будет предоставленно приимущество в очередности по запуску, и далее слепок всех процессов и при обнаружении нового, элементарно даже функциями TlHelp32 можно завершить по пиду или по названию. Это даже без перехвата. + даже если чужой бот будет юзать фишку "создание критического процесса"... етц, бот, который постарается завершить его получит fault, а винда уйдет в бсод.

Так что эти моменты нужно тоже продумать.
Как вариант запускать все боты после определенного таймаута. И все же в доли секунд разница будет :)
 
Ну вот я об этом и писал в прошлом посту, но походу тот поток, который запустит первый бот и будет ведущим, хоть и на доли секунд... дальше все зависит от бота.
 
То что написал рагнар действительно нужно учесть, потому как даже если запускать процессы в суспенд моде, далее даже если через CreateThread запускать все вместе, то все равно кому то будет предоставленно приимущество в очередности по запуску, и далее слепок всех процессов и при обнаружении нового, элементарно даже функциями TlHelp32 можно завершить по пиду или по названию. Это даже без перехвата. + даже если чужой бот будет юзать фишку "создание критического процесса"... етц, бот, который постарается завершить его получит fault, а винда уйдет в бсод.

Так что эти моменты нужно тоже продумать.
Как вариант запускать все боты после определенного таймаута. И все же в доли секунд разница будет
Надо позапускать ботов(с предварительно чистым снапшотом) раз 10(можно больше, для отделения случайностей), причём всегда в случайном порядке. Вот тогда и определится победитель.
Если все последуют методу, предложенному demien, победитель всё время будет разным.

Имхо, лучше сделать конкурс на тему "Лучшая идея децентрализации ботнета", причём важна именна реализация.
Бот будет оцениваться компетентным жюри. Думаю многим сейчас интересна данная тема.
Лучшие работы, при согласии авторов, будут публиковаться как статьи на форуме.
 
Надо позапускать ботов(с предварительно чистым снапшотом) раз 10(можно больше, для отделения случайностей), причём всегда в случайном порядке. Вот тогда и определится победитель.

солидарен!

Имхо, лучше сделать конкурс на тему "Лучшая идея децентрализации ботнета", причём важна именна реализация.

кому-то интересна реализация бота-убийци...
кого-то интересуют более глобальные вопросыЮ например децентрализация ботнета.

безусловно обе идеи хороши и имеют место быть.

Бот будет оцениваться компетентным жюри
Сумбурно предсталвяется картина оценки... т.е. это ведь нужно будет поднимать ботнеты в wild'е, далее какое-то время юзать их причем так расмахисто, чтобы заметили, а потом уже смотреть на реакцию... не?


Лучше работы, при согласии авторов, будут публиковаться как статьи на форуме.
жадные нынче люди на свои идеи.. даже незнаю...
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ar3s
5. винда не должна упасть. Тот билд который роняет винду - автоматом выбывает.
С этим согласен полностью.
Касаемо отсутствия инета - а не будет ли такого, что два бота тупо останутся на машине, не видя друг друга? Я собственно почему хотел связь с ботоводом - потому что если два кодера применять хитрость и боты спрячутся где-то (где не предусмотрено процедурой удаления), то хз как их ликвидировать.

Касаемо алерта немного не понял. Вывести месаджбокс или что имелось ввиду?

Chococream
Имхо, лучше сделать конкурс на тему "Лучшая идея децентрализации ботнета", причём важна именна реализация.
Бот будет оцениваться компетентным жюри. Думаю многим сейчас интересна данная тема.
Идея интересная, но в тему набигут некоторые товарищи, которые скажут что сие нереально, ибо никто не будет палить свой преват и все такое.
 
а почему бы просто не сделать во всех ботах часовой механизм по типу логической бомбы? (то есть,например,для честности,чтобы после установки,они все начинали отсчет от системного таймера тиков и запускались через одинаковый промежуток времени? или например,только в определенное время-час.минута.секунда.миллисекунда)???
 
Quake3
я всегда придержывался мысли, что одним из критериев работы малвари является бесшумность. тоесть не грузить проц, не выдавать лишних окон, не запускать левых процессов
вот например биткоен майнеры. их спалили не по траффику, а по тому что тачка тупо стала подвисать, ведь проц на 50+ % занят майнингом.
от и в моём вопросе выше та же мысль, какие критерии? никаких? тогда ставим процессу таймкритикал, инжектимся во все процессы, отжираем всю память (например заполняем хип)
остальным будет несладко, но и канпег назвать рабочим нельзя.
Насчет того что винда не должна упасть. я вообще непонял. например возникнет бсод. Как узнаем чей бинарь стал причиной? или что такое "упасть"? Можно тогда тупо подвесить канпег.
вобщем идея хорошая (кстати как и про децентрализацию ботнета) но нету четких правил и критериев оценки
както так %)
 
Прелагаю:
1. очередь запуска формировать исходя из поступления бинарников. Написал ты первым - стоишь в списке запуска первым.
2. по приоритетам - вопрос хороший. м.б. есть смысл поставить ограничение на привилегии? т.е. процесс должен работать исключительно как обычный.
3. старт по расписание - тоже интересно. Но не факт что каждый автор честно напишет функу. Фальстарт на пол секунды может дать огромный приоритет.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Может правило тогда поставить, что без извратов, никаких подвисаний компа и так далее? Т.е. запретить мешать нормальной работе винды. Бот конкурсанта должен работать как обычная малварь, т.е. скрытно и без палева вида "убить венду". Можно делать мини-проверки перед допуском бота на конкурс, т.е. просто запустить какой-то Procmon и бота, если он грузит/вешает винду, значит участник дисквалифицируется.

Касаемо перехвата апи и так далее - а на каких виндах это работает? Может установить на комп, на котором будет плацдарм ботов, какую-то ОС с урезанными правами? Вида 7 юзерскую учетку. Чтобы меньше было возможностей у малвари.
Но не факт что каждый автор честно напишет функу.
Мб опять же проверять? Попросить чтобы каждый сделал вызов винапи Sleep с 10 секундами, и проверить (учитывая что малварь не будет пакованная, это просто). Кто сжульничал - выбывает.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх