• XSS.stack #1 – первый литературный журнал от юзеров форума

Communication.

Отслеживать
пожалуйста-пожалуйста-пожалуйста, давай смотреть чуть дальше букв.
В чем проблема пошарить между ботами сегодняшний хеш (для тех, кто не успел в админку)?

Да, я пробовал брутить на видео, и в курсе, что проблем с дровами немерено.
Разница в топ видео, и cpu, все же, не 3 а 2 порядка (n00 раз). То есть сеть из 10к эквивалентна кластеру с сотней топовых видеокарт. Это уже не дешево, и является серьезным препятствием к перехвату.
Так если юзать межботовую коммуникацию, то админка вообще не нужна, и следовательно хеши никакие не нужны. Вот и приходим к peer-to-peer коммуникации.

"голый 2p2" в моем понимании "только p2p".

В случае передачи информации оператор->бот, у бота хранится закрытый ключ, оператор подписывает команду открытым, передает боту. Бот проверяет ее подлинность закрытым ключом. Или я заблуждаюсь?
http://ru.wikipedia.org/wiki/Криптосистема_с_открытым_ключом
всё наоборот. Оператор подписывает своим закрытым ключом, верификация подписи происходит с помощью открытого ключа.
Оператор "закидывает" в ботнет подписанную команду, боты её выполняют и передают дальше другим ботам. Отчёты на ботах шифруются с помощью открытого ключа оператора (так что расшифровать их сможет только владелец закрытого ключа, т.е. оператор), и "разлетаются" по всему ботнету, оператор может выкачать их почти как фильм с торрентов)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Left4Dead
хм. я почему-то решил, что закрытый ключ придется хранить у бота, и тогда с реверсом вся система пойдет прахом. Ан-нет, ты прав. http://ru.wikipedia.org/wiki/Электронная_цифровая_подпись
У бота хранить открытый. Тогда затея с вычислением хешей, как защитой от последствий ревера - фигня. Действительно можно обойтись p2p.
 
Aels приведенный тобой метод неэффективен хотя бы потому, что даст очень приличную нагрузку на CPU или GPU. Все это заставит обычног7о пользователя задуматься над тем почему же его комп нещадно тормозит. Уж если что и дулать в этом направлении так это заработок биткоинов на ботнете...

Chococream Вариант хорош с одной оговоркой. Допустим в списке есть 10 фейковых доменов и 3 реальных. С каждого домена нужно скачать все картинки png (как вариант), далее парсим картинки в папке. Притом парсим с первой до последней. Даже в случае нахождения нашего таска парсер не останавливаем. Итог - задание.
Теперь берем два предполагаемых варианта развития событий у аверов:
1. блочим любой незначительный домен из списка обращения. (из 13). Если у юзеров есть более-менее рабочие АВ - они начинаю реветь на опасный домен. Юзеры начинают чекать компы и быть более подозрительными. Как итог - рано или поздно сэмпл попадает на стол к авреам. Далее нормальный реверсер находит на какой картинке у памяти появляется таск и определяет с какого домена была загружена картинка.
2. второй вариант, при условии что сэмпл уже есть (еще проще). Блокируем доступ к половине доменов. Если задание получает - делим список опять пополам. Ну и т.д. Смысл вы уловили. Таким не хитрым способом в течении часа вычисляются все три домена из списка. Даже если доменов залить 30 - это всего-лишь займет больше пары часов. Второй отрицательный момент - большая активность бота. Грубо говоря он каждые 3-4 часа лезет на одни и те же сайты. Это даже в логах будет легко просматриваться.

Теперь по времени отстука. Раз в сутки - неэффективно. Ладно если у тебя 50-100К живых ботов. Еще куда ни шло. Но при 10-20К особо не разгонишься. Дал задание и жди как идиот когда выполнит. Для себя я установил примерно следующие промежутки времени:
ddos - 10 мин
loader - 30 мин
подмены инжекты formgrabber keyloger - и т.д. - 1-3 часа.
ftp pop smtp и т.п. снифферы - 10 часов.
т.е. о 24 часах речи не идет вообще в моем понимании. Ибо управление сетью становится неэффективным.

Теперь о p2p. Его использование подразумевает ТОЛЬКО использование закрытого протокола и шифрования заданий открытым/закрытым ключем. Иначе есть огромная вероятность что имея всего один сэмпл аверы выдадут новую комманду или задание как родные. И тогда прощай сеть.
 
1. блочим любой незначительный домен из списка обращения. (из 13). Если у юзеров есть более-менее рабочие АВ - они начинаю реветь на опасный домен. Юзеры начинают чекать компы и быть более подозрительными. Как итог - рано или поздно сэмпл попадает на стол к авреам. Далее нормальный реверсер находит на какой картинке у памяти появляется таск и определяет с какого домена была загружена картинка.
К моменту окончания выполнения задания картинка будет другой :)

2. второй вариант, при условии что сэмпл уже есть (еще проще). Блокируем доступ к половине доменов. Если задание получает - делим список опять пополам. Ну и т.д. Смысл вы уловили. Таким не хитрым способом в течении часа вычисляются все три домена из списка. Даже если доменов залить 30 - это всего-лишь займет больше пары часов. Второй отрицательный момент - большая активность бота. Грубо говоря он каждые 3-4 часа лезет на одни и те же сайты. Это даже в логах будет легко просматриваться.
Опять же это должно пресекаться на уровне бота. Т.е лок половины доменов - уже алерт о том, что нах-ся на этом компьютере нежелательно.
При таком раскладе бот может сымитировать получение сэмпла для определённого домена.

Второй отрицательный момент - большая активность бота.
Писал же уже выше, что можно ставить определённый интервал между отстуками.

P.S: Метод "солнышко" будет эффективен только при отправке данных на сервер. Т.е блокируют или не блокируют - бот просто отсылает данные.

При приёме же придётся помучаться с алгоритмами скрытия.
 
Chococream а сколько доменов ты вошьёшь в бота? 20? 50? 100? Нужно либо генерить либо вшивать либо где-то брать (как вариант - из кэша браузеров.)
Ладно. Спорить можно бесконечно. Можно вспомнить задания из whois доменов, irc, jabber, twitter, facebook, google+, shoutcast-вещание и т.д. Все что уже было - неэффективно. Придумывай свое и молчи в тряпочку.
 
а сколько доменов ты вошьёшь в бота? 20? 50? 100? Нужно либо генерить либо вшивать либо где-то брать (как вариант - из кэша браузеров.)
Так и скажи, что не нравится метод.

Все что уже было - неэффективно.
Что конкретно ?
P2P, к примеру, пользуется успехом.

Придумывай свое и молчи в тряпочку.
Целью не было создание одноразового алгоритма противодействия анализу исследователями.
 
насчет p2p, как обмениваться данными между 2 серыми ботами ?
1. таскать с собой список только белых ботов и в каждом диалоге одним из собеседников обязательно был белый, а другой либо серый либо белый ?
2. использовать UDP hole punching ? тогда нужен 1 белый ип - но так нет децентрализации.
2,5. UDP hole punching + список ботов отсортированый по цветам ?
ваши варианты ?
 
ктонить хочет совместно (по предварительному сговору группой лиц) проанализировать существующие и разработать собственный алгос для работы ботнета в полностью децентрализованой сети ?
с последующей писькой кодеса и загона его крабам за многия шекели.
 
P2PP Рулит и огромный ключ PGP команды идут зашированные так что подмену команд тяжело сделать.
Центральных серверов вообше нет боты стояшие на мошьных компютерах становятся маршрутезаторами сети обычные клиеты сзнают не болие 5 адресов соседей и пару адресов маршрутизаторав нашей сети если компы слабые то они могут также оброшятся к маршрутизаторам для расширфровки pgp команды.

Единственный минус тяжело следиьт за статой ботов.
 
Ещё одна реализация поиска адреса C&C:
http://www.securelist.com/ru/blog/20776449..._gosstrukturami

- Если целевая система отвечала заранее определенным требованиям, вредоносная программа использовала Twitter (без ведома пользователя): она искала определенные твиты, размещенные заранее созданными аккаунтами, которые были созданы операторами командных серверов. Твиты содержали определенные теги, которыми помечались зашифрованные URL-адреса, предназначенные для использования бэкдорами.

- По этим URL-адресам находились командные серверы, от которых бэкдоры могли получать команды и которые обеспечивали загрузку на компьютеры жертв дополнительных бэкдоров, зашифрованных в составе GIF-файлов.

- Если Twitter не работает или соответствующие учетные записи отключены, вредоносная программа может использовать поиск Google для получения строк, содержащих зашифрованный адрес командного сервера, с которого можно получить новые команды.

- Установив соединение с командным сервером, зараженная система получала от него зашифрованные бэкдоры, обфусцированные как GIF-файлы, отображаемые на компьютере жертвы как изображения.

Также написал небольшую утилитку, которая обнуляет TimeDateStamp у PE файлов и изменяет время/дату последней модификации.
Использование: просто перетащите нужный вам объект на файл anti.exe. Если всё пройдёт успешно, то выскочит окно с текстом "Success".
 

Вложения

  • anti.zip
    1 КБ · Просмотры: 100
9)Технология "4-C"
Итак, опишу основные этапы данного метода:

- Бот парсит социальные сети(facebook, twitter, ...) на наличие в сообщениях изначально зада-
нных(зашитых) выражений(на английском или русском языках. не стоит использовать часто встреча-
емые предложения. достаточно 100-200 ключевых слов). Для того, чтобы сделать текст неприме-
чательным, желательно применить стеганографию или шифрование.

- При нахождении желаемой строки бот при помощи ЭЦП
проверяет принадлежность команды к владельцу ботнета(конечно будут и ложные срабатывания,
отнимающие время, но это не столь критично, если фраза редкая).

- Расшифровав сообщение от владельца, бот получает в своё распоряжение список из 100-200 URL
адресов и secure-строку(2-4 из них - это командные центры, остальные - просто ложные.
см. метод "солнышко"). Парсинг сообщений социальной сети - времязатратное занятие, поэтому
нам выгоднее перейти к непосредственной коммуникации C&C и бота.

- Бот определяет у себя наличие прямого ip. Далее отправляет подряд каждому URL информацию(system
version, ip, nat/no_nat, open_port, ...). C&C ждёт пока "прогрузится" вся сеть
(кол-во установок опустится ниже опр. значения).

- Теперь самое главное:
Боты с прямым ip при отправке информации открывают порт с socks5(авторизация с использованием
ЭП). C&C после замедления "прогрузки" составляет TRUSTED список ботов, через кот-
орых он распространяет остальным нужные данные.
НО, остаются ещё боты, не имеющие прямого ip. Для них C&C создаёт ещё одно сообщение в социа-
льной сети с secure-строкой(редковстречаемой, для быстрого нахождения) в котором содержится
список ботов в виде: IP:PORT. Боты подключаются к случайному и получают данные.
Для большей стабильности, боты с прямым IP иногда должны выдавать списки с другими ботами(это
нецелесообразно, т.к по сути раскрывает кол-во заражённых машин). В случае же если, все IP
окажутся недоступными, NAT бот лезет в социальную сеть за новой порцией URL адресов.


- Почему "4-c" ?
Это обьединение СС(социальная сеть) и C&C(command center).

- Зачем нам социальная сеть ?
Все мы прекрасно знаем как происходит падение/взлом/перехват C&C. Данный способ позволяет избе-
жать этого. К тому же, в любой момент времени ты сможешь создать сообщение в соц. сети и "реани-
мировать" старый ботнет.

- К чему нам метод "солнышко" ?
Регистрация доменов и покупка серверов - затратное дело. Данный способ гарантирует скрытность ваш-
его C&C.

- Открытый порт, списки ботов. По-моему, чем-то напоминает P2P ?
Да, действительно технологии схожи. Одно лишь их отличает: изначально в боте не содержится источ-
ник(C&C) для получения IP адресов.

- Сложновато, можно и попроще.
Нисколько, воплощение данного способа в жизнь - вопрос времени. А коль у вас есть идеи или крити-
ка - прошу к обсуждению.
 
метод "солнышко".
Делал наподобие этого метода: было 30 УРЛ, 3 были валид, остальные пустышки.
Было прогруженно 100к ботов, месяц не палились центры.
Боты в основном отправляли данные, хотя и раз в 5 минут стучали за командой, если можно так назвать, ибо команда была 1.
С моей стороны были минусы, что я не сделал антидебаг и немного поленился с шифрацией.

А так метод вовсем ничего. Я думаю для 100к ботов это хороший результат!
 
тогда уж скомбинировать и привести в божеский вид все интересные мысли в этом топе, а также их плюсы и минусы в первое сообщение и прикрепить как обзор вариантов комунникации с C&C
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх