-
XSS.stack #1 – первый литературный журнал от юзеров форума
Communication.
- Автор темы Chococream
- Дата начала
Интересная тема, но почему-то никто не упомянул i2p.
Несколько месяцев вынашиваю эту мысль. Работа внутри отдельной сети, правда требует подгружать софт для работы в сети, как я понимаю.
Но метод использования данной сети мне видится интрересным.
Может кто-то пробовал и опишет минусы?
Несколько месяцев вынашиваю эту мысль. Работа внутри отдельной сети, правда требует подгружать софт для работы в сети, как я понимаю.
Но метод использования данной сети мне видится интрересным.
Может кто-то пробовал и опишет минусы?
Я недавно видел сишные сорцы для i2p. Кто-то рискнул портировать с Явы. Гуглите.
паук,а не было ли в нете часом обзора всех методов в единой статье?
Там плюсы и минусы,уровень анонимности и вхождения,цена на организацию такого счастья и т.п?
Лично я не видел полноценной статейки...
Там плюсы и минусы,уровень анонимности и вхождения,цена на организацию такого счастья и т.п?
Лично я не видел полноценной статейки...
Dark Koder
А зачем она? Особенно вопрос цены для чего поднимать? Цена может варьироваться порядками и эти порядки зависят исключительно от собственного опыта и нужных связей
-------
П.С.
Есть только попытки реализовать на Си класс, но реализаций так и не нашел i2p. А значит для работы в этой сети надо поставить Яву и приложение для работы в i2p на комп жертвы. Пока слишком много движений, кмк.
А зачем она? Особенно вопрос цены для чего поднимать? Цена может варьироваться порядками и эти порядки зависят исключительно от собственного опыта и нужных связей
-------
П.С.
Есть только попытки реализовать на Си класс, но реализаций так и не нашел i2p. А значит для работы в этой сети надо поставить Яву и приложение для работы в i2p на комп жертвы. Пока слишком много движений, кмк.
Marebo,скажем так,так удобнее потом разбирать разные методы и не рыться в поисковиках для очередного просмотра)
в частности,так удобнее для мануала и статьи.
в частности,так удобнее для мануала и статьи.
>>>(конечно будут и ложные срабатывания,
отнимающие время, но это не столь критично, если фраза редкая)
О 4-С что мешает аверам публиковать похожее ключевой слово, или картинку? что "испортит" поиск по этому ключевому слову для ботов. в результате ключевые слова автора ботнета будут находиться в низу поиска, и боты до них просто не доберуться.
О sock5 единственная здравая мысль. это получается как прокладка между ботами за нат и сервером. но способ поставки ip через соцсети не гуд.
метод солнышко, это просто список ip и ничего большего. так дедлают многие боты, они просто используют как резервыне сервера. а то что там фейки это не составит труда определить, как бот определяет валидность, так и авер определит. в конечном итоге боту или монитору аверов вернется валидное сообщение. да к тому же на фейки можно если они просто взяты от болды можно регнуть домен, если он ещё не зареган.
отнимающие время, но это не столь критично, если фраза редкая)
О 4-С что мешает аверам публиковать похожее ключевой слово, или картинку? что "испортит" поиск по этому ключевому слову для ботов. в результате ключевые слова автора ботнета будут находиться в низу поиска, и боты до них просто не доберуться.
О sock5 единственная здравая мысль. это получается как прокладка между ботами за нат и сервером. но способ поставки ip через соцсети не гуд.
метод солнышко, это просто список ip и ничего большего. так дедлают многие боты, они просто используют как резервыне сервера. а то что там фейки это не составит труда определить, как бот определяет валидность, так и авер определит. в конечном итоге боту или монитору аверов вернется валидное сообщение. да к тому же на фейки можно если они просто взяты от болды можно регнуть домен, если он ещё не зареган.
>>Технология "FastFlux".
>>...используется в основном в проектах с большим бюджетом(и соотв. окупаемостью), а также
техническими возможностями.
с чего вы решили что в больших? тут только домен нужно зарегать. а в качестве ip кторые будут парковаться можно использовать тех же ботов с белым ip. которые будут пробрасывать трафик до сс.
и того вам нужен домен и свой днс, днс может размещаться на отдельном сервере так и на томже где сс.
А если это дабл фастфлакс, то и днс сервер не нужен.
Правда всегда можно домен снять с делегирования, и ваш фастфлакс рухнет.
>>...используется в основном в проектах с большим бюджетом(и соотв. окупаемостью), а также
техническими возможностями.
с чего вы решили что в больших? тут только домен нужно зарегать. а в качестве ip кторые будут парковаться можно использовать тех же ботов с белым ip. которые будут пробрасывать трафик до сс.
и того вам нужен домен и свой днс, днс может размещаться на отдельном сервере так и на томже где сс.
А если это дабл фастфлакс, то и днс сервер не нужен.
Правда всегда можно домен снять с делегирования, и ваш фастфлакс рухнет.
- Автор темы
- Добавить закладку
- #49
Наличие ЭЦП.
Да, это P2P - аналог
Предлагайте иные.
Делайте исследование. Буду рад дополнить статью новым материалом о fast-flux.
>>Наличие ЭЦП.
причем тут эцп. бот может проверить результаты выдачи поиска от 1-N, N - пусть будет ограничиваться максимальным временем работы машины. соответственно если ключево слово поиска загнать ниже этого N резуьтата (а его я взял грубо, оно гораздо меньше), то бот попросту до него не доберется. и будут в списке только фейки.
>>Да, это P2P - аналог
это не аналог p2p, это лишь способ туннелировать(проксировать) трафик. тот же тор это не p2p это лишь один из способов проксирования трафа.
>>Предлагайте иные.
например DHT
>>Делайте исследование. Буду рад дополнить статью новым материалом о fast-flux.
Пример Torpig, есть у него модуль fastflux как раз делает то что я описал выше.
причем тут эцп. бот может проверить результаты выдачи поиска от 1-N, N - пусть будет ограничиваться максимальным временем работы машины. соответственно если ключево слово поиска загнать ниже этого N резуьтата (а его я взял грубо, оно гораздо меньше), то бот попросту до него не доберется. и будут в списке только фейки.
>>Да, это P2P - аналог
это не аналог p2p, это лишь способ туннелировать(проксировать) трафик. тот же тор это не p2p это лишь один из способов проксирования трафа.
>>Предлагайте иные.
например DHT
>>Делайте исследование. Буду рад дополнить статью новым материалом о fast-flux.
Пример Torpig, есть у него модуль fastflux как раз делает то что я описал выше.
- Автор темы
- Добавить закладку
- #51
Для получения данных данная технология не подходит, это очевидно.
Yep, u right.
But, это не мешает использовать данный способ как "запасной", если откажет основной(пример: Rootkit Avatar using yahoo groups for C&C communication)
Возможно, вы не до конца поняли.
Технология "4-C" в упрощённом виде:
1)Парсинг СС(социальной сети). Проверка при помощи ЭЦП найденной строки.
2)В строке "зашиты" 100-200 URL, из них только 2-5 - это командный центр(см. метод "Солнышко").
3)Бот определяет отсутствие у себя NAT и соответственно отправляет всем URL подряд данные.
4)C&C ждёт пока "прогрузится" вся сеть(кол-во установок опустится ниже опр. значения), далее псевдослучайно составляется список TRUSTED ботов, через которые C&C станет распространять данные сети.
5)Остаются ещё боты, не имеющие прямого IP.
Скомпрометировать C&C мы не можем.
Для них C&C создаёт ещё одно сообщение в социальной сети с secure-строкой(редковстречаемой, для быстрого нахождения) в котором содержится
список TRUSTED ботов в виде: IP:PORT.
Боты подключаются к случайному и получают данные.
Именно пункт 2 позволяет не использовать заранее составленные списки IP.
Distirubuted Hash Table требует наличия trusted ring, т.е уже отстучавших в командный центр ботов с прямым IP. Помимо этого, для сбора первичного trusted списка, понадобится "пожертвовать" несколькими серверами.
Есть ещё технология "генератор доменов"(domain generation algorithm), можно скрестить два метода. Судя по описанию с сайта (seclab.cs.ucsb.edu/academic/projects/projects/your-botnet-my-botnet/) в Torpig было реализовано нечто подобное.
Самый недорогой и действенный способ просто не хранить урлы в теле билда. Ведь самое "опасное" время в жизни бота - это прогруз, именно в этот момент он попадает на хоники и соответственно на "радары" АВ, поэтому на момент прогруза в билде присутствуют временные адреса шеллов, дропбоксов етц, отстук к которым легко могут отснифать, проверяется наличе вирт машин/сниферов етц, и потом оттуда забирается шифрованный конфиг и перешифровывается в памяти (или в стэке) с ключиком hwid и хранится гденибудь в труднодоступном месте. После прогруза конфиг сразу удаляется из временного хранилища.
В такой банальной схеме вероятность спалить С&C горазда ниже, нежели хранить урлы в теле, т.к. конфиг можно получить лишь в момент прогруза.
А попадание билда к АВ на реверс даст ... нихрена не даст..
Следующим твиком можно считать dynamic beacon, это усложняет жизнь трекерам, а в реализации очень прост, если заранее продуман алгоритм его смены допустим в зависимости от времени или с привязкой к rss прогноза погоды етц...
PS: это не панацея от детекта но результат дает ощутимый, время жизни существенно возрастает.
В такой банальной схеме вероятность спалить С&C горазда ниже, нежели хранить урлы в теле, т.к. конфиг можно получить лишь в момент прогруза.
А попадание билда к АВ на реверс даст ... нихрена не даст..
Следующим твиком можно считать dynamic beacon, это усложняет жизнь трекерам, а в реализации очень прост, если заранее продуман алгоритм его смены допустим в зависимости от времени или с привязкой к rss прогноза погоды етц...
PS: это не панацея от детекта но результат дает ощутимый, время жизни существенно возрастает.
еще вариант перед/между стуком на реальный адрес делать стуки на адреса той же подсети рандомно. весьма годная весчь. да и прятать урлы гдето поглубже, через 33 пи*ды проверки перед расшифровкой и тд
Тогда встал такой вопрос:
каким образом можно делать стук, если домен в софте открыт?
Домен в открытом виде, ни чем не шифруется.
Но зато есть возможность смены C&C хоть каждую минуту, без прогруза нового софта. Как тут реализовывать?
Кстати, всплыла идея стука в TOR сеть без самого TOR'а.
Трафф не шифруется, но зато домен в ТОR'е отобрать не смогут.
Есть даже такой сервис: onion.to
Через него можно легко выполнить запрос на домен в TOR. Дальше домен а TOR'е даст актальный линк на C&C и дальше уже работаем с ним
каким образом можно делать стук, если домен в софте открыт?
Домен в открытом виде, ни чем не шифруется.
Но зато есть возможность смены C&C хоть каждую минуту, без прогруза нового софта. Как тут реализовывать?
Кстати, всплыла идея стука в TOR сеть без самого TOR'а.
Трафф не шифруется, но зато домен в ТОR'е отобрать не смогут.
Есть даже такой сервис: onion.to
Через него можно легко выполнить запрос на домен в TOR. Дальше домен а TOR'е даст актальный линк на C&C и дальше уже работаем с ним
УРЛ очень быстро попадёт в блек-листы и никто до него просто не достучится.
tor2web очень быстро самостоятельно вычисляют Ваших ботов, это не составляет им никакого труда, работает лишь в случае до 100 ботов и то не всегда, проверено)
- Автор темы
- Добавить закладку
- #57
A very good way of bootstrap
Действительно, хороший способ начального прогруза, используя бесплатные/pulbic сервера(pastebin, cryptobin, dropbox, free-hosting, ...)
"Delayed code" ?
нет, бекон это закономерная последовательность байт либо их сочетаний встречающаяся в запросе к Ц анд Ц, типо сигнатуры для файла у АВ, некоторые просто под этим словом понимают сам отстук, указывающий на Ц&Ц, но сети трекеров по данным маячкам в трафике могут динамически вычислять местоположение вашего сервера, соответственно нужно динамически менять сигнатуру запроса
И данные беконы включаются в правила многих фаерволов, как локальных так и уровня провайдера/магистрала
DHT не подразумевает наличие командного центра. Но ботмастер должен иметь списки актульных ip для подключения новых ботов к сети.
эту проблему можно решить так:
1. DHT+PROXY
2. иметь монитор сети (по сути это один постоянно запущенный бот), ему не нужен даже внешний ip
но для первого запуска сети понадобиться минимум один сервер, на котором будет запущен бот(это может быть чей то дедик), и для первого запуска сети ip этого дедика будет указываться в бутстрап списке ботов.
в данной схеме при первоначальном запуске бота, он вынужден искать команду с соцсети.
Даже если прокси сеть уже функционирует. не лучше ли в последующих билдах указывать список trusted прокси, и только если они не валидные, переходить к социальной сети.
Но соцсеть не лучший способ для бутсрапа ботнета. уж лучше использовать DGA от даты он будет надежнее.