img - Xakep Online

More documents

Recommendations

Info

CODINGДенис «c0n Difesa» Макрушин condifesa@gmail.com, http://defec.ruÈñêóññòâîçîìáèðîâàíèÿÀçáóêà ñîçäàíèÿ íåóãîíÿåìûõ áîòíåòîâÑîâðåìåííûå áîò-ñåòè ïî ñâîåé ÷èñëåííîñòè äàâíî ïåðåøàãíóëèìèëëèîííóþ ïëàíêó. Èõ ìàñøòàáû ïîçâîëÿþò áîò-ìàñòåðàì«ðàñïàðàëëåëèòü» ôèíàíñîâûå ïîòîêè îò ïðåäîñòàâëÿåìûõóñëóã. Íûíåøíèå ïîäõîäû ê ïðîåêòèðîâàíèþ áîòíåòà ïîçâîëÿþòèñïîëüçîâàòü åãî êàê äëÿ îñóùåñòâëåíèÿ óæå ñòàâøèõ êëàññèêîéâ íàøå âðåìÿ DDoS-àòàê, òàê è äëÿ ðàáîòû íà óðîâíå îòäåëüíî âçÿòûõõîñòîâ.Зачем? Например, с целью получения какой-либо конфиденциальнойинформации, сбора TAN (Transaction authentication number, используетсяв качестве дополнительного средства аутентификации в сервисахонлайн-банкинга), аккаунтов к целевым ресурсам. И все эти манипуляцииосуществляются в параллельном режиме разными частямиодной бот-сети. По мере роста «персональной армии» могут появитьсядополнительные подводные камни, которые трудно отследить на этапепроектировки бота и еще труднее от них избавиться, так как любое изменениев его архитектуре может разрушить ботнет как карточный домик.Именно поэтому у будущего бот-мастера должно быть четкое представлениемасштабов своей сети, решаемых ею задач и варианты действийна случай ее утраты. Последний пункт особенно актуален для бот-сетейбольших масштабов или принадлежащих к кардерской инфраструктуре.Заинтересоваться детищем могут как конкуренты, так и правоохранительныеорганы. Все возможные риски должны быть также выявлены иустранены на этапе проектировки. Год назад в нашем журнале концепциюидеального ботнета детально описал Роман Хоменко в своей статье«Вечный ботнет». В ней он изложил принципы создания бота, организациюполучения команд от командного центра, а также внес некоторыепостулаты проектирования бот-сети. Советую взять его материал за основу.В свою очередь, следуя теоретическим аспектам построения «идеальнойармии», мы рассмотрим практическую сторону создания бота.ÀÐÕÈÒÅÊÒÓÐÀ — ÍÀØÅ ÂÑÅСуществует множество способов управления зараженными хостами ипередача команд каждой машине. Все зависит от конкретных предпочтенийбот-мастера. В зависимости от типа используемого протоколакомандным центром может выступать:• Веб-сервер — управление осуществляется через веб-интерфейс. Внастоящее время это самый распространенный способ (кстати, именноего использует нашумевший Zeus).• Instant Message среда — передача команд по одному изIM-протоколов (ICQ, jabber, MSN и т.п.). Используется в бот-сетях снебольшим количеством хостов.• IRC — командный центр находится на одном из IRC-каналов.Морально устаревший метод осуществления контроля. В настоящеевремя практически не используется из-за высокой степени вероятностиизолирования (перехвата) командного центра.• Twitter-среда — управление ботнетом посредством передачи командв твиттер-аккаунте. Довольно экзотический способ, но имеет право насуществование в условиях повсеместной распространенности социальныхсетей и веб-сервисов, предоставляющих свои API. Кстати, в данномслучае можно не задумываться о том, что командный центр можетупасть из-за нагрузки своей же «армии», ведь большинство данныхпроектов рассчитаны на огромную аудиторию и имеют соответствующиесредства масштабируемости.• TCP/IP-based — управление посредством протоколов, базирующихсяна стеке TCP/IP. Под эту категорию попадают все остальные способы,основанные на передаче команд по экзотическим и самописным протоколам.Обилие данных методов можно классифицировать всего лишь по двумпризнакам (смотри соответствующие рисунки):• Передача команд посредством командного центра (централизованнаятопология);• Передача команд от бота к боту или P2P (децентрализованная топология).Удобство централизованных схем объясняется наличием единогоцентра, к которому обращаются боты с целью получения задания.Не нужно беспокоиться о своевременном получении командыконкретным ботом. Факты получения, выполнения, успешного/неуспешного завершения задачи легко фиксируются, что позволяетвести детальную статистику. Однако централизованная топологияостается актуальной лишь для небольших бот-сетей по следующимпричинам:• Плохая масштабируемость (с ростом числа зараженных хостов растетнагрузка на командный центр и увеличивается вероятность осуществленияатаки типа «отказ в обслуживании» на сервер, передающийзадания);104 XÀÊÅÐ 08 /139/ 10
codingMasterBotBotBotСхема централизованной топологии• Централизованное управление (высокая вероятность изолированиякомандного центра, что немедленно «парализует» весь ботнет).Децетрализованная топология полностью лишена вышеперечисленныхнедостатков и в силу особенностей своей архитектуры обеспечиваетбольшую «живучесть» бот-сети. Но, как всегда, в бочку меда обязательнокем-то вылита солидная ложка дегтя, и в нашем случае — не одна:1) Peer-to-peer схема предполагает уведомление каждого бота о существованиидругих зараженных машин. Эта процедура является довольно«палевной», так как необходимо хранить на каждой зараженной рабочейстанции огромный (мы рассматриваем большие ботнеты) файл сосписком IP всех ботов сети и в реальном времени его обновлять, еслитребуется доставка команд каждой «боевой единице»;2) Обновление списка и получение команды требуют дополнительно —открытых портов на зараженной машине, что увеличивает вероятностьобнаружения ботнета;3) Значительное время затрачивается на передачу задания от хоста кхосту (P2P) и, соответственно, растет общее время его выполнения;4) Трудность ведения статистических данных (сколько ботов получили/выполнили задание).В большинстве случаев обилие недостатков и сложность реализацииP2P-ботнетов являются решающими факторами в пользу выбора централизованнойтопологии. Мы также не будем изобретать велосипед, авоспользуемся мировыми практиками.Капризный командный центр, который постоянно находится в условиинеустойчивого равновесия, стремясь упасть при малейшем росте нашей«армии», так и норовит отдаться в руки правоохранительных органов,которые вот-вот прикроют главный домен. Пусть прикрывают — хакерего сменит.ÏÑÅÂÄÎÑËÓ×ÀÉÍÛÅ ÈÌÅÍÀГенератор псевдослучайных чисел имеет одну особенность, котораяявляется ключевой для бот-мастера — получая на вход параметр в видефиксированного значения, ГПЧ генерирует случайную последовательность,которая будет одинакова на различных рабочих станциях приусловии получения их генераторами этого параметра.Чтобы тебе не пришлось долго искать смысл в использовании ГПЧ, рассмотримследующую функцию:Функция генерации псевдослучайнойпоследовательностиint generator (int seed) {srand(seed);/* âûâîä äâàäöàòè ïåðâûõ ýëåìåíòîâïîñëåäîâàòåëüíîñòè*/for (x = 1; x
Page 1:
ВЗЛОМ АУТЕНТИФИКАЦ
Page 4 and 5:
MegaNews004 Все новое за
Page 6:
MEGANEWSМАРИЯ «MIFRILL» НЕ
Page 10 and 11:
MEGANEWSÈÇÐÀÈËÜ ÂÅÐÁÓÅ
Page 13 and 14:
Реклама11
Page 15 and 16:
ÑÏÅÖÑËÓÆÁÛ ÑØÀ ÍÅÃ
Page 17 and 18:
ÓÒÅ×ÊÀ ÑÅÊÐÅÒÍÎÉ È
Page 19 and 20:
с помощью специаль
Page 21 and 22:
Pro3Q QOO!TOWER ION9400 ðóá.ÒÅ
Page 23 and 24:
VIEWSONICVOT120 PC MiniÒÅÕÍÈ×
Page 25 and 26:
codinglotus.xakep.ruX-testing сont
Page 28 and 29:
PC_ZONEСтепан «Step» Иль
Page 30 and 31:
PC_ZONEВносим важные п
Page 32 and 33:
PC_ZONEАлександр Лозо
Page 34 and 35:
PC_ZONEПример асинхро
Page 36 and 37:
PC_ZONEКапитан Улитка
Page 38 and 39:
PC_ZONEПодробные логи
Page 40 and 41:
ВЗЛОМТюрин «GreenDog»
Page 42 and 43:
ВЗЛОМ//Èùåì ñòðîêóif
Page 44 and 45:
ВЗЛОМАлексей Синцо
Page 46 and 47:
ВЗЛОМAcrobat Reader. Эксп
Page 48 and 49:
ВЗЛОМЭтого достато
Page 50 and 51:
ВЗЛОМИз ARP-сообщени
Page 52 and 53:
ВЗЛОМANTI-NATO natobreak@yahoo
Page 54 and 55:
ВЗЛОМНет, конечно,
Page 56 and 57: ВЗЛОМЗазеркалье —
Page 58 and 59: ВЗЛОМ«HellMilitia» and «my
Page 60 and 61: ВЗЛОМXOR_KEY, между пр
Page 62 and 63: ВЗЛОМRAZ0R HTTP://RAZ0R.NAMEП
Page 64 and 65: ВЗЛОММаг icq 884888, http:/
Page 66: ВЗЛОММой шелл на azar
Page 69 and 70: Результат переполн
Page 71 and 72: Описание:access violation
Page 73 and 74: ÂÛÃÎÄÀ•ÃÀÐÀÍÒÈß•
Page 75 and 76: Граббер сайтовНакр
Page 77 and 78: Разбор вывода анти
Page 79 and 80: Реклама
Page 81 and 82: Кристалл запустилс
Page 83 and 84: Зачем и почему нужн
Page 85 and 86: ÔÓÒÓÐÈÑÒÈ×ÍÛÉ ÑÈÍÃ
Page 87 and 88: них мы, конечно, не
Page 89 and 90: в понедельник вот п
Page 91 and 92: Выбор режима работ
Page 93 and 94: Все вспомогательны
Page 95 and 96: Реклама
Page 97 and 98: WARNINGwarningРедактируе
Page 99 and 100: Оптимизируем работ
Page 101 and 102: WARNINGСокращенная ст
Page 103 and 104: ldd для Firefoxне в них.
Page 105: Реклама
Page 109 and 110: codingINFOРезультат раб
Page 111 and 112: codingФорма HoldemConsoleФо
Page 113 and 114: codingÑàéòû ïî òåìåПр
Page 115 and 116: codingАдреса загрузки
Page 117 and 118: CODINGdeeonis deeonis@gmail.comКО
Page 119 and 120: поймать в месте выз
Page 121 and 122: ëà äëÿ «Îäíîêëàññí
Page 123 and 124: ñîäåðæàùèå çàïðåùå
Page 125 and 126: FORWARD="80>192.168.0.100" â ôà
Page 127 and 128: OpenBSD, pf и NATîòêðûòûé
Page 129 and 130: SYN/ACKЕвгений Зобнин
Page 131 and 132: Apache с различными MPM-
Page 133 and 134: Слоеный пирог типи
Page 135 and 136: ×òîáû óñòàíîâèòü vSp
Page 137 and 138: INFOКлиент управлени
Page 139 and 140: информацию с перер
Page 141 and 142: Если хочешь быть пр
Page 143 and 144: обновляемого на са
Page 145 and 146: x№ 08(139)АВГУСТ 2010>>WIND
show all

img - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?