- Регистрация
- 03.06.2012
- Сообщения
- 6 082
- Репутация
Итак для начала скажу, что это всё для ознакомления и бла-бла-бла, короче за использования этой инфы отвечаете сами и ещё что можете нарваться на ответку, например такую:
Короче я предупредил, идём дальше, что будет в этом посте:
1)Краткая теория, что и для чего;
2)Попробуем настроить два ботнета:BlackEnergy DDos Bot и Zemra Botnet;
3)Ну и в конце всех ждёт два увлекательных порно-ролика !
Итак:
1)Теория:
Что такое ботнет:
Ботнет (англ. botnet) - это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют кибер-преступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) с любой точки земного шара без ведома пользователя. Такие программы называются ботами, цель которых в первую очередь не форматнуть винчестер c 100 гигами порнухи или вызвать короткое замыкание биоса, а превратить компьютер в эдакого «зомби» (или бота), в этом состоянии злоумышленник может использовать их вычислительные ресурсы в своих целях.
Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команду.
В любом случае хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем кибер-преступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей.
Использование ботнетов:
Ботнет может использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети. Рассмотрим основные цели использования:
* Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин. Спам с ботнетов не обязательно рассылается владельцами сети. За определенную плату спамеры могут взять ботнет в аренду.
* Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.
* Анонимный доступ в сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления - например, взламывать веб-сайты или переводить украденные денежные средства.
* Продажа и аренда ботнетов. Один из вариантов незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или продаже готовой сети. Создание ботнетов для продажи является отдельным направлением киберпреступного бизнеса.
* Фишинг. Адреса фишинговых страниц могут довольно быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.
Типы ботнетов:
1. Ботнеты с единым центром. В ботнетах с такой архитектурой все зомби-компьютеры соединяются с одним центром управления, или C&C (Command&Control Centre). C&C ожидает подключения новых ботов, регистрирует их в своей базе, следит за их состоянием и выдает им команды, выбранные владельцем ботнета из списка всех возможных команд для бота. Соответственно, в C&C видны все подключенные зомби-компьютеры, а для управления централизованной зомби-сетью хозяину сети необходим доступ к командному центру.
Ботнеты с централизованным управлением являются самым распространенным типом зомби-сетей. Такие ботнеты легче создавать, ими легче управлять, и они быстрее реагируют на команды. Впрочем, бороться с ботнетами с централизованным управлением тоже легче: для нейтрализации всего ботнета достаточно закрыть C&C.
2. Децентрализованные ботнеты, или P2P-ботнеты (от англ. “peer-to-peer”, что означает «соединение типа “точка-точка”»). В случае децентрализованного ботнета боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети. Команды передаются от бота к боту: у каждого бота есть список адресов нескольких «соседей», и при получении команды от кого-либо из них он передает ее остальным, тем самым распространяя команду дальше. В этом случае злоумышленнику, чтобы управлять всем ботнетом, достаточно иметь доступ хотя бы к одному компьютеру, входящему в зомби-сеть.
На практике построение децентрализованного ботнета не очень удобно, поскольку каждому новому зараженному компьютеру необходимо предоставить список тех ботов, с которыми он будет связываться в зомби-сети. Гораздо проще сначала направить бот на централизованный сервер, где он получит список ботов-«соседей», а затем уже переключить бот на взаимодействие через P2P-подключения. Такая смешанная топология также относится к типу P2P, хотя на отдельном этапе боты используют C&C. Бороться с децентрализованными ботнетами гораздо сложнее, поскольку в действующем ботнете центр управления отсутствует.
2)С теорией пока всё, давайте рассмотрим два ботнета и попробуем их настроить:
1.Zemra Botnet:
Инструментарий Zemra для организации DDoS атак.
Бот Backdoor.Zemra уже проверялся в деле. С его помощью были организованы атаки на крупные предприятия; в основном с целью вымогательства. В мае 2012 года дистрибутив трояна появился на специализированных форумах, приобрести который можно было за 100 ЕВРО.
Попав на компьютер жертвы, бэкдор устанавливает связь по HTTP (порт 80) протоколу с удаленным сервером, и отправляет POST запрос. Причем во время сеанса связи отправляемые данные проходят процесс шифрования посредством 256-битного DES алгоритма. В теле запроса содержатся, идентификационные данные компьютера пользователя, действующий агент пользователя, информацию о привилегиях пользователя и информацию об установленной операционной системе.
По сути, троян мало чем отличается от подобных вредоносных программ. Он также следит за тем, какие действия выполняются на скомпрометированной машине;может загружуть и отправлять на исполнение бинарные файлы; устанавливать различного рода инфекции; самостоятельно загружать и устанавливать свои обновления и самоуничтожаться; осуществлять сбор информации о системе; и распространяется он посредством USB порта.
Однако, в отличие от Zeus и SpyEye, с помощью Zemra злоумышленник может организовать распределенные атаки на отказ в обслуживании (DDoS). При этом возможны как SYN, так и HTTP-атаки.
Принцип SYN-атаки заключается в том, что злоумышленник, посылая SYN-запросы, переполняет очередь на подключение на целевом сервере. При этом пакеты SYN+ACK, отправляемые жертвой игнорируются. По истечении определенного времени эти подключения отбрасываются. Задача злоумышленника заключается в том, чтобы поддерживать очередь заполненной таким образом, чтобы не допустить новых подключений. Из-за этого легитимные клиенты не могут установить связь, либо устанавливают её с существенными задержками.
Во время HTTP -атаки устанавливается соединение через сокет прямого доступа, но так, что связь будет перекрыта со стороны клиента, а новое соединение устанавливается через определенный промежуток времени. Наиболее всего таким атакам подвержены веб-серверы.
Эксперты рекомендуют для снижения рисков попадания трояна на компьютер использовать актуальное защитное программное обеспечение.
Краткий функционал:
• Интуитивно понятная панель управления
• DDos ( HTTP / SYN Flood / UDP)
• Loader ( Загрузка и запуск ).
• Накрутка посещений (заходы на страницу, просмотры).
• USB Spread ( Распространение через флеш накопители )
• Socks5 ( поднимает сокс на инфицированной машине )
• Update ( Обновление бота )
• Процесс невозможно завершить т.к. он является критическим.
• 256 Bit AES шифрация трафика от бота к серверу
• Anti-Debugger (зашита от всякого рода откладчиков)
• Имеется выбор определенной страны ботов выполняющих задание
• Разработан в Visual Studio 2010 C#
• На сервере обязательно должен быть PHP Mcryp
Как юзать смотрим первый порно-ролик:
2.Black Energy DDoS Bot v1.7
В отличие от первого бота, эта штука была создана специально для ДДОСА, мощная штукенция:
Смотрим второй порно-ролик:
Пароль на архивы:111
ЖДУ КОМЕНТАРИЕВ И ДОПОЛНЕНИЯ К СТАТЬЕ !
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Короче я предупредил, идём дальше, что будет в этом посте:
1)Краткая теория, что и для чего;
2)Попробуем настроить два ботнета:BlackEnergy DDos Bot и Zemra Botnet;
3)Ну и в конце всех ждёт два увлекательных порно-ролика !
Итак:
1)Теория:
Что такое ботнет:
Ботнет (англ. botnet) - это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют кибер-преступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) с любой точки земного шара без ведома пользователя. Такие программы называются ботами, цель которых в первую очередь не форматнуть винчестер c 100 гигами порнухи или вызвать короткое замыкание биоса, а превратить компьютер в эдакого «зомби» (или бота), в этом состоянии злоумышленник может использовать их вычислительные ресурсы в своих целях.
Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команду.
В любом случае хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем кибер-преступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей.
Использование ботнетов:
Ботнет может использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети. Рассмотрим основные цели использования:
* Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин. Спам с ботнетов не обязательно рассылается владельцами сети. За определенную плату спамеры могут взять ботнет в аренду.
* Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.
* Анонимный доступ в сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления - например, взламывать веб-сайты или переводить украденные денежные средства.
* Продажа и аренда ботнетов. Один из вариантов незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или продаже готовой сети. Создание ботнетов для продажи является отдельным направлением киберпреступного бизнеса.
* Фишинг. Адреса фишинговых страниц могут довольно быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.
Типы ботнетов:
1. Ботнеты с единым центром. В ботнетах с такой архитектурой все зомби-компьютеры соединяются с одним центром управления, или C&C (Command&Control Centre). C&C ожидает подключения новых ботов, регистрирует их в своей базе, следит за их состоянием и выдает им команды, выбранные владельцем ботнета из списка всех возможных команд для бота. Соответственно, в C&C видны все подключенные зомби-компьютеры, а для управления централизованной зомби-сетью хозяину сети необходим доступ к командному центру.
Ботнеты с централизованным управлением являются самым распространенным типом зомби-сетей. Такие ботнеты легче создавать, ими легче управлять, и они быстрее реагируют на команды. Впрочем, бороться с ботнетами с централизованным управлением тоже легче: для нейтрализации всего ботнета достаточно закрыть C&C.
2. Децентрализованные ботнеты, или P2P-ботнеты (от англ. “peer-to-peer”, что означает «соединение типа “точка-точка”»). В случае децентрализованного ботнета боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети. Команды передаются от бота к боту: у каждого бота есть список адресов нескольких «соседей», и при получении команды от кого-либо из них он передает ее остальным, тем самым распространяя команду дальше. В этом случае злоумышленнику, чтобы управлять всем ботнетом, достаточно иметь доступ хотя бы к одному компьютеру, входящему в зомби-сеть.
На практике построение децентрализованного ботнета не очень удобно, поскольку каждому новому зараженному компьютеру необходимо предоставить список тех ботов, с которыми он будет связываться в зомби-сети. Гораздо проще сначала направить бот на централизованный сервер, где он получит список ботов-«соседей», а затем уже переключить бот на взаимодействие через P2P-подключения. Такая смешанная топология также относится к типу P2P, хотя на отдельном этапе боты используют C&C. Бороться с децентрализованными ботнетами гораздо сложнее, поскольку в действующем ботнете центр управления отсутствует.
2)С теорией пока всё, давайте рассмотрим два ботнета и попробуем их настроить:
1.Zemra Botnet:
Инструментарий Zemra для организации DDoS атак.
Бот Backdoor.Zemra уже проверялся в деле. С его помощью были организованы атаки на крупные предприятия; в основном с целью вымогательства. В мае 2012 года дистрибутив трояна появился на специализированных форумах, приобрести который можно было за 100 ЕВРО.
Попав на компьютер жертвы, бэкдор устанавливает связь по HTTP (порт 80) протоколу с удаленным сервером, и отправляет POST запрос. Причем во время сеанса связи отправляемые данные проходят процесс шифрования посредством 256-битного DES алгоритма. В теле запроса содержатся, идентификационные данные компьютера пользователя, действующий агент пользователя, информацию о привилегиях пользователя и информацию об установленной операционной системе.
По сути, троян мало чем отличается от подобных вредоносных программ. Он также следит за тем, какие действия выполняются на скомпрометированной машине;может загружуть и отправлять на исполнение бинарные файлы; устанавливать различного рода инфекции; самостоятельно загружать и устанавливать свои обновления и самоуничтожаться; осуществлять сбор информации о системе; и распространяется он посредством USB порта.
Однако, в отличие от Zeus и SpyEye, с помощью Zemra злоумышленник может организовать распределенные атаки на отказ в обслуживании (DDoS). При этом возможны как SYN, так и HTTP-атаки.
Принцип SYN-атаки заключается в том, что злоумышленник, посылая SYN-запросы, переполняет очередь на подключение на целевом сервере. При этом пакеты SYN+ACK, отправляемые жертвой игнорируются. По истечении определенного времени эти подключения отбрасываются. Задача злоумышленника заключается в том, чтобы поддерживать очередь заполненной таким образом, чтобы не допустить новых подключений. Из-за этого легитимные клиенты не могут установить связь, либо устанавливают её с существенными задержками.
Во время HTTP -атаки устанавливается соединение через сокет прямого доступа, но так, что связь будет перекрыта со стороны клиента, а новое соединение устанавливается через определенный промежуток времени. Наиболее всего таким атакам подвержены веб-серверы.
Эксперты рекомендуют для снижения рисков попадания трояна на компьютер использовать актуальное защитное программное обеспечение.
Краткий функционал:
• Интуитивно понятная панель управления
• DDos ( HTTP / SYN Flood / UDP)
• Loader ( Загрузка и запуск ).
• Накрутка посещений (заходы на страницу, просмотры).
• USB Spread ( Распространение через флеш накопители )
• Socks5 ( поднимает сокс на инфицированной машине )
• Update ( Обновление бота )
• Процесс невозможно завершить т.к. он является критическим.
• 256 Bit AES шифрация трафика от бота к серверу
• Anti-Debugger (зашита от всякого рода откладчиков)
• Имеется выбор определенной страны ботов выполняющих задание
• Разработан в Visual Studio 2010 C#
• На сервере обязательно должен быть PHP Mcryp
Как юзать смотрим первый порно-ролик:
2.Black Energy DDoS Bot v1.7
В отличие от первого бота, эта штука была создана специально для ДДОСА, мощная штукенция:
Ядерные стелс-механизмы, флудеры поддерживают мультитаргетинг и мультирезолвинг - если в качестве цели для атаки указывается доменное имя, создаётся по отдельной группе потоков для атаки каждого IP-адресса привязаного к этому домену (повторный резолвинг каждые 15 минут)
Поддерживаемые типы атак:
- icmp
- syn
- udp
- http
- data
- dns
Как пользоваться?
1. Открываем www/config.php настраиваем под себя.
2. Заливаем содержимое папки www себе на хост.
3. Выполняем скрипт (лежит в db.txt)
4. Пробуем зайти в админку ../index.php, если зашли выполняем пункт 5.
5. Открываем builder.exe в поле "Server" вводим путь до файлика stat.php (пример
6. У нас появился файлик _.exe его нужно загрузить по компам, перед этим посоветую его криптануть ибо он палится всеми антивирусами.
--------------------------------------------------
refresh rate - интервал времени (в минутах) через который боты будут обращатся к гейту за коммандой (чем больше - тем меньше нагрузка на сервер)
Синтаксис комманд:
начать DDoS-атаку:
flood тип_атаки цель
поддерживаемые типы атак:
- icmp
- syn
- udp
- http
- data
в качестве целей можно указывать ip аддресс или доменное имя, можно так же указывать несколько целей чрез запятую;
если выбран тип атаки syn, udp или data, то после цели можно опционально указывать номер порта для атаки (или несколько портов чрез запятую), если он не указан, то каждый пакет будет отправляться на случайный порт;
если выбран тип атаки http, то после цели можно опционально указывать скрипт, на который будет отправляться GET-запрос (например: flood http host.com index.php) если это параметр не указан, то запросы будут отправляться на /
остановить DDoS-атаку:
stop
Об опциях флудеров:
Размеры пакетов флудеров в байтах и время между отправкой пакетов в миллисекундах. Чем время меньше, и размер больше, тем сильнее атака, но тем больше вероятность что боты будут дохнуть из-за исчерпания лимита трафика
умереть:
die
Поддерживаемые типы атак:
- icmp
- syn
- udp
- http
- data
- dns
Как пользоваться?
1. Открываем www/config.php настраиваем под себя.
2. Заливаем содержимое папки www себе на хост.
3. Выполняем скрипт (лежит в db.txt)
4. Пробуем зайти в админку ../index.php, если зашли выполняем пункт 5.
5. Открываем builder.exe в поле "Server" вводим путь до файлика stat.php (пример
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
) тыкаем "Build"6. У нас появился файлик _.exe его нужно загрузить по компам, перед этим посоветую его криптануть ибо он палится всеми антивирусами.
--------------------------------------------------
refresh rate - интервал времени (в минутах) через который боты будут обращатся к гейту за коммандой (чем больше - тем меньше нагрузка на сервер)
Синтаксис комманд:
начать DDoS-атаку:
flood тип_атаки цель
поддерживаемые типы атак:
- icmp
- syn
- udp
- http
- data
в качестве целей можно указывать ip аддресс или доменное имя, можно так же указывать несколько целей чрез запятую;
если выбран тип атаки syn, udp или data, то после цели можно опционально указывать номер порта для атаки (или несколько портов чрез запятую), если он не указан, то каждый пакет будет отправляться на случайный порт;
если выбран тип атаки http, то после цели можно опционально указывать скрипт, на который будет отправляться GET-запрос (например: flood http host.com index.php) если это параметр не указан, то запросы будут отправляться на /
остановить DDoS-атаку:
stop
Об опциях флудеров:
Размеры пакетов флудеров в байтах и время между отправкой пакетов в миллисекундах. Чем время меньше, и размер больше, тем сильнее атака, но тем больше вероятность что боты будут дохнуть из-за исчерпания лимита трафика
умереть:
die
Смотрим второй порно-ролик:
Пароль на архивы:111
ЖДУ КОМЕНТАРИЕВ И ДОПОЛНЕНИЯ К СТАТЬЕ !
