Ботнет

Материал из Lurkmore

Эту статью или раздел следует развикифицировать. Эта статья выглядит как или даже является копипастой из википедии. Здесь полностью отсутствуют лулзы, описание драм и прочие ништяки, зато присутствуют нейтральная точка зрения™ и унылая спискота, а также в ней много узкоспециализированной информации сомнительной ценности и энциклопедических терминов. Необходимо срочно привести статью в удобоваримый вид, пока не случилось страшное.

Ботнет (англ. botnet) — ныне распространенное в этих ваших интернетах явление, представляющее из себя сеть самых обычных компьютеров, через уязвимости в ПО или по обычной ламерности юзеров заражённых специализированными, «зомбирующими» вирями (как правило, это бэкдор, позволяющий без ведома хозяина машинерии взять над ней удаленный контроль и анонимно рулить ей с любой интернетизированной точки земного шара), цель которых в первую очередь не форматнуть винчестер c 100 гигами порнухи или вызвать короткое замыкание биоса, но превратить компьютер в эдакого «зомби» (или бота), в таком состоянии которого злоумышленник сможет использовать вычислительные ресурсы оного в своих целях.

В крупнейшие ботнеты входит намного больше 9000 участников. Рекорд на март 2010 — сеть на 12+ млн.

Содержание 1 Команды для ботов 2 Коммерческое применение 3 На самом деле 4 Алсо 5 Галерея 6 См. также 7 Ссылки

[править] Команды для ботов

Список применимых к ботам команд сам по себе довольно большой, и названия у них различаются, но в целом все они исходят из нижеприведённых:

• Update: команда, позволяющая производить Update © КО. Подновляет старые версии бота, загружая файлы через сеть. Очевидно, что таким образом можно загружать практически любой контент (трояны, новые боты и т.д.). С помощью этой команды на все компьютеры одновременно могут быть установлены троянские программы, которые ищут все пароли, когда-либо введенные на данном компьютере и сохранённые в его памяти, и пересылают их на выделенный для этого сервер.

• Flood: атакует ресурс путём перегрузки оного множеством запросов от ботов. Создание подобного потока может вызывать серьёзные неполадки сервера, приводящие к его недоступности для обычных юзверей. Такой тип атаки с использованием ботнетов, как ни странно, и является DDoS’ом. Иногда это дело используют и для кибер-шантажа, требуя выкуп для остановки атаки. Разумеется, это дело могут использовать и в политических целях, атакуя правительственные сайты и прочие интересные ресурсы (нетрудно прикинуть, сколько раз за день может подвергаться подобным атакам сайт, скажем, правительства того же США). Одной из успешных в свое время была атака на сервера мелкософта с помощью вируса "MSBlast!", который в один день начал долбить запросами со всех компьютеров адрес microsoft.com, из–за чего сайт ушел в простой. Алсо, оружие упячкоёбов.

• Spam: (более 80% мирового трафика этого дерьма — заслуга ботнетов) загрузить заранее заготовленный шаблон спам-сообщения и начать рассылку спама на указанные адреса (каждому
  

  

  Благодаря им ты каждый день материшь спам-фильтр провайдера и подметаешь свой почтовый ящик. А может, и сам торчишь там на заднем плане
  боту выделяется своя порция натыренных у народонаселения адресов, среди которых, скорее всего, уже давно в завсегдатаях находится твой, анонимус).

• Proxy: использовать данный компьютер как прокси-сервер. Зачастую эта возможность ставится не как отдельная фишка, а сразу базовой опцией. Это одна из прикладных функций, позволяющая использовать любой компьютер из ботнета как прокси–сервер с целью сокрытия реального адреса злоумышленника, управляющего ботнетом. Впрочем, ясен пень, такими проксиками уже давным давно пользуются не только их авторы (а вы думали, какова природа тех тормозных халявных проксиков, которые можно найти в интернетах, когда хочется потроллить на форумах любителей сразу банить по айпи поциэнтов?). Кулхацкеры и прочие мастера интернетов могут использовать зомбанутые компьютеры по самому прямому назначению — взламывать от их имени сервера, сайты, переводить денежки и т.д.

Бывают еще и другие, не входящие в основной список команды, но они не являются такими популярными и реализуются опционально в отдельных версиях ботов. Бывают опции, позволяющие делать скриншот экрана юзера заражённого компьютера, мониторить вводимые с клавиатуры пароли, выводить список компьютеров в ботнете и т.д.

[править] Коммерческое применение

Использование botnet далеко не всегда осуществляется владельцем сети: за нее вполне может вбашлять энное количество денег какая нибудь рекламная конторка и взять сеть в аренду (причём целенаправленное создание ботнетов на продажу является вполне прибыльным криминальным бизнесом). Кроме того, с успешно зомбированных машин зачастую невозбранно тырятся находящиеся там почтовые адреса, которые затем продаются спамерам и пополняют их рассылочный список. Также, при загрузке на зомбированную машину трояна, с неё можно сграббить все возможные пароли к аськам, сайтам, ФТП и т.д., которые тоже перепродаются либо используются для массового заражения веб–ресурсов (если, например, удастся сграббить пароли от фтп-аккаунтов) в целях пополнения бот-сети.

[править] На самом деле

На самом деле, дела обстоят более готично. Ботнеты — это вам не коллекция ботов для детских шалостей типа флуда, спама, прокси. Хотя несомненно, должны существовать и быдло-ботнеты, предназначенные именно для спама, флуда и т.д. Настоящий ботнет — это сложная распределённая система, которая, кроме выполнения вышеописанных действий, используется для порабощения всё большего числа компьютеров. То есть, она не сидит себе пассивно, не ждёт, пока очередной ламер скачает себе где-то протрояненый кейген или откроет атач письма (этот путь появления новых ботов тоже даёт чуть более половины всех ботов). Она эти самые кейгены и генерит, и распихивает по сети.

Откуда появляются новые боты. Злоумышленник ломает сайт. Ну как ломает. Запускает сканер уязвимости по всяким там блогам, форумам, CMS. Находит дырявый сайт и модифицирует его. Контент сайта не меняется, выглядит взломанный сайт так же, просто к нему дописывают код эксплоита. Код эксплоита в зашифрованной форме хранит ссылку на загрузчик вируса. Пользователь заходит не на порнуху, не на кряки, а на самый обычный форум, и через дырку браузера автоматически (без всяких там предложений скачать) запускает загрузчик вируса. В загрузчике вируса прописана ссылка, откуда он должен скачать "боевую часть", что он, собственно, и делает: скачивает и запускает. После этого новый компьютер присоединяется к ботнету.

А теперь самое интересное. Почему ботнеты не могут закрыть? Сайт, на котором лежит эксплоит, содержит зашифрованную ссылку, к примеру, tutvirus.com/loader.exe. Что мешает узнать ip домена, на котором лежит загрузчик, пойти и закрыть гнездо разврата? Мешает технология fast flux DNS: домену tutvirus.com каждые 5 минут меняют ip адрес, присваивая адреса зомби. То есть каждые 5 минут tutvirus.com находится на новом компьютере. Далее, ссылка, прописанная в загрузчике, точно так же находится на домене, ip которого меняется каждые 5 минут. Но почему нельзя забанить по имени домена? Можно, так и делают. Но ботнет регистрирует over 9000 доменных имен в день и легко переедет на новый домен, если старый забанят. Чёрные списки не спасают. И наконец, обычно удается отловить домены, откуда скачивается боевая часть, а не первоначальный взломанный блог. Злоумышленник может поменять ссылку в эксплоите, на взломанном сайте, и продолжить "раздачу". Некоторые взломанные сайты живут годами, несмотря на то, что их занесли в блэклисты. Админам тоже бывает всё похуй. Sad but true.

Как постэффект: ботнеты засирают мировую базу доменных имен, регистрируя домены про запас.

Единственный реальный способ что-то сделать с ботнетом — это взять контроль над ним. Этим и занимаются "люди в черном". Причем делают это очень оригинально: специально заражают свои компы; вводят их в существующий ботнет, отслеживают, как происходит управление. И в конце концов, собрав полную информацию о протоколах, берут ботнет в свои руки ^[ЩИТО?]. Будем наивно надеяться, что они всё-таки уничтожают ботнеты, а не конфискуют для своих нужд...

[править] Алсо

Бытует мнение, что вся глобальная сеть Интернет является одним большим ботнетом, спроектированным на основе старого пиндосского ARPAnet'а и доведённая до ума по приказу ZOG’а, и в данный момент с помощью этой сети они наблюдают за тобой, юный Анон. Так может быть, лучше таки поменьше сидеть в этих ваших интернетах? Впрочем, ZOG вездесущ, и в реале от него тоже не скроешься.

[править] Галерея

Ареал обитания ботнета Waledac, уничтоженного 25го февраля 10 года

Схема управления ботнетом

[править] См. также

• Tor

[править] Ссылки

• Описание RAT от группы HellKnights

[ + ] Ботнет — это не баг, это фича!

Мета  DRM (StarForce) • Embrace, extend and extinguish • Баг • Бот (Автоответчик) • Ботнет • Бубен • Глюк • Гуй • Донат • Защита от дурака • Копирайт • Костыль (By design) • Лог • Нюк • Пасхальные яйца • Рут • Свистелки и перделки • См. рис. 1 • Спортивное программирование • Съешь ещё этих мягких французских булок Фичи  Винлок • Звонилка • Китайские пингвины • Пиксель смерти • Троян Компании  1С • Apple • Google • Microsoft • SAP • Яндекс Движения  8-bit • Open Source (Линуксоиды • Красноглазики) • Вирусная сцена • Даунгрейд • Демосцена • Моддинг Офис  GNU Emacs • OpenOffice • MS Paint • PowerPoint • vi • Word • Блокнот • Фотошоп • Movie Maker • GIMP • 3DS_MAX ОС  BSD • DOS • Windows (Vista, Seven) / Маздай • Линукс • ReactOS • MenuetOS • Русская ОС • Фантом ОС • Android Браузеры  Internet Explorer • Тормозилла (Огнелис • Lolifox) • Опера • Хром • Cookies Интернет  I2P • Tor • Чат−клиенты (Аська • Жаббер • Miranda • QIP • Skype) • Tunatic • Flash • Low Orbit Ion Cannon Разработка  BrainFuck • C • C++ • Haskell • Ассемблер • Жаба Люди  Билл Гейтс • Джоэл Спольски • Ильхам • Кевин Митник • Линус Торвальдс • Ричард Столлман • Стив Баллмер • Стив Джобс • Тео де Раадт • Шахиджанян • Генерал Фейлор Костыли  Cygwin • PunkBuster • T9 • Wine • Хакинтош • Антивирусы Команды  Ctrl+Alt+Del • Alt+F4 • ^H • ^W • man • /me • /quit • rm -rf

[ + ] Ботнет — часть интернетов

Это интернет, детка  Браузерка • Бугагашечки • Гостевуха • Дейтинг • Домашняя страница • Дорвей • Заработок • Идентификация пользователей • Имиджборда • Имиджхостинг • Интернет-магазин • Интернет-сервисы • Кириллические домены • Комьюнити • Файлообменник • Форум • Фотобанк • Хакеры, крекеры, спамы, куки • Хостинг Общение  IRC (/me • /quit) • Интернет пейджинг (Miranda • QIP • Skype • Аська • Жаббер) • Цитатник • Чат • Вап-чат Блоггинг  Блогосфера • Блог (Микроблог • Подкаст) Глобализация  WAP • Wiki-проекты • Веб 1.0 • Веб 2.0 • Рунет • Социальная сеть • Скайнет • Пиндонет • Заповеди интернета • Правила интернетов • Ответы • Флешмоб Типажи  Админ • Анонимус • Белый Рыцарь • Модератор • Оптимизатор • Предыдущий оратор • Сетевые онанисты • Тролль • Хакер Термины  404 • ADSL • DDoS • FAQ • I2P • IPv6 • localhost • NO CARRIER • SEO • Tor • TOS • Via • Wi-Fi • Аккаунт • Бан • Бот • Ботнет • Виртуал • Вордфильтр • Голосование ногами • Диалап • Инвайт • Каммент • Кик • Лесенка • Линк • Лог • Локалка • Мем • Ник • Оффлайн • Оффтопик • Поисковая бомба • Пост (Некропост) • Премодерация • Пруфлинк • Рерайтинг • Сабж • Симпафка • Синдром вахтёра • Скриншот • Смайл • Спам • Спойлер • Тред • Троян • Флуд • Хотлинкинг • Это ваше • Юзерпик Поставщики  Акадо • Белтелеком • Волга-телеком • Искра • Макхост • Ситилайн • Стрим • Дом.ру • ЮТК