Дидосим сайт при помощи ботнета:Настраиваем и компилируем ботнет сами

Тема в разделе "СТАТЬИ И УРОКИ ПО ВЗЛОМУ И ОБХОДУ ЗАЩИТЫ", создана пользователем X-Shar, 30 янв 2014.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Итак для начала скажу, что это всё для ознакомления и бла-бла-бла, короче за использования этой инфы отвечаете сами и ещё что можете нарваться на ответку, например такую:http://habrahabr.ru/post/134359/

    Короче я предупредил, идём дальше, что будет в этом посте:

    1)Краткая теория, что и для чего;

    2)Попробуем настроить два ботнета:BlackEnergy DDos Bot и Zemra Botnet;

    3)Ну и в конце всех ждёт два увлекательных порно-ролика !Отдыхай!!!

    Итак:

    1)Теория:

    Что такое ботнет:

    Ботнет (англ. botnet) - это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют кибер-преступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) с любой точки земного шара без ведома пользователя. Такие программы называются ботами, цель которых в первую очередь не форматнуть винчестер c 100 гигами порнухи или вызвать короткое замыкание биоса, а превратить компьютер в эдакого «зомби» (или бота), в этом состоянии злоумышленник может использовать их вычислительные ресурсы в своих целях.

    Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команду.

    В любом случае хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем кибер-преступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей.

    Использование ботнетов:

    Ботнет может использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети. Рассмотрим основные цели использования:

    * Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин. Спам с ботнетов не обязательно рассылается владельцами сети. За определенную плату спамеры могут взять ботнет в аренду.
    * Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.
    * Анонимный доступ в сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления - например, взламывать веб-сайты или переводить украденные денежные средства.
    * Продажа и аренда ботнетов. Один из вариантов незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или продаже готовой сети. Создание ботнетов для продажи является отдельным направлением киберпреступного бизнеса.
    * Фишинг. Адреса фишинговых страниц могут довольно быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.

    Типы ботнетов:

    1. Ботнеты с единым центром. В ботнетах с такой архитектурой все зомби-компьютеры соединяются с одним центром управления, или C&C (Command&Control Centre). C&C ожидает подключения новых ботов, регистрирует их в своей базе, следит за их состоянием и выдает им команды, выбранные владельцем ботнета из списка всех возможных команд для бота. Соответственно, в C&C видны все подключенные зомби-компьютеры, а для управления централизованной зомби-сетью хозяину сети необходим доступ к командному центру.
    Ботнеты с централизованным управлением являются самым распространенным типом зомби-сетей. Такие ботнеты легче создавать, ими легче управлять, и они быстрее реагируют на команды. Впрочем, бороться с ботнетами с централизованным управлением тоже легче: для нейтрализации всего ботнета достаточно закрыть C&C.

    2. Децентрализованные ботнеты, или P2P-ботнеты (от англ. “peer-to-peer”, что означает «соединение типа “точка-точка”»). В случае децентрализованного ботнета боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети. Команды передаются от бота к боту: у каждого бота есть список адресов нескольких «соседей», и при получении команды от кого-либо из них он передает ее остальным, тем самым распространяя команду дальше. В этом случае злоумышленнику, чтобы управлять всем ботнетом, достаточно иметь доступ хотя бы к одному компьютеру, входящему в зомби-сеть.
    На практике построение децентрализованного ботнета не очень удобно, поскольку каждому новому зараженному компьютеру необходимо предоставить список тех ботов, с которыми он будет связываться в зомби-сети. Гораздо проще сначала направить бот на централизованный сервер, где он получит список ботов-«соседей», а затем уже переключить бот на взаимодействие через P2P-подключения. Такая смешанная топология также относится к типу P2P, хотя на отдельном этапе боты используют C&C. Бороться с децентрализованными ботнетами гораздо сложнее, поскольку в действующем ботнете центр управления отсутствует.

    2)С теорией пока всё, давайте рассмотрим два ботнета и попробуем их настроить:

    1.Zemra Botnet:

    Инструментарий Zemra для организации DDoS атак.
    Бот Backdoor.Zemra уже проверялся в деле. С его помощью были организованы атаки на крупные предприятия; в основном с целью вымогательства. В мае 2012 года дистрибутив трояна появился на специализированных форумах, приобрести который можно было за 100 ЕВРО.

    Попав на компьютер жертвы, бэкдор устанавливает связь по HTTP (порт 80) протоколу с удаленным сервером, и отправляет POST запрос. Причем во время сеанса связи отправляемые данные проходят процесс шифрования посредством 256-битного DES алгоритма. В теле запроса содержатся, идентификационные данные компьютера пользователя, действующий агент пользователя, информацию о привилегиях пользователя и информацию об установленной операционной системе.

    По сути, троян мало чем отличается от подобных вредоносных программ. Он также следит за тем, какие действия выполняются на скомпрометированной машине;может загружуть и отправлять на исполнение бинарные файлы; устанавливать различного рода инфекции; самостоятельно загружать и устанавливать свои обновления и самоуничтожаться; осуществлять сбор информации о системе; и распространяется он посредством USB порта.

    Однако, в отличие от Zeus и SpyEye, с помощью Zemra злоумышленник может организовать распределенные атаки на отказ в обслуживании (DDoS). При этом возможны как SYN, так и HTTP-атаки.

    Принцип SYN-атаки заключается в том, что злоумышленник, посылая SYN-запросы, переполняет очередь на подключение на целевом сервере. При этом пакеты SYN+ACK, отправляемые жертвой игнорируются. По истечении определенного времени эти подключения отбрасываются. Задача злоумышленника заключается в том, чтобы поддерживать очередь заполненной таким образом, чтобы не допустить новых подключений. Из-за этого легитимные клиенты не могут установить связь, либо устанавливают её с существенными задержками.

    Во время HTTP -атаки устанавливается соединение через сокет прямого доступа, но так, что связь будет перекрыта со стороны клиента, а новое соединение устанавливается через определенный промежуток времени. Наиболее всего таким атакам подвержены веб-серверы.
    Эксперты рекомендуют для снижения рисков попадания трояна на компьютер использовать актуальное защитное программное обеспечение.

    Краткий функционал:
    • Интуитивно понятная панель управления
    • DDos ( HTTP / SYN Flood / UDP)
    • Loader ( Загрузка и запуск ).
    • Накрутка посещений (заходы на страницу, просмотры).
    • USB Spread ( Распространение через флеш накопители )
    • Socks5 ( поднимает сокс на инфицированной машине )
    • Update ( Обновление бота )
    • Процесс невозможно завершить т.к. он является критическим.
    • 256 Bit AES шифрация трафика от бота к серверу
    • Anti-Debugger (зашита от всякого рода откладчиков)
    • Имеется выбор определенной страны ботов выполняющих задание
    • Разработан в Visual Studio 2010 C#
    • На сервере обязательно должен быть PHP Mcryp

    Как юзать смотрим первый порно-ролик:



    2.Black Energy DDoS Bot v1.7

    В отличие от первого бота, эта штука была создана специально для ДДОСА, мощная штукенция:

    Ядерные стелс-механизмы, флудеры поддерживают мультитаргетинг и мультирезолвинг - если в качестве цели для атаки указывается доменное имя, создаётся по отдельной группе потоков для атаки каждого IP-адресса привязаного к этому домену (повторный резолвинг каждые 15 минут)

    Поддерживаемые типы атак:
    - icmp
    - syn
    - udp
    - http
    - data
    - dns

    Как пользоваться?

    1. Открываем www/config.php настраиваем под себя.
    2. Заливаем содержимое папки www себе на хост.
    3. Выполняем скрипт (лежит в db.txt)
    4. Пробуем зайти в админку ../index.php, если зашли выполняем пункт 5.
    5. Открываем builder.exe в поле "Server" вводим путь до файлика stat.php (пример http://example.ru/stat.php) тыкаем "Build"
    6. У нас появился файлик _.exe его нужно загрузить по компам, перед этим посоветую его криптануть ибо он палится всеми антивирусами.
    --------------------------------------------------

    refresh rate - интервал времени (в минутах) через который боты будут обращатся к гейту за коммандой (чем больше - тем меньше нагрузка на сервер)

    Синтаксис комманд:
    начать DDoS-атаку:
    flood тип_атаки цель
    поддерживаемые типы атак:
    - icmp
    - syn
    - udp
    - http
    - data
    в качестве целей можно указывать ip аддресс или доменное имя, можно так же указывать несколько целей чрез запятую;
    если выбран тип атаки syn, udp или data, то после цели можно опционально указывать номер порта для атаки (или несколько портов чрез запятую), если он не указан, то каждый пакет будет отправляться на случайный порт;
    если выбран тип атаки http, то после цели можно опционально указывать скрипт, на который будет отправляться GET-запрос (например: flood http host.com index.php) если это параметр не указан, то запросы будут отправляться на /

    остановить DDoS-атаку:
    stop

    Об опциях флудеров:
    Размеры пакетов флудеров в байтах и время между отправкой пакетов в миллисекундах. Чем время меньше, и размер больше, тем сильнее атака, но тем больше вероятность что боты будут дохнуть из-за исчерпания лимита трафика

    умереть:
    die

    Смотрим второй порно-ролик:



    Пароль на архивы:111

    ЖДУ КОМЕНТАРИЕВ И ДОПОЛНЕНИЯ К СТАТЬЕ !WinkSmile
     

    Вложения:

    • Мне нравится Мне нравится x 8
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Перезалил архивы !WinkSmile
     
    • Мне нравится Мне нравится x 4
  3. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    В видосе Диман не описал важный момент,хотя сам это проделал на экране.Нужно после создания БД ( MySQL) импортировать в неё файл zemra.sql,который лежит в Олеговском архиве в папке Database.Кстати там и инструкция есть.Вот сделал тестовый бот-акк.Попробовал на виртуалке,вроде работает.Выкладываю ещё парочку ботов в комплекте привязанных к этому аккаунту (можете сделать и сами).Жать на надпись "Вход".
    http://megabotnet.besaba.com
    Пароль:botanik!!111!
    Кому надо,могу отдать данные от панели управления акком на хостингере.
    Снимок2.PNG
    Снимок.PNG
    Снимок1.PNG
    +BONUS 2 бэкдора под номером 307 и 944 (привязанных к этому акку) .Палятся всеми антивирями на свете,поэтому требуют криптования.Пароль:111
     

    Вложения:

    • BONUS.rar
      Размер файла
      30,9 КБ
      Просмотров:
      9
    • Мне нравится Мне нравится x 4
  4. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Решил сейчас проверить ссылочку с центром управления ботнетом.БИТ блокирует её почему-то.Как он почуял,что там что-то нехорошее.Ведь не пользуется никто.
     
    • Мне нравится Мне нравится x 3
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Бит по мойму лочит по IP-адресу, может просто залочил айпишник хостера, хотер значит такой, что позволяет заниматься нехорошими делами, хотя могут пострадать из-за этого и нормальные сайты !

    Но может я и не прав нужно проверять !WinkSmile
     
    • Мне нравится Мне нравится x 3
  6. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Я проверял.На хостингере не лочит других.И именно по besaba.com тоже.
     
    • Мне нравится Мне нравится x 3
  7. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    А уверен что никто не юзает, может ты уже владелец крупной ботнет сети, но не знаешь об этом, гы-гы !смех-смех!!!
     
    • Мне нравится Мне нравится x 3
  8. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Я зашёл,нифига активных ботов нет.Кто ж юзать-то может.Тут тишь да гладь-Божья благодать.
    Снимок.PNG
    Снимок.PNG
     
    • Мне нравится Мне нравится x 3
  9. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Сейчас попалась статейка о применении дос-атаки для заработка.Для начала покупаем услуги какого-нибудь Stress сервиса.Рекомендуют этот (не реклама).Самый дешёвый вариант стоит 3,5 бакса за два дня,где обещанная сила атаки составляет 5.5Gbps.

    Снимок1.PNG
    После регистрации получаем такую панельку бота...
    Снимок.PNG
    Дальше ищем какую-нибудь группу в ВК по типу Skype,где выбираем конференцию каких-нибудь школьников (ибо адекватные люди не поведутся),заходим к ним,выбираем "жертву" ддоса.Для того чтобы узнать айпишник жертвы воспользуемся этим сервисом.Сообщаем бедолаге,что он сейчас покинет "интернеты" и по пробитому айпишнику юзаем UDP флуд.На остальных участников конференции находит грусть-печаль.Тут же им предлагаешь купить у тебя крутую "дудосилку" за энную сумму.Дальше всё зависит от вашего ораторского мастерства....
    Также рекомендуют применять этот способ в детских учереждених на игровых серверах майнкрафта.Кладёте сервак в даун на пару минут и просите денюжку у админов.
     
    • Мне нравится Мне нравится x 6
  10. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Вчера ewwa решил разнообразить жизнь тестеров картинкой с Андромедой.Все позапускали на своих машинках-эффекта никакого.Хотя может быть ботнет ewwa(ы) увеличился на несколько человек:)Шучу.Походу картинка была пуста или Андромеда была замаскирована очень коварно.Хотел поюзать ,но у меня она нифига не настраивается.Вопрос к ewwa:через какой порт по-умолчанию работает Андромеда?Для тех кто хочет самостоятельно поэкспериментировать с данным ботнетом (может кто настроит) вот данные:панелька управления.
    login:andromedatest
    pass:RQ3t%Fma1F19OGO

    Универсальный модульный бот. На основе этого продукта можно построить ботнет с безгранично разнообразными возможностями. Функционал бота расширяется с помощью системы плагинов, которые могут быть подгружены в нужном количестве и в любое время. Есть лоадер, изначально задумывалось поставлять лоадер в качестве отдельного плагина, сейчас же прогруз добален в базовый функционал.
    Существует две версии бота:
    01.* с паблик инжектом (используется QueueUserAPC)
    • Не ограниченная по количеству поддержка резервных доменов.
    • Модульный. Вы сами можете перепрофилировать свой ботнет под Ваши нужды в любое время.
    • В системе не агресивен, для установки не требуются права администратора, окно UAC не выскакивает.
    • Защищает себя, не подготовленный юзер не сможет удалить бота из системы.
    • Обходит фаерволы, не палится в процессах, используется инжект в доверенный процесс.
    • Не выбрасывает из себя никаких DLL, не содержит TLS, легко криптуется.
    • Работает на линейке от WinXP до Win7. Корректно работает на серверных ОС в разных сессиях.
    • Малый размер, полностью написан на ассемблере. (не ZeuS ёпта, расслабтесь))
    02.* с приватным инжектом, отличается от первой пробивом проактивных защит.
    Мои тесты:
    • Comodo Internet Security - палит создание процесса, инжект не видит.
    • Outpost Security Suite Pro 7 - не палит
    • Kaspersky Internet Security 2011 - не палит
    • ESET NOD32 Smart Security 4.2 - не палит
    • avast! Internet Security 6 - не палит
    • Avira Premium Security Suite - не палит
    Панель управления:
    Написана на PHP в связке с MySQL.
    • Определение ботов находящихся за NAT.
    • Подсчет статистики по ботнету. Боты онлайн/боты оффлайн/мертвые боты/статистика по странам/статистика по платформам.
    • Подсчет количества выполненных/не выполненных задач.
    • Можно установить лимит на количество выполнений конкретной задачи.
    • Распределение задач по странам.
    • Удаление всей статы/удаление мертвых ботов из базы.
    • Работа с базой данных максимально оптимизированна, теоритически админка выдержит очень большие нагрузки, хотя тесты и время покажут.
    В зловреде прописывать такой путь:

    Снимок.JPG
    Для тех кто хочет самостоятельно собрать данный ботнет,вот видеомануал (хотя принцип тот же что и в мануалах выше).


    Тестировать на виртуалке.
    P.S.Для желающих поискать и поюзать (или спиздить) чужую ботсеть есть неплохая статья.По запросу на панельку Cythosia сразу же выпала чья-то админка с одним ботом.Пасс:admin.
    Гугл Доркс в помощь;)Подобная фишка со стилерами.
    Пасс на архив с Андромедой:TrojanForge.com
     

    Вложения:

    Последнее редактирование: 8 ноя 2014
    • Мне нравится Мне нравится x 3

Поделиться этой страницей