botnet - jak oni to robia?

[h3x]

Ostatnio czytalem dosc sporo o udanych atakach na jakies serwery, wlasnie z ddosnetow. Zrobic robaka i wrzucic driver to 1, wystarcza umiejetnosci, dziura 0-day i znajomosc atakowanego systemu. Ale mnie interesuje jak oni utrzymuja kontrole nad tym. Zalozmy ze koles przejmie 2 miliony pc i zacznie atakowac jakis serwer.
Isp moze blokowac pakiety ze spofowanym ip, wiec dojscie do zombie jest relatywnie proste, gdyz ze wzgledu na wydajnosc uzywa sie sieciowego ip, moze z moyfikowana koncowka. A skoro botnet to nie bomba logiczna, musi byc zalezny od serwera z zewnatrz. No i tu jest problem, odkrywajac 1 zarazony pc, mozna przejac cala siec, czy to przez psy, czy przed reversera (jak autor olal bezpieczenstwo). Druga kwestia to jak utrzymac tyle polaczen (storm ma ponad 10 milionow), a chyba nie pobieraja danych co pol godziny - a nawet wtedy nic by tego nie wytrzymalo
No i 3, administrator serwera jak zauwazy nadmierne przeciazenie (a na stabilnych i platnych grzebia w plikach jak chca) to bedzie mial czym dosowac konkurencje a autor odejdzie z niczym.
Po 4, mozna miec wlasny serwer, 100% bezpieczenstwa ze nikt ci go nie przejmie, no jak pieski pojda do isp, to ip zostanie nullroutowane, a jakis czas pozniej ktos z wewnatrz posiadzie moc

[gogulas]

Wiesz, sa wezly, nie koniecznie jeden komp musi sterowac cala ta ekipa, moga one samodzielnie odbierac instrukcje z irca czy www...

Jaka dziura 0-day?

ISP mzoe blokowac, a lacze i tak jest obciazone, jak jest 10M zombie to ciezko bezie dotrzec do wszystkich ISP... szczegolnie tych z nikaragiu
A tobie chodzi i spoofowanie i.p.. to chyba przy atakach SYN albo reSYN czy cos takiego...

Ja czytalem o przejmowaniu botnetow przez innych cyberprzestepcow, polecam arty hakin9

[h3x]

A tobie chodzi i spoofowanie i.p.. to chyba przy atakach SYN albo reSYN czy cos takiego...

Chodzi mi o najprostszego synflooda.

moga one samodzielnie odbierac instrukcje z irca czy www...

No wlasnie chodzi mi o ten irc czy www. Jak go zabezpieczyc przed 'namierzeniem'. Megoda master-master-slave nie jest rozwiazaniem, bo nie zmienia faktu ze jest 1 glowny master. Jak juz to p2p - ale to z kolei daje wladze innym osobom, no i nie wyobrqazam sobie skanowania calego internetu

jak jest 10M zombie to ciezko bezie dotrzec do wszystkich ISP...

Po co dochodzic do wszystkich isp?! Przejmujesz serwer i masz mega-botnet przez jakis czas .

Ja czytalem o przejmowaniu botnetow przez innych cyberprzestepcow, polecam arty hakin9

zadna filozofia, emule -> free porn xxx/tibia hack/tytol_nowej_gry. Tylko problemem jest ze niektore wymagaja hasla w takiej czy innej postaci albo o ile sa dobrze napisane to tylko lacza sie i czekaja na komendy, i nie wiadomo co masz (bo nic niemasz ).

[gogulas]

a co ma p2p do przejmowania botnetu? Bo jakos nie ogarniam

Po co w Syn Floody sie bawic przy takim poteznym BotNecie? :P

[h3x]

a co ma p2p do przejmowania botnetu? Bo jakos nie ogarniam

wlasnie to wrzucaja robaki i trojany bo mysla ze moga tylko zyskac a pewnego pieknego dnia - Access denied, password incorrect

A cos do teamtu? Jak dotad spotkalem sie tylko z botami na irc lub wlasnym protokole.
A moze ma ktos jakis plik ktory antyvir wykrywa jako 'Worm', 'Agent', 'Bot', albo 'Storm'?

[gogulas]

No dobra, ale koniec koncow chodzi o rozkminienie jak komunikuje sie cudzy botnet i przejecie dzieki tej wiedzy, plik-serwer mozesz dorwac z p2p ale tez z kadkolwiek indziej :P

worm, storm, no troche mam takich plikow :P

[TQM]

Botnetem steruje botmaster albo herder (przewodnik stada) i aby utrudnic jego wykrycie boty teraz dzialaja inaczej...

1. botmaster steruje wezlami a nie klientami
2. klienci lacza sie z wezlami a nie z botmasterem
3. do komunikacji od dawna nie uzywa sie juz IRC bo za latwo bylo namierzyc i przejac kontrole
4. do komunikacji bot-serwer czesto jest uzywane szyfrowanie - np SSL

... to tak w ogromnym skrocie bo technik ukrywania sie jest sporo...

Co do zapobiegania i leczenie - nie tak latwo to scierwo zatrzymac. Powodow jest sporo - ruch np SSL wyglada jakby klient ogladal strony WWW po SSL i ISP tego nie wytnie dopuki nie dostanie konkretnego IP serwera... a w przypadku storm'a zablokowanie jednego wezla powoduje ze w ciagu okolo pol godizny botnet przenosi sie juz na inny wezel wiec nie tak latwo to zatrzymac.

Poza tym robiac DDoS nie robi sie spoofowania raczej - po prostu mija sie to z celem! Jak robis spoof to trzeba dobrze dobrac IP pod ktore sie podszywasz - inaczej atak bedzie malo skuteczny ze wzgledu na mechanizm dzialania trojstronnego ustanawiania polaczenia (SYN -> SYN+ACK -> ACK --- spoof nie przejdzie tego). Majac botnet nie robisz spoof'a tylko zwyczajnie na pale laczys sie do serwera i pobierasz strone... a tysiace wejsc na raz powalaja wiekszosc serwerow wiec po problemie.

Dlaczego ISP nie moze tego wyciac? Po pierwsze musialby monitorowac co robi a klienci a to zakrawa na szpiegowstwo na ogromna skale. Po drugie musialby analizowac przesylany content a to narusza zasady prywatnosci i poufnosci. Po trzecie jakakolwiek ingerencja w strumien danych to zlamanie prawa (patrz glosna sprawa Verizon w USA odnosnie sieci P2P)... Po czwarte jak odroznic na laczu 10gbit ktore polaczenia na port 443 to prawdziwy SSL a ktore to botnet - nie wiem czy ktorys ISP dysponuje sprzetem aby taki strumien danych analizowac w czasie rzeczywistym - watpie... i w koncu po piate i chyba najwazniejsze, klient placi - klient wymaga, wiec takich numerow po prostu sie nie robi jesli chce sie zostac na rynku.

[h3x]

ze w ciagu okolo pol godizny botnet przenosi sie juz na inny wezel

no ale musi przeciez wiedziec gdzie, a wiec musi to byc zapisane w binarce.

[TQM]

Niekoniecznie... wystarczy ze poprzedni wezel poda aplikacji liste pozostalych wezlow - zawsze jest jakis plan awaryjny, poza tym fizyczna niemozliwoscia jest wylaczenie/odciecie wszystkich jednoczesnie - zawsze cos zostanie a te boty co straca kontakt tez na pewno maja jakis sposob na powrot do botnetu... Mnie nie pytaj - ja analiza malware sie generalnie nie zajmuje, wiec nie powiem Ci jak to dokladnie dziala bo nie wiem (choc mam pewne pomysly jak ja bym probowal to zrealizowac).

[Macok]

Może mi ktoś wytłumaczyć pare rzeczy, bo nie zabardzo rozumiem...
Po co używa się tych węzłów, tylko dla bezpieczenstwa?
Ktoś napisal tu, że sygnał do ataku wydaje się teraz w SSL - jak atakujący może jednocześnie nawiązać połączenie SSL z tysiącami botów i wydać polecenie ataku?
No i w jakim języku najlepiej się za to zabrać?
Można obsłużyc SSL w c++ czy będzie cięzko?

Z góry dzięki za odpowiedź i wyrozumiałość