Bot net - Bulangiul cu tate de fier

[Lost Point]

Incep prin a va spune ce este un BOTNET. O retea botnet este o colectie de computere,conectate la internet, care se combina intre ele pentru a realiza o operatie distribuita.

Termenul de botnet se refera la sistemele construite si utilizate in scopuri ilegale. Astfel de sisteme sunt compuse din masini compromise si integrate in acest tip de retele fara ca posesorul lor sa fie constient.

Masinile compromise sunt denumite "dromne" sau "zombie", iar software-ul care ruleaza pe ele poarta denumirea generica de "bot".

Pentru ca un botnet sa apara si sa se dezvolte, el va acumula 'drone', iar fiecare drona trebuie in mod implicit sa fie in mod individual infectat si asimilata in retea. Majoritate softwareului de tip bot contine module automate de scanare a adreselor IP pentru a identifica gaurile de securitate. Odata gasite, pc-urile respective sunt atacate si infectate, acest tipar repetindu-se la nesfirsit. Cu fiecare nou drona, reteua botnet capata mai multa putere de a infecta mai mult.

Singura diferenta dintre un bot si un vierme conventional este existenta unui sistem unificat de control.

Mecanismele de control si comanda

O colectie de pc-uri compromise este inutila fara un mecanism de control a lor. Comanda si Controlul, sau C&C, constituie interfata dintre botnet si administratorul lui. Administratorul comnada C&C iar C&C comanda boti.

In mod traditional, botneti sunt controloati de la distanta prin folosirea IRC. Acest framework este folosit datorita simplicitatii lui, a flexibilitatii si a usurintei in administrare. IRC este un standard de comunicare in internet, si prezinta caracteristica ca poate fi cu usurinta modificat in orice scop.

Botii sunt proiectati pentru a conecta gazdele infectate la un server de IRC si sa accepte comenzile transmise pe un canal de control. Administratorii de botnet dispun de optiunea de a utiliza serviciile si retelele de chat existente sau sa implementeze cu usurinta propriul lor server de control prin simpla compromitere a unei gazde si instalarea unui IRC daemon.

In mod obisnuit administratorul de botnet nu comunica in mod direct cu boti, el foloseste ca intermediar serverul C&C pentru a transfera comenzi. Aceasta modalitate ofera un nivel substantial de protectie atita timp cit serverul C&C este operat in mod privat si in conditii de securitate, uneori ca masura de protectie administratorul poate utiliza reteua TOR ca masura suplimentara de siguranta.

Protocolul folosit de IRC are dezavantajul ca traficul sau este transmis in clar-text, ceea ce inseamna ca spionarea traficului realizat prin reteua botnet se poate face intr-un mod relativ usor prin folosirea unui sniffer de pachete, cum ar fi de exemplu ETHEREAL. De curind insa se observa aparitia si folosirea unor tehnici de criptare care ascund comenzile administratorului.

De asemenea un numar semnificativ de retele botnet folosesc protocolul HTTP pentru a implementa C&C. HTTP find un protocol de comunicare statica, el nu permite admnistratorilor sa trimita comenzi dronelor in timp real, dar boti pot efectua verificari periodice dupa noi comenzi. Marele avantaj a folosirii HTTP este faptul ca el nu este blocat de firewalluri iar folosirea snifferelor nu duce la relevare niciunei informatii despre drone sau retea in sine.

Utilizare retelelor botnet

Prin natura lor botneturile ofera cybercriminalilor o putere sporita in interiorul internetului. Cu cit au sub control mai multe sisteme compromise, botnet adminii se pot lansa intr-un mod rapid in activitati distructive.

Retelele botnet pot fi folosite pentru ce se numeste Click Fraud. Aceasta apare atunci cind botii sunt utilizati pentru a vizita pagini web si executã in mod automat "click" pe bannerele de publicitate. Operatorii de botneturi folosesc acest mecanism pentru a obtine sume mari de bani din partea firmelor de publicitate online. Folosind un botnet cu mii de drone, fiecare executind un "click" doar de citeva ori, sumele obtinute pot fi considerabile. Deoarece aceste "clickuri" vin de la masini diferite din parti geografice diferite, ele par a fi legitime si scapa de atentia unui investigator slab pregatit.

DDoS

Botenet-urile pot fi utilizate ca platforma de lansare de atacuri DDOS (Distributed Denial of Service) prin completa saturare a latimii de banda sau a altor resurse. Astfel de atacuri pot duce la cadrea traficului pentru lungi perioade de timp, ceea provoaca mari pierderi financiare corporatiilor, care nu mai sunt astfel in masura sa interactioneze cu clientii lor. Au existat si exista atcauri care au ca scop obtinerea de bani prin santajarea tintelor, promitindu-le reluarea traficului normal in schimbul unor sume consistente. Atacurile DDoS sunt posibile deoarece o retea botnet pune la dispozitia infractorilor informatici resurse inimaginabile. Datorita capacitatii de a se stabili multe conexiuni din multe retele individuale, oprirea sau temperarea unor astfel de atacuri devine dificila.

Keylogging

Acesta este poate cea mai periculoasa capacitate a viitoarelor generatii de retele bootnet de a compromite confidentialitatea datelor personale. Multi boti pot asculta activitatea tastaturii si transmite un raport catre botnet admin. Unii botii se pot activa atunci cind este accesat un web site care necesita folosirea de parole sau in care se introduc informatii bancare. Capacitatea aceasta confera accesul la infomatiile personale a mii de oameni.

Dincolo de keylogging, multi boti garanteaza operatorului accesul complet la sistemul de fisiere a dronei, dindu-i posibilitatea de a transfera orice fisier dorit, de a citi orice document stocat in pc-ul drona, sau sa uplodeze mai multe fisiere malicioase sau warezuri.

Warez

Retelele botnet pot fi utilizate pentru a fura, stoca sau propaga warezuri. Warez reprezinta orice software obtinut in mod ilegal si/sau piratat. Botii pot scana hard diskurile victimelor dupa software si licente instalate, iar operatorul lor poate cu usurinta sa le duplicheze si sa le distribuie. Mai mult decit atit, dronele sunt folosite pentru a arhiva copii de warezuri gasite din alte surse. O retea botnet este astfel un imens spatiu de stocare.

Spam

Retele botnet sunt utilizate ca mecanisme de propagare a spamului. Dronele compromise pot forwarda emailurile de tip spam sau "phish scams" catre o victima tertiara. De asemenea, conturile de mesagerie instantanee pot fi utilizate pt a forwarda linkuri cu continut malitios sau cu reclame catre fiecare contact din lista de adrese a victimei.

Retelele botnet nu ar fi asa de periculoase daca astazi nu ar exista numeroase sisteme compromise conectate la internet. Multe dintre atacurile descrise anterior nu ar putea exista daca "populatia" de drone nu ar fi asa de extinsa, Cu un numar de 60-80 de mii de drone, accesul botnet adminilor la viata privata a cetatenilor si puterea mare pe care o au asupra unor retele gigant este incredibila.

Cea mai buna cale de stopare a retelelor de boti este de a le impiedica sa se formeze. Nu ar fi fost o amenintare daca malware-ul nu s-ar fi propagat si infectat un numar foarte mare de sisteme. De aceea este de datoria fiecarui utilizator sa se asigure ca sistemul si software-ul folosit sunt upgradate si updatate, altfel el poate cadea cu usurinta victima.

Detectia poat fi facuta ca o activitate bazata pe malware-hunting sau ca o diagnosticare a unei probleme a unei retele/masini.

Tehnici de vinatoare activa a botneturilor

Multe dintre astfel de tehnici implica cautarea de "bot malware" si analizarea infectiei intr-o cutie cu nisip (sandbox).

* Honeypots ca Nepenthes: Colectarea malware-ului provenind de la computere atacate aflate in internet.

* Instant messenger spam: Captura de linkuri trimise utilizatorilor de IM si care au finalitate fisiere malitioase.

* Link Harvesting: Cautarea prin forumuri si motoare de cautare dupa cuvinte cheie relevante pentru malware.

Odata localizat, se executa o analiza pe mostrele colectate pentru a se determina mecanismul de acces la botnet. Odata ce se face localizarea si se determina protocoalele serverului C&C, se poate trece la monitorizare.

Strategii de detectie bazate pe hosturi

Identificarea unui singur sitem poate reprezenta un punct de pornire. Trebuie sa se acorde atentie urmatoare aspecte:

Detectare cu ajutorul unui Antivirus a infectiei. Insa nu se poate pune baza numai pe acest lucuru. Multe infectii nu pot fi detectate.

Mijloace de detectare a rootkiturilor.

Modificarea fisierului hosts din windows.

Popupuri aleatoare si inexplicabile care par a fi infectii adware, in unele cazurii fiind o forma primitiva de botnet realizata pentru activitatea de "click fraud".

Incetinirea sistemului. Aceasta poate reprezenta o groaza de lucruri, in multe situatii este o infectie masiva cu spyware. Daca sitemul raspunde foarte greu, este indicata utilizarea unui scaner de adware.

verificarea serverului default pentru DNS. Este ceea ce trebuie sa fie (serverul de DNS a companiei sau a providerului, ori a LAN routerului intern?). Daca nu, s-a produs o redirectare a cererilor DNS catre o sursa ascuns. Din masuri de precautie, se va investiga traficul DNS de pe retea prin intermediul unei sistem curat.

Surse : Batranul GOOGLE : www.google.com

Completari : psycho & lost point

[Guest BanKai]

nu am citit tot articolul pentru a vedea daca ai scris pentru ca deja stiu cam tot ce se poate sti despre botneturi ... un lucru interesant de adaugat ar fi ca serviciile secrede din tari dezvoltate folosesc anumite pretexte (programe medicale sau alte dude) pentru a infecta calculatoarele utilizatorilor normali si a creea botneturi imense folosite in principal pentru decriptari de date .

[Nabukadnezar]

nu am citit tot articolul pentru a vedea daca ai scris pentru ca deja stiu cam tot ce se poate sti despre botneturi ... un lucru interesant de adaugat ar fi ca serviciile secrede din tari dezvoltate folosesc anumite pretexte (programe medicale sau alte dude) pentru a infecta calculatoarele utilizatorilor normali si a creea botneturi imense folosite in principal pentru decriptari de date .

da si extraterestrii aterizeaza regulat in anumite orase din Europa sa fure creierul la oameni pentru a crea o super ciorba folosita in decriptarea algoritmului intergalactic asdf

[ÐÒ&]

teoria chibritului..

[Guest BanKai]

ma refer la transmisii de date criptate cu relevantza pentru sigurantza natzionala si ma refer la state mari ca usa , nu la parolele sau identitatile noastre de doi lei si statul nostru de 2 scuipatzi exemplu :

 sters .. i`m leet

search by nemessis

[Nabukadnezar]

search by nemessis

dap h4x0rii au invatat pana si sa caute ceva pe google

[ÐÒ&]

C-E A-B-E-R-A-T-I-E!'

sincer asa cum am zis este o teorie a chirbritului nu ne intereseaza.

[Guest Nemessis]

search by nemessis

dap h4x0rii au invatat pana si sa caute ceva pe google

Sa ma bei la oua