ja_far
Сообщений: 3
Оценки: 0
Присоединился: 2010-07-11 18:03:44.080000
|
Я не претендую на регалии спеца или профи в области ботов и/или ботнетов просто хочу описать свой небольшой личный опыт в данной сфере. Долгое время меня эта тема не особо интересовала но со временем захотелось глянуть и на ботов что оно такое, при чем меня отталкивали чужие разработки в силу излишней сложности и постоянных проблем с необходимостью криптовать и перекриптовывать, не говоря уже о таких вещах как то что боты часто работают на несколько админок - на вас и на автора. Собственно я и не собирался строить большой ботнет с целью зарабатывать на нём деньги, просто хотелось провести некий творческий эксперимент и создать нечто свое но простое, рабочее и легко криптуемое. Теория проста - ботнет нужен чтобы удаленно контролировать группу машин с целью их того или иного использования. Рассмотрим программу минимум. Ясно что бот может нести массу нагрузки: как-то прокси-сервер, DDoS, различные там средства для рассылки спама и т.п. Но что является первоосновой? Все эти замечательные вещи добавляются в виде модулей, а значит можно ограничится по большому счету просто загрузками, а подумав еще немного я понял что все что необходимо - это возможность посылать HTTP GET запросы(т.е. как при открытии браузером веб-страницы) - это позволит как атаковать сайты так и подгружать дополнительные модули. Есть различные схемы построения и управления - я выбрал самую простую и доступную - через веб-админку на PHP. Всё хотелось сделать, в меру сил, максимально простым и компактным. Бот представляет собой прогу которая периодически шлет запросы на админку в виде GET запросов, скрипт принимает их и формирует лог текущего состояния ботов. Кроме этого бот периодически скачивает маленький текстовый файл в котором записана команда для выполнения - их всего несколько - wait, ping, exec. Этот текстовый файл создает админка на основе команд хозяина - все просто. Когда бот получает команду exec он скачивает и запускает ЕХЕ файл загруженный через админку, отстукивает о выполнении команды соответствующим запросом. При команде ping боты получают текстовый файл с URL и начинают слать на него определенное количество запросов после чего связываются с админкой чтобы процесс был управляемым. Ну и понятно что при wait - боты просто ждут других команд. Теперь перейдем к коду. К слову говоря многие процедуры и функции можно нагуглить в готовом виде и лишь адаптировать (как например загрузка файлов или работа с реестром). Вся работа сводится к периодической отправке запросов и чтению команд из загружаемых текстовых файлов. Потом я узнал о том что даже на VBS можно организовать подобный нехитрый алгоритм. И решил непременно попробовать. В итоге меня приятно удивила более стабильная работа не говоря уже о маленьком размере и ооочень легкой криптовке по сравнению с EXE. В основу лег кусок нагугленого VBS кода для скачивания файла. Повеселила проблема выполнения повторных одинаковых запросов в винде, пришлось к запросам дописывать хвосты с рандомами чтобы работало. Переходим к админке, она реализована в виде одного PHP скрипта gate.php который содержит в себе авторизацию, пишет логи ботов в виде незадваивающегося списка, формирует команды для ботов в виде текстовых файлов, также служит для аплода файла загрузок и имеет систему самотестирования т.е. как боты отстукивают о выполнении команд так и админка показывает удалось ли ей сформировать нужную команду для ботов и какие команды активны в текущий момент. Авторизация в админке: http://****.com/gate.php?id=sukonah В боте же прописывается адрес к админке без gate.php, вот так: http://****.com/ P.S. VBS очень легко закриптовать, даже написать свой криптор - это в разы легче чем для ЕХЕ. Похоже на криптование сплойтов. Кроме того антивирусы больше заточены под анализ исполняемых файлов нежели скриптов. Но это я уже оставляю на откуп Вашей фантазии. Кроме того рабочий VBS криптор можно нагуглить. Можно откомпилить на Delphi 7 EXE версию бота но криптовать будет геморойненько, разве что приватом. Сорцы тут: http://zalil.ru/31618545 Раз уж я написал это подобие статьи, надеюсь она комуто будет полезна и её не потрут как на античате.
|