ja_far
Сообщений: 3
Оценки: 0
Присоединился: 2010-07-11 18:03:44.080000
|
Я не претендую на регалии спеца или профи в области ботов и/или ботнетов просто хочу описать свой небольшой личный опыт в данной сфере.
Долгое время меня эта тема не особо интересовала но со временем захотелось глянуть и на ботов что оно такое, при чем меня отталкивали чужие разработки в силу излишней сложности и постоянных проблем с необходимостью криптовать и перекриптовывать, не говоря уже о таких вещах как то что боты часто работают на несколько админок - на вас и на автора. Собственно я и не собирался строить большой ботнет с целью зарабатывать на нём деньги, просто хотелось провести некий творческий эксперимент и создать нечто свое но простое, рабочее и легко криптуемое.
Теория проста - ботнет нужен чтобы удаленно контролировать группу машин с целью их того или иного использования. Рассмотрим программу минимум.
Ясно что бот может нести массу нагрузки: как-то прокси-сервер, DDoS, различные там средства для рассылки спама и т.п. Но что является первоосновой?
Все эти замечательные вещи добавляются в виде модулей, а значит можно ограничится по большому счету просто загрузками, а подумав еще немного
я понял что все что необходимо - это возможность посылать HTTP GET запросы(т.е. как при открытии браузером веб-страницы) - это позволит как
атаковать сайты так и подгружать дополнительные модули. Есть различные схемы построения и управления - я выбрал самую простую и доступную - через веб-админку на PHP. Всё хотелось сделать, в меру сил, максимально простым и компактным.
Бот представляет собой прогу которая периодически шлет запросы на админку в виде GET запросов, скрипт принимает их и формирует лог текущего
состояния ботов. Кроме этого бот периодически скачивает маленький текстовый файл в котором записана команда для выполнения - их всего несколько - wait, ping, exec. Этот текстовый файл создает админка на основе команд хозяина - все просто. Когда бот получает команду exec он скачивает и запускает ЕХЕ файл загруженный через админку, отстукивает о выполнении команды соответствующим запросом. При команде ping боты получают текстовый файл с URL и начинают слать на него определенное количество запросов после чего связываются с админкой чтобы процесс был управляемым. Ну и понятно что при wait - боты просто ждут других команд. Теперь перейдем к коду. К слову говоря многие процедуры и функции можно нагуглить в готовом виде и лишь адаптировать (как например загрузка файлов или работа с реестром).
Вся работа сводится к периодической отправке запросов и чтению команд из загружаемых текстовых файлов. Потом я узнал о том что даже на VBS можно организовать подобный нехитрый алгоритм. И решил непременно попробовать. В итоге меня приятно удивила более стабильная работа не говоря уже о маленьком размере и ооочень легкой криптовке по сравнению с EXE. В основу лег кусок нагугленого VBS кода для скачивания файла.
Повеселила проблема выполнения повторных одинаковых запросов в винде, пришлось к запросам дописывать хвосты с рандомами чтобы работало.
Переходим к админке, она реализована в виде одного PHP скрипта gate.php который содержит в себе авторизацию, пишет логи ботов в виде
незадваивающегося списка, формирует команды для ботов в виде текстовых файлов, также служит для аплода файла загрузок и имеет систему
самотестирования т.е. как боты отстукивают о выполнении команд так и админка показывает удалось ли ей сформировать нужную команду для ботов и какие команды активны в текущий момент.
Авторизация в админке: http://****.com/gate.php?id=sukonah
В боте же прописывается адрес к админке без gate.php, вот так: http://****.com/
P.S.
VBS очень легко закриптовать, даже написать свой криптор - это в разы легче чем для ЕХЕ.
Похоже на криптование сплойтов. Кроме того антивирусы больше заточены под анализ исполняемых файлов нежели скриптов.
Но это я уже оставляю на откуп Вашей фантазии. Кроме того рабочий VBS криптор можно нагуглить.
Можно откомпилить на Delphi 7 EXE версию бота но криптовать будет геморойненько, разве что приватом.
Сорцы тут: http://zalil.ru/31618545
Раз уж я написал это подобие статьи, надеюсь она комуто будет полезна и её не потрут как на античате.
|
Пишем бота - 
