Вирусология. Часть 2.

Вирусология. Часть 2

Всем привет.
Сегодня мы поговорим про ботнеты, разберёмся что они из себя представляют и для чего нужны. Много людей об этом слышали, но как правило мало кто об этом задумывался.

Ботнет - это сеть управляемых устройств которые были заражены и управляются одним или несколькими серверами. На нормальном ботнете конечно же есть несколько дублирующих управляющих серверов. С помощью управляющего сервера можно этим ботнетом повелевать и делать с ним всё что угодно.

Есть ботнеты которые ориентированы конкретно на DDoS, они созданы для того, чтобы всю сеть из ботов направить на какой-то конкретный ресурс для уничтожения его работоспособности. Есть также ботнеты которые направлены конкретно на сбор *****. Как вообще строится сам ботнет? Есть сайт, это может быть обычный сайт, доменное имя, либо же замаскированная админка, там находится админ панель.

Вот такое вот изображение админ панели одного из ботнетов:

Если это ботнет на базе именно экзешника (.exe), то помимо ботнет панели у него есть ещё программа которая компилирует данный ботнет, называется она билдер. Это софт в котором прописываются настройки к ботнету. Сам файл билд является небольшим по размеру, самый минимальный который я встречала это 7 килобайт, но он может достигать и несколько мегабайт, данный клиентский файл рассылается жертвам. Как только цель открывает данный файл и программа исполняется, то у хозяина ботнета в админ панели отображается конкретный компьютер, его подключение, где он находится, его IP адрес, когда он подключился. Далее с этим компьютером можно сделать массу вещей. Его можно заставить атаковать какую-то цель, украсть ****, можно сделать с ним фактически всё, это ваш раб.

Ботнеты бывают нескольких типов. Многие кто с этим уже сталкивался, то наверняка привык к обычным ботнетам, где экзешный файл засылается жертве под каким-нибудь замаскированным видом. Но есть мобильные ботнеты которые работают на базе андроида. Кто владеет подобным телефоном, то очень рекомендую отключить вообще приём MMS, как их отключить я останавливать не буду, есть масса информации в интернете. Зачем это делать? Потому что существует специальный MMS бот. Работает он следующим образом, у андроид телефона есть определённый сценарий обработки входящих событий, входящего звонка, SMS и MMS. Телефон их обрабатывает ещё до того как он её отобразит пользователю физически.

Соответственно, очень хорошо поковырявшись в данном коде можно достичь следующего эффекта (уже так сделали самые прошаренные распространители андроид ботнетов): вам приходит MMS, оно не высвечивается даже на экране мобильного телефона, ничего, просто экран загорается один раз, возможно у вас было нечто подобное. Загорелся экран как будто что-то произошло, хотя на экране пусто, и всё, больше ничего не происходит. А в это время телефоном уже было обработано данное MMS сообщение и ссылка на файл которая прилагалась в этом MMS сообщении была загружена телефоном и файл был исполнен вне зависимости от настроек которые выставлены на самом телефоне. Это пример мобильного ботнета.


Свой ботнет также можно построить например за счёт браузерных расширений. Написать своё и отправить на тот же сайт мозилы, в интернете есть даже целые конструкторы как это можно это сделать. Пара вечеров, пусть даже неделя, на изучение темы и даже у человека который от этого очень сильно далёк появятся мысли, идеи и главное возможности для того, чтобы реализовать свой ботнет на основе браузерных расширений.

Ну и третий, классический ботнет, это исполняемый файл, экзешник (.exe) который засылается жертве под видом какого-то легитимного программного обеспечения, либо же замаскированный, встроенный в вордовский документ, картинку, музыкальный файл, txt файл и так далее. После того как был создан такой билд, будь то экзешный файл или какое-то расширение для браузера, без разницы, необходимо его распространить. Как это можно сделать? Самый лёгкий способ это сделать с помощью загрузок (инсталлов), является самым популярным видом которым пользуются школохакеры. Есть масса людей на теневых форумах которые продают загрузки. Вы можете к ним обратится и предоставить свой файл, далее вам озвучат цену, например 1000 загрузок по какой-то конкретной стране будет стоить в районе 150-250$, 1000 же загрузок микса (смешанные страны, все подряд) будут стоить примерно 100$.

Вы платите загрузчику, берёте свой клиентский билд и даёте его ему, а далее он делает вам загрузку на 1000 людей. У загрузчиков уже есть также свои ботнеты, и их ботнеты необязательно выполняют какую-то вредоносную функцию, они также могут распространять ваш файл через какое-то программное обеспечение по типу
MediaGet, стоящее у многих людей на ПК и которое матюкается из-за того что его антивирус пытается съесть. Распространять могут через различные торрент клиенты и другое программное обеспечение которое поддерживает и несёт функцию загрузки, для того чтобы была возможность владельцу подгрузить какое-то дополнительное ПО.


На то, чтобы поднять свой ботнет, по времени необходим примерно час. Купить себе домен, купить к этому домену хостинг, расположить там панель, открыть её и привязать к базе данных mysql, на это есть инструкции везде в интернете, и после чего проплатить 100 долларов тому же загрузчику. Далее можно заниматься своими делами, в то время как ваша панель ботнета будет наполняться пользователями.

Теперь немного статистики. Если распространять нешифрованного бота, которого будут палить антивирусы, то из 1000 загрузок пройдёт примерно половина, из 500 загрузок в первый же день будет удалено около 100, а остальные будут ещё примерно недели 2 удаляться. В итоге за 2 недели ваш ботнет опустится примерно до 15-20 устройств всего навсего. Если же вы позаботитесь и закриптуете свой клиентский файл, то из 1000 загрузок пройдёт примерно 900. Через месяц останется, тут уже зависит конечно от качества крипта, примерно 300. Что можно сделать с 300 ботами? Можно организовать маленькую DDos атаку размером в пару гигабит. Есть такая программа которая называется Jumper, сразу скажу, что хорошего DDoS бота для Windows просто не может существовать, но самый мощный из них это Jumper пятой версии, который фактически не криптуется, везде ломается и выложен в паблике уже лет 7 или 8, а также признан самым мощным DDoS ботнетом для Windows.

Давайте теперь посчитаем экономику, выгодно ли это вообще делать? Потратили вы 100$ на загрузки, ещё 30$ примерно на хостинг и доменное имя. Эти 130 долларов можно отбить за 1-2 дня DDoS атак вообще без проблем. Средняя цена DDoS 50-60 долларов, потратить 1-2 дня на 3 клиентов и вы уже будете в плюсе. За счёт этого можно свой ботнет поддерживать, а далее его наращивать и идти дальше. Это что касается DDoS ботнетов. Если же эти компьютеры были инфецированы ботнетом у которого цель собирать ****, а не DDosить, то такой ботнет может окупить себе за несколько часов. Вы можете просто взять и собрать **** с этих компьютеров, а далее их на теневых форумах продать, либо прочекать самостоятельно (но тут уже как повезёт). И это всё может сделать человек фактически без подготовки, по онлаин методичкам и с паблик софтом, имея в наличии около 130 долларов всего навсего.


Другая ситуация обстоит если мы возьмём ботнет из расширений браузера, они живут намного дольше. Почему? Потому что многие люди не понимают, что эти расширения имеют фактически те же самые полномочия как и обычные экзешники. То есть, пользователь себе установил расширение которое ему погоду показывает или курс валют, а это программное обеспечение точно также может украсть пароли или производить DDoS с его компьютера и прочее.

Ещё хуже ситуация состоит с мобильными ботнетами. Дело в том, что на Windows большинство из пользователей хотя бы имеют у себя бесполезный, но в данном случае немного полезный антивирус, они его установили. На мобильных же телефонах как правило у людей нет ничего вообще. Они думают: " Да что с моим смартфонов вообще произойти может?" Хотя в мобильном телефоне есть тот же, если мы возьмём Android, я именно на него ориентируюсь, гугл аккаунт, полная карта перемещений, там есть платёжки и полнейший доступ к телефону, всё что угодно можно вытянуть оттуда.

К тому же, ещё многие пользователи любят чтобы у них на компьютере стоял хром с активной учётной записью гугла, для того, чтобы удобно по закладкам было переходить. И соответственно пароли и всю другую информацию также можно вытащить. Организовать такой ботнет стоит дороже, но устойчивее и проще. Не буду говорить где, любопытный читатель сам это может найти. Есть несколько китайских ресурсов которые предлагают помощь в продвижении продуктов в плей маркете. Их помощь состоит в следующем, вы берёте точно такой же ботнет билдер, может даже из паблика, делаете такой же сайт и админ панель как и для обычного ботнета. После чего обращаетесь к этим ребятам, платите им сумму в зависимости от качества, от 600$ и выше. За 600$ вы получаете в среднем около 50 хороших отзывов в плей маркере, конечно же накрученных и ваше опубликованное туда программное обеспечение. Как это делают китайцы честно говоря я не вникала особо. То есть, появилось какое-то программное обеспечение с неизвестными функциями, но уже у него 50 отзывов хороших и 5 звёздочек везде стоит. Далее процесс загрузки такого вредоносного программного обеспечения уже будет зависеть от вашей удачи, что вы фактически сделали.


Если приложение хотя бы немного какую-то интересную, полезную или просто новую функцию выполняет, то в сутки его будут загружать 1500-2000 человек в среднем. Если тем же китайцам заплатить больше, в районе 2500$, то загрузки могут дойти до 10000-20000 в день. И вы сами понимаете какую информацию можете опять же извлечь из заражённых мобилок, самое лёгкое это собрать те же ****. Мобильные ботнеты сейчас как раз именно больше всего набирают популярность.

Почему? Потому что системы например DDoSа, связанные на теме ботнета уже отходят на задний план, в них особого смысла нет, ведь любой школьник может взять себе за 150$ хороший сервер, а далее на этом сервере развернуть DDoS бот, и этот DDoS бот будет производить атаку с одного сервера в среднем где-то мощностью около 10 гигабит, и это всё за 150$ в месяц на паблик софте.

Стоит также отметить ещё один вид ботнета который невозможно обнаружить ни одним антивирусом, но над ним вам действительно придётся поработать. Это ботнет состоящий из устройств маршрутизации, в данном случае из тех же самых обычных домашних Wi-Fi роутеров. Многие люди вообще не парятся по поводу защиты своего роутера, и не догадываются, что получив власть над роутером можно также получить контроль над всеми устройствами которые входят в сеть данного роутера. На самом деле, если капнуть немного глубже, то у каждого роутера есть своя программная часть, роутер это мини компьютер и у этого мини компьютера внутри есть таблица маршрутизации. И вот если вы туда получите доступ, а далее немного приложите своих усилий и правильно сконфигурируете трафик, то обнаружить что идёт какая-либо утечка трафика и то, что роутер находится под вашим контролем, будет невозможно. Представьте себе, есть роутер жертвы и есть ваш сервер. Ваш сервер находится например во Франции, а роутер жертвы находится где-нибудь в РФ, во Владивостоке. Вы можете взять и пустить весь трафик через себя, это самый простой вариант о котором многие уже знают кто задумывался над этой темой. Фактически что будет в итоге? В итоге будет видно, что у каждого из компьютеров ботнета на выходе находится французский ip адрес, то есть непосредственно ip вашего сервера. Это первый вариант.


Второй вариант намного круче, с помощью таблицы маршрутизации NAT вы можете сделать небольшую петлю и пропустить трафик через себя, после чего передать целевому адресату пользователя, куда пользователь захотел зайти, реальный IP пользователя. То есть, представьте себе, что вы хотите зайти из Владивостока на сайт https://2ip.ru, проверить свой IP адрес, ваш запрос сначала идёт через сервер Франции, с помощью этого сервера передаётся ваш реальный IP и попадает на сам сайт https://2ip.ru, и никакой антивирус этого обнаружить не сможет. Если взять среднестатистического сетевика, какого-нибудь мальчика ПТУшника работающего в интернет провайдере, то у него будет одно, перезагрузите роутер или поменяйте если у вас что-то не ладится, вот и всё, вот и весь будет его ответ.

Поэтому если рассматривать именно в целом схему ботнетов, то ботнет на платформе обычных экзешников для Windows самый дешёвый и простой, ботнет же на андроид платформу уже намного серьёзней, перспективнее и дороже, а ботнет на основе роутеров не стоит ничего, кроме лишь мозгов того человека который будет его осуществлять.

Не стоит забывать ещё об одном небольшом таком школьном методе, с помощью него можно сделать свой ботнет не имея в кармане вообще ни 1$. Есть такой софт, называется Lamescan. Данный софт позволяет провести анализ на предмет нахождения по IP адресу утилиты RAdmin (Remote Admin). Если немного поколдовать с ламесканом, буквально всего навсего 5 минут, а далее уделить ещё 10 минут поиску в гугле, то можно увеличить процент прохождения данного программного обеспечения и приспособить его для версии RAdmin 3.

Что вы можете в таком случае сделать?

Взяв в паблике, или с помощью какого-нибудь дополнительного софта, диапазоны IP адресов и пройдясь по ним, вы можете просто напросто ломать чужие ПК. В 2019 году я проводила тест на одном из городов Украины и за сутки мне удалось примерно к 200 компьютеров таким образом получить доступ. На некоторых из них даже обнаружила криптокошельки, примерно процентах на 10. Это по поводу того, что всё можно сделать абсолютно без каких-либо даже вложений, организация своего ботнета требует всего навсего 1-2 дней хотя бы просто вдумчивого чтения гугла.


Давайте теперь рассмотрим с вами чуть чуть угрозы именно ботнета и как они распространены в мире. По поводу самих ботнетов, их распространения и их влияния по странам, каждый из вас может посмотреть тут:

https://cybermap.kaspersky.com

Данная статистика предоставлена сервисом лаборатории Касперского, каждый из вас может с ней ознакомиться в онлаин режиме. Также ещё мы с вами можем рассмотреть на примере другого сайта, какие есть онлаин уязвимости, откуда происходит атака и куда. Всё это в режиме реального времени:

https://threatmap.checkpoint.com

Вы сможете там увидеть что каждую секунду идут атаки, и как люди делают бизнес на тех же самых ботнетах.

Напоследок напишу о том, как можно прикреплять вирус к какому-либо файлу. Многие привыкли что обычный вирус выглядит в форме экзешника (.exe). Можно человеку послать экзешник без маскировки, можно использовать спуфинг расширения, а можно взять вредоносное программное обеспечение и засунуть его например в документ ворда. То есть, человек просто откроет у себя на компьютере документ ворда, и при его открытии сработает макрос заразив компьютер. Эти методы конечно хороши, но таже ситуация с вордом например, если у человека отключена система макросов, то вам не получится его инфецировать.

Можно также прикрепить вирус в картинке. Многие из вас наверняка даже не знали что это возможно сделать. Задумайтесь теперь для себя, вам присылают какую-нибудь картинку связанную с вами и пишут кликбейтный текст, как думаете вы её откроете если она вам придёт по почте? Конечно же вы её откроете. Вы её откроете, скачаете и посмотрите. Как собственно говоря можно прикрепить какой-то файл, какое-то другое программное обеспечение к обычной картинке? Для этого используются программы которые называются джойнеры (склейщики). Джойнеры также можно использовать и в других целях, например, чтобы скрыто передать какой-то документ.

Давайте теперь подведём итог. Для того чтобы найти какое-либо вредоносное программное обеспечение, тот же самый ботнет, нужно всего навсего воспользоваться гуглом и достать паблик инструменты. Приватные инструменты они прекрасны и замечательны, но любой может атаковать даже бесплатным инструментом если он приложит к этому хотя бы немного усилий.

На сегодня всё.

источник @hacker_place