Думаю многие слышали о ботнете, но мало кто понимает что это такое, принципы работы и т.п. Недавно команда телеграмм-канала Plastik провела лекцию и рассказала о данной теме, а так же поделилась своим опытом. Выкладываю материал лекции ниже, ознакомьтесь, станьте осведомлённей и бдительней.
Данная статья не несет в себе призыва к действию. Создана исключительно в ознакомительных целях!
Коротко о BotNet
Тема ботнетов вызвала больше интереса чем я думал. Поэтому сегодня я хочу рассказать о ней более подробно. Как и многие вещи из хакерского мира, само слово слышали все, и представление о том, на что они способны, есть у всех, но вот как дела изнутри обстоят знают немногие.
Так что, всем привет и мы начинаем.
Из названия можно понять что это за структура. Botnet - сеть ботов. Ботом называется управляемая машина. В качестве подконтрольного устройства может быть что угодно. Например, компьютер на windows, или даже linux, а может вообще роутер, или арендованный сервер. И весь этот зоопарк объединяется в сеть и управляется хакером. Сейчас у всех есть понимание, что из работы устройства можно извлекать прибыль. Понимание этого пришло с началом майнинга, это самый очевидный способ превратить вычисления в деньги. Это не значит что с приходом криптовалюты все ботнеты переквалифицировались в майнеры, зачастую это просто невыгодно, я расскажу почему. Но начнём именно с примера с майнингом. На нём проще понять суть ботнетов. Добывать криптовалюту на своём компьютере дело невыгодное, счета за электричество будут больше самой прибыли, а даже если прибыли будет немного больше, то всё равно железо подохнет из-за нагрузок раньше, чем эта затея окупится. Чтобы майнить и получать прибыль надо увеличивать мощность. Обычно это значит докупать новые мощные видеокарты или асики. В более глобальном масштабе - объединяться в пулы. И чем мощнее сеть, тем больше она приносит в расчете на потребляемое электричество. Даже небольшая ферма с не самым мощным железом способна приносить под 2-3 тысячи долларов в год(обычно это стоимость самого железа). Майнинг и рост криптовалют сделали многих людей миллионерами. Это те, кто закупился биткоином в самом начале, и те, кто построил гиганские фермы. Но удачнее вписаться сюда смогли тут не майнеры, которые за свои деньги купили оборудование, вкладывались в его обслуживание и платили за электричество, а хакеры, под управлением которых уже находились сотни тысяч машин за пользование ресурсами которых они не платили ничего. Думаю очевидно, как добавляются новые устройства в сеть - они взламываются. Обычно в одном ботнете состоят преимущественно устройства одного типа. Это обуславливается тем, что методы взлома, используемые для атаки, работают на ограниченном типе устройств. О том как ломают напишу чуть позже, сначала вычислим пару ботнетов и посмотрим сколько рубят бабла их держатели. Для того чтобы дать вам точные цифры я прочесал несколько популярных пулов валют, которые обычно майнят хакеры. Это XMR, Zcash ну и Электрониумом. Ссылки на страницы в открытую давать не буду, кто хочет без проблем сможет найти эту статистику. Искать надо на пулах, где можно смотреть статистику майна по чужим кошелькам. Ботнеты, большинство машин которых находятся в одной стране, легко вычислить по графику, он идёт волнами. Утром, когда пользователи включают свои ПК, хешрейт поднимается вверх, а к ночи он сильно падает. На XMR пуле я нашёл ботнет который утром выдаёт 850 килохешей, а ночью падает до 450 KH/s, и такая картина повторяется каждый день. По среднему хешрейту месячная прибыль у него по 14000$ по текущему курсу. Я нашёл его только потому что он не скрывался. Большинство крупных ботнетов распространяются по большому числу стран, они динамически меняют монеты для увеличения прибыли и используют закрытые пулы, где статистика недоступна посторонним, поэтому их не отследить. Выручка там выше в разы, 40.000 долларов в месяц и больше. До какого предела ботнет может расширяться? Пока метод распространения или целевые машины не исчерпают себя. Пятьдесят миллионов устройств собрать ещё никому не удавалось. Есть ещё одна причина ограничения роста, на большие ботнеты охотятся спецслужбы. Нередко дело заканчивается задержанием, но даже если не получается добраться до хакера, то спецслужбы перехватывают командный сервер или другими способами портят сеть ботнета. Такие мероприятия проводятся только против крупных о опасных ботнетов. Давайте отложим майнинг в сторону и посмотрим как работали несколько крупнейших ботнетов.
Ботнет TDL - 4 с лишним миллиона установок. Использовался как средство для продвижения сайтов, потом научился майнить крипту. Распространялся через эксплоиты.
ZeroAccess - 9 млн. заражений, так же через эксплоиты. Работал по рекламе, но научился майнить как крипта популярна стала.
Ну и для разнообразия Mariposa, который суммарно затронул примерно 10 миллионов машин. Интересен он тем, что изначально распространялся через пиратское ПО и спам, а работал по персональным данным в системе.
Из ботнетов выше можно много чего почерпнуть. Они грамотно распространялись, достаточно хорошо защищались от взлома, хакеры гребли деньги лопатой, но в итоге судьбы их владельцев пошли не так хорошо. Когда ты управляешь ботнетом в миллионы устройств, тебя ищут, очень активно ищут, к сожалению, нередко находят. Чуть позже расскажу немного подробнее, а пока про сами ботнеты. Состав ботнета так же определяет и сферу его применения. Применение - это получение прибыли от использования ботов. Начну с первого самого известного способа применения - DDOS атаки, цель которых положить сайт или вообще любой сервер, сделать его недоступным. Эти атаки пользуются спросом постоянно. Есть куча людей которые могут поднять десятки тысяч долларов на заказах за дни или даже часы простоя сайта конкурентов. Оплата за час работы тут не самая высокая среди ботнетов, но поток клиентов постоянный. Стоимость аренды DDOS ботнета зависит от мощности сервера и наличия или отсутствия DDOS защиты. Расценки начинаются с десяти долларов за час, за эти деньги сдаются в аренду очень слабые ботнеты из нескольких сотен машин, количество серверов, которые они могут положить, небольшое. Но для маленького сайта без защиты хватит. Некоторые типы DDOS атак не требуют больших мощностей. Например, с помощью ботнета можно опустошить кошелек конкурента, если он платит за используемые ресурсы, то можно этим ботнетом выкачать у него весь трафик. Ботнеты у которых несколько тысяч устройств уже могут справляться с обычными сайтами без защиты, платят за аренду таких от 50 долларов в час, но за долгосрочную аренду цена меньше. Причём на ботнетах среднего уровня уже есть мощности для пробивания небольшой анти DDOS системы, за это берётся x1.5-x2 цены. Самое интересное начинается в более крупных ботнетах. Интересное в плане заработка оператором, и интересное в плане вещей, которые ими можно ломать. Большой сеть можно назвать если в ней есть хотя бы 20 тысяч машин. Но есть более крупные рыбы. Например, mirai, который собрал более 400 тысяч машин. Арендовать 50 тысяч устройств в час стоило примерно три с половиной тысячи долларов. Чем ботнет мощнее, тем больше платят за него. Потому что крупные ботнеты это реально бомба. Есть системы защиты от DDOS и прочие системы для обороны, но это всё работает на ботнеты маленького и среднего уровня. Когда количество ботов переваливает за 20к, открываются новые горизонты. Перед реально мощными атаками может устоять лишь маленький процент серверов с топовой защитой, всё остальное падает. Поэтому спрос на крупные ботнеты есть, как и заказчики с толстыми кошельками. А чтобы обеспечить себя и собрать гигантский ботнет необходимы и знания, и время, и немного удачи. Если вы нашли пошаговую инструкцию "как сколотить 100к ботнет онлайн, без регистрации, рекламы и sms в HD", сразу закрывайте этот ресурс. В паблике не пишут о таком. И я не раскрою всё сейчас, но подсказки дельные дам. Надо разработать метод распространения и правильно внедрить его, тогда ботнет будет с каждым днём расти. Чтобы поднять mirai изначально сканировался интернет в поисках интернет-вещей и пытался авторизоваться с дефолтными учетными данными, позже использовались уязвимости в IOT(интернет-вещей, умные устройства). То есть, это ошибки в коде умных устройств, или слабые пароли. Умения быстро приспосабливать свежие уязвимости и раскрутить их это большая часть дела. Причём, как ни странно, большинство опасных уязвимостей, на которых поднялись многие крупные ботнеты, уже было известно. Начинающим не надо пытаться работать по всем направлениям сразу и распространяться по всем каналам. И само распространение стоит на первом месте. Не важно какой ботнет используется, его потом можно будет перепрошить. Помимо уязвимостей есть обычные методы со спамом или рекламой. Они также хорошо работают тут. И главное правило своего ботнета, помимо жёсткой безопасности на уровне железа - никогда не говорить о своём ботнете.
Посмотрим со стороны пользователя. Чего лучше не делать, чтобы не стать участником ботнета, и как понять что машиной кто-то управляет. Во-первых, чтобы не пропустить ботнет-вирус антивирус может помочь. Я не хорошо отношусь к антивирусам. Но базовому юзеру лишним он не будет. И всегда нужно понимать, что сначала пишут вирус, потом этот вирус обнаруживают, передают в антивирусные компании, которые потом пишут алгоритм распознавания сигнатуры нового вируса. Из-за чего антивирусные решения дают около 70-80% защиты. Также антивирусы в открытую следят за пользователем, могут произвольно передавать любые файлы к себе на сервер(привет касперский), собирают статистику. Много вирусов, в том числе и ботнеты, распространяются через пиратский софт. В частности с пиратскими антивирусами любят засылать вирусы. А что, умно. Если человек качает пиратский антивирус, то у него в системе ещё нет защиты, и можно заразить его чем угодно, а устанавливаемый антивирус заранее
Данная статья не несет в себе призыва к действию. Создана исключительно в ознакомительных целях!
Коротко о BotNet
Тема ботнетов вызвала больше интереса чем я думал. Поэтому сегодня я хочу рассказать о ней более подробно. Как и многие вещи из хакерского мира, само слово слышали все, и представление о том, на что они способны, есть у всех, но вот как дела изнутри обстоят знают немногие.
Так что, всем привет и мы начинаем.
Из названия можно понять что это за структура. Botnet - сеть ботов. Ботом называется управляемая машина. В качестве подконтрольного устройства может быть что угодно. Например, компьютер на windows, или даже linux, а может вообще роутер, или арендованный сервер. И весь этот зоопарк объединяется в сеть и управляется хакером. Сейчас у всех есть понимание, что из работы устройства можно извлекать прибыль. Понимание этого пришло с началом майнинга, это самый очевидный способ превратить вычисления в деньги. Это не значит что с приходом криптовалюты все ботнеты переквалифицировались в майнеры, зачастую это просто невыгодно, я расскажу почему. Но начнём именно с примера с майнингом. На нём проще понять суть ботнетов. Добывать криптовалюту на своём компьютере дело невыгодное, счета за электричество будут больше самой прибыли, а даже если прибыли будет немного больше, то всё равно железо подохнет из-за нагрузок раньше, чем эта затея окупится. Чтобы майнить и получать прибыль надо увеличивать мощность. Обычно это значит докупать новые мощные видеокарты или асики. В более глобальном масштабе - объединяться в пулы. И чем мощнее сеть, тем больше она приносит в расчете на потребляемое электричество. Даже небольшая ферма с не самым мощным железом способна приносить под 2-3 тысячи долларов в год(обычно это стоимость самого железа). Майнинг и рост криптовалют сделали многих людей миллионерами. Это те, кто закупился биткоином в самом начале, и те, кто построил гиганские фермы. Но удачнее вписаться сюда смогли тут не майнеры, которые за свои деньги купили оборудование, вкладывались в его обслуживание и платили за электричество, а хакеры, под управлением которых уже находились сотни тысяч машин за пользование ресурсами которых они не платили ничего. Думаю очевидно, как добавляются новые устройства в сеть - они взламываются. Обычно в одном ботнете состоят преимущественно устройства одного типа. Это обуславливается тем, что методы взлома, используемые для атаки, работают на ограниченном типе устройств. О том как ломают напишу чуть позже, сначала вычислим пару ботнетов и посмотрим сколько рубят бабла их держатели. Для того чтобы дать вам точные цифры я прочесал несколько популярных пулов валют, которые обычно майнят хакеры. Это XMR, Zcash ну и Электрониумом. Ссылки на страницы в открытую давать не буду, кто хочет без проблем сможет найти эту статистику. Искать надо на пулах, где можно смотреть статистику майна по чужим кошелькам. Ботнеты, большинство машин которых находятся в одной стране, легко вычислить по графику, он идёт волнами. Утром, когда пользователи включают свои ПК, хешрейт поднимается вверх, а к ночи он сильно падает. На XMR пуле я нашёл ботнет который утром выдаёт 850 килохешей, а ночью падает до 450 KH/s, и такая картина повторяется каждый день. По среднему хешрейту месячная прибыль у него по 14000$ по текущему курсу. Я нашёл его только потому что он не скрывался. Большинство крупных ботнетов распространяются по большому числу стран, они динамически меняют монеты для увеличения прибыли и используют закрытые пулы, где статистика недоступна посторонним, поэтому их не отследить. Выручка там выше в разы, 40.000 долларов в месяц и больше. До какого предела ботнет может расширяться? Пока метод распространения или целевые машины не исчерпают себя. Пятьдесят миллионов устройств собрать ещё никому не удавалось. Есть ещё одна причина ограничения роста, на большие ботнеты охотятся спецслужбы. Нередко дело заканчивается задержанием, но даже если не получается добраться до хакера, то спецслужбы перехватывают командный сервер или другими способами портят сеть ботнета. Такие мероприятия проводятся только против крупных о опасных ботнетов. Давайте отложим майнинг в сторону и посмотрим как работали несколько крупнейших ботнетов.
Ботнет TDL - 4 с лишним миллиона установок. Использовался как средство для продвижения сайтов, потом научился майнить крипту. Распространялся через эксплоиты.
ZeroAccess - 9 млн. заражений, так же через эксплоиты. Работал по рекламе, но научился майнить как крипта популярна стала.
Ну и для разнообразия Mariposa, который суммарно затронул примерно 10 миллионов машин. Интересен он тем, что изначально распространялся через пиратское ПО и спам, а работал по персональным данным в системе.
Из ботнетов выше можно много чего почерпнуть. Они грамотно распространялись, достаточно хорошо защищались от взлома, хакеры гребли деньги лопатой, но в итоге судьбы их владельцев пошли не так хорошо. Когда ты управляешь ботнетом в миллионы устройств, тебя ищут, очень активно ищут, к сожалению, нередко находят. Чуть позже расскажу немного подробнее, а пока про сами ботнеты. Состав ботнета так же определяет и сферу его применения. Применение - это получение прибыли от использования ботов. Начну с первого самого известного способа применения - DDOS атаки, цель которых положить сайт или вообще любой сервер, сделать его недоступным. Эти атаки пользуются спросом постоянно. Есть куча людей которые могут поднять десятки тысяч долларов на заказах за дни или даже часы простоя сайта конкурентов. Оплата за час работы тут не самая высокая среди ботнетов, но поток клиентов постоянный. Стоимость аренды DDOS ботнета зависит от мощности сервера и наличия или отсутствия DDOS защиты. Расценки начинаются с десяти долларов за час, за эти деньги сдаются в аренду очень слабые ботнеты из нескольких сотен машин, количество серверов, которые они могут положить, небольшое. Но для маленького сайта без защиты хватит. Некоторые типы DDOS атак не требуют больших мощностей. Например, с помощью ботнета можно опустошить кошелек конкурента, если он платит за используемые ресурсы, то можно этим ботнетом выкачать у него весь трафик. Ботнеты у которых несколько тысяч устройств уже могут справляться с обычными сайтами без защиты, платят за аренду таких от 50 долларов в час, но за долгосрочную аренду цена меньше. Причём на ботнетах среднего уровня уже есть мощности для пробивания небольшой анти DDOS системы, за это берётся x1.5-x2 цены. Самое интересное начинается в более крупных ботнетах. Интересное в плане заработка оператором, и интересное в плане вещей, которые ими можно ломать. Большой сеть можно назвать если в ней есть хотя бы 20 тысяч машин. Но есть более крупные рыбы. Например, mirai, который собрал более 400 тысяч машин. Арендовать 50 тысяч устройств в час стоило примерно три с половиной тысячи долларов. Чем ботнет мощнее, тем больше платят за него. Потому что крупные ботнеты это реально бомба. Есть системы защиты от DDOS и прочие системы для обороны, но это всё работает на ботнеты маленького и среднего уровня. Когда количество ботов переваливает за 20к, открываются новые горизонты. Перед реально мощными атаками может устоять лишь маленький процент серверов с топовой защитой, всё остальное падает. Поэтому спрос на крупные ботнеты есть, как и заказчики с толстыми кошельками. А чтобы обеспечить себя и собрать гигантский ботнет необходимы и знания, и время, и немного удачи. Если вы нашли пошаговую инструкцию "как сколотить 100к ботнет онлайн, без регистрации, рекламы и sms в HD", сразу закрывайте этот ресурс. В паблике не пишут о таком. И я не раскрою всё сейчас, но подсказки дельные дам. Надо разработать метод распространения и правильно внедрить его, тогда ботнет будет с каждым днём расти. Чтобы поднять mirai изначально сканировался интернет в поисках интернет-вещей и пытался авторизоваться с дефолтными учетными данными, позже использовались уязвимости в IOT(интернет-вещей, умные устройства). То есть, это ошибки в коде умных устройств, или слабые пароли. Умения быстро приспосабливать свежие уязвимости и раскрутить их это большая часть дела. Причём, как ни странно, большинство опасных уязвимостей, на которых поднялись многие крупные ботнеты, уже было известно. Начинающим не надо пытаться работать по всем направлениям сразу и распространяться по всем каналам. И само распространение стоит на первом месте. Не важно какой ботнет используется, его потом можно будет перепрошить. Помимо уязвимостей есть обычные методы со спамом или рекламой. Они также хорошо работают тут. И главное правило своего ботнета, помимо жёсткой безопасности на уровне железа - никогда не говорить о своём ботнете.
Посмотрим со стороны пользователя. Чего лучше не делать, чтобы не стать участником ботнета, и как понять что машиной кто-то управляет. Во-первых, чтобы не пропустить ботнет-вирус антивирус может помочь. Я не хорошо отношусь к антивирусам. Но базовому юзеру лишним он не будет. И всегда нужно понимать, что сначала пишут вирус, потом этот вирус обнаруживают, передают в антивирусные компании, которые потом пишут алгоритм распознавания сигнатуры нового вируса. Из-за чего антивирусные решения дают около 70-80% защиты. Также антивирусы в открытую следят за пользователем, могут произвольно передавать любые файлы к себе на сервер(привет касперский), собирают статистику. Много вирусов, в том числе и ботнеты, распространяются через пиратский софт. В частности с пиратскими антивирусами любят засылать вирусы. А что, умно. Если человек качает пиратский антивирус, то у него в системе ещё нет защиты, и можно заразить его чем угодно, а устанавливаемый антивирус заранее