October 18, 2020

Ботнеты. Общие понятия, классификация и монетизация ботнетов.

Сегодня мы разберём общие понятия, классификацию и монетизацию ботнетов.


Общие понятия

С лингвистической точки зрения, слово “ботнет” включает в себя два слова: “робот” и «сеть».

Ботнет - это совокупность систем, зараженных вредоносным кодом и администрируемых централизованно. Иными словами, сеть компьютеров, которые управляются злоумышленниками удаленно.

Очень часто ботнеты не могут быть обнаружены антивирусами, и жертвы зачастую даже не подозревают, что являются активной частью скрытой сети.

Ботнет должен функционировать так, что даже если уничтожить или отключить порядочное количество узлов, на его работоспособности в целом это не скажется.

Наша цель - заработок. И рассматривать ботнеты и все, что с ними связано мы будем исходя из этого.

Каждый зараженный компьютер/девайс в сети играет роль и действует как “бот”, управляется единым центром принятия решений (ботоводом) для совершения различных действий скрытно от владельца компьютера/девайса.

Примечательно, что сама технология изначально была разработана в благих целях. Боты служили вспомогательным программным инструментом для совершения однообразных некриминальных и повторяемых задач, а также для их автоматизации. По прошествии времени, однако, пытливые и предприимчивые умы быстро смекнули, что к чему, и начали использовать ботнеты в своих пагубных целях, генерируя прибыль.

С тех времен, когда боты играли лишь роль помощников, много воды утекло. Программное обеспечение для реализации, контроля и обеспечения бесперебойной работы ботнетов шагнуло далеко вперед.

На данный момент ботнеты могут реализовывать различные методы атак, работая одновременно по многим директориям и вертикалям.

Наверняка для вас не будет открытием, что наша индустрия довольно сильно сегментирована по специализациям и направлениям. Это значит, что каждый здесь занимается своим делом. Вы можете наблюдать, как один человек (или группа) добывают картон, другие его продают, третьи вбивают, четвертые пересылают вбитый товар, пятые его реализовывают и т.д.

Аналогичное деление на специализации существует и в ботоводстве. Таким образом, кодер продает исходник, покупатель исходников продает ресурсы или услуги ботнета другим юзерам. Последние, в свою очередь, являются конечными пользователями или продают созданный ими товар дальше, аналогично предыдущим.

Средний срок службы ботнетов определяется “специалистами” от нескольких месяцев до нескольких лет. При этом содержание ботнета продолжительное время не всегда одинаково полезно и выгодно, но об этом поговорим в следующих статьях.

Ориентируясь на рынок, создатели ботнетов часто создают наиболее благоприятные условия для своих клиентов.
Так, например, интерфейс управления ботнетом (админка) в большинстве случаев довольно прост. Для работы с ней не требуется каких-либо специальных знаний и навыков.

Отсюда берет свое начало и такое направление, как услуга Malware as a Service.

Если вы не кодер и не можете создать/распространять свой собственный ботнет, обращайтесь к вендорам, которые сделают все вышеперечисленное за определенное вознаграждение.

В большинстве стран (развитых и развивающихся) активно борются с ботнетами.

Конечно, это старательно умалчивается, но, в действительности, спецслужбы используют в своих целях абсолютно такие же методы и технологии.

Столь милое соседство выгодно для обеих сторон, поэтому о ликвидации серьезных ботнетов услышишь не часто. Баланс интересов, сами понимаете.


Технологическая структура ботнетов

Типичная структура ботнета обычно принимает одну из следующих форм: модель “клиент-сервер” или одноранговую модель (P2P, «Peer-to-peer»). Их еще называют пиринговыми.

В структуре ботнета, реализованной в модели «клиент-сервер», создается базовая сеть, в которой один сервер выступает в роли основного - ботмастера.

Ботмастер-сервер призван контролировать передачу данных от каждого зараженного клиента для установки команд и управления над клиентскими устройствами.

В случае с моделью “клиент-сервер” работа системы достигается посредством специального программного обеспечения, которое дает возможность добиться и сохранить постоянный контроль над зараженными устройствами.

Однако эта модель имеет несколько существенных недостатков.

Главный - её легко можно обнаружить.

Причина в том, в данной модели только одна контрольная точка. Если сервер уничтожен, ботнет ложится.

Иными словами, мы имеем множество зараженных устройств, которые все до единого пингуют и постоянно обращаются к одному конкретному серверу.

Как можете догадаться, вопрос обнаружения такой сети ребром не стоит в принципе.

Это, скорее, архаичная архитектура, которая на данный момент серьезными ботнетами не используется. Ну, разве что в белом, легитимном софте.

По крайней мере, мне неизвестны такие ботнеты, минимально заметные и хоть сколько-нибудь значимого уровня.

Конечно, полно мелких поделок, всевозможных ботнетов уровня скрипт-киди (а это, кстати, большинство из предлагаемых на рынке). Но, в идеале, от этого мусора лучше держаться подальше.

Наша цель - действительно крутой ботнет. И не просто с четким названием, а с мощной начинкой и серьезным профитом. А это - ни разу не “клиент-сервер”. Поверьте.

Точнее, скажу так: да, можно сделать что-то, в принципе, рабочее и через C&C, но это заранее провальный подход. Если мы собираемся в космос, конечно же.

Если наша задача сделать очередной живучий ботнетик, который могут дропнуть в любой момент, то можно и “клиент-сервер”.

Что же касается одноранговой модели (Р2Р, peer-to-peer), то тут все гораздо интереснее.

Все современные и, подчеркиваю, серьезные ботнеты построены именно на этой модели.

Работа с одним централизованным контролирующим сервером - большой недостаток.

Этот недостаток преодолевается созданием одноранговой структуры.

В такой модели каждое подключенное устройство осуществляет свою деятельность независимо и как клиент, и как сервер одновременно.

При этом каждое устройство координирует между такими же устройствами обновление и передачу иных данных.

Из-за этого P2P ботнет-структура гораздо сильнее и менее уязвима, нежели модель централизованного управления.

Кстати, знаете какой самый массивный ботнет в мире и какая очень известная фирма им владеет? Это Майкрософт!
У этих ублюдков есть возможность подключиться к ЛЮБОЙ машине удаленно и, якобы, почистить ее от вредоноса.
К слову, мелкомягкие постоянно берут под свой контроль все больше и больше ботнетов, а так же скупают базы скомпрометированных паролей.
Естественно, чтобы бороться с нами.
Удачи, хуле.


Классификация ботнетов

Что умеют ботнеты?

Ниже приведу лишь основные и самые главные функции, которыми можно наделить ботнет.

Вычисление

Перво-наперво надо понять, что сеть из зараженных машин - это приличный массив вычислительных мощностей.
В этой связи, первое, что приходит в голову- это заставить данные мощности работать по их прямому направлению, а именно: вычислять подбор хэша, брут и т.д. Все-таки 5 тысяч машин работают быстрее, чем одна...

DDoS

Также все эти машины могут, вдруг, одновременно обратиться к какому-то сайту и “положить” его. Всем известный DDoS.
Наиболее часто встречаемыми атаками такого вида являются атаки TCP SYN и UDP.
DDoS-атаки не ограничиваются лишь веб-серверами. Часто они направлены на разнообразные службы, которые подключены к интернету.
Атака может быть увеличена и усугублена посредствам рекурсивных HTTP-потоков на веб-сайте жертвы: боты рекурсивно следуют по всем ссылкам в HTTP-пути.

Несколько лет назад были очень популярны DDoS-атаки с использованием IoT устройств. Mirai породил множество производных запросов и продолжил расширяться, делая атаку более сложной. Это нововведение сильно и безвозвратно изменило ландшафт угроз с точки зрения используемых методов в данном направлении атак.

Мониторинг трафика и кража конфиденциальных данных.

Зараженные машины могут быть использованы в качестве анализатора трафика для выявления конфиденциальной информации на зараженных устройствах.

Они также могут найти бот-сети конкурента (если таковые установлены на той же машине) и быть своевременно взломаны.

Следующее, по моему мнению, прекрасное направление - это возможность поднять прокси-сервер SOCKS v4/v5 (универсальный протокол прокси для сети на основе TCP/IP).

Когда прокси-сервер SOCKS включен на скомпрометированной машине, его можно использовать для различных целей, например, для рассылки спама (при условии, что у нас открыт 25-й порт).

При анализе пакетов, сниффер, вшитый в бот, может успешно отслеживать важную информацию: конфиденциальные данные типа номеров кредитных карт, паролей и доступов.

Логирование нажатия клавиш (keylogging)

Данная функция логирует все нажатия клавиш на зараженной машине, может их структурировать и выдавать ботоводу в готовом виде.

Используя эту функцию мы можем, например, собирать только те ключи, которые набраны в нужные нам последовательности ключевых слов. Типа PayPal, eBay и т.д..

Присутствует также возможность захвата экрана.

Злоупотребление кликами (кликботы)

Прокликивание ссылок, за которые злоумышленник получает сдельное вознаграждение. Например, всякого рода партнерские программы с показами баннеров или объявлений.

Показ рекламы (Adware)

Бот используется для показа рекламы на зараженной машине, перенаправления поисковых запросов на рекламные сайты, сбора маркетинговой информации. Бот собирает личные данные пользователя, отправляет эти данные на сервер. После обработки данных бот показывает пользователю релевантную рекламу (рекламу, которая соответствует его интересам).

Из основного - все.
Дальше пойдем разбирать, как этот функционал можно монетизировать.


Бизнес-модели и монетизация

Часто вижу, что даже “матерые эксперты” в области информационной безопасности допускают довольно нелепые ошибки, считая, что затраты ботоводов минимальны, а то и вовсе равны нулю.

Не знаю, но почему-то всяческие “эксперты” полагают, что если у ботоводов отсутствуют затраты на создание инфраструктуры В ИХ КЛАССИЧЕСКОМ понимании, то и в принципе затратная часть ботоводов мизерна.
Конечно же, это не так. От слова ВООБЩЕ.

Ошибочно считается, что прибыль ботовода зачастую практически равна прибыли от работы ботнета. Любой здравомыслящий человек понимает, что это - бредятина.

Ботнет сам по себе не возникнет. Его надо создать. А создав, его надо поддерживать. А это - ой, как дорого!

Относительно направлений и отработки разных бизнес-моделей ботнеты представляют из себя отличную платформу для реализации всевозможных вредоносных практик, способных приносить нам приличный доход.

Ниже приведу основные направления.

Спам: звучит банально, реализуется очень тяжело

Масштабная рассылка имейлов (могут содержать как рекламную продукцию, так и фишинговый контент), а также иных вредоносов (например, вымогателей).

Не так давно Краб показывал, сколько зарабатывает один из их топовых адвертов, и кто работает с рассылками. Стата была вот такая:

Готовых решений на рынке сейчас нет. Причин несколько.

Как правило, спам бота пишут под конкретные цели (партнерки).

Универсального инструмента в этом отношении не предусмотрено. Точнее, конечно, в теории есть возможность наваять какую-то общую поделку, но использовать не рекомендую.

В любом случае, спам - удел продвинутых ребят. Как в техническом плане, так и в плане денежных поступлений.

Спам-бот - это продвинутая машина для заработка денег. Спам как рассылка, по большей части, реализуется следующим образом: скрипт напрямую рассылает заранее подготовленное письмо из почты зараженного юзера.

По своей рабочей логике скрипт практически повторяет рабочие процессы вебмейлера.

Основной плюс для спамера в том, что рассылка с зараженных машин не сразу будет блокироваться и попадать в блэклисты.

При тонкой и правильной настройке можно добиться весьма приличных результатов.

Еще одним существенным бонусом является сбор имейлов из папок почты зараженной машины.Хорошие спам-базы - на вес золота.

DDoS и связанный с ним заработок.

А заработка тут не густо. Точнее, направлений.

Вы или долбите жертв сами и требуете выкуп за приостановку атак, или продаете мощности третьим лицам.

С ДДоСом все просто, на самом деле. Сам по себе он не шибко актуален. Как правило, используется в связке с другими методами атак на цель и, в большинстве случаев, для отвлечения внимания: в то время как цель подвергается массивной ДДоС атаке, осуществляется проникновение с другой стороны. Таким образом, технический отдел и безопасность будет отбиваться от ДДоСа, а злые ребята попадут в периметр, где их совсем не ждут, и останутся незамеченными.

Шантаж как таковой - не слишком популярен. Можно долбить жертву, а там окажется упоротый и несговорчивый идиот.

По итогу, только потратишь время и ресурсы, но ничего не заработаешь.

Если кто не знает, что такое ДДоС... это (очень образно) - большее число запросов на сервер жертвы, чем он может принять и обработать. По-русски, такой метод атаки еще называют “отказ обслуживания”. Он тесно связан с вымогательством (кибершантажом).

Но,как мы выяснили выше, это не самый прибыльный вариант.

Следующее и гораздо более прибыльное направление - соксы.

Мы можем поднять прокси-сервера на инфицированных машинах и продавать к ним доступ.

Хорошие, быстрые и чистые прокси, без преувеличений, на вес золота. Они нужны всем: вбивалам, арбитражникам, игрокам в покер и казино…
Клиентуры навалом. Да и расценки на качественные прокси впечатляют. Средней загрязненности socks5 стоит $1-10 в сутки. А это ОДНА машина.
Вот и считайте рентабельность.
Если сюда еще добавить backconnect модуль и возможность иметь ботов за NAT, умножаем сразу на 2.

Направление перспективное и востребованное всегда.

Также оно не требовательно к качеству трафика. Нам, по сути, пофиг на содержимое машины. Нам важна чистота и скорость соединения. Поэтому можно закупать дешевые и отстойные установки.

Кража конфиденциальных данных

Как мы знаем, на машине жертвы куча приватной инфы, которая представляет тот или иной интерес для разных людей и оценивается также по разному.

Заразив машину, у нас будет возможность стащить оттуда штуки типа банковских карт и платежных данных для входа в PayPal, eBay, Amazon и прочие сервисы. Сюда плюсуем все пароли от разнообразных сервисов и доступ к почте.

Все это прекрасно реализуется на рынке в виде так называемых логов.

Сделали пролив, стащили логи, в идеале, обработали на свой запрос и продали. Профит.

Рынок сейчас перенасыщен логами и новому продукту будет не просто.

Но также стоит отметить, что и качество логов у всех без исключения - на дне.

Следующее зашкварное направление - это майнинг

Когда-то (совсем короткий отрезок времени, кстати) это было прогрессивно и довольно профитно. Особенно, когда биток майнился на видеокарте, и вы намайненное 5-7 лет не тратили)

Сейчас ситуация плачевная. Как бы не был продвинут ваш майнер, он все равно палится проактивкой.

Но, самое главное, это тупое убийство ресурсов. Представьте, у вас есть крупнокалиберная снайперская винтовка 12,7 калибра, которая может поражать цели за укрытием на расстоянии 3 км. А вы херачите из нее по колесам бронетехники врага в 200 метрах.

Логика ясна, надеюсь?

Майнинг - не наша история вообще. Особенно при текущей ситуации на рынке, что и говорить.

Да даже если бы обстановка была благоприятной, ботов нужно использовать грамотно. Гораздо более целесообразно.

На этом, пожалуй, про майнинг закончим раз и навсегда.

Следующее, воистину, интересное направление - это adware

Сразу скажу, что адварь это весь тот софт, который показывает или заставляет юзера кликать на демонстрируемую рекламу. Не путайте с автокликером.

Адварь, как вы догадались, может работать и сама по себе. Ботнет ей не нужен.

Но мы как раз таки и рассматриваем тут бизнес-модели, которые сможем воплощать в жизнь, имея в своем распоряжении такой ресурс, как ботнет.

Про малварь расскажу чуть более детально, поскольку это направление (в связке с парочкой других) мне видится довольно перспективным.

Адварь как таковая может быть весьма умной. Заставлять юзера проходить по определенным ссылкам, собирая маркетинговую информацию о юзере и, в дальнейшем, показывая уже таргетированную рекламу.

Ту, которую юзер скорее всего кликнет, тем самым, повысив конверсию и, соответственно, продажи.

К слову, довольно безобидная штука.


Направление весьма денежное, если правильно построить стратегию и технологическую базу. Иными словами, для умных парней. А мы - парни умные, поэтому вот вам пример, как можно неплохо зарабатывать на рекламе и ботнете.

Помните, я говорил про сокс-бота? Еще сказал, что это востребовано? Так вот, следующий левел - это не просто предоставление соединения машины жертвы за деньги, а подмена DNS на этой машине и показ нужной нам рекламы.

Без жести, просто коммерция. Не надо вымогателей, локеров и прочей грязи.

Поверьте, тут можно заработать не меньше!

Если у вашего сокс-бота есть бэкконнект модуль, который позволит нам заражать и иметь активных ботов за NATом, где мы будем крутить свою рекламу, - высота высот.

Таким образом, 5-10к ботов дают на одной только фарме 10к$ в день.

Понятно, что стабильности здесь нет, но сам факт!

И это лишь одна вертикаль. Без чернухи. А сколько всего еще есть!

Такой софт, понятное дело, вам никто не продаст. Надо писать для себя и под себя. Под свои конкретные задачи.

Ну, и раз уж заговорили про рекламное направление, затронем рекламных ботов как таковое.

Нетривиальная, на самом деле, вещь - скликивание и просмотры.

Старо как мир и, местами, даже работает и приносит пару копеек.

Есть, однако, и уникумы: ребятки обзавелись своими сетями ipv4-адресов, написали скрипты, имитирующие поведение человека и скликивали себе рекламы на несколько мультов зелени в… день (кому интересно, гугл: Methbot).

Подводных камней множество, и надо знать внутреннюю кухню.

Не достаточно просто взять и налить просмотров. Есть ряд показателей, которые прямо указывают на фрод. Тот же CTR.

По идее, с ростом просмотров, должна и в условной пропорции расти и конверсия.

А откуда ей расти, если мы мертвых душ гоняем? Сразу бан получит такой партнер. Короче, тонкостей дофига. Но если знать куда это пристроить, можно очень неплохо зарабатывать.

Печальный пример приведу. Был такой ветеран рунета nastra. Он реализовал подобную схему с серверами.

Объединил их в кластер и отматывал просмотры, предварительно договорившись с каким-то там агентством.

В определенный момент с агентством получился некий затык и те не захотели настре платить.

Тот взял и отмотал просмотры на десятки миллионов,типа решил отомстить.

Итог - приняли и экстрадировали в США.

Но, мораль не в этом. А в том, что можно найти свои пути и зарабатывать.

Кому интересно, гугл: nastra, Александр Жуков.

Вообще, не стоит забывать, что ботнет - это огромный массив вычислительных мощностей. С DDoS все понятно.

Но есть же еще и миллион других направлений, где можно эти мощности использовать.

Например, написать софт по подбору seed-слов для кошелька Ethereum, объединить машины в кластер и пустить в работу.

Ну, или любой другой брут, что угодно.

И, как финальный вариант: всегда можно выгодно сдать в аренду или продать свой ботнет, если не смогли / не захотели / нет времени заниматься. Может быть прибыльно. Но все же не желательно.

Вообще, такими услугами должны пользоваться недоумки и недотепы. Зачем арендовать ботов, которых уже до тебя выжали по 100 раз?

И еще , подумайте: вы бы сдали в аренду свой автомобиль?) То-то же.

Если мы прям совсем дебилы, и мозгов у нас супер мало (а то и вовсе нет), то можем “искать чужие линки/запросы” у себя в логах.

Так можно делать. Почему бы и нет, если да. Размещаем тему и ждем таких же идиотов.

Идиоты обращаются и палят свои запросы, а вы их потом отрабатываете самостоятельно.

Ну, а если вы умны? Тогда вы сможете разработать свою уникальную софтину и просто сдавать ее в аренду. То, что на умном языке называется Malware as a Service.

Типичным представителям этого сословия является ранее уже упомянутый GandCrab.

Суть подхода в том, что вы сдаете в возмездное пользование ваш софт или вашу инфраструктуру. Иногда - и то и другое.


Дополнительная монетизация ботнета

Направлений в этом отношении есть несколько.

Расширение или по вертикали или по горизонтали.

По вертикали - это когда вы вы подключаете иной функционал к вашему боту, который изначально не планировался и монетизируете его.
Например, тот же самый SMOKE бот: изначально взяли лоадер и продаете загрузки после того, как отжали все сами, а тут решаете еще и ддосом заняться. Докупаете отдельный модуль и начинаете сами, своими силами монетизировать ддос.

Расширение по горизонтали - это когда вы берете в условные партнеры человека, который будет обрабатывать неиспользованные вами ресурсы.
Что это значит? Допустим, вы обрабатываете собранные вами логи на палку. Остальные запросы не трогаете. Берете себе в партнеры человека, который работает с амазоном, и выдаете ему его запрос. Обсуждаете, какие данные ему нужны, вырезаете их из лога (это все, кстати, можно прекрасно автоматизировать) и отдаете на отработку.

Надо просчитывать все варианты наперед в случае, если основной вид вашей деятельности, приносящий вам прибыль, завтра вдруг прикажет долго жить. В этой связи бот должен быть условно универсальным. Более того, таких партнеров желательно заиметь несколько человек, и лучше на постоянку. В ходе исследования рынка предлагаю вам посмотреть какие запросы и в каком количестве выкупаются на разных форумах. Изучаем отзывы, выбираем, кто нам интересен, прикидываем примерный объем материала и ДО старта наводим мосты.

За спрос денег не берут. Ничто не мешает сначала договориться, а потом начать давать результат. Потому как, если материал у вас на руках уже имеется, а вы только ищете куда его слить, надо задаться вопросом: все ли я делаю правильно? Спойлер: не все.

Небольшое предостережение относительно продажи акков. Крайне важный и не всем очевидный момент относительно продажи ваших кровно добытых акков с логов.

Предположим, вы нормально проливаете, у вас куча ботов и вы их отрабатываете на свои запросы. При этом у вас остается 98% нетронутого материала.
Оно и понятно, охватить все - просто не реально. Да и нет смысла, на самом деле. Что приходит на ум в такой ситуации? Правильно. Начать продавать аккаунты.
Вы, ничего не подозревая, идете на форум или телеграм-канал какой-то и начинаете продавать невостребованные акки. Только есть одно небольшое НО. Продав условный Bank of America вы можете не знать, что на том же боте у вас висит жирный PayPal или иной сервис, который вы активно долбите.
Понимаете примерно, что произойдет дальше? Покупатель пойдет долбить свой запрос, холдер поймет, что заражен, снесет операционку и вы потеряли бота.

Когда вы теряете бота по своей вине и в результате вашей же работы - это одно.

А когда вам угандошили бота, который мог принести потенциально тысячи долларов, а вы заработали за его продажу каких то жалких 15 баксов, “это фиаско братан…”.

Я настоятельно рекомендую привить себе “аккаунтовую чистоплотность” . Пока сами не отожмете по максимуму бота - ничего с него не продавать.

Если решили продавать акки, то продавайте исключительно со старых ботов, которых вы выпотрошили как могли на все свои возможные вопросы.

Это не призыв расширятся вертикально в другие направления. Это, скорее, небольшая ремарка о правильной и ВЫГОДНОЙ работе с вашим материалом.

Идеальная история - это когда ботнет отработал какое-то время (условные 4-5 месяцев), вы слили все логи и переехали на другой сервер.

Предварительно отработав все логи, можно их распродавать. Логи с нового сервера оставляем себе. Цикл повторяем.


На этом сегодня всё, в следующей статье разберём подготовку и запуск ботнета.


🌌Dark Warehouse - Склад интересных вещиц.

🕸Shadow Shop - Магазин цифровых товаров.

💎RefPay - Бот для пассивного дохода.

💬Lamers Chat - Свободный чат. Общение на любые темы.