24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Дело в том, анон, что надо спроектировать такую схему управления ботнетом, чтобы товарищ майор не уничтожил его. Конечно, помимо майора будет дохуя всяких желающих, мамкины хакеры, желающие после уроков попердолиться с исходниками и запросами, конкуренты, на больших объемах - специалисты антивирусных компаний. Их всех будем называть просто майором. Тем более что реальную угрозу представляет таки майор, ибо обладает самым большим набором средств противодействия. Если одиночный специалист может угнать или уничтожить ботнет ТОЛЬКО в случае, если он изначально хуево спроектирован, то специалисты АВ-компаний могут уже и доменов нарегать на 5 лет вперед, и тратить человеко-ресурсы на аудит. Обычно майор при уничтжении большого ботнета работает в связке с антивирусными компаниями. Точнее работают только они, а майор подписывает заявления на блок доменов, изымает сервера, и т.п., применяя свои юридические полномочия.
Учитывайте, что речь идет о МОБИЛЬНОМ ведроид-ботнете в условиях рахи. То есть, бот будет мало часов онлайн, постоянные перебои в связи, скорость инета - в лучшем случае 3-4G.
К чему пришли в прошлом треде: 1. Все команды от ботмастера должны подписываться ЭЦП. Да и вообще вся инфа от ботмастера. Этим гарантируется, что только ботмастер сможет рулить ботнетом, и даже если майор захватит управляющие сервера, то нихуя не сможет приказать ботнету, ибо команды будут нелегитимны. 2. Были высказаны идеи по управлению. 2.1 - с помощью выдачи гугла. Постим пост на сосачекаком-нибудь популярном сайте, через пару часов он в выдаче - боты находят команду. 2.2 - диапазоны IP хостинга. Бот пробегается по всем ip хостера, ищет на одном из них управляющий сервер. Получает команды. При бане этого сервера, просто регаемся вновь на этом хостере. Все что может сделать майор - заставить хостера переблочить все свои собственные ип. Хостинг можно менять раз в месяц/год/тысячелетие. Правда остается вопрос. Хостер может вносить в бан-базу все IP ботов, которые заходят на управляющий сервер. Но так как у большинства динамический ип, то это прямое ущемление других людей. Тем более на мобилах, где статик ипа в принципе нет.
Что хотелось бы выяснить в этом треде: 1. Как получать инфу от ботов назад к ботмастеру? Ясен хуй, ее тоже подписывать. Чтобы майор не отправил нам всякой хуйни. Например, бот спиздил нечто очень важное, как это от него получить? 2. Как можно реализовать ретрансляцию команд по ботам? Например, какой-то бот нашел свежую команду и давай другим ботам ее рассказывать: ПОСАНЫ, Я КОМАНДУ НАШЕЛ!!!! ГО, Я СОЗДАЛ. РАССКАЖИ 5 СВОИМ ДРУЗЬЯМ. Это было бы идеально. Этим можно решить дохуя проблем. Например, не палить IP'ы всех ботов. Если хоть 1 бот нашел команду - он распиздит ее всем остальным, а те остальным, по цепочке. Только вот вопрос. Как коннектится напрямую к другим ботам, если если они оффлайн 90% времени сука у них нет постоянного IP? Вообще признаюсь, что я не секу в p2p.
>>89472229 Да в прошлом треде 70% постов было про ЭЦП и ассиметричное шифрование. Про саму схему управления - только варианты с выдачей гугла и диапазонами ип.
Выдача гугла выглядит не очень надежно, и что будет делать бот, если гугл спросит капчу? p2p система тоже не внушает доверия, непонятно, как быстро сеть сможет принять новую команду, нет статистики и прямого управления, функционал теряется.
>>89473480 Да нет, упоминали все, просто подробно разобрали не все варианты. Большой ботнет так или иначе спалится и на него начнется охота. Даже не майоров, а разнообразных хостеров и провайдеров. Мб имеет смысл косить под кучку маленьких ботнетиков васяна из 9б. На них всем похуй.
>>89473510 >и что будет делать бот, если гугл спросит капчу? Я готов ответить, "введет капчу через антигейт, хуйня вопрос", но трабл таки сохраняется, ибо майор может заблокировать акк на антигейте.
Ибо любой сервис по вводу капчи по первой же, даже неофициальной просьбе майора выпилит к хуям этот акк. Ибо нахуй антигейту геморой с ебаным ботнетом.
Почитал, улыбнулся. К чему такие ебаные сложности? ЭЦП, хуёмоё? Чего ты хочешь добиться хуяря такой велосипедус на ведроиды? Доступ к инфе? От кого? От рутованных школяров?
Ботнет юзал сеть TOR для подключения к командному серверу. "Не представляется возможным установить оригинальный адрес C&C или его домен при работе с TOR"
В принципе, раскрыть реальный IP командного центра - значит взломать тор?
>>89480050 >сложности >ЭЦП Пиздец сложность. Уходи подмываться, маня. Олсо, есть куча методов монетизации, ты просто их не знаешь и думаешь что это все бесполезно и не приносит денег, но это не так.
>>89480146 >2015 год, защита устройств заебись MMMMMMMAAAAAAAXIMUM LAL. Вся защита - галка "Неизвестные источники" в меню ведра. Юзер сам ее снимает, если любитель качать ништяки с 4пда и прочего говна. Антивирусы на ведре юзает очень мало людей, да и с комповыми они не сравнятся.
>>89481920 На дневном как обычно школьники со своим маня-мирком. Где никто нихуя не умеет и только смотрят смешные мемосы на сосаче. Для тебя специально отвечу: да, нихуя не умею, ничем не занимался, все эту хуйню прочитал на лурке.
Кулхацкеры, сам в хакерстве не бум-бум, но есть идея попробовать свои силы под андроид. 1) С чего начать? 2) Какое устройство пойдет на старте для испытаний? Пока есть айфон 5, то есть продать могу где-то за 14-15к. за эти же деньги увидел пока sony z1/z2 или nexus 5.
>>89490151 Да в этом треде тебя скорее осмеют. Тут серьезные дядьки обсуждают серьезный софт. А ты со своей детской хуйней лезешь. Я тебя не прогнал только потому что я добрый
>>89490620 Не ебем. Криптовка под ведром не нужна. И если под винду нормальный рабочий вирус может написать только действительно охуенно шарящий чел, то под ведро - любой школотрон.
"Последние несколько месяцев количество активных клиентов Tor оставалось более-менее стабильным, около 500 тыс. Но две недели назад числа внезапно начали расти, и очень быстро. В течение недели число онлайн-клиентов Tor утроилось, а на начало сентября составило 2,5 млн." - лол. Помню тогда еще говорили, что это пидорахи в связи с каким-то запретом на инет массово перекатились на тор. Фантазии фантазии
Возможно кто-то помнит кстати партнерку, платившую за инсталлы одной хуйни на ведро. Там был софт, автоматом отправлявший смс по ночам. Интересные были времена
>>89504588 Сразу несколько косяков в схеме. 1. Свитер начнет автоматически банить хештеги ботнета. Даже хештег от даты на 100 лет вперед - будет забанен. Можно канеш менять формат, но геморой будет обеспечен. Ноэто даже не главная проблема, смотрим дальше. 2. Свитер будет банить ip ботов, просматривавших этот хештег. Он даже банить сами теги не будет, просто будет запоминать кто его смотрел и будет банить. 3. >domain.com Ну очевидно же, что майор забанит домен.
>>89505811 >Откуда у твиттера алгоритм генерации хэштегов Поглядит в коде бота, очевидно же. Любая инфа о боте, его соединениях - открыта. Точнее формально закрыто, но специалисты АВ-компаний отреверсят бота и сообщат свитору алгоритм генерации
>>89505426 Открою тебе небольшой секрет, для аверов вообще похрен какая функциональность у малвары. Главное это детект.
Так называемые ресерчи делаются лишь для пиара и для того чтобы поехать на конференцию и попить пива с коллегами.
Но это АВ-конторы.
Существуют другие конторы, типа FoxIt или Group-IB, у которых своих продуктов почти нет, но начинают работать они когда к ним приходят жертвы, прося расследовать конкретный кейс. Тут уже другие правила.
>>89506005 >специалисты АВ-компаний отреверсят бота и сообщат свитору алгоритм генерации это произойдет только если твой ботнет будет чем-то выделятся среди других.
>>89506149 >для аверов вообще похрен какая функциональность у малвары. Главное это детект Хмм, спс, в принципе, не думал об этом. В большинстве случаев это действительно так, но. Если ботнет будет хоть немного крупным, они вполне могут выделить пару человек на день, чтобы они поковырялись в ботах. Да и выдернуть алгоритм генерации хешей - дело 10 минут для специалиста. Труда тут нет.
>>89506696 >они вполне могут выделить пару человек на день Вот тут ты ошибаешься. Соображающих людей в АВ-конторах очень мало, в основном это обезьяны, лепящие детект на файлы. >>89506696 >Да и выдернуть алгоритм генерации хешей - дело 10 минут для специалиста. Труда тут нет. Да только вот ты похоже никогда не участвовал в переписке с корпорациями типа twitter или facebook. Там делается все не очень быстро. Чтобы убить твой ботнет уйдет как минимум неделя-две.
>>89470800 тред не читал но однако намекаю, чтобы получить ботнет НАДО УМЕТЬ ПРОГРАММИРОВАТЬ
у дебила по кличке оп об этом не слова, и сколько времени это займет и как будет распространяться, у него про какое-то шифрование/антивирусы. в то время как он не сможет даже в поддержку соединений, я уже не говорю по недели работы, и вброс на форумы и еще куда.
допустим дебил по кличке оп оказался не дауном внезапно! и все таки сделал, но при первой же установке авастодебилом файл вышлют на детект в контору, поскольку неизвестные файлы таки высылаются всегда. и тут то и начнуться вопли в комментах и блокировки.
НЕКАЧАЙТЕ ТАМ ВИРОС, У МЕНЯ БРАТ УМЕР И ПРИСТАВКА ДОНДИ СГОРЕЛА!!!
>>89510246 Да что ты знаешь блять об этом вообще? Тупой ебасос. Иди портфель собери, да на лекции не обосрись. Просто ты такой даунизм пишешь, что пиздец. У меня даже подгорело слегка.
Механизм управления != написание самого пейлоада. И != механизм распространения, получения инсталлов.
Ну а >НЕКАЧАЙТЕ ТАМ ВИРОС, У МЕНЯ БРАТ УМЕР И ПРИСТАВКА ДОНДИ СГОРЕЛА!!! говорит о том, что ты ебаный диван и нихуя в сети распространять не пробовал. Пробовал - знал бы, что лохов на руси на 200 лет припасено. И любую парашу радостно скачают и добавки попросят. Я уж не говорю, что далеко не везде есть комменты, где это можно написать
Прошлый: http://arhivach.org/thread/72560/
Дело в том, анон, что надо спроектировать такую схему управления ботнетом, чтобы товарищ майор не уничтожил его.
Конечно, помимо майора будет дохуя всяких желающих, мамкины хакеры, желающие после уроков попердолиться с исходниками и запросами, конкуренты, на больших объемах - специалисты антивирусных компаний. Их всех будем называть просто майором.
Тем более что реальную угрозу представляет таки майор, ибо обладает самым большим набором средств противодействия. Если одиночный специалист может угнать или уничтожить ботнет ТОЛЬКО в случае, если он изначально хуево спроектирован, то специалисты АВ-компаний могут уже и доменов нарегать на 5 лет вперед, и тратить человеко-ресурсы на аудит.
Обычно майор при уничтжении большого ботнета работает в связке с антивирусными компаниями. Точнее работают только они, а майор подписывает заявления на блок доменов, изымает сервера, и т.п., применяя свои юридические полномочия.
Учитывайте, что речь идет о МОБИЛЬНОМ ведроид-ботнете в условиях рахи.
То есть, бот будет мало часов онлайн, постоянные перебои в связи, скорость инета - в лучшем случае 3-4G.
К чему пришли в прошлом треде:
1. Все команды от ботмастера должны подписываться ЭЦП. Да и вообще вся инфа от ботмастера. Этим гарантируется, что только ботмастер сможет рулить ботнетом, и даже если майор захватит управляющие сервера, то нихуя не сможет приказать ботнету, ибо команды будут нелегитимны.
2. Были высказаны идеи по управлению.
2.1 - с помощью выдачи гугла. Постим пост на сосаче каком-нибудь популярном сайте, через пару часов он в выдаче - боты находят команду.
2.2 - диапазоны IP хостинга. Бот пробегается по всем ip хостера, ищет на одном из них управляющий сервер. Получает команды. При бане этого сервера, просто регаемся вновь на этом хостере. Все что может сделать майор - заставить хостера переблочить все свои собственные ип. Хостинг можно менять раз в месяц/год/тысячелетие.
Правда остается вопрос. Хостер может вносить в бан-базу все IP ботов, которые заходят на управляющий сервер. Но так как у большинства динамический ип, то это прямое ущемление других людей. Тем более на мобилах, где статик ипа в принципе нет.
Что хотелось бы выяснить в этом треде:
1. Как получать инфу от ботов назад к ботмастеру? Ясен хуй, ее тоже подписывать. Чтобы майор не отправил нам всякой хуйни. Например, бот спиздил нечто очень важное, как это от него получить?
2. Как можно реализовать ретрансляцию команд по ботам? Например, какой-то бот нашел свежую команду и давай другим ботам ее рассказывать: ПОСАНЫ, Я КОМАНДУ НАШЕЛ!!!! ГО, Я СОЗДАЛ. РАССКАЖИ 5 СВОИМ ДРУЗЬЯМ.
Это было бы идеально. Этим можно решить дохуя проблем. Например, не палить IP'ы всех ботов. Если хоть 1 бот нашел команду - он распиздит ее всем остальным, а те остальным, по цепочке.
Только вот вопрос. Как коннектится напрямую к другим ботам, если если они оффлайн 90% времени сука у них нет постоянного IP? Вообще признаюсь, что я не секу в p2p.