Professional Documents
Culture Documents
Botnet Siec Komputerow Zombie Dawid Farbaniec Helion
Botnet Siec Komputerow Zombie Dawid Farbaniec Helion
Botnet. Sieć
komputerów
zombie
Ridero
2021
© Dawid Farbaniec, 2021
ISBN 978-83-8245-717-9
Książka powstała w inteligentnym systemie wydawniczym Ridero
Spis treści
Słowem wstępu 5
Legalność i kwestie prawne 6
0x01. Sentymentalnie? Malware made in Poland
(okolice roku 2000) 8
0x02. Cyfrowa broń to pożądany produkt 12
0x03. Kto to jest etyczny haker? 16
0x04. Co to jest botnet? 18
0x05. Technologia C&C (C2) 21
0x06. Zastosowanie DNS w sieciach typu botnet 25
0x07. Connect&Forget botnet 27
0x08. File/URL-based botnet 29
0x09. Metody zbierania nowych botów 31
0x0A. Do czego używany jest botnet? 32
0x0B. Zalecenia dot. bezpieczeństwa 34
0x0C. Analiza przykładowego bota 36
0x0D. Wykaz literatury (bibliografia) 40
Słowem wstępu
5
Legalność i kwestie
prawne
6
dentom np. wykładowca czy inna osoba zajmująca się
nauczaniem. Autor, wydawnictwo i sklepy udostęp-
niające tę publikację nie ponoszą odpowiedzialności
za niezgodne z prawem użycie jakiegokolwiek frag-
mentu tych materiałów. Czytelnik oświadcza, że z za-
mieszczonych treści i kodów komputerowych korzy-
sta na własną odpowiedzialność oraz, że nie będą one
używane niezgodnie z prawem.
7
0x01. Sentymentalnie?
Malware made
in Poland (okolice roku
2000)
8
Rysunek 1. Architektura klasycznego konia trojańskiego
9
Rysunek 2. Koń trojański NetBus (1998 r.)
10
Rysunek 3. Koń trojański Prosiak (made in Poland)
11
0x02. Cyfrowa broń
to pożądany produkt
12
dzy tajemnej. Nie popieram przestępstw w postaci
tworzenia i rozsyłania malware. Ale czy ignorowanie
zagrożenia jest dobrym rozwiązaniem?
13
lub zmienianie danych informatycznych o szczególnym
znaczeniu §1 lub 2 albo art. 269a zakłócanie pracy systemu
informatycznego, teleinformatycznego lub sieci teleinfor-
matycznej, a także hasła komputerowe, kody dostępu
lub inne dane umożliwiające nieuprawniony dostęp do in-
formacji przechowywanych w systemie informatycznym,
systemie teleinformatycznym lub sieci teleinformatycznej,
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
14
oprogramowaniu i nie traktowaniu ludzi i badaczy,
którzy zajmują się testami bezpieczeństwa systemów
informatycznych jak przestępców.
15
0x03. Kto to jest
etyczny haker?
16
Rysunek 4. Białe i czarne kapelusze wśród hakerów
17
0x04. Co to jest botnet?
18
Warto zaznaczyć, że jeśli ktoś wgra nawet na kil-
kadziesiąt komputerów konia trojańskiego, to słowo
botnet jest określeniem na wyrost. Mały botnet za-
czyna się, gdy zainfekowane jest od kilkuset do kil-
kutysięcy maszyn. Historia może poświadczyć, że ar-
mia komputerów zombie potrafiła rozrosnąć się
do liczby milionów botów. Na przykład sieć botnet
Bredolab liczyła około 30 milionów maszyn1. Idąc
tym tropem można wywnioskować, że zamiary złego
hakera są inne, gdy stosowany jest Remote Access Tro-
jan i celem jest mniejsza liczba komputerów,
niż podczas masowej infekcji. Jeśli zły haker przej-
mie kontrolę nad mniejszą liczbą maszyn, to może
pozwolić sobie na ręczne przeglądanie plików
czy inne indywidualne akcje. Natomiast szkodliwe
działania zmieniają się, gdy mowa jest o dziesiąt-
kach tysięcy maszyn lub więcej. Możliwe jest wtedy
skuteczne wykonanie rozproszonego ataku odmowy
usługi (ang. Distributed Denial of Service) powodujące-
go np. wyłączenie określonej witryny internetowej.
Jako najprostszy do wyobrażenia przykład można
podać tutaj platformę sprzedażową. Wyłączenie wi-
1
https://web.archive.org/web/20120430215206/ http://www.thetechherald.com/ar-
ticles/Researchers-Bredolab-still-lurking-though-severely-injured-(Upda-
te-3)/11757/ [dostęp: 29-05-2021 r.]
19
tryny równa się zatrzymaniu sprzedaży, czyli brak
zysku i straty.
20
0x05. Technologia
C&C (C2)
21
różnia się tym, że łatwo taką architekturę zaprojekto-
wać. Zły haker stawia serwer/usługę i wydaje przez
to polecenia dla sieci botów. Można się domyślić,
że jeśli coś ma sterowanie scentralizowane, to w przy-
padku wykrycia miejsca dowodzenia do zlikwidowa-
nia jest jeden obiekt.
22
Rysunek 6. Botnet ze sterowaniem centralnym — schemat
24
0x06. Zastosowanie
DNS w sieciach typu
botnet
25
Rysunek 8. Wieloadresowość w sieciach typu botnet —
przykładowe wpisy DNS
26
0x07. Connect&Forget
botnet
27
Rysunek 9. Botnet typu Connect&Forget — schemat
28
0x08. File/URL-based
botnet
29
Rysunek 10. Botnet bazujący na pliku/URL — schemat
30
0x09. Metody zbierania
nowych botów
31
0x0A. Do czego
używany jest botnet?
32
0x06. Kradzieży danych i własności intelektualnej
0x07. …i inne.
33
0x0B. Zalecenia dot.
bezpieczeństwa
34
z komputera
35
0x0C. Analiza
przykładowego bota
https://any.run/
36
Rysunek 11. Żądania HTTP pliku bluebotnet. exe
64a1d0dfdbd8cf4ff63682bfc748b1c2
37
Rysunek 12. Operacje na plikach i rejestrze wykonywane
przez program bluebotnet. exe
38
Rysunek 13. Dekompilacja fragmentu pliku bluebotnet. exe
39
0x0D. Wykaz literatury
(bibliografia)
40
Michael Hale Ligh, Steven Adair, Blake Hartstein,
Matthew Richard, 2011 — Malware Analyst’s Cookbook
and DVD. Tools and Techniques for Fighting Malicious
Code, ISBN: 9780470613030
https://web.archive.org/web/20120430215206/http://
www.thetechherald.com/articles/Researchers-Bredolab-
still-lurking-though-severely-injured-(Update-3)/11757/
[dostęp: 29-05-2021 r.]
https://news.microsoft.com/apac/2020/10/13/microsoft-
takes-action-to-disrupt-botnet-and-combat-ransomware/
[dostęp: 29-05-2021 r.]
https://www.usenix.org/legacy/event/sruti05/tech/
full_papers/cooke/cooke_html/ [dostęp: 29-05-2021 r.]
41