6 Antworten in diesem Thema

[SAR]

Moin,

ich spiele grade Gedankenspiele, in denen es um dezentrale Botnetze geht. Möglicherweise will ich das auch praktisch umsetzen. .png' class='bbc_emoticon' alt='^^' />

Meine Überlegung ist folgende: Der Vic lädt sich den Server runter. Der neue Zombie verbindet sich mit dem Host und empfängt 4 Adressen von anderen Vics. Der Host hat eine Liste, wer schon alles angemeldet ist.
Sollte nun eine Attacke erfolgen, sendet der Host einen entsprechenden Befehl an einen beliebigen Client. Der Client arbeitet seine 4 Adressen ab und schickt an diese den neuen Command. Diese wiederum arbeiten ihre Liste ab usw.

Dort gibt es jetzt mehrere Probleme, aber mein Hauptproblem ist die Befehlsübertragung.
Der beste Übertragungsweg wäre: Ne Nachricht an die entsprechende IP. Hier ergeben sich aber zwei Probleme: 1. Die IP bleibt nur 24h erhalten und 2. hat jeder Router ne Firewall.
Problem 2 lässt sich mit einigen Umwegen mit dem Lochtrick beheben. Problem 1, nur in der Annahme, dass alle Vics daueron sind und ihre IP Änderung den anderen bekannt macht. Ist aber leider nicht der Fall.

Andere Möglichkeiten wäre öffentliche Dienste. Als Beispiel IRC oder andere öffentliche Chatrooms. In einen Channel kommen 4 Bots, von denen jeder wieder in anderen Channeln ist.
Bei einem großen Netzwerk von Bots - sprich etwa 12k - bedeutet das aber, dass etwa 3k an verschiedenen Chatrooms vorhanden sein müssen. Das erregt aber wieder unnötig Aufmerksamkeit.


Da dies ein Brainstorming sein soll, könnt ihr soviele Ideen raushauen wie ihr wollt - auch wenn sie für euch Schwachsinn ist. Möglicherweise kennen andere nen Kniff oder kommen durch die Idee auf eine neue.

Mal sehen wie sowas hier angekommt, falls ja alles gut läuft, könnte man weitere solcher Threads erstellen und damit hier ein bisschen (mehr) Leben reinbringen. .png' class='bbc_emoticon' alt='^^' />



Mfg.
SAR

[juPP]

Mh ohne zentralen Server wirds schwer... Soweit mit bekannt haben selbst p2p netzwerke zentrale server, die die einzelnen clients untereinander bekannt machen. Am sinnvollsten für ein botnet wäre eine vermaschte Topologie, wobei da auch wieder das Problem ist das du in jeder "masche" mindestens einen vic brauchst der den server für die clients dieser masche übernimmt.... sprich du bräuchtest in jeder masche ein vic der UpnP aktiviert hat....

ich habe mir auch schon öfters Gedanken dazugemacht, jedoch ist das ein recht verzwicktes Thema.... gerade dann wenn es um die Übernahme von Bots durch einen Angreifer geht... Bezogen auf p2p müsste irgendwie festgestellt werden ob ein befehl trusted ist

Ich hatte auch schon den ansatz Bots einfach nach befehlen crawlern zu lassen, aber auch da ist wieder das Problem wie erkennt ein bot ob ein befehl auch von mir kommt und von niemand anderm .... (... denn würde man praktisch die bots ihre befehle auf pastebin oder so suchen dann würde ein potentieller whitehat ja einfach nach dem ersten reserven einfach einen nach diser struktur aufgebauten paste verfassen und würde so super easy deine bots killen oder übernehmen .... )

[SAR]

Zum Verifizieren dachte ich an einen simplen MD5 indem Daten wie Monat und Tag enthalten sind.
Je nach Übertragungsgeschwindigkeit der Befehle, könnte man auch noch die Stunde dazunehmen - dieser Hash ist dann z.B. mehrere Stunde gültig. (Kommt wie gesagt auf die Geschwindigkeit der Befehlsverteilung an)

Und grade wenn - ich sags mal krass - ein feindlicher Hacker das Botnet übernehmen will, dann hat er gute Chancen, wenn er den Server decodiert.

Andererseits könnte man das P2P-Netz splitten. In sagen wir mal 5 Netzwerke. Wobei es immer Clients gibt die in mehreren Netzwerken vorhanden sind. Bei jedem Bot läuft ein zufälliger Timer - vergleichbar mit

Please Login HERE or Register HERE to see this link!

- und irgendein Bot generiert einen (zufälligen) Schlüsselpaar. Dieses Schlüsselpaar wird in die anderen Netzwerke überführt und ein Cmd muss immer alle Schlüsselpaare in der richtigen Reihenfolge enthalten, damit er angenommen wird.
Dazu könnte man noch ne Lösung wie oben angesprochen dazupacken. Aber es kommt alles darauf an, wie lang es dauert bis irgendein Cmd bei jedem Bot gelandet ist.


Ja, ist wirklich ein verzwicktes Thema. Aber auf der anderen Seite, hat man dann keine Probleme mehr was nen kicksicheren Root angeht.



Mfg.
SAR

Bearbeitet von SAR, 14 November 2013 - 21:51 Uhr.

[Atrax]

Nachrichten kann man mit asymmetrischer Verschlüsselung sichern. RSA/ECC dann ist die Kommunikation sicher.

Bei P2P ist nur der Bootstrap Prozess schwierig. Das beste ist ein paar statische IP Adressen in die binary hardzucoden. Keine Domains, sondern IPs! Wenn nur eine davon erreichbar ist reicht das um ein neuer vic ins p2p netz zu integrieren.

UPNP und das ist lustig

Please Login HERE or Register HERE to see this link!

Manche p2p bots nutzen statische ip adressen als node, falls incoming connections nicht gehen wollen...

[SAR]

Stimmt. RSA wäre auch noch ne Möglichkeit. Man sollte die Befehle aber noch irgendwie weiter sichern, damit man die Befehle nicht C&P kann.

Hab mir mal durchgelesen wie das funktioniert. Und ich bin beeindruckt.
Meine jetztigen Versuche vom Lochtrick liefen mit einem weiterem Server zur Synchro ab - und es wurde vorausgesetzt das der Host und Client sich bereits vorher kennen.

Problematisch ist aber das integrieren von neuen Bots.
Ein neuer Client meldet sich beim Controller (um Datenstrom nicht allzu auffällig zu machen, sollte man das auf tägliche Abfragen - die vllt 10min gehen - beschränken. Jemand der 24/7 nen Ping an 3.3.3.3 (o.ä.) im 5s Takt sendet, fällt ziemlich auf). Er bekommt 4 Adressen von anderen Bots - ich sag mal von xx, yy, xy, yx.
xx, yy, xy und yx müssen die Adressen von dem neuen Client bekommen - läuft über den/einen Controller. Die geben sich den Handshake und gut ist.
Wenn jetzt xx offline geht, dann sollten die anderen seine IP vergessen. Kommt xx jetzt wieder online, läuft das gesamte Prozedere erneut beim Controller ab.

Meiner Meinung nach ist das Netzwerk so ziemlich flexibel.


Wenn man das von Anfang an betrachtet: ein Controller muss vorhanden sein. Kann auch ein Root sein oder Rechner die man schon mit Loadern infiziert hat.

Vergesst die obere Geschichte. Dadurch müssen die Controller ja jede IP-Adresse kennen oder einen großen Teil. Wenn man also nicht im P2P-Netz ist und alle Controller werden abgeschossen, dann kann man das gesamte Netz in die Tonne treten.


Mfg.
SAR

[Atrax]

Warum lernst du nicht von zeroaccess?

Please Login HERE or Register HERE to see this link!

[S3RB31]

Aus dem neuen inception ezine:

http://jsbin.com/eYaQufo/9
https://www.dropbox.com/s/9f1wrvpvzblcf25/inception_en.zip