Коллектив Авторов - Цифровой журнал «Компьютерра» № 169

Затраты на организацию «бюджетного» ботнета на сегодняшний день составляют всего порядка 600 долларов. При этом владелец такой сети вовсе не обязан разбираться в программировании и сетевых протоколах — за эти деньги он может получить не только свежий код, защищённый хостинг и криптографические услуги, но и круглосуточную техническую поддержку, регулярные обновления и любой другой сервис, уровню которого позавидуют иные международные корпорации.

Из чего же складывается цена «бюджетного» ботнета, и как найти людей, предоставляющих такие услуги? Вы будете смеяться, но достаточно набрать в поисковой строке браузера слово «ботнет», как вы получите огромное количество ссылок на форумы, в которых вам предложат всё, что вы только пожелаете. Специально оговоримся, что эта статья — вовсе не инструкция по ограблению банка и прочей противоправной деятельности, а лишь общее описание доступных на рынке предложений. Поэтому здесь не будет никаких прямых гиперссылок — любопытствующие без проблем отыщут все упомянутые нами продукты и услуги самостоятельно и не станут забывать о статьях 272 и 273 Уголовного кодекса РФ.

Прежде чем начинать строительство ботнета, вам требуется как можно тщательнее скрыться от внимательных глаз — антивирусных компаний, специалистов по безопасности, конкурентов и, конечно, правоохранительных органов. Для этого вам нужен провайдер виртуальной частной сети (VPN), который не будет интересоваться вашим настоящим именем, который не станет никому раскрывать ваши логи по юридическим или техническим причинам и который принимает оплату через анонимные платёжные системы.

Внимательнее читайте пользовательские соглашения и правила приглянувшегося провайдера. Член хакерской группы LulzSec Коди Кретсингер был арестован только потому, что VPN-провайдер HideMyAss.com в соответствии с условиями обслуживания предоставил полиции все логи после получения официального запроса.

Типичный VPN-провайдер CryptoVPN просит за свои услуги около 25 долларов в месяц или около 200 долларов в год. Принимаются платежи через Bitcoin, Liberty Reserve и прочие анонимные сервисы.

Цена — 25 долларов в месяц

Спрятав свою сеть, нужно найти надёжное место для хостинга центра управления ботнетом. Его стоит искать там, кому всё равно, чем вы занимаетесь на их серверах и кто не будет вычищать ваш специфический софт в ходе регулярного антивирусного сканирования. Такие хостеры расположены либо в странах с либеральным отношением к компьютерному пиратству, либо в государствах, не склонных сотрудничать с иностранными правоохранительными органами.

Типичный пример — румынский хостинг HostimVse с сайтом на русском языке, предлагающий размещение сайтов с пиратским и порнографическим контентом, защищённый от атак конкурентов, претензий со стороны пользователей и недоступный для действия американского закона DMCA. Компания также предоставляет дополнительные услуги, включая защиту от DDoS-атак. Цена на выделенный сервер начинается с 30 долларов в месяц, но в правила обслуживания входят условия, позволяющие в случае обнаружения ботнет-активности аннулировать договор.

Специально для ботнетов и прочего malware существуют особые сервисы, которые обычно рекламируются исключительно через тематические форумы, а для контакта используется ICQ или Jabber. Многие из них предлагают техническую поддержку по телефону или Skype и услуги по настройке Apache.

Цена — от 50 долларов в месяц плюс плата за поддержку

Для надёжной связи с ботами вам потребуются доменные имена с полным доступом к настройкам DNS. Чтобы избежать быстрого выявления «командного центра» при подключении к заражённым сетям, понадобится несколько доменных имён.

Регистратор таких доменных имён не должен проявлять повышенного интереса к вашей личности и должен принимать платежи через анонимные службы.

Существенно усиливает безопасность доменов использование технологии маскировки Fast Flux, скрывающей реальные IP-адреса путём быстрого изменения (в течение нескольких секунд) IP-адреса в записи DNS на адреса из числа любых входящих в ботнет машин. В двухпоточных сетях (double-flux) используется дополнительный уровень — сервисная сеть ботов, IP-адреса которой также постоянно меняются, что обеспечивает дополнительный уровень защиты.

В отличие от доменов, услуга Fast Flux стоит немало: поддержка пяти скрытых DNS-cерверов обойдётся не менее чем в 800 долларов. Поэтому для «бюджетного» ботнета лучше начать с покупки нескольких доменных имён.

Цена — от 50 долларов за пять доменных имён

Существует несколько известных программных платформ для создания ботнетов — Carberp, Citadel, SpyEye, ZeuS, причём цены на них могут различаться на порядки. В частности, разработчики Carberp непосредственно перед арестом просили за комплект 40 000 долларов, а первые версии ZeuS стоили около 400. Модифицированные версии ZeuS с функциональностью руткита и набором ПО для начинающего пользователя обойдутся в 1500 долларов. Молодой конкурент ZeuS, SpyEye с набором модулей-инжектов, стоит примерно столько же.

Поскольку в 2012 году был обнародован исходный код предыдущих версий ZeuS, он стал открытым, и на рынке появилась масса предложений по продаже платформы примерно за 125 долларов с ежемесячным обновлением за 15 долларов и круглосуточной поддержкой за 25 долларов в месяц. Наконец, не составит особого труда найти «взломанные» версии некоторых платформ: вы не получите ни поддержки, ни обновлений, зато не заплатите за них ни копейки.

Цена — 125 долларов плюс 40 долларов в месяц за обновления и поддержку

Популярность платформы ZeuS породила целую экосистему программных плагинов, изменяющих или дополняющих функциональность ботнета. Значительную их часть занимают так называемые инжекты — управляющие ботом модули, позволяющие отслеживать нужный тип активности в браузере и при посещении инфицированных сайтов «впрыскивающие», внедряющие в браузер необходимый код.

Существуют инжекты самого разного назначения — от почти безобидного генерирования невидимых кликов просмотра рекламных баннеров до сбора персональной информации и кражи данных онлайн-банкинга и платёжных систем. Через хакерские форумы можно приобрести целые наборы инжектов вместе с услугой по их установке и настройке.

Цена — 80 долларов за набор плюс 8 долларов в месяц за поддержку

Чтобы проникнуть на машину жертвы и сделать её ботом, необходимо обойти стандартную и антивирусную защиту. Для этого применяются специальные программы — эксплойты, использующие уязвимости в браузере, операционной системе или другом ПО для получения удалённого контроля над системой.

Обычный способ заражения для большинства ботнетов — это использование гиперссылок в почтовом спаме или открываемых вместе с основной рекламных страниц, заполненных множеством баннеров. Всего один клик по такой ссылке приводит к редиректу на узел ботнета, где распознаётся тип ПО и оборудования клиента, после чего на него отправляются подходящие эксплойты.

Эксплойты продаются наборами или «связками» либо предоставляются в качестве онлайновой услуги. Популярный пакет Phoenix можно приобрести за 120 долларов плюс 38 долларов в месяц за обновления и техническую поддержку, онлайновый сервис BlackHole обойдётся в 50 долларов в день либо в 1500 за годовую лицензию при установке на сервер заказчика.

Цена — 120 долларов за набор плюс 38 долларов в месяц за поддержку и обновления

Чтобы антивирусное ПО не обнаружило загруженные на компьютер жертвы файлы по его сигнатуре и не блокировало их, применяются так называемые крипторы, шифрующие сигнатуры трояна и связанных с ним файлов. Результат работы криптора — дроппер, способный устанавливать зашифрованные файлы в систему, в том числе модифицировать исполняемые файлы, а также скачивать дополнительные фрагменты вредоносного кода и прочие данные на инфицированную машину.

Во многих крипторах есть также функция «антипесочницы»: антивирусные программы могут помещать распознанные вирусы в так называемые «песочницы» или виртуальные машины без возможности исполнения их кода в системе. «Антипесочница» распознаёт виртуальную среду и позволяет запустить в ней лишь безвредный код, скрывая основную функциональность.