Log in

So ich erkläre hier mal genauer was ein Bot (Applikation) Botnet (Verbund der Bots[Zombies]) funktioniert.

Also ein Botnet ist ein von der größe Varierendes Netzwerk von Computern, auf die ein Botnetbetreiber zugriff hat. Theoretisch ist ein Botnet wie ein Trojaner von den Funktionen her in der Lage Passwörter auszulesen, auf der Festplatte rumzuschnüffeln, Passwörter zu entschlüsseln und zu übertragen, einen Proxy einzurichten, Webcam einzuschalten und und und.

Tatsache ist, das die meisten Bots nur über wenige Funktionen verfügen um die Detectionrate so gering wie möglich zu halten oder über Module verfügen die Später erst nachgeladen werden.

Unter was für Bots wird unterschieden?
Generell wird ein Botnet in der Steuerung unterschieden, es gibt so genannte IRC-Bots,
die über einen IRC Chat kontrolliert werden und über einen Befehl gesteuert werden können.


Außerdem gibt es sogenannte Webpanel-Bots, die über ein Webpanel eine erleichterte Bedienung und viele Möglichkeiten von Anzeigemöglichkeiten verfügen.

[Bild folgt später]

Generell kann man sagen, das IRC Bots veraltet sind und meist nur noch Webpanel Bots benutzt werden.

Wie ist ein Botnetzwerk aufgebaut?

Ui, es gibt sehr viele verschiedene Wege ein Botnet zu Betreiben, bei kleinen Botnetzwerken (bis 50-100k), reicht auch nur ein einziger Server wenn der Bot stabil läuft, jedoch werden bei mehr(500k-15kk) meist Cluster benötigt oder man Benutzet einen P2P Bot, wie zum Beispiel Skype, dass wahrscheinlich zu den mächtigsten aller Botnetzen gehört.

(k = 1000 kk = 1.000.000)

Was sind die hauptfunktionen eines Botnetzes?

Die Hauptfunktionen, die fast jedes Botnet hat sind:

[list=]
[*]Eine DDOS Funktion
[*]Passwort Stealer
[*]Proxy ( Socks5 ) meist
[/list]

Eine neue Generation von Botnetzen hat außerdem einen so genannten FormGrabber, dieser klaut Daten die bei einem POST versendet werden ( diese sind fast immer Plain ) und gibt zum Teil eine bearbeitete Seite aus, das eine Transaktion z.B. erfolgreich durchgeführt worden ist.

Somit werden jedes Jahr Millionen Beträge an Kredit Karten Informationen ausgespäht und weiterverkauft.

Schöner Beitrag :-)

Ganz interessant kann folgende Master-Thesis noch sein:
http://www.shadowserver.org/wiki/upload ... _final.pdf

Was mich nich interessiern würde:
Verbinden die Server zu einem Clienten oder werden Server erst mit befehlen gefüttert nachdem sie zB durch einen Ping sweep identifizert wurden?

Ich bin mir nicht sicher ob ich deine Frage richtig verstanden habe. Was meinst du mit "Verbinden die Server zu einem Client" ?

Jeder Entwickler eines Bots kann es so handhaben wie er es fürs Beste hält.
Die meisten bekannten IRC-Bots und deren Derivate melden sich bei einem IRC-Server - meist dem C&C-Server. Von diesem erhalten sie ihre Befehle. Das bedeutet, das die Befehle vom C&C gepusht werden.

Es sind auch Botnetze bekannt, in denen Bots ihre Befehle "abholen" ohne eine persistente Verbindung zum C&C zu haben. Darüber hinaus gibt es sogar Botnetze die beide Methoden kombiniert nutzen.

Über die Arten der Kommunikation von Botnetzen hatte ich u.a. mal einen Vortrag gehalten.

Gut veranschaulicht ist dies auch im Vortrag von Jan Goebel der Uni Mannheim.

Da gibts allerdings ein paar felende Infos
Zu den Arten von Botnetzen:
Weiters sind auch noch so genannte P2P Netze bekannt. (Erwähnst du ,aber später e. Sollte man nur hinzufügen )
Diese werden eher von den Programmierern selbst verwendet und nicht verkauft ,da diese sehr aufwendig sind.
Und dann gibt es auch noch Netze mit einen eigenen Protokoll (zB BfBot).
Hier wird eine Server-Anwendung am C&C installiert und dieser Server bedient dann die Bots und lässt sich dann über einen Clienten konfigurieren (Commands setzen usw).

Zu dem ,dass IRC veraltet sei und kaum verwendet wird:
IRC Bots sind meiner Meinung nach schwieriger als HTTP Bots.
Die meisten verwenden bei ihren HTTP Bots die WinInet API und haben somit 3 Befehle zu nutzen.
Und IRC Bots werden von vielen noch eher verwendet
Es liegt halt nur daran ,dass IRC Bots meist besser programmiert sind und die ganzen .NET Malware Coder Webpanel Bots schreiben (da sie selber nicht dazu im Stande sind ein Protokoll wie IRC zu verwenden ,sondern nur Webclient.DownloadString() verwenden können).

Und das Formgrabbing ist mittlerweile doch schon recht alt
Zusatz zur Funktionsweise:
Hier werden Funktionen aus der WinInet gehookt und die WinSocket Send().

//Edit:
Hier ein Bild von einen Webpanel:

SpyEye ist übrigens ein Formgrabbing/Bankin Bot

Naja es stimmt nicht ganz mit dem Webpanel Bot, dass das nur .NET Skiddys drann basteln.. es gibt auch Webbots die in Delphi oder MASM Programmiert sind. Aber das oben ist auch nur eine sehr stark zusammengefasste Version. Wer will kann ja mal was dazu schreiben und ich editiers rein

Das sind genau die Infos die ich haben willte
Danke
Ich werd mir die vorträge mal anschauen

Steven schrieb:Naja es stimmt nicht ganz mit dem Webpanel Bot, dass das nur .NET Skiddys drann basteln.. es gibt auch Webbots die in Delphi oder MASM Programmiert sind. Aber das oben ist auch nur eine sehr stark zusammengefasste Version. Wer will kann ja mal was dazu schreiben und ich editiers rein

Das wollte ich damit nicht sagen.
Eher wollte ich auf das Faktum ,dass Webpanel Bots häufiger vorkommen eine Begründung geben .
Und zwar ,dass jedes Kind sich mal schnell die Stasi-src runterlädt (oder eine Modifikation davon wie zB v0id usw) und diese modifiziert.
Ja Modifizieren klingt jetzt so super Pro mäßig.
Ersetzt modfizieren durch erweitern und schon klingt es wie es rüber kommen sollte