Ботнеты: общие понятия, классификация, монетизация

Лекция#1 Ботнеты: общие понятия, классификация, монетизация 13.01.2020

Лектор : stoper

(9:06:31 AM) stoper: Так все привет.!

(9:06:42 AM) stoper: мы тут будем встречаться в 20:00 с пн-чт

(9:07:15 AM) stoper: Самое основное, не флудить в период лекции, все вопросы после каждой лекции.

(9:07:39 AM) stoper: Ботнеты: общие понятия, классификация, монетизация

(9:07:55 AM) stoper: Тема сегодняшней лекции - ботнеты: общие понятия и классификация и монетизация.

(9:08:13 AM) stoper: ОБЩИЕ ПОНЯТИЯ

Для начала следует разобраться в основных дефинициях.

(9:08:27 AM) stoper: Что есть ботнет?

(9:08:38 AM) stoper: С лингвистической точки зрения, слово “ботнет” включает в себя два слова: “робот” и «сеть».

Ботнет - это совокупность систем, зараженных вредоносным кодом и администрируемых централизованно. Иными словами, сеть компьютеров, которые управляются злоумышленниками (то есть нами) удаленно.

(9:09:04 AM) stoper: Мы, как ботоводы, используем вредоносное ПО, чтобы нарушить безопасность компьютеров и/или компьютерных сетей с целью объединения их в общую сеть для своих злонамеренных целей. 

Очень часто ботнеты не могут быть обнаружены антивирусами, и жертвы зачастую даже не подозревают, что являются активной частью скрытой сети.

(9:09:22 AM) stoper: Ботнет должен функционировать так, что даже если уничтожить или отключить порядочное количество узлов, на его работоспособности в целом это не скажется. 

Это идеальное развитие событий, к которому надо стремиться.

(9:09:39 AM) stoper: Ботнеты представляют из себя компьютерные сети, состоящие из большого (иногда огромного) количества подключенных к сети интернет устройств, на которые без ведома их владельца (или лица, ответственного за его администрирование) загружено и запущено автономное программное обеспечение. 

Программное обеспечение, естественно, как правило, зловредное, вредоносное.

(9:09:57 AM) stoper: Какой смысл тратить дофига денег и иных ресурсов, чтобы распространять безобидного червя? Хотя, и такое бывало.

Есть зловред, который устанавливается на IoT девайсы, очищает их от других зловредов и самоликвидируется. Шутка веселая, но не оцененная.

(9:10:17 AM) stoper: А так, как мы не Робин Гуды и живем, к сожалению, не в Шервудском лесу, то подобного рода филантропией заниматься отказываемся категорически. 

Наша цель - заработок. И рассматривать ботнеты и все, что с ними связано мы будем исходя из этого.

(9:10:44 AM) stoper: Каждый зараженный компьютер/девайс в сети играет роль и действует как “бот”, управляется единым центром принятия решений (ботоводом) для совершения различных действий скрытно от владельца компьютера/девайса. 

Ботнет часто называют “армией зомби”, ибо компьютеры контролируются кем-то иным, помимо непосредственного владельца.

(9:11:10 AM) stoper: Примечательно, что сама технология изначально была разработана в благих целях. Боты служили вспомогательным программным инструментом для совершения однообразных некриминальных и повторяемых задач, а также для их автоматизации.

По прошествии времени, однако, пытливые и предприимчивые умы быстро смекнули, что к чему, и начали использовать ботнеты в своих пагубных целях, генерируя прибыль.

(9:11:32 AM) stoper: С тех времен, когда боты играли лишь роль помощников, много воды утекло. Программное обеспечение для реализации, контроля и обеспечения бесперебойной работы ботнетов шагнуло далеко вперед.

На данный момент ботнеты могут реализовывать различные методы атак, работая одновременно по многим директориям и вертикалям.

(9:11:50 AM) stoper: Наверняка для вас не будет открытием, что наша индустрия довольно сильно сегментирована по специализациям и направлениям. Это значит, что каждый здесь занимается своим делом. Вы можете наблюдать, как один человек (или группа) добывают картон, другие его продают, третьи вбивают, четвертые пересылают вбитый товар, пятые его реализовывают и т.д.

(9:12:10 AM) stoper: Аналогичное деление на специализации существует и в ботоводстве. Таким образом, кодер продает исходник, покупатель исходников продает ресурсы или услуги ботнета другим юзерам. Последние, в свою очередь, являются конечными пользователями или продают созданный ими товар дальше, аналогично предыдущим.

(9:12:34 AM) stoper: Средний срок службы ботнетов определяется “специалистами” от нескольких месяцев до нескольких лет. При этом содержание ботнета продолжительное время не всегда одинаково полезно и выгодно. Но об этом поговорим в следующих лекциях.

Ориентируясь на рынок, создатели ботнетов часто создают наиболее благоприятные условия для своих клиентов.

(9:12:51 AM) stoper: Так, например, интерфейс управления ботнетом (админка) в большинстве случаев довольно прост. Для работы с ней не требуется каких-либо специальных знаний и навыков.

(9:13:11 AM) stoper: Отсюда берет свое начало и такое направление, как услуга Malware as a Service. 

Если вы не кодер и не можете создать/распространять свой собственный ботнет, обращайтесь к вендором, которые сделают все вышеперечисленное за определенное вознаграждение. 

(9:16:20 AM) stoper: В большинстве стран  (развитых и развивающихся) активно борются с ботнетами.

Конечно, это старательно умалчивается, но, в действительности, спецслужбы используют в своих целях абсолютно такие же методы и технологии.

(9:16:33 AM) stoper: Столь милое соседство выгодно для обеих сторон, поэтому о ликвидации серьезных ботнетов услышишь не часто. Баланс интересов, сами понимаете.

(9:16:40 AM) stoper: ТЕХНОЛОГИЧЕСКАЯ СТРУКТУРА БОТНЕТОВ

(9:17:12 AM) stoper: Типичная структура ботнета обычно принимает одну из следующих форм: модель “клиент-сервер” или одноранговую модель (P2P, «Peer-to-peer»). Их еще называют пиринговыми.

В структуре ботнета, реализованной в модели «клиент-сервер», создается базовая сеть, в которой один сервер выступает в роли основного - ботмастера. 

(9:17:52 AM) stoper: Ботмастер-сервер призван контролировать передачу данных от каждого зараженного клиента для установки команд и управления над клиентскими устройствами.

В случае с моделью “клиент-сервер” работа системы достигается посредством специального программного обеспечения, которое дает возможность добиться и сохранить постоянный контроль над зараженными устройствами.

(9:18:19 AM) stoper: Однако эта модель имеет несколько существенных недостатков.

Главный - ее легко можно обнаружить.

Причина в том, в данной модели только одна контрольная точка. Если сервер уничтожен, ботнет ложиться.

(9:18:44 AM) stoper: Иными словами, мы имеем множество зараженных устройств, которые все до единого пингуют и постоянно обращаются к одному конкретному серверу.

Как можете догадаться, вопрос обнаружения такой сети ребром не стоит в принципе.

(9:19:08 AM) stoper: Это, скорее, архаичная архитектура, которая на данный момент серьезными ботнетами не используется. Ну, разве что в белом, легитимном софте.

По крайней мере, мне неизвестны такие ботнеты, минимально заметные и хоть сколько-нибудь значимого уровня.

(9:19:34 AM) stoper: Конечно, полно мелких поделок, всевозможных ботнетов уровня скрипт-киди (а это, кстати, большинство из предлагаемых на рынке). Но, в идеале, от этого мусора лучше держаться подальше. 

Наша цель - действительно крутой ботнет. И не просто с четким названием, а с мощной начинкой и серьезным профитом. А это - ни разу не “клиент-сервер”. Поверьте.

(9:19:55 AM) stoper: Точнее, скажу так: да, можно сделать что-то, в принципе, рабочее и через C&C, но это заранее провальный подход. Если мы собираемся в космос, конечно же. 

Если наша задача сделать очередной живучий ботнетик, который могут дропнуть в любой момент, то можно и “клиент-сервер”.

http://prntscr.com/no3nip

(9:20:17 AM) stoper: Что же касается одноранговой модели (Р2Р, peer-to-peer), то тут все гораздо интереснее.

Все современные и, подчеркиваю, серьезные ботнеты построены именно на этой модели.

Работа с одним централизованным контролирующим сервером - большой недостаток.

(9:20:58 AM) stoper: Этот недостаток преодолевается созданием одноранговой структуры.

В такой модели каждое подключенное устройство осуществляет свою деятельность независимо и как клиент, и как сервер одновременно.

При этом каждое устройство координирует между такими же устройствами обновление и передачу иных данных.

(9:21:15 AM) stoper: Из-за этого P2P ботнет-структура гораздо сильнее и менее уязвима, нежели модель 

централизованного управления.

http://prntscr.com/no3nqk

Кстати, знаете какой самый массивный ботнет в мире?

(9:21:27 AM) stoper: Какая очень известная фирма им владеет?

10 секунд на размышление...

(9:21:43 AM) stoper: Это Майкрософт.

(9:22:02 AM) stoper: У этих ублюдков есть возможность подключиться к ЛЮБОЙ машине удаленно и, якобы, почистить ее от вредоноса.

К слову, мелкомягкие постоянно берут под свой контроль все больше и больше ботнетов, а так же скупают базы скомпрометированных паролей.

Естественно, чтобы бороться с нами.

(9:22:17 AM) stoper: Удачи, хуле. 

КЛАССИФИКАЦИЯ БОТНЕТОВ

ЧТО УМЕЮТ БОТНЕТЫ

(9:22:39 AM) stoper: Ниже приведу лишь основные и самые главные функции, которыми можно наделить ботнет. 

Более детально - во второй части лекции, где мы рассмотрим все это на примере бизнес-модели.

Перво-наперво надо понять, что сеть из зараженных машин - это приличный массив вычислительных мощностей.

(9:22:53 AM) stoper: В этой связи, первое, что приходит в голову, это заставить данные мощности работать по их прямому направлению, а именно: вычислять подбор хэша, брут и т.д.

(9:23:16 AM) stoper: Все таки 5 тыщ машин работают быстрее, чем одна...

Также все эти машины могут, вдруг, одновременно обратиться к какому-то сайту и “положить” его. Всем известный DDoS.

Наиболее часто встречаемыми атаками такого вида являются атаки TCP SYN и UDP.

(9:23:57 AM) stoper: DDoS-атаки не ограничиваются лишь веб-серверами.

Часто они направлены на разнообразные службы, которые подключены к интернету. 

Атака может быть увеличена и усугублена посредствам рекурсивных HTTP-потоков на веб-сайте жертвы: боты рекурсивно следуют по всем ссылкам в HTTP-пути.

(9:24:19 AM) stoper: Несколько лет назад были очень популярны DDoS-атаки с использованием IoT устройств. 

Mirai породил множество производных запросов и продолжил расширяться, делая атаку более сложной.

Это нововведение сильно и безвозвратно изменило ландшафт угроз с точки зрения используемых методов в данном направлении атак.

(9:24:38 AM) stoper: Потом следует мониторинг трафика и кража конфиденциальных данных.

Зараженные машины могут быть использованы в качестве анализатора трафика для выявления конфиденциальной информации на зараженных устройствах. 

(9:25:06 AM) stoper: Они также могут найти бот-сети конкурента (если таковые установлены на той же машине) и быть своевременно взломаны. 

Следующее, по моему мнению, прекрасное направление - это возможность поднять прокси-сервер SOCKS v4/v5 (универсальный протокол прокси для сети на основе TCP/IP). 

(9:26:16 AM) stoper: Когда прокси-сервер SOCKS включен на скомпрометированной машине, его можно использовать для различных целей, например, для рассылки спама (при условии, что у нас открыт 25-й порт).

При анализе пакетов сниффер, вшитый в бот, может успешно отслеживать важную информацию: конфиденциальные данные типа номеров кредитных карт, паролей и доступов.

(9:27:09 AM) stoper: На самом деле, не очень хочется углубляться в отдельные функции, но раз уж начали, то придется закончить: логирование нажатия клавиш (keylogging).

Данная функция логирует все нажатия клавиш на зараженной машине, может их структурировать и выдавать ботоводу в готовом виде.

(9:28:09 AM) stoper: Используя эту функцию мы можем, например, собирать только те ключи, которые набраны в нужные нам последовательности ключевых слов. Типа PayPal, eBay и т.д..

Присутствует также возможность захвата экрана. 

(9:28:34 AM) stoper: Злоупотребление кликами (кликботы)

Прокликивание ссылок, за которые злоумышленник получает сдельное вознаграждение. Например, всякого рода партнерские программы с показами баннеров или объявлений.

(9:28:46 AM) stoper: Зараженные машины используются для автоматического прокликивания ссылок, увеличивая количество фейковых кликов.

Показ рекламы (Adware).

(9:29:03 AM) stoper: Бот используется для показа рекламы на зараженной машине, перенаправления поисковых запросов на рекламные сайты, сбора маркетинговой информации. Бот собирает личные данные пользователя, отправляет эти данные на сервер. После обработки данных бот показывает пользователю релевантную рекламу (рекламу, которая соответствует его интересам).

(9:29:10 AM) stoper: Из основного - все.

(9:30:33 AM) stoper: Дальше пойдем разбирать, как этот функционал можно монетизировать.

(9:30:42 AM) stoper: БИЗНЕС-МОДЕЛИ И МОНЕТИЗАЦИЯ

(9:30:52 AM) stoper: Итак, экономика и монетизация.

Больше про монетизацию, экономику досконально потом разберем.

Часто вижу, что даже “матерые эксперты” в области информационной безопасности допускают довольно нелепые ошибки, считая, что затраты ботоводов минимальны, а то и вовсе равны нулю.

(9:31:41 AM) stoper: Не знаю, но почему-то всяческие “эксперты” полагают, что если у ботоводов отсутствуют затраты на создание инфраструктуры В ИХ КЛАССИЧЕСКОМ понимании, то и в принципе затратная часть ботоводов мизерна.

Конечно же, это не так. От слова ВООБЩЕ.

(9:31:57 AM) stoper: Ошибочно считается, что прибыль ботовода зачастую практически равна прибыли от работы ботнета. Любой здравомыслящий человек понимает, что это - бредятина.

Ботнет сам по себе не возникнет.

(9:32:17 AM) stoper: Его надо создать. А создав, его надо поддерживать. А это - ой, как дорого!

Относительно направлений и отработки разных бизнес-моделей ботнеты представляют из себя отличную платформу для реализации всевозможных вредоносных практик, способных приносить нам приличный доход. 

(9:32:34 AM) stoper: Ниже приведу основные направления.

Спам: звучит банально, реализуется очень тяжело. 

Масштабная рассылка имейлов (могут содержать как рекламную продукцию, так и фишинговый контент), а также иных вредоносов (например, вымогателей). 

(9:34:26 AM) stoper: Не так давно Краб показывал, сколько зарабатывает один из их топовых адвертов, и кто работает с рассылками. Стата была вот такая:

http://prntscr.com/no3o5h

Готовых решений на рынке сейчас нет. Причин несколько.

Как правило, спам бота пишут под конкретные цели (патрнерки).

(9:35:18 AM) stoper: Некоего универсального инструмента в этом отношении не предусмотрено. Точнее, конечно, в теории есть возможность наваять какую-то общую поделку, но использовать не рекомендую.

В любом случае, спам - удел продвинутых ребят. Как в техническом плане, так и в плане денежных поступлений (см. скрин выше).

(9:35:51 AM) stoper: Спам-бот - это продвинутая машина для заработка денег. Спам как рассылка, по большей части, реализуется следующим образом: скрипт напрямую рассылает заранее подготовленное письмо из почты зараженного юзера.

По своей рабочей логике скрипт практически повторяет рабочие процессы вебмейлера. 

(9:36:44 AM) stoper: Основной плюс для спамера в том, что рассылка с зараженных машин не сразу будет блокироваться и попадать в блэклисты. 

При тонкой и правильной настройке можно добиться весьма приличных результатов.

Еще одним существенным бонусом является сбор имейлов из папок почты зараженной машины.

Хорошие спам-базы - на вес золота.

(9:38:07 AM) stoper: Следующее направление - это DDoS и связанный с ним заработок.

А заработка тут не густо. Точнее, направлений.

Вы или долбите жертв сами и требуете выкуп за приостановку атак, или продаете мощности третьим лицам.

(9:39:22 AM) stoper: С ДДоСом все просто, на самом деле. Сам по себе он не шибко актуален. Как правило, используется в связке с другими методами атак на цель и, в большинстве случаев, для отвлечения внимания: в то время как цель подвергается массивной ДДоС атаке, осуществляется проникновение с другой стороны. 

Таким образом, технический отдел и безопасность будет отбиваться от ДДоСа, а злые ребята попадут в периметр, где их совсем не ждут, и останутся незамеченными.

(9:40:00 AM) stoper: Шантаж как таковой - не слишком популярен. Можно долбить жертву, а там окажется упоротый и несговорчивый идиот.

По итогу, только потратишь время и ресурсы, но ничего не заработаешь. 

Если кто не знает, что такое ДДоС... это (очень образно) - большее число запросов на сервер жертвы, чем он может принять и обработать.

(9:40:57 AM) stoper: По-русски, такой метод атаки еще называют “отказ обслуживания”. Он тесно связан с вымогательством (кибершантажом). 

Но,как мы выяснили выше, это не самый прибыльный вариант.

(9:41:14 AM) stoper: Следующее и гораздо более прибыльное направление - соксы.

Мы можем поднять прокси-сервера на инфицированных машинах и продавать к ним доступ.

Хорошие, быстрые и чистые прокси, без преувеличений, на вес золота. Они нужны всем: вбивалам, арбитражникам, игрокам в покер и казино…

(9:41:34 AM) stoper: Клиентуры навалом. Да и расценки на качественные прокси впечатляют. Средней загрязненности socks5 стоит $1-10 в сутки. А это ОДНА машина.

Вот и считайте рентабельность. 

Если сюда еще добавить backconnect модуль и возможность иметь ботов за NAT, умножаем сразу на 2.

Направление перспективное и востребованное всегда.

(9:41:56 AM) stoper: Также оно не требовательно к качеству трафика. Нам, по сути, пофиг на содержимое машины. Нам важна чистота и скорость соединения. Поэтому можно закупать дешевые и отстойные установки.

(9:42:42 AM) stoper: Следующая бизнес-модель всем известна и, пожалуй, на данный момент одна из наиболее распространенных.

Речь идет о краже конфиденциальных данных. 

Как мы знаем, на машине жертвы куча приватной инфы, которая представляет тот или иной интерес для разных людей и оценивается также по разному.

(9:43:11 AM) stoper: Заразив машину, у нас будет возможность стащить оттуда штуки типа банковских карт и платежных данных для входа в PayPal, eBay, Amazon и прочие сервисы. Сюда плюсуем все пароли от разнообразных сервисов и доступ к почте.

Все это прекрасно реализуется на рынке в виде так называемых логов. 

(9:43:26 AM) stoper: Сделали пролив, стащили логи, в идеале, обработали на свой запрос и продали. Профит.

Рынок сейчас перенасыщен логами и новому продукту будет не просто. 

Но также стоит отметить, что и качество логов у всех без исключения - на дне.

(9:43:46 AM) stoper: Следующее зашкварное направление - это майнинг.

Когда-то (совсем короткий отрезок времени, кстати) это было прогрессивно и довольно профитно. Особенно, когда биток майнился на видеокарте, и вы намайненное 5-7 лет не тратили))

Сейчас ситуация плачевная. Как бы не был продвинут ваш майнер, он все равно палится проактивкой.

(9:44:02 AM) stoper: Но, самое главное, это тупое убийство ресурсов. Представьте, у вас есть крупнокалиберная снайперская винтовка 12,7 калибра, которая может поражать цели за укрытием на расстоянии 3 км. А вы херачите из нее по колесам бронетехники врага в 200 метрах. 

Логика ясна, надеюсь?

(9:44:19 AM) stoper: Майнинг - не наша история вообще. Особенно при текущей ситуации на рынке, что и говорить.

Да даже если бы обстановка была благоприятной, ботов нужно использовать грамотно. Гораздо более целесообразно. На этом, пожалуй, про майнинг закончим раз и навсегда.

(9:44:39 AM) stoper: Следующее, воистину, интересное направление - это adware.

Сразу скажу, что адварь это весь тот софт, который показывает или заставляет юзера кликать на демонстрируемую рекламу. Не путайте с автокликером.

Адварь, как вы догадались, может работать и сама по себе. Ботнет ей не нужен.

(9:45:01 AM) stoper: Но мы как раз таки и рассматриваем тут бизнес-модели, которые сможем воплощать в жизнь, имея в своем распоряжении такой ресурс, как ботнет.

Про малварь расскажу чуть более детально, поскольку это направление (в связке с парочкой других) мне видится довольно перспективным.

(9:45:22 AM) stoper: Адварь как таковая может быть весьма умной. Заставлять юзера проходить по определенным ссылкам, собирая маркетинговую информацию о юзере и, в дальнейшем, показывая уже таргетированную рекламу.

Ту, которую юзер скорее всего кликнет, тем самым, повысив конверсию и, соответственно, продажи.

К слову, довольно безобидная штука.

(9:45:43 AM) stoper: Направление весьма денежное, если правильно построить стратегию и технологическую базу. Иными словами, для умных парней.

А мы - парни умные, поэтому вот вам пример, как можно неплохо зарабатывать на рекламе и ботнете.

Помните, я говорил про сокс-бота? Еще сказал, что это востребовано? Так вот, следующий левел - это не просто предоставление соединения машины жертвы за деньги, а подмена DNS на этой машине и показ нужной нам рекламы. 

(9:46:01 AM) stoper: Без жести, просто коммерция. Не надо вымогателей, локеров и прочей грязи.

Поверьте, тут можно заработать не меньше!

Если у вашего сокс-бота есть бэкконнект модуль, который позволит нам заражать и иметь активных ботов за NATом, где мы будем крутить свою рекламу, - высота высот.

(9:46:20 AM) stoper: Таким образом (кстати, кейс из реальной моей жизненной практики), 5-10к ботов дают на одной только фарме 10к$ в день. 

Понятно, что стабильности здесь нет, но сам факт!

И это лишь одна вертикаль. Без чернухи. А сколько всего еще есть!

(9:46:31 AM) stoper: Такой софт, понятное дело, вам никто не продаст. Надо писать для себя и под себя. 

Под свои конкретные задачи.

(9:46:46 AM) stoper: Ну, и раз уж заговорили про рекламное направление, затронем рекламных ботов как таковое. 

Нетривиальная, на самом деле, вещь - скликивание и просмотры.

Старо как мир и, местами, даже работает и приносит пару копеек.

(9:47:04 AM) stoper: Есть, однако, и уникумы: ребятки обзавелись своими сетями ipv4-адресов, написали скрипты, имитирующие поведение человека и скликивали себе рекламы на несколько мультов зелени в… день (кому интересно, гугл: Methbot).

Подводных камней множество, и надо знать внутреннюю кухню.

(9:47:26 AM) stoper: Не достаточно просто взять и налить просмотров. Есть ряд показателей, которые прямо указывают на фрод. 

Тот же CTR. 

По идее, с ростом просмотров, должа и в условной пропорции расти и конверсия.

(9:47:45 AM) stoper: А откуда ей расти, если мы мертвых душ гоняем? Сразу бан получит такой партнер. Короче, тонкостей дофига. Но если знать куда это пристроить, можно очень неплохо зарабатывать.

Печальный пример приведу. Был такой ветеран рунета nastra. Он реализовал подобную схему с серверами.

(9:48:04 AM) stoper: Объединил их в кластер и отматывал просмотры, предварительно договорившись с каким-то там агентством.

В определенный момент с агентством получился некий затык и те не захотели настре платить.

Тот взял и отмотал просмотры на десятки миллионов,типа решил отомстить.

(9:48:14 AM) stoper: Итог - приняли и экстрадировали в США.

Но, мораль не в этом. А в том, что можно найти свои пути и зарабатывать.

Кому интересно, гугл: nastra, Александр Жуков.

(9:48:32 AM) stoper: Вообще, не стоит забывать, что ботнет - это огромный массив вычислительных мощностей. С DDoS все понятно. 

Но есть же еще и миллион других направлений, где можно эти мощности использовать.

Например рендерить сложные 3д изображения. Шутеечка)

Нет. Например, написать софт по подбору seed-слов для кошелька Ethereum, объединить машины в кластер и пустить в работу. 

Ну, или любой другой брут, что угодно. 

(9:48:57 AM) stoper: И, как финальный вариант: всегда можно выгодно сдать в аренду или продать свой ботнет, если не смогли / не захотели / нет времени заниматься. Может быть прибыльно. Но все же не желательно.

Вообще, такими услугами должны пользоваться недоумки и недотепы. Зачем арендовать ботов, которых уже до тебя выжали по 100 раз? 

И еще , подумайте: вы бы сдали в аренду свой автомобиль?) То-то же.

(9:49:15 AM) stoper: Если мы прям совсем дебилы, и мозгов у нас супер-пупер мало (а то и вовсе нет), то можем “искать чужие линки/запросы” у себя в логах. 

Так можно делать. Почему бы и нет, если да. Размещаем тему и ждем таких же идиотов.

Идиоты обращаются и палят свои запросы, а вы их потом отрабатываете самостоятельно.

(9:49:32 AM) stoper: Ну, а если вы умны (в чем я не уверен)? Тогда вы сможете разработать свою уникальную софтину и просто сдавать ее в аренду. То, что на умном языке называется Malware as a Service. 

Типичным представителям этого сословия является ранее уже упомянутый GandCrab.

Суть подхода в том, что вы сдаете в возмездное пользование ваш софт или вашу инфраструктуру. Иногда - и то и другое.

(9:49:43 AM) stoper: Дополнительная монетизация ботнета

(9:49:55 AM) stoper: Направлений в этом отношении есть несколько.

Расширение или по вертикали или по горизонтали. 

По вертикали - это когда вы вы подключаете иной функционал к вашему боту, который изначально не планировался и монетизируете его. 

(9:50:12 AM) stoper: Например, тот же самый SMOKE бот: изначально взяли лоадер и продаете загрузки после того, как отжали все сами, а тут решаете еще и ддосом заняться. 

Докупаете отдельный модуль и начинаете сами, своими силами монетизировать ддос.

Расширение по горизонтали - это когда вы берете в условные партнеры человека, который будет обрабатывать неиспользованные вами ресурсы. 

(9:50:35 AM) stoper: Что это значит? Допустим, вы обрабатываете собранные вами логи на палку. Остальные запросы не трогаете. Берете себе в партнеры человека, который работает с амазоном, и выдаете ему его запрос. Обсуждаете, какие данные ему нужны, вырезаете их из лога (это все, кстати, можно прекрасно автоматизировать) и отдаете на отработку.

(9:50:58 AM) stoper: Надо просчитывать все варианты наперед в случае, если основной вид вашей деятельности, приносящий вам прибыль, завтра вдруг прикажет долго жить.

В этой связи бот должен быть условно универсальным.

Более того, таких партнеров желательно заиметь несколько человек, и лучше на постоянку.

(9:51:16 AM) stoper: В ходе исследования рынка предлагаю вам посмотреть какие запросы и в каком количестве выкупаются на разных форумах.

Изучаем отзывы, выбираем, кто нам интересен, прикидываем примерный объем материала и ДО старта наводим мосты.

За спрос денег не берут. Ничто не мешает сначала договориться, а потом начать давать результат.

(9:51:30 AM) stoper: Потому как, если материал у вас на руках уже имеется, а вы только ищете куда его слить, надо задаться вопросом: все ли я делаю правильно? Спойлер: не все.

Небольшое предостережение относительно продажи акков. Крайне важный и не всем очевидный момент относительно продажи ваших кровно добытых акков с логов. 

(9:51:46 AM) stoper: Предположим, вы нормально проливаете, у вас куча ботов и вы их отрабатываете на свои запросы. При этом у вас остается 98% нетронутого материала.

Оно и понятно, охватить все - просто не реально. Да и нет смысла, на самом деле.

Что приходит на ум в такой ситуации? Правильно. Начать продавать аккаунты.

(9:52:03 AM) stoper: Вы, ничего не подозревая, идете на форум или телеграм-канал какой-то и начинаете продавать невостребованные акки.

Только есть одно небольшое НО. Продав условный Bank of America вы можете не знать, что на том же боте у вас висит жирный PayPal или иной сервис, который вы активно долбите.

(9:52:14 AM) stoper: Понимаете примерно, что произойдет дальше? Покупатель пойдет долбить свой запрос, холдер поймет, что заражен, снесет операционку и вы потеряли бота.

Когда вы теряете бота по своей вине и в результате вашей же работы - это одно.

(9:52:30 AM) stoper: А когда вам угандошили бота, который мог принести потенциально тысячи долларов, а вы заработали за его продажу каких то жалких 15 баксов, “это фиаско братан…”.

Я настоятельно рекомендую привить себе “аккаунтовую чистоплотность” . Пока сами не отожмете по максимуму бота - ничего с него не продавать. 

(9:52:46 AM) stoper: Если решили продавать акки, то продавайте исключительно со старых ботов, которых вы выпотрошили как могли на все свои возможные вопросы.

Это не призыв расширятся вертикально в другие направления. Это, скорее, небольшая ремарка о правильной и ВЫГОДНОЙ работе с вашим материалом.

(9:52:59 AM) stoper: Идеальная история - это когда ботнет отработал какое-то время (условные 4-5 месяцев), вы слили все логи и переехали на другой сервер. 

Предварительно отработав все логи, можно их распродавать. Логи с нового сервера оставляем себе. Цикл повторяем.

(9:53:53 AM) stoper: сегодня все.. какие есть вопросы задаем..  если все понятно ставим + если есть вопрос сразу пишите.

(9:55:38 AM) Soulman: 1. Как выйти на ботоводов и покупать данные СС, Paypal и тд. из первых рук? Где их искать? ))

2. Под видом какого типа программных продуктов чаще всего заражается комп владельца? ( например, игры, антивирусы или что то еще)

3. Не совсем понял в плане монитизации относительно партнерок. Спам имеется ввиду только емайл рассылки или есть еще какие нибудь методы? Спам майл по моему уже затертая до дыр схема. или нет?))

4.ЦИТАТА . Если сюда еще добавить backconnect модуль и возможность иметь ботов за NAT, умножаем сразу на 2. ВОПРОС. Можно раскрыть понятия бэкконект и NAT ? Ничего не понял))

5.ЦИТАТА. Но также стоит отметить, что и качество логов у всех без исключения - на дне. ВОПРОС. С чем это связано?

(9:55:47 AM) Flanker: + тех знаний что мы получим на лекции будет достаточно для подьема своего ботнета? или есть смысл обратиться еще к каким то источникам?

(10:00:16 AM) lowkick22: Если я например хочу сделать ботнет и начать продавать какие то сервисы, как вы говорите, что самое популярное? что будет наиболее актальное так сказать?

(10:02:31 AM) stoper: 1) из первых рук, нет гарантий вообще.. а так сомтрите на експе. лучше поднять свой на паблик ботнете..

2) все что качает народ, статистика по гуглу на любом сайте ПО, и анализируйте, там игрухи, приложения топ и т.д.

3) нет спам не затерто, все работает норм, на мыла, по фейсбуку, по вайберу, на любом сервисе короч, все это можно организовать.

4) обратный конект, тоесть вы получаете бота который слушает сервер и вы контролируете его.. тоесть в реал время вы принимаете конект и даете команду, так же и с соксами.

5) с трафика от куда полученно, попустим с бирж инстала будет Г, а вот с фейсбука будет огонь.

6) да вполне будет достаточно знаний, если что не дойдет пишите мне в ЛС на форуме ник тотже.

(10:04:54 AM) LyndonJohnson: Кроме экспы есть еще какие-то +- норм форумы, где можно найти или продажников готовых бот решений или же технаря, для "о боже" написания своего бота или отдельных модулей для бота?

(10:06:19 AM) Mexanik29: 8)Есть ли у вас свой ботнет? Читал что внутри группы сейчас делается свой ботнет? на каком этапе? И когда можно будет воспользоваться услугами по покупке мата)

(10:08:14 AM) dynastie2012: 2  мы собираемся поговорить об ботнете android и банковском ботнете ??

(10:11:44 AM) stoper: 8) в течении лекции вы поймете этот пункт, так как есть много подводных камней в плане приватности, нас как людей. У нас будет лекция по данной тематики, и вы тогда поймете, что имея ботнет есть некоторые риски которые нужно учитовать в будущем.

И работая более двух человек на одном ботнете, это уже есть риски в плане приватности администратора в будущем.

то что продают логи типа с "приват ботнета" там проходит как минимум 3 руки.

(10:12:04 AM) stoper: 9) в следущих лекциях разберем.

(10:13:34 AM) LyndonJohnson: 10) Кроме экспы есть еще какие-то +- норм форумы, где можно найти или продажников готовых бот решений или же технаря, для "о боже" написания своего бота или отдельных модулей для бота? 

(10:14:23 AM) Mexanik29: 11)Есть ли у вас свой ботнет? Читал что внутри группы сейчас делается свой ботнет? на каком этапе? И когда можно будет воспользоваться услугами по покупке мата)

(10:16:08 AM) gerzogdegiz: 12) бывает ли, что одна машина входит в состав нескольких ботнетов, которые никак не связаны между собой и принадлежат разным хозяевам? если такое возможно, то чем чревата такая ситуация?

(10:18:47 AM) stoper: 10) есть за бугром, но лучше та экспе. если сильно нужно отпиши в ЛС завтра посмотрю там что есть.

11) ответил это вопрос был 8.

12) да много такого.. обычно уже трой убивает конкурентов. все зависит от кода.

(10:21:03 AM) LyndonJohnson: 13) Есть рекомендации, к каким готовым бот решениям можно приглядеться на данный момент?

(10:21:20 AM) stoper: 13) разберем в других лекциях

(10:22:32 AM) stoper: ок.. тогда я оф.

(10:22:36 AM) stoper: завтра в тоже время