Vielleicht habt ihr schonmal im Archive der alten botnetz Seite geschaut, damals wo sie noch eine Seite und kein Blog in dem Sinne war und euch die Artikel durchgelesen. Die Artikel waren von der Qualität an sich in Ordnung, jedoch findet man den größtenteil davon auch auf vielen verschiedenen Webseiten und Foren.

Warum ich den Artikel hier jetzt schreibe? Hm, vielleicht weil ich grade Lust dazu habe, aber vielleicht auch, weil dieser Artikel einfach hier in den Blog gehört. Auch wenn er schon einige Monate alt ist und ich mit Kindern und ähnlichen aus diesen tollen “Securityforen” nichts mehr zu tun habe, (Gott sei Dank.) versuche ich diesen in einer neuen Form aufzuschreiben und eventuell um ein paar Dinge zu erweitern. Der eigentlich Anlass dafür war aber, dass heute jemand im IRC nach einem IRC Server fragte, dessen Server auf einer fernen Insel liege und keine IPs loggt. In meinen Augen roch das schon sehr gewaltig nach bösen Tätigkeiten von der loyalen Scriptkiddie-Sippe. Den eigentlichen Artikel findet ihr hier.

Die Szene – Reloaded!

Ein kurzer Bericht über den täglichen Wahnsinn der Skiddies.

Ob es nun einfach nur mal ein Gelegenheitsjob oder Dauerhafte Anwandlungen sind, man findet hier alles.
Sogenannte Scriptkiddies, Skiddies, Noobs und wie man sich noch so nennt, scheinen auf dem Vormarsch zu sein. Die meisten davon haben aber meist noch nichtmal das vierzehnte Lebensjahr vollendet. Es mag komisch klingen, es ist aber so. In diesen tollen “Securityforen”, welche von gleichaltrigen Kindern geführt und moderiert werden, tümmelt sich das ganze Volk nur so. Meistens geht es in diesen Foren nur um eins: Wie baut man sich einen Bot oder einen RAT zusammen, macht diesen vor gänigen Antiviren Programmen sicher und verbreitet diesen mit oft Zweifelhaften Methoden unter das Volk. Die Motivation bei dem ganzen liegt an der Gier und Entdeckungslust dieser Kinder. Oft möchten sie nur ein wenig mit den infizierten Opfern spielen oder sich ein paar Passwörter von z.B. Steam oder E-Mail Accounts klauen. Mit Bankdaten können sie sowieso nichts anfangen, so das sie entweder versuchen mit diesem etwas (erfolglos) einzukaufen oder solche einfach nicht beachten. Schauen wir uns nun aber mal das Leben eines Scriptkiddies an. Unser imaginäres Scriptkiddie heißt Hans, ist 15 Jahre alt, gerade prächtig in der Pubertären Phase und pickelig. In der Schule hängt er oft nur doof rum, wird von anderen geärgert oder wird wegen seine “Computerfähigkeiten” von anderen als Freak oder Nerd bezeichnet. Nach der Schule schaltet Hans wie gewöhnlich seinen Rechner an, einen ganz tollen Quadcore mit einem SLI Verbund von tollen Geforce’s, damit er natürlich die tollsten und neusten Spiele in Höchster Qualität spielen kann. Daneben hat er noch einen Rechner stehen, genauer gesagt einen Server auf dem Windows läuft. Aber nein, natürlich keine Serverversion, sondern ein stinknormales und illegales Windows XP Pro. Was macht Hans nun, nachdem der PC angeschaltet ist? Meist startet er seine tollen Instant Messenger wie MSN Live oder AIM, aber oft auch ICQ 6. Diese Tools sind besonders tollig. Okay, er schaut sich nun durch seine Endlose Buddyliste, auf der Suche nach seinen Crewmitgliedern. Genau! Ihr habt recht gehört. Hans ist in einer ultimativen qualifizierten Crew von weiteren Scriptkiddies. Nach einem kurzen Gespräch mit einem seiner Kollegen erfährt er, dass soeben ein ultra neuer Exploit auf milw0rm released wurde. Er ist begeistert. Bestrebt macht er sich auf, um den Exploit zu laden. Nach kurzer Zeit hat er nun eine Datei namens “exploit_me.pl”. Toll, denkt er sich und klickt doppelt auf die Datei drauf. Nach Stunden des probierens, gibt er schließlich auf, da er nicht weiß, dass man das ganze ja mit einem Perl Interpreter benutzen muss!
Stunden vergehen und er schaut fleißig durch seine “Securityforen”, wo er auf der Suche ist nach dem ultimativen neuen RAT oder Sourcecode für einen Bot. Auch hier wird er fündig. Der neuste rBot hat seinen Weg an die Öffentlichkeit gefunden. Super, denkt er sich wieder und lädt zugleich den Source herunter. Natürlich hat Hans alle wichtigen Tools, die man zum compilen des Sourcecodes braucht auf seinem PC installiert. Doch irgendwie klappt das ganz und gar nicht. Er bekommt Fehlermeldungen und postet in den Thread, woran es denn liegen könnte. Leute mit Verstand hätten jetzt schon längst bemerkt, dass bei Line 35 ein Semikolon fehlt…
Der Tag geht zu ende und Hans beendet ihn mit einem tollen Porno. Oftmals bei Streaming Services wie YouPorn oder ähnlichem angeschaut oder ab und an auch mal am laden eines dieser schmuddeligen Filmchen.

Früh, 6:30 Uhr. Der Wecker geht und Hans geht in die Schule. Dort wird er wie immer gemobbt und so weiter. Zuhause angekommen setzt er sich wieder vor den PC, tut seine Regelmäßigen Sachen und überlegt wie er ein Botnetz aufbauen könnte. Nach verschwendeten Stunden gelingt es ihm, solch einen Sourcecode mit der Hilfe von anderen Personen zu compilieren. Stolz versucht er ihn nun mit Themida und anderen Cryptern zu crypten, damit er auch ja sicher vor den zahlreichen, bösen Antiviren Programmen ist. Die Binary seines Bots hat mittlerweile eine kühne Größe von 2 MB erreicht. Eine Perfekte Größe um auch ja niemanden über einen Exploit wie ASN oder DCOM zu infizieren. Ihm fällt etwas auf. Er hat gar keinen IRC Server. Achja! Hans hat ja einen Windows Server neben sich stehen. Geschickt sucht er nach der neusten Version des UnrealIRCDs und installiert diesen auf dem Server. Natürlich auf dem Standardport und ohne Sicherheiten, so das wirklich jeder schön in das Botnetz einfallen kann.
Was nun? Hans ist aufgegeilt. Der kürzlich compilierte Bot wird nun an seine Zahlreichen Kontakte bei MSN oder ICQ verschickt. Siehe an. Die Leute sind recht dumm und klicken seinen Bot auch noch an!
Irgendwann hat er in seinem Netzwerk nun eine Nettosumme von 200 Bots erreicht. Doch er will mehr! Es reicht ihm nicht, mit diesen 200 Bots sinnlosen Unfug, wie mIRC Commands auszuführen oder diverse Seiten bei den Opfern zu öffnen. Nein! Er versucht sich an dem Scan Command und scannt nach der DCOM Lücke. Irgendwann joint dann mal ein Bot mit einer komischen Host. Hmmmm…. anonymizer-tor…
DAS ist aber nen toller Internetprovider, denkt sich Hans und macht fröhlich weiter. Irgendwann hat er dann +- 10 “Bots” mit solchen Hosts und er scheint zu begreifen, dass dieser Tor Provider echt groß und gut sein muss. Hans hat einen 24 Stunden Disconnect, wie bei vielen Internetprovidern in Deutschland Standard ist. Er rejoint den IRC Server und fängt halb zu heulen an. Seine ganzen Bots sind verschwunden! Ohje! Da hat jemand seinen Server gehackt, denkt er. Bestürzt fängt er an alle Kabel von seinem PC zu ziehen. Hans hat versagt und begreift, dass das ganze wohl etwas zu hoch für ihn ist. Er lässt es sein und deinstalliert den IRCd auf seinem Windows Server. Wochen später… Hans hat sich doch nochmal gewagt, in die Richtung etwas zu machen. Jetzt jedoch mit RATs! Wie was von statten geht, brauch ich denk ich mal nicht weiter erzählen, man kann es sich denken. Es klingelt an der Tür. Hans macht auf. “Hallo, hier ist die Polizei, wir haben einen Durchsuchungsbefehl wegen illegaler Aktivitäten.”
Er kann nichts machen und lässt die Männer in Grün in sein Haus. Sie nehmen all seine Rechner mit und die Eltern glotzen ihn nur doof an. Das ist das Ende des Hans, wie wir ihn kannten. Am Ende ist aber trotzdem noch alles gut ausgegangen, er bekommt nur Sozialstunden. Nun ja. Hoffen wir, dass es Hans eine Lehre war und er solche bösen Aktivitäten nie mehr tolerieren wird. Doch es nähert sich etwas… Dicke Kreditkarten, Fake Adressen und Tutorials, wie man kostenlos bei großen Versandhäusern einkaufen kann. Wie das ausgeht, erfahrt ihr später.