23.05.2012 | 22:42

Adam Haertle

Botnet Herpes owned and exposed

Przyzwyczailiśmy się już, że właściciele botnetów są w stanie dowiedzieć się wszystkiego o posiadaczach zainfekowanych komputerów znajdujących się w ich sieci. Dla zapewnienia równowagi w przyrodzie od czasu do czasu warto również poczytać o zupełnie odwrotnej sytuacji.

W ręce specjalistów z serwisu malware.lu trafiła próbka bota sprzedawanego na HackForums.net pod nazwą Herpes. W przeciwieństwie do autora bota analitycy przyłożyli się do swojej pracy. Wyniki ich poszukiwań stanowią bardzo przyjemną lekturę (swoją droga polecamy całość, poniżej tylko krótkie streszczenie dla niecierpliwych.

Zacznijmy od tego, że binarka bota nie jest spakowana – co w dzisiejszych czasach wydaje się być odbiegające od standardu. Sam bot stosuje wewnątrz proste szyfrowanie kluczowych parametrów. Jego złamanie nie było wielkim wyzwaniem i pozwoliło na odczytanie m. in. loginu i hasła do serwera ftp, zaszytych w kodzie oraz adresu www C&C botnetu.


Zaszyfrowane zmienne (źródło: malware.lu)

Dalsza analiza wsteczna kodu bota pozwoliła badaczom na ustalenie składni komunikacji z C&C, w tym polecenia przesyłania pliku na serwer C&C. Najciekawsze było jednak dopiero przed nimi. Po zlokalizowaniu serwera C&C sprawdzili go pod kątem… SQLi. Okazało się, że oprogramowanie serwera jest podatne na SQLi oparte na czasie odpowiedzi serwera. Po odczytaniu odpowiedniej tablicy badacze ustalili, że nick właściciela botnetu to  Frk7 a hasło to ciao (MD5 6e6bc4e49dd477ebc98ef4046c067b5f).

W kolejnym kroku badacze, wykorzystując funkcję wgrywania plików na serwer, wrzucili meterpreter z pakietu Metasploit i kontynuowali eksploarację z jego wykorzystaniem. Okazało się, że twórca botnetu hostuje jego C&C na swoim serwerze pod kontrolą Windowsa XP.  Badaczom udało się wykonać zrzut ekranu serwera oraz skopiować część plików kodu źródłowego bota. Niestety krótko potem serwer został wyłączony.


Zrut ekranu C&C (źródło: malware.lu)


Ostatnim etapem tej trywialnej, a jednak niezwykle ciekawej analizy, było namierzenie autora bota. Wydatnie pomógł w tym fakt, że używa on tego samego nicka, pod którym kontrolował botnet. Twórca okazał się 18-letni Włoch Francesco Pompo. Francesco był tak beztroski, że jeszcze kilka dni temu na swoim koncie Twittera reklamował bota, którego stworzył a dzisiaj skarży się na złych hakerów, którzy pozbawili go źródła dochodu i serwera. Paradne.

Najlepiej całą historię podsumowuje poniższy wpis na Twitterze.



Powrót

Komentarze

  • 2012.05.26 13:32 Dexterxx

    Dobry kandydat na wpadkę tygodnia ;-) ?

    Odpowiedz
    • 2012.05.27 23:26 Adam

      W tym tygodniu była duża konkurencja :)

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Botnet Herpes owned and exposed

Komentarze