Znalazłem taki botnet, czyli kto od miesięcy hakuje polskich graczy

dodał 6 lutego 2015 o 20:45 w kategorii Złośniki  z tagami:
Znalazłem taki botnet, czyli kto od miesięcy hakuje polskich graczy

Czasem z pozoru umiarkowanie ciekawy wpis na forum może rozwinąć się w całkiem interesującą historię. Tak też może być z wątkiem, który pojawił się dzisiaj na pewnym znanym polskim „hakerskim” forum.

Nowy użytkownik przedstawił w nim niecodzienny problem. Otóż trafił on na serwer C&C botnetu na pewnym serwerze i nie może sobie poradzić z przejęciem jego botów. Do tego w swoim poście użytkownik zamieścił plik binarny klienta botnetu, kod źródłowy klienta wraz z innymi materiałami oraz kod źródłowy panelu sterowania. Pliki wyglądają na naszą lokalną, polską produkcję i nie natrafiliśmy na ich wcześniejszy opis w sieci.

Niecodzienny problem

Kilkanaście godzin temu na forum devilteam.pl użytkownik onion przedstawił swój ciekawy problem w poście pod tytułem Przekierowanie botów z botneta na moją własną domenę. Oddajmy głos samemu zainteresowanemu:

Wpis na forum devilteam.pl

Wpis na forum devilteam.pl

[…] Otóż moja sprawa wygląda następująco. Uzyskałem link do panelu pewnego botneta. Stoi on na stronie do jednej z popularnych gier, ruch na stronie nie jest ogromny, ale nie jest też mały, choć to mało istotne, wolę o tym napisać. Tak, więc przechodząc do sedna, udało mi się uzyskać access do phpmyadmin i w razie konieczności wiem jak uzyskać dzięki temu też dostęp do ftp, lecz na razie to sobie odpuściłem, bo ciężej będzie z zatarciem śladów, co oczywiście nie przeszkodzi mi jeśli będzie to konieczne. Jest tam trochę botów, które chciałbym przekierować na swoją domenę. Boty łączą się z hostem za pomocą odpalonego .exe (1). Mam jego source (2). Posiadam również source całego panelu (3). Z tego, co mi wiadomo, wszystkie boty odpaliły plik, który ma zaprogramowaną funkcję UPDATE|[link], ale nie ma tam wzmianki o żadnej funkcji dot. uploadu, downloadu&execute, czegokolwiek, co pozwoliłoby mi przekierować cały ruch botów na moją domenę, a sama komenda UPDATE zdaje się nie działać. Tu nasuwa się moje pytanie, czy istnieje jakakolwiek możliwość teraz, by przekierować te boty na moją domenę? Jeśli tak, to proszę o rozjaśnienie sytuacji. Z góry dzięki za jakiekolwiek chęci, nie chcę niczego podanego na tacy, chcę zrobić to sam ze wskazówkami, jakie chciałbym tu uzyskać, bo moja głowa tymczasowo już wysiada.

Autor co prawda nie podaje adresu serwera C&C, ale najpierw wspomina, że jest on zapisany na stałe w kodzie klienta, a potem wpisem zamieszcza plik .EXE, kod źródłowy pliku .EXE (wraz z różnymi wersjami aplikacji) oraz kod źródłowy panelu C&C. Z kodu źródłowego usunął ścieżkę serwera, ale nawet samo wgranie pliku .EXE do serwisu VirusTotal pozwala na ustalenie adresu C&C.

Kilka drobnych szczegółów

VirusTotal informuje, że po raz pierwszy tę wersję klienta botnetu zaobserwował 15 stycznia 2015 (sam plik skompilowany był 2 stycznia 2015, jeśli wierzyć sygnaturze), lecz do tej pory wykrywany jest jedynie przez 2 antywirusy. Plik wykonywalny był dystrybuowany pod nazwami FJ Service.exe oraz CS Service.exe, a serwer C&C, do którego próbuje łączyć się plik wykonywalny, znajduje się pod adresem

Gości wita tam panel pod tytułem #DLK.

Logowanie do panelu C&C

Logowanie do panelu C&C

Przegląd kodu źródłowego panelu wskazuje, że albo został on stworzony przez osobę polskojęzyczną, albo został w całości przetłumaczony na nasz język. W udostępnionym archiwum z kodem aplikacji znajdziemy z kolei dwie różne ścieżki:

Inne nazwy skompilowanych wersji pliku znajdujące się w archiwum to:

  • Anty DLN.exe
  • Anty DLN.vshost.exe
  • FJ Service.exe
  • CS Service.exe
  • CS Service.vshost.exe
  • Aktualizacja.exe
  • sobeit.exe

Co ciekawe, większość z nich nie jest wykrywana wcale lub jedynie przez 1-2 silniki antywirusowe. Wszystkie oprócz 2 łączą się do tego samego serwera C&C. Co jeszcze ciekawsze, plik CS service.vshost.exe (pierwszy raz zaobserwowany w sierpniu 2014 i dystrybuowany pod dziesiątkami różnych nazw) łączy się do serwera VBOXSVR.ovh.net, który jest dość znanym C&C dla wielu rodzajów złośliwego oprogramowania.

Atrybucja

Dysponujemy jedynie kilkoma słowami kluczowymi i nie znamy się w ogóle na lokalnej scenie graczy, ale Google zawsze służy pomocą i bez problemu można się dowiedzieć, że użytkownik pod pseudonimem drlooney funkcjonuje od ładnych paru lat w sieciowym środowisku graczy, a swojego czasu identyfikował się z #DLN (patrz nazwy plików). Na profilu DRLOONEY w serwisie Youtube można znaleźć np. taką wymianę komentarzy:

Komentarze z Youtube

Komentarze z Youtube

Jest to kolejne nawiązanie do nazwy jednego z plików w archiwum kodów źródłowych botnetu (S0beit to podobno mod do GTA). Oczywiście może to być całkowity zbieg okoliczności, a ustalenie faktów zostawiamy lepiej zorientowanym Czytelnikom.