06.02.2015 | 20:45

Adam Haertle

Znalazłem taki botnet, czyli kto od miesięcy hakuje polskich graczy

Czasem z pozoru umiarkowanie ciekawy wpis na forum może rozwinąć się w całkiem interesującą historię. Tak też może być z wątkiem, który pojawił się dzisiaj na pewnym znanym polskim „hakerskim” forum.

Nowy użytkownik przedstawił w nim niecodzienny problem. Otóż trafił on na serwer C&C botnetu na pewnym serwerze i nie może sobie poradzić z przejęciem jego botów. Do tego w swoim poście użytkownik zamieścił plik binarny klienta botnetu, kod źródłowy klienta wraz z innymi materiałami oraz kod źródłowy panelu sterowania. Pliki wyglądają na naszą lokalną, polską produkcję i nie natrafiliśmy na ich wcześniejszy opis w sieci.

Niecodzienny problem

Kilkanaście godzin temu na forum devilteam.pl użytkownik onion przedstawił swój ciekawy problem w poście pod tytułem Przekierowanie botów z botneta na moją własną domenę. Oddajmy głos samemu zainteresowanemu:

Wpis na forum devilteam.pl

Wpis na forum devilteam.pl

[…] Otóż moja sprawa wygląda następująco. Uzyskałem link do panelu pewnego botneta. Stoi on na stronie do jednej z popularnych gier, ruch na stronie nie jest ogromny, ale nie jest też mały, choć to mało istotne, wolę o tym napisać. Tak, więc przechodząc do sedna, udało mi się uzyskać access do phpmyadmin i w razie konieczności wiem jak uzyskać dzięki temu też dostęp do ftp, lecz na razie to sobie odpuściłem, bo ciężej będzie z zatarciem śladów, co oczywiście nie przeszkodzi mi jeśli będzie to konieczne. Jest tam trochę botów, które chciałbym przekierować na swoją domenę. Boty łączą się z hostem za pomocą odpalonego .exe (1). Mam jego source (2). Posiadam również source całego panelu (3). Z tego, co mi wiadomo, wszystkie boty odpaliły plik, który ma zaprogramowaną funkcję UPDATE|[link], ale nie ma tam wzmianki o żadnej funkcji dot. uploadu, downloadu&execute, czegokolwiek, co pozwoliłoby mi przekierować cały ruch botów na moją domenę, a sama komenda UPDATE zdaje się nie działać. Tu nasuwa się moje pytanie, czy istnieje jakakolwiek możliwość teraz, by przekierować te boty na moją domenę? Jeśli tak, to proszę o rozjaśnienie sytuacji. Z góry dzięki za jakiekolwiek chęci, nie chcę niczego podanego na tacy, chcę zrobić to sam ze wskazówkami, jakie chciałbym tu uzyskać, bo moja głowa tymczasowo już wysiada.

Autor co prawda nie podaje adresu serwera C&C, ale najpierw wspomina, że jest on zapisany na stałe w kodzie klienta, a potem wpisem zamieszcza plik .EXE, kod źródłowy pliku .EXE (wraz z różnymi wersjami aplikacji) oraz kod źródłowy panelu C&C. Z kodu źródłowego usunął ścieżkę serwera, ale nawet samo wgranie pliku .EXE do serwisu VirusTotal pozwala na ustalenie adresu C&C.

Kilka drobnych szczegółów

VirusTotal informuje, że po raz pierwszy tę wersję klienta botnetu zaobserwował 15 stycznia 2015 (sam plik skompilowany był 2 stycznia 2015, jeśli wierzyć sygnaturze), lecz do tej pory wykrywany jest jedynie przez 2 antywirusy. Plik wykonywalny był dystrybuowany pod nazwami FJ Service.exe oraz CS Service.exe, a serwer C&C, do którego próbuje łączyć się plik wykonywalny, znajduje się pod adresem

http://cs-wakacje.pl/admin/api/forums/swagger_jagger/

Gości wita tam panel pod tytułem #DLK.

Logowanie do panelu C&C

Logowanie do panelu C&C

Przegląd kodu źródłowego panelu wskazuje, że albo został on stworzony przez osobę polskojęzyczną, albo został w całości przetłumaczony na nasz język. W udostępnionym archiwum z kodem aplikacji znajdziemy z kolei dwie różne ścieżki:

C:\Users\Kacper\Documents\Visual Studio 2013\Projects\Anty DLN\Anty DLN\ 
c:\users\drlooney\desktop\anty dln\anty dln\

Inne nazwy skompilowanych wersji pliku znajdujące się w archiwum to:

  • Anty DLN.exe
  • Anty DLN.vshost.exe
  • FJ Service.exe
  • CS Service.exe
  • CS Service.vshost.exe
  • Aktualizacja.exe
  • sobeit.exe

Co ciekawe, większość z nich nie jest wykrywana wcale lub jedynie przez 1-2 silniki antywirusowe. Wszystkie oprócz 2 łączą się do tego samego serwera C&C. Co jeszcze ciekawsze, plik CS service.vshost.exe (pierwszy raz zaobserwowany w sierpniu 2014 i dystrybuowany pod dziesiątkami różnych nazw) łączy się do serwera VBOXSVR.ovh.net, który jest dość znanym C&C dla wielu rodzajów złośliwego oprogramowania.

Atrybucja

Dysponujemy jedynie kilkoma słowami kluczowymi i nie znamy się w ogóle na lokalnej scenie graczy, ale Google zawsze służy pomocą i bez problemu można się dowiedzieć, że użytkownik pod pseudonimem drlooney funkcjonuje od ładnych paru lat w sieciowym środowisku graczy, a swojego czasu identyfikował się z #DLN (patrz nazwy plików). Na profilu DRLOONEY w serwisie Youtube można znaleźć np. taką wymianę komentarzy:

Komentarze z Youtube

Komentarze z Youtube

Jest to kolejne nawiązanie do nazwy jednego z plików w archiwum kodów źródłowych botnetu (S0beit to podobno mod do GTA). Oczywiście może to być całkowity zbieg okoliczności, a ustalenie faktów zostawiamy lepiej zorientowanym Czytelnikom.

Powrót

Komentarze

  • 2015.02.06 20:49 Jan

    S0beit to nie mod do GTA tylko hack do gry na multi dodający pieniądze itp.

    Odpowiedz
  • 2015.02.06 21:42 Dawid

    Przy okazji: jak można sprawdzić czy jest się częścią botnetu?

    Odpowiedz
    • 2015.02.06 22:13 Adam

      Obserwować swoje połączenia sieciowe. Np. przez GlassWire lub podobne.

      Odpowiedz
      • 2015.02.06 23:14 Dawid

        Dziękuję, na co szczególnie zwrócić uwagę? „Proces hosta systemu windows” także może być użyty w infekcji?

        Odpowiedz
        • 2015.02.06 23:16 Daamn

          Nie może. Sprawdź czy w folderze domowym użytkownika nie masz ukrytego pliku o nazwie XX Service.exe (XX to dwie losowe literki). Jak masz to usuń. :P

          Odpowiedz
  • 2015.02.06 22:54 Daamn

    Botnet był pisany czysto dla testu i udostępniłem go paru osobom do testowania. :P Jak na razie wyłapałem jeden błąd w Waszym artykule:
    „Plik wykonywalny był dystrybuowany pod nazwami FJ Service.exe oraz CS Service.exe”

    Sam plik był rozsyłany pod różnymi nazwami ale w systemie zapisywał się w postaci XX Service.exe gdzie XX to dwa losowe znaki.

    Odpowiedz
  • 2015.02.07 08:42 eider

    Siedzę w środowisku SA-MP od długich lat. Tworzyłem przez ten czas wiele 'hacków’ do SA-MP, analizowałem jego kod źródłowy, modyfikowałem połączenia sieciowe (SA-MP korzysta z RakNeta który bezpieczeństwem nie świeci – DoS jest na porządku dziennym).

    Człowieka przedstawiającego się pod nickiem „DRLOONEY” znam głównie z forum tematycznego GTAO.PL gdzie wielokrotnie udostępniał proste wirusy jako mod_s0beit, zazwyczaj prezentując swój wynalazek jako jedyny z atrakcyjną funkcją typu banowanie graczy (każdy z odrobiną rozumu i wiedzy o SA-MP wie, że to niemożliwe, przynajmniej nie bez spoofowania IP). Jego wynalazki zazwyczaj tworzone były w VB.NET, rzadko kiedy spakowane czymś porządnym, zazwyczaj były to archiwa SFX które zwracały plik wykonywalny który dodawał się do autostartu. Dwukrotnie udało mi się przejąć i usunąć jego „botnet” ponieważ panel kontrolny nie był zabezpieczony żadnym hasłem (a raczej domyślnym – admin). Jego 3 ostatnie programy zaś były keyloggerami i komunikowały się z serwerem pocztowym jednej z polskich skrzynek (hasło zapisane w pliku wykonywalnym) co pozwoliło mi na ich przejęcie i zablokowanie działania programu. Jego wynalazki zazwyczaj były wykrywane przez większość antywirusów, aczkolwiek nie można wykluczyć że w końcu coś znalazł bo ostatnio ucichł (chyba nauczył się też że publikowanie tego na wspomnianym forum spotka się z usunięciem tematu gdyż zazwyczaj szybko identyfikowałem problem i zgłaszałem do administracji). Prawdopodobny wiek pana „DRLOONEY” to 15-17 lat.

    mod_s0beit_sa to modyfikacja – proxy DLL na d3d9 – działająca z GTA i SA-MP. Jej głównym celem było stworzenie czitu dla SA-MP. Oryginalna (stara) wersja dostępna jest na https://code.google.com/p/m0d-s0beit-sa/ zaś wersje pod obecne wersje SA-MP są rozrzucone po internecie i aktualizowane hobbistycznie przez różne „grupy” i osoby co powoduje że zazwyczaj kod nieznacznie się różni (różne nowe funkcje, albo hooki na RakNeta w kliencie SA-MP).

    Z tego co widać atak jest wymierzony w grupy cziterów na SA-MP i CS, o czym świadczą nazwy. Najpewniej sam program ubierany jest w fake-instalator realnego modu/czita z niby dodanymi funkcjami i publikowany na jakiś forach/rozdawany na czatach tudzież przez znajomych.

    Odpowiedz
  • 2015.02.07 11:20 Anon

    Jestem właścicielem tej strony którą tu pokazujecie jako 'cs-wakacje.pl’ i ta osoba drlooney również zgłosiła się do mnie z zastraszeniem abym przekierował boty do niego. Teraz problem polega na tym, że muszę dojść gdzie jest luka.

    Odpowiedz
    • 2015.02.07 12:27 Adam

      Obawiam się, że Twój serwer to jedna wielka luka – pewnie masz tam co najmniej kilku administratorów, o których nie wiesz. Proponuję wyłączyć serwer i postawić wszystko od zera z pomocą kogoś kto pomoże w odpowiedniej konfiguracji.

      Odpowiedz
    • 2015.02.07 21:10 kez87

      W twoim serwerze oczywiście była co najmniej jedna luka,a teraz pewnie kilka backdoorów i rootkitów też.Nie ma co „dochodzić” gdzie teraz,bo nawet logi możesz mieć zmienione – system trzeba szybko „zaorać”. Reinstalacja z kimś ogarniętym i analiza logów na później = jak coś z nich zostało.Oczywiście instalacja najlepiej innego oprogramowania niż poprzednio przynajmniej w części.

      No i czytać,uczyć się panie admin…

      Odpowiedz
  • 2015.02.07 11:49 drlooney

    ’prawdopodobny wiek pana ,,DRLOONEY” to 15-17 lat.’ Dobrze wiedzieć. : D
    „Z tego co widać atak jest wymierzony w grupy cziterów na SA-MP i CS, o czym świadczą nazwy. Najpewniej sam program ubierany jest w fake-instalator realnego modu/czita z niby dodanymi funkcjami i publikowany na jakiś forach/rozdawany na czatach tudzież przez znajomych.” – Gówno prawda. : D Kolego, jak nic nie wiesz, to lepiej się nie odzywaj, bo się tylko pogrążasz. :(

    Odpowiedz
    • 2015.02.09 08:06 maslan

      @Adam
      No to teraz zawęziłbym aproksymację do 17-18 lat :)

      Odpowiedz
      • 2015.02.09 09:38 Ninja

        A ja na 14. Trzeba docenić gimnazjalistę, że ma jakąś pasję.

        Odpowiedz
  • 2015.02.07 12:02 drlooney

    Najśmieszniejsze jest to, że osoba, która NIC, prócz tego, pod jakim nickiem występuje śmie o mnie pisać rzeczy, które wiedzą tylko osoby, jakie mnie znają IRL. @eider

    Odpowiedz
    • 2015.02.07 18:31 sandalarz

      Jak widzisz mylisz się. Czyli albo twoi znajomi mają długie ozory albo eider jest lepszy od ciebie i ma dowody. Jego opis oraz fakty, które przedstawia i sposób ich przedstawienia raczej pozwala mu wierzyć.
      Dodatkowo kolego nie obraź się ale gta i cs oraz twój język w postach to raczej wskazują na 15-17 lat. Dopisz jeszcze że „beka z niego” to ujmę jeszcze ze 2 lata.

      Odpowiedz
  • 2015.02.07 13:02 ele

    haha, przecież to ktoś od nas ;)

    Odpowiedz
  • 2015.02.07 13:26 PolscyGracze

    Nikt nas nie hackuje. ;)

    Odpowiedz
  • 2015.02.07 14:04 dMe

    Stranger jest autorem :P

    Odpowiedz
  • 2015.02.07 16:51 pies na baby

    Wszyscy sa u mnie na liscie plac.
    Zdzislaw Dyrma

    Odpowiedz
  • 2015.02.07 18:47 Anon

    Czy jest ktoś w stanie powiedzieć gdzie mogą znajdować się boty na forum w celu ich usunięcia?

    Odpowiedz
  • 2015.02.07 20:47 Annon

    Da ktoś link do Panelu?
    Rzucę okiem na podatności ;)

    Odpowiedz
  • 2015.02.07 23:06 Annon

    O ile pod linkiem http://cs-wakacje.pl/admin/api/forums/swagger_jagger/ panel już niedostępny .
    To przed momentem widzialem że była ścieżka http://cs-wakacje.pl/admin/api/forums/swagger_jagger/Wróciłem
    :)

    Odpowiedz
    • 2015.02.09 08:09 maslan

      „Głębokie ukrycie” :D

      BTW najchętniej głęboko ukryłbym swojego buta w d*** autora tego botnetu…

      Odpowiedz
  • 2015.02.09 09:43 Ninja

    Uuu, Adam, chyba rozwścieczyliście dzieciaki z Kara, miej się na baczności… Heh.

    Odpowiedz
    • 2015.02.09 10:02 maslan

      Trzeba uważać, bo może ogarnąć, że IP Adama to 127.0.0.1 i zacząć odpalać skrypty…

      Odpowiedz

Zostaw odpowiedź do drlooney

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Znalazłem taki botnet, czyli kto od miesięcy hakuje polskich graczy

Komentarze