Попал в руки архив с программкой, программку счел интересной, но проверить возможность отсутствует.
Настоятельно рекомендую запускать исключительно на виртуальной машине!
-
XSS.stack #1 – первый литературный журнал от юзеров форума
DDoS bot
- Автор темы ammok
- Дата начала
Судя по названию Optima это не ддос а лоадер и очень известный, если не ошибаюсь разработка моего знакмого stratum0, не запускал не ставил поэтому могу ошибаться но везде написано что это лоадер там а не ддос)
- Автор темы
- Добавить закладку
- #3
Одинокий Волк
Да, я аналогично посмотрел, там действительно лоадер и ддос бот.
Kaspersky сообщает нам что файл "BOT_builder.exe" - это некий "Constructor.Win32.DDoS.b", а файл "Loader_builder.exe" - это "Constructor.Win32.Downldr.ih".
Вот так вот, думайте сами - решайте сами
.
Да, я аналогично посмотрел, там действительно лоадер и ддос бот.
Kaspersky сообщает нам что файл "BOT_builder.exe" - это некий "Constructor.Win32.DDoS.b", а файл "Loader_builder.exe" - это "Constructor.Win32.Downldr.ih".
Вот так вот, думайте сами - решайте сами
.
Судя по админке Ддос бота "destination darkness outcast system" ... Бородатый паблик =)
А вообще подозрительный какойто архивчик =/
А вообще подозрительный какойто архивчик =/
А насколько он работоспособен?
- Автор темы
- Добавить закладку
- #6
Ra1mer
Я рад что тебе нравится.
Ar3s
Я рад что тебе нравится
.Ar3s
Вот это я тоже хотел бы выяснить, кто-нибудь может протестировать это дело?
перезалей на рапиду плз
- Автор темы
- Добавить закладку
- #8
rapidshare:
Сильно подробно не смотрел, качал архив из первого поста, проглядел отладчиком и PEiD, ничем не склеено вроде, запускал на десктопе.
Билдеры на асме вроде писаны, а вот сами боты на дельфи.
Билдеры на асме вроде писаны, а вот сами боты на дельфи.
Билдеры на асме вроде писаны, а вот сами боты на дельфи.
Да билдеры действительно на асме, а точнее на MASM'е
во всех ехе файлах присутствует 4 стандартных секции: .text, .rdata, .data, .rsrc, что говорит о том, что был использован стандартный компилятор.
открыл ресторатором, увидел, что во всех файлах прсутствуют ресурсы диалогового окна (окошко с тремя кнопками и с одним едитом) и ресурс с иконкой.
файл который получился в результате билда (Loader builder.exe)
Borland Delphi ( 2.0 - 7.0 ) 1992 - www.borland.com,
что говорит, что сам лоадер написан на делфи.
файл подвергается оптимизации, крипту или упаковке.
под ольку файл лег без проблем... так что можно посмотреть на файл подробнее...
решил провести не большой тестик...
сначала я оптимизировал pe (rebuild pe [PEEditor])
потом упаковал все это дело WinUpack'ом с 6-ой степенью сжатия...
был размер 22 кб, стал 10.3 кб , что как мне кажется для лоадера многовато...
p.s. это лично мое мнение
Да билдеры действительно на асме, а точнее на MASM'е
во всех ехе файлах присутствует 4 стандартных секции: .text, .rdata, .data, .rsrc, что говорит о том, что был использован стандартный компилятор.
открыл ресторатором, увидел, что во всех файлах прсутствуют ресурсы диалогового окна (окошко с тремя кнопками и с одним едитом) и ресурс с иконкой.
файл который получился в результате билда (Loader builder.exe)
Borland Delphi ( 2.0 - 7.0 ) 1992 - www.borland.com,
что говорит, что сам лоадер написан на делфи.
файл подвергается оптимизации, крипту или упаковке.
под ольку файл лег без проблем... так что можно посмотреть на файл подробнее...
решил провести не большой тестик...
сначала я оптимизировал pe (rebuild pe [PEEditor])
потом упаковал все это дело WinUpack'ом с 6-ой степенью сжатия...
был размер 22 кб, стал 10.3 кб , что как мне кажется для лоадера многовато...
p.s. это лично мое мнение
demien
Это лично мнение многих эвристических анализаторов :P
А для эвристика маловато
Это лично мнение многих эвристических анализаторов :P
Спасибо огромное давно искал!!!)))
Смотрел админку бота. Мда. Возможностей у него не особо много. Всего два типа атак.
- Автор темы
- Добавить закладку
- #14
В свое время я имел дело с программкой "t.h.u.g.l.i.f.e." вроде так называется, софт уже устарел, но качество атак меня всегда радовало, на сегодняшний день у этой программы проблемы с dll библиотекой (ее никому не удалось закриптовать и поставить на место), кто-нибудь пользуется этим софтом по сей день?
ammok
Сейчас нарыл на диске у себя нечто TL_v1.70_cracked. Dll вытащить, закриптовать и всунуть на место можно, есть некоторое ограничение, а именно сама длл находится в секции .text, которая не является последней, тоесть после крипта длл не должна быть большего размера, иначе ее просто некуда пихать, так как секция не последняя. Т.Е. для крипта длл нужен криптор с пакером.
Есть еще один вариант, можно дописать новую секцию а место под старую длл забить нулями, при этом размер самого файла бота станет больше на размер длл + учет выравнивания секций.
Опять же ( ), если сам бот криптовать софтом с пакером, то выходной криптованный файл будет таким же, как если бы длл лежала в последней секции и мы расширяли ее( секцию ).
В общем если есть потребность, могу после сессии сделать ради интереса.
Сейчас нарыл на диске у себя нечто TL_v1.70_cracked. Dll вытащить, закриптовать и всунуть на место можно, есть некоторое ограничение, а именно сама длл находится в секции .text, которая не является последней, тоесть после крипта длл не должна быть большего размера, иначе ее просто некуда пихать, так как секция не последняя. Т.Е. для крипта длл нужен криптор с пакером.
Есть еще один вариант, можно дописать новую секцию а место под старую длл забить нулями, при этом размер самого файла бота станет больше на размер длл + учет выравнивания секций.
Опять же (
), если сам бот криптовать софтом с пакером, то выходной криптованный файл будет таким же, как если бы длл лежала в последней секции и мы расширяли ее( секцию ).В общем если есть потребность, могу после сессии сделать ради интереса.
- Автор темы
- Добавить закладку
- #16
SilverT
Написать новую библиотеку - элементарно, она всего 2 функции исполняет, но без нее боты мрут после перезагрузки... Потребность само-собой имеется, по тестам - это самый лучший бот что я видел и использовал.
Я даже админку на php переписывал, но уже наверно потерял все файлы, а может и не потерял...
Написать новую библиотеку - элементарно, она всего 2 функции исполняет, но без нее боты мрут после перезагрузки... Потребность само-собой имеется, по тестам - это самый лучший бот что я видел и использовал.
Я даже админку на php переписывал, но уже наверно потерял все файлы, а может и не потерял...
мини обзор:
T.H.U.G. L.I.F.E.
Седня значит под скальпель идет сокс\ддос бот под названием T.H.U.G. L.I.F.E. ну или thug life,
кому как угодно. Функционала у этого бота по самому минимуму, но при этом стоит очень дорого.
1. Админко
Управляется бот через хттп админку, которая сделана необзычайно мудрено и ненужно. Все странички и
генерируются не пхп каким-нибудь там, а с при помощи perl в исполнении cgi-bin папки. Не каждый
хостинг такое извращение поддерживает, да и вообще ненужные выкрутасы.
Для паролирования админки нам предлагают создать .htaccess фаил и там указать пароль. Тоже не на
всяком хосте и дадут. Естессно, у кого дедик и прямые руки могут себе это позволить. Остальные
остаются ни с чем.
Гео-айпи база предлагается с точностью до города и соответственно занимает... около 15 мб.
Смысл такого изощерения вообще не ясен.
2. Ботинко
Сам бот размером в 16 кб непожатый ничем. Написан непонятно на чем, скорее всего на чистом Си.
На асм это не тянет никак, хотя как писать...
В начале трояна идет клевый шлейф из nop'ов, а потом мощный трюк с seh\int 3. Смысл трюка видать
чтобы от антивируса избавится, но погодите, ващето тело незашифровано вообще и тупой сигнатурный
скан по нему найдет этот троян, и тогда никакие шлейфы нупов и int3 не помогут. Вобщем -1 за такой
изврат.
Потом идет самый старый и смешной трюк обхода фаерволлов - CreateProcess с svchost.exe \
VirtualAllocate \ WriteProcessMemory \ SetThreadContext \ ResumeThread. Причем функции прямо
импортируются, никаких обходных маневров и т.п. Из этого выросли, по-моему, уже все примитивные
лоадеры и малвары. Но данный троян продолжает традиции бесполезных методов. Вобщем работать будет там
где нет фаерволла, либо дефолтный Windows Firewall.
Заинжекченный код, при наличии таких счастиливчиков, начинает загружать всякие дллки, например,
urlmon.dll, wininet.dll, ws2_32.dll, advapi32.dll, user32.dll. Наличие ws2_32.dll в этом списке
вообще непонятно ибо оно автоматом грузится при загрузке wininet.dll. Advapi32 и user32 вообще
уже присутствуют в импорте svchost.exe и загружать их повторно это нечто.
Устанавливается, кстати, энтот троян в AppInit_DLLs, что подгружает его во все загружающиеся
процессы. Также присутствует присловутая библиотека для winlogon.exe, которая собственно и дает
права системы при загрузке.
Далее идет создание потока ответственного за сокс5 сервер. Примечательно, что генерация рандом
идет в окружении EnterCriticalSection\LeaveCriticalSection. Без комментариев.
После чего идет цикл по запросу комманд с сервера. Набор комманд, как уже было отмечено, не шибком
и велик. Вот он:
- UPGRADE - обновить бота
- UPLOAD - закачать и выполнить фаил. UrlDownloadToCacheFile\WinExec.
- Http DDoS - запросы GET или POST
- Icmp DDoS - запросы icmp
- Syn+Ack - запросы на коннект
Вот и все собстна. Авторы утвержают что там уникальный метод доса. Чтож поглядим на эти методы.
2.1. Http ddos
Берем заготовленный шаблон GET или POST запроса, вставляем туда путь до файла который досить надо
и собстна в цикле начинаем коннект\сенд\дисконнект. Запрос такой:
.text:00402313 get_ddos db 'GET %s?%s HTTP/1.1',0Dh,0Ah
.text:00402313 db 'Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,'
.text:00402313 db ' application/x-shockwave-flash, application/vnd.ms-excel, ap'
.text:00402313 db 'plication/vnd.ms-powerpoint, application/msword, */*',0Dh,0Ah
.text:00402313 db 'Accept-Language: ch',0Dh,0Ah
.text:00402313 db 'Accept-Encoding: gzip, deflate',0Dh,0Ah
.text:00402313 db 'User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.'
.text:00402313 db '1; SV1)',0Dh,0Ah
.text:00402313 db 'Host: %s',0Dh,0Ah
.text:00402313 db 'Connection: Keep-Alive',0Dh,0Ah
.text:00402313 db 0Dh,0Ah,0
Увидев "Connection: Keep-Alive" я уж обрадовался, что понял, почему у них уникальный метод досинга.
Оказалось нет, облом-с. Вобщем у ребят сделан цикл connect\send\closesocket, а могли бы один
раз подконнектится и в цикле слать кучу запросов. Задокументированная возможность между прочим. К
счастью код не слишком сложный и поэтому у кого хватает ума - занупайте closesocket и поставьте цикл
на send(), итого получим бесплатное увеличение силы доса.
2.2. Syn+Ack Ddos
Под этим сложным названием скрывается потрясающий цикл - connect\closesocket. И это назвается
ужасно страшным словом "Syn+Ack ддосом".
2.3. Icmp Ddos
Ну тут Остапа понесло и начались raw sockets и всякие там sendto функции. Жестко выглядит, да и
размер соответствующий. Уж лучше б вы iphlpapi.dll загрузили да юзали IcmpSendEcho функцию.
Итого, очень смешная штука, для такого функционала большой размер, хотя могло быть и намного хуже,
могли и на delphi написать, там размерчик что надо будет. Никакой обход фаерволла, разве что для
самых тупых фаерволлов и юзеров. Ну и абсолютно никакой защиты от антивирусов, точнее не так, она
есть, но применена настолько бездарно, что толку от неё - 0.
by NeoN
date: 21.08.07
вот так вот=)
T.H.U.G. L.I.F.E.
Седня значит под скальпель идет сокс\ддос бот под названием T.H.U.G. L.I.F.E. ну или thug life,
кому как угодно. Функционала у этого бота по самому минимуму, но при этом стоит очень дорого.
1. Админко
Управляется бот через хттп админку, которая сделана необзычайно мудрено и ненужно. Все странички и
генерируются не пхп каким-нибудь там, а с при помощи perl в исполнении cgi-bin папки. Не каждый
хостинг такое извращение поддерживает, да и вообще ненужные выкрутасы.
Для паролирования админки нам предлагают создать .htaccess фаил и там указать пароль. Тоже не на
всяком хосте и дадут. Естессно, у кого дедик и прямые руки могут себе это позволить. Остальные
остаются ни с чем.
Гео-айпи база предлагается с точностью до города и соответственно занимает... около 15 мб.
Смысл такого изощерения вообще не ясен.
2. Ботинко
Сам бот размером в 16 кб непожатый ничем. Написан непонятно на чем, скорее всего на чистом Си.
На асм это не тянет никак, хотя как писать...
В начале трояна идет клевый шлейф из nop'ов, а потом мощный трюк с seh\int 3. Смысл трюка видать
чтобы от антивируса избавится, но погодите, ващето тело незашифровано вообще и тупой сигнатурный
скан по нему найдет этот троян, и тогда никакие шлейфы нупов и int3 не помогут. Вобщем -1 за такой
изврат.
Потом идет самый старый и смешной трюк обхода фаерволлов - CreateProcess с svchost.exe \
VirtualAllocate \ WriteProcessMemory \ SetThreadContext \ ResumeThread. Причем функции прямо
импортируются, никаких обходных маневров и т.п. Из этого выросли, по-моему, уже все примитивные
лоадеры и малвары. Но данный троян продолжает традиции бесполезных методов. Вобщем работать будет там
где нет фаерволла, либо дефолтный Windows Firewall.
Заинжекченный код, при наличии таких счастиливчиков, начинает загружать всякие дллки, например,
urlmon.dll, wininet.dll, ws2_32.dll, advapi32.dll, user32.dll. Наличие ws2_32.dll в этом списке
вообще непонятно ибо оно автоматом грузится при загрузке wininet.dll. Advapi32 и user32 вообще
уже присутствуют в импорте svchost.exe и загружать их повторно это нечто.
Устанавливается, кстати, энтот троян в AppInit_DLLs, что подгружает его во все загружающиеся
процессы. Также присутствует присловутая библиотека для winlogon.exe, которая собственно и дает
права системы при загрузке.
Далее идет создание потока ответственного за сокс5 сервер. Примечательно, что генерация рандом
идет в окружении EnterCriticalSection\LeaveCriticalSection. Без комментариев.
После чего идет цикл по запросу комманд с сервера. Набор комманд, как уже было отмечено, не шибком
и велик. Вот он:
- UPGRADE - обновить бота
- UPLOAD - закачать и выполнить фаил. UrlDownloadToCacheFile\WinExec.
- Http DDoS - запросы GET или POST
- Icmp DDoS - запросы icmp
- Syn+Ack - запросы на коннект
Вот и все собстна. Авторы утвержают что там уникальный метод доса. Чтож поглядим на эти методы.
2.1. Http ddos
Берем заготовленный шаблон GET или POST запроса, вставляем туда путь до файла который досить надо
и собстна в цикле начинаем коннект\сенд\дисконнект. Запрос такой:
.text:00402313 get_ddos db 'GET %s?%s HTTP/1.1',0Dh,0Ah
.text:00402313 db 'Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,'
.text:00402313 db ' application/x-shockwave-flash, application/vnd.ms-excel, ap'
.text:00402313 db 'plication/vnd.ms-powerpoint, application/msword, */*',0Dh,0Ah
.text:00402313 db 'Accept-Language: ch',0Dh,0Ah
.text:00402313 db 'Accept-Encoding: gzip, deflate',0Dh,0Ah
.text:00402313 db 'User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.'
.text:00402313 db '1; SV1)',0Dh,0Ah
.text:00402313 db 'Host: %s',0Dh,0Ah
.text:00402313 db 'Connection: Keep-Alive',0Dh,0Ah
.text:00402313 db 0Dh,0Ah,0
Увидев "Connection: Keep-Alive" я уж обрадовался, что понял, почему у них уникальный метод досинга.
Оказалось нет, облом-с. Вобщем у ребят сделан цикл connect\send\closesocket, а могли бы один
раз подконнектится и в цикле слать кучу запросов. Задокументированная возможность между прочим. К
счастью код не слишком сложный и поэтому у кого хватает ума - занупайте closesocket и поставьте цикл
на send(), итого получим бесплатное увеличение силы доса.
2.2. Syn+Ack Ddos
Под этим сложным названием скрывается потрясающий цикл - connect\closesocket. И это назвается
ужасно страшным словом "Syn+Ack ддосом".
2.3. Icmp Ddos
Ну тут Остапа понесло и начались raw sockets и всякие там sendto функции. Жестко выглядит, да и
размер соответствующий. Уж лучше б вы iphlpapi.dll загрузили да юзали IcmpSendEcho функцию.
Итого, очень смешная штука, для такого функционала большой размер, хотя могло быть и намного хуже,
могли и на delphi написать, там размерчик что надо будет. Никакой обход фаерволла, разве что для
самых тупых фаерволлов и юзеров. Ну и абсолютно никакой защиты от антивирусов, точнее не так, она
есть, но применена настолько бездарно, что толку от неё - 0.
by NeoN
date: 21.08.07
вот так вот=)
Cryo. Судя по обзору - редкое и бездарное творение...
А жаль. В очередной раз задумываюсь, а есть ли вообще нормальные в полном смысле этого слова ddos боты. Куда не кинься - пачка минусов, бездарная реализация, или, если нормальная реализация, то какие-нить грабли с dll/криптом.
А жаль. В очередной раз задумываюсь, а есть ли вообще нормальные в полном смысле этого слова ddos боты. Куда не кинься - пачка минусов, бездарная реализация, или, если нормальная реализация, то какие-нить грабли с dll/криптом.
У нас в разработке щас интересный ддосик.
- Автор темы
- Добавить закладку
- #20
Ar3s
извращение - не то слово, это как специально сделано, мощь ботнета основанного на этом боте я забыть не могу (много народу в панику впадали), хочу возродить былую "дубинку"
Одинокий Волк
я запомню, когда релиз планируете?
извращение - не то слово, это как специально сделано, мощь ботнета основанного на этом боте я забыть не могу (много народу в панику впадали), хочу возродить былую "дубинку"
Одинокий Волк
я запомню
, когда релиз планируете?