最先, 介绍 现如今,网络黑客很多地改动开源系统病毒源以实现迅速的病毒感染开发设计。比如,Mirai,qbot和别的公布源码的病毒感染常常被网络黑客用以程序开发。前不久,在对于塔吉克斯坦的APT进攻中,发觉网络黑客应用的进攻样版被开源系统僵尸网络病毒感染LiteHttp改动,这大部分与前者的个人行为相同。利用对开源系统恶意程序源码的剖析,我们能否更真接地知道恶意程序的原理,进而设计方案出更强的安全防护对策。下边,我们将在当地搭建LiteHttp并剖析其源码。 LiteHttp是一个用C#撰写的开源系统僵尸网络恶意程序。
新项目详细地址:htpp://github.Com/zettabithf/LiteHTTP。
该新项目有3个文件目录,Bot是病毒程序的编码,Panel是控制面板的编码,用Python撰写,Builder是用以迅速转化成病毒程序的生成器。
生成器运作后,如图所示,要是填写信息操纵终端设备的Url和加密解密密匙,就能否全自动转化成病毒程序,进而省掉了改动病毒感染源码的流程。重新编译。 Builder编码是Bot的包裝器。下列重中之重详细介绍Bot和Panel的编码。
控制面板只还要将Panel文件夹名称拷贝到Python网站日志只能运作,但必需最先导进Upload_To_database.sql以在运作以前复位LiteHttp需要的数据库查询。
复位数据库查询后,浏览Panel下的登陆相对路径登陆控制面板。原始帐户名和登陆密码均为admin。
汽车仪表板显示信息免费在线服务器的简述,公布故意指令的作用坐落于“每日任务”菜单栏。
二, 源码剖析 2.2 编码步骤
3.2 主涵数 在程序流程刚开始时,建立2个进程来实行关键进攻实际操作并不断进攻实际操作。
2.2 持久化进攻涵数 长久进攻实际操作相对性简易,即在注册表下建立一个自启动项“Catlyst Control Center”,实现每一次自启动。
2.6 关键进攻涵数 接下去,看下关键进攻涵数的编码,关键做3个关键实际操作: [1]搜集服务器信息内容,应用事先承诺的密匙进行数据加密,随后将数据加密的信息内容做为Http上传入控制面板网络服务器。 [2]接纳控制面板的控制代码并实行相对的实际操作。 [3]发送实行結果。
2.3 C&C通讯涵数 在通讯类中与C& C通讯的编码,利用POST将数据加密的服务器信息内容上传到控制面板网络服务器。特别注意的是,在传送数据包以前,Http标头里的UserAgent被改动为任意空格符。字符串,它是控制面板用以鉴别肉食鸡的标志符。
2.9 故意实际操作实行涵数 关键的关键故意实际操作是在涵数processTask中。利用编码我们能否发觉控制代码是阿拉伯数。接受到的控制代码和实行参数均由base64数据加密。最先,他们还要被base64破译。大概有4个关键实际操作:免费下载和实行可执行文件,浏览网址,消除持不一样政见者,升级&卸载掉病毒程序。
三, 服务平台演试 在运作病毒程序以前,请在Settings.cs中填写信息31位数据加密和破译密匙。
直接,上一步的键也添充在Panel的\ inc \ config.Python中的$ deckey中。编码应用AES-CBC优化算法数据加密,密匙必需同样能够保证破译统计数据相同。
用以调节病毒代码的通讯控制模块,利用图为中的深蓝色一部分,我们可以看post统计数据是一大堆数据加密的服务器信息内容。
我的第一次发觉一个Bug,当病毒程序试着与控制面板网络服务器通讯时,服务器返回404,随后我觉得疑惑,相对路径是恰当的,怎么会回到404,这儿获得Panel源码Go find参考答案。
开启page.Python,发觉要是控制面板接到的统计数据不正确,就会自动跳转到404网页页面,并利用调节,最终确定下列深蓝色一部分编码无法确认,此编码用以确认主要参数opsys(Bracken操作系统)显示英文和大数字的组成,我国的Windows系统软件名字是汉语,因而分辨不成功,编码能否取得成功删掉。
运作病毒程序后,您能否在控制面板的汽车仪表板中见到每台服务器处在联机游戏情况。因为我的iP是Intranet详细地址,因而控制面板没法分析ip地址。
随后,我们能否在“每日任务”菜单栏下的服务器上实行故意实际操作,传出故意指令,而且通知栏上将显示信息每日任务实行的情况。
参照连接:.com://It.rising.Com.fr/dongtai/19587.html