1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Обзор Impact DdoS bot-a

Тема в разделе "Статьи, руководства, видео", создана пользователем zBot, 8 апр 2012.

  1. zBot
    zBot Новичок
    Симпатии:
    3
    Этот бот хотя и написан больше года назад но его до сих пор нет в паблике и им никто не барыжит по форумам. Автор бота Credo думаю его многие знают по его icq флудеру(SMERCH ICQ Flooder).
    Бот написан на delphi 7 и его вес в не упакованном виде составляет 54 кб (54 272 байт) в ресурсах имеет файл wertifict.dll (модуль защиты бота)
    При первом запуске бот копирует себя и свои файлы в папку %appdata%\random с именем sccr.exe , где random случайная папка а имя файла указывается при компиляций, то есть не генерируется случайно. После копирования в систему бот обеспечивает свой автозапуск (до запуска explorer.exe) после чего авторизуется в адми-панеле и получает команду при условии что на компьютере в данный момент не запущен процесс EHSniffer.exe в противном случае ждет его завершения.
    Стоит отметить что все данные в боте зашифрованы, общение с админ – центром так же зашифровано в base64.
    Про админ панель ничего толком сказать не могу, ибо видел ее мельком. На вид ничего лишнего, в светлых тонах.
    Бот имеет на своем борту 5 типов атак, сейчас я опишу каждый из них.
    Код:
    1)Http flood GET запросами: Бот шлет get запросы на указанный скрипт с указанным интервалом, юзер агент и рефер ссылка генерируется из “шаблона” всего их 124 созданах на базе Mazila,Opera,Safar.
    2)Http flood POST запросами: Тоже самое что и Http flood GET лишь с отличием что используется POST запрос, мусорные данные для запроса генерируются случайно.
    3)Http flood POST-slow запросами : Тоже самое что и Http flood POST но соединения не обрываются, а поддерживаются некое время генерируемое случайно! То есть один запрос может поддерживаться 5 секунд другой 10 секунд а третий может вообще закрыться после отправки данных.
    4)TCP flood UDP пакетами: Тут нет ничего особенного обычный флуд UDP пакетами на заданный порт, размер пакета генерируется случайно
    5)TCP flood TCP пакетами: Этот тип атаки реализован наподобие всем известного dos пакета Spryt. Создается несколько подключений по протоколу TCP на указанный порт, если соединения прошли успешно, то создается еще несколько соединений и тд! От себя хочу заметить, что этим типом ddos а очень удобно атаковать ftp или Shh.
    (см. фото tcp пакетов)
    Немного о защите бота.
    Бот не имеет защиты от отладчика! При завершении процесса бота происходит его повторный запуск, при удалении веток реестра отвечающего за автозапуск, данные реестра восстанавливаются
    Немного об обходах.
    Код:
    •UAC Windows 7/vista/32/64: обходит, а точнее не юзает что запрещено.
    •Avast firewall: Обходит, устанавливается в систему, общается с админ панелью,флудит.
    •Dr. Web Версия 7.0.0.10140 :Обходит частично, устанавливается, общается с админ- панелью, флудит Http флудом, но при TCP флуде на порт появляется предупреждение и варианты разрешить или блокировать, тоже самое с UDP флудом. 
    •На других продуктах по тестировать не удалось.
    (см скрин блокировки TCP флуда)
    Для удаления бота из системы следует загрузится в безопасном режиме с поддержкой командной строки, завершить процесс бота(sccr.exe) открыть редактор реестра удалить все записи связанные с sccr.exe и патчем %appdata%\..\sccr.exe
    Заключение: Бот в целом не плохой, не хватает лишь обновления бота из админ панели и скачка/запуск файлов. Так же хотелось бы видеть ICMP и SYN флуд.
    Огромное спасибо автору бота за уточнение информации, желаю ему успехов.
    ©zBot
     
    8 апр 2012
    2 пользователям это понравилось.
  2. onthar
    onthar Команда форума Админ
    Симпатии:
    396
    Как-то малоинформативно, нет никаких особенностей, специфичных строк/запросов.
     
    8 апр 2012
  3. Nginx
    Nginx Новичок
    Симпатии:
    1

Поделиться этой страницей

Загрузка...