analyza najjednoduchsieho botnetu Q8BOT

HackForum

analyza najjednoduchsieho botnetu Q8BOT#
ahoj,
pustil som sa do analyzy zdrojaku jedneho z najkratsich botnetov - ma len ~900 riadkov
A trosku som narazil.

Vedeli by ste mi s tym trosku pomoct?
na [link] som vyvesil zdrojaky
s tym, ze okomentoval som tie casti, ktore som pochopil a v komentaroch zanechal otazky na tie, ktore som nepochopil.
Komentare su vsetky moje az na ten uvodny 3 riadkovy, ktory hovori o autorovi :-)

Pomohli by ste mi zodpoevdat na niektore otazky?

Diky ;)
(odpovědět)
squo | 88.212.36.*26.1.2012 13:46
re: analyza najjednoduchsieho botnetu Q8BOT#
tak na zopar veci smo prisiel s kamaratom.

Funkcie nazvane cislami su vlastne [link] + vygooglil som si, co je ident server a dalsie detaily. Takze otazka vyriesena.
(odpovědět)
squo | 78.128.181.*30.1.2012 22:49
re: analyza najjednoduchsieho botnetu Q8BOT#
Je to obyčejný IRC bot s pár funkcema, které najdeš v kdejakém PHP IRC botovi. Nic moc zvláštního. Až na kód, který je hodně čistě napsaný a pěkně se čte.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website31.1.2012 1:44
re: analyza najjednoduchsieho botnetu Q8BOT#
ano, viem. pytal som sa ale na konkretne segmenty kodu, ktorym som nerozumel(IRC komunikaciu som si predstavoval inac, select() som nikdy predtym nepouzival,...) a ktorym uz nastastie rozumiem :-)
(odpovědět)
squo | 78.128.181.*31.1.2012 14:10
re: analyza najjednoduchsieho botnetu Q8BOT#
Chtel bych se zeptat, vysvetlily by ste mi jak v principu tеn IRC botnet ma fungovat, pripadne odkaz na nejaky clanek ci jednoduchy uvod do IRC scriptovani ? To jako kazdy kdo se pripoji do IRC mistnosti tak spravce mistnosti muze poslat nejaky prikaz nebo se tem lidem neco na pozadi stahne, nebo tuhle cast moc nechapu dekuji :)
(odpovědět)
evilzore | 67.159.5.*2.2.2012 0:53
re: analyza najjednoduchsieho botnetu Q8BOT#
nikdy si nepouzival IRC?

[link]
a vyskusaj si to v praxi na
[link]
:-)
(odpovědět)
squo | 78.128.181.*2.2.2012 12:54
re: analyza najjednoduchsieho botnetu Q8BOT#
Hm. Mám napsaný článek na téma "Píšeme IRC bota", kde jsem vysvětlil principy používání IRC a sepsal pseudokód funkčního IRC bota (na několik desítek, možná ke stovce řádek, ne to co můžeš najít zde na soomu [link]) spolu s funkční ukázkovou implementací v D.

Na soomu se však nic od mé kritiky ([link]) nezměnilo, proto ho sem nedám a druhé místo kde bych to mohl publikovat ještě příštích pár měsíců neexistuje.

Já jen abys věděl o co přicházíš :)
(odpovědět)
Bystroushaak_ | 83.208.175.*2.2.2012 20:52
re: analyza najjednoduchsieho botnetu Q8BOT#
no myslel sem spíš tu část kde IRC ovládá nějaký backdoor na napadeném PC.. jednoduchého bota bych asi zvládl taky
Bystroushaak_: dik za odkaz.. a ten navod v D by se urcite hodil, tak kdybys mel nekdy slabsi chvilku urcite to sem hod :-) dik
(odpovědět)
evilzore | 204.45.133.*3.2.2012 22:14
re: analyza najjednoduchsieho botnetu Q8BOT#
aha uz tomu asi rozumim, proste se nekde nahodi IRC server, pak se nekde rozesle IRC bot treba pribalenej k nejaky hre a ten si IRC zpravy cte a parsuje a podle toho spousti nejaky akce.. takze otazka jen jak anonymne zaregistrovat nejakej IRC server.. pokud to poskytovatel zrusi tak jen zmenit u domeny IP adresu a o boty se nepride.. takze bych to videl asi na nejaky offshore hosting, ale dvakrat se v tom nevyznam :p
(odpovědět)
evilzore | 67.159.5.*3.2.2012 23:56
re: analyza najjednoduchsieho botnetu Q8BOT#
No, to je jedna možnost. Další je třeba použít existující IRC server. Problém je, že botnet chany jsou docela lehce rozpoznatelné adminy, takže tvůrci implementují různé triky, jako že se mezi sebou boti baví atp.. :)
(odpovědět)
Bystroushaak_ | 83.208.175.*4.2.2012 21:33
re: analyza najjednoduchsieho botnetu Q8BOT#
aha to je docela dobry :) ja sem zatim nakodil v pythonu jednoduchyho bota co mi odpovida na ahoj a umi se prejmenovat tak uvidim jestli k tomu pridelam naky dalsi fce :D
(odpovědět)
evilzore | 204.45.133.*4.2.2012 22:41
re: analyza najjednoduchsieho botnetu Q8BOT#
tak sem se na to jeste dival, a byl bych schopnej napsat nejakej TcpSyn a Socket utok, ale ma to hacek.. je potreba aby na clientu byl nainstalovanej python a winpcap.. pro pouziti winpcapu v pythonu bych pouzil scapy [link] .. asi by nebyl problem to nak zabalit k nakymu exaci a pouzit nejakej FUD cryptor na obejiti Antiviru ale nevim jak obejit UAC.. na netu se da vygooglit spousta UAC Bypassu, ale tak zdatnej v kodeni nejsem, koukal sem ze tam je i nakej assembler... tak neni nejakej univerzalni nebo jednoduchej navod jak na to.. ?:D dik
(odpovědět)
evilzore | 204.45.133.*5.2.2012 11:27
re: analyza najjednoduchsieho botnetu Q8BOT#
tak mozna to nak sbalit do portable verze a pak uz jen obejit FW no tjo zacina to bejt slozity :D
(odpovědět)
evilzore | 204.45.133.*5.2.2012 13:24

Zpět
 
 
 

 
BBCode