CryptoPHP

HackForum

CryptoPHP#
Zdravim.
Nastudoval som si nieco o CryptoPHP botnete.
Zaujimalo by ma ako to funguje v praxy ale nikde neviem samoteny cryptophp kod stiahnut. Vie niekto poradit ?
(odpovědět)
Hackeree | 77.173.197.*8.12.2014 12:15
re: CryptoPHP#
Nenasiel som ziadnu cast ktora ovlada botnet ani ako vlastne funguje. Len kusky kodu. Par odkazov na linky ktore su hned dole. Any idea ?
(odpovědět)
Hackeree | E-mail9.12.2014 22:09
re: CryptoPHP#
%Stale nikto nic ? Kde na internete sa daju zohnat zdrojove kody niecoho podobneho ? Celkovo o kontrole cms systemu alebo informacie o niecom podobnom? 98% su irelevantne veci
(odpovědět)
Hackeree | E-mail14.12.2014 20:12
re: CryptoPHP#
Není moc co vysvětlovat. Bot používá určitý protokol. Protokol je postavený na HTTP protokolu - jinými slovy: Botnet nevyužívá přímo svůj vlastní protokol, pouze strukturuje řetězce tak, aby vytvářely pseudoprotokol. Připojí se na C&C a dostane příkazy. Obecně to může vypadat třeba takhle:
1 - získej informace o systému
2 - získej informace o síti
3 - vykonej příkaz
4 - spusť útok
5 - aktualizuj se
6 - ukonči se
7 - odstraň se
8 - získej běžící procesy
9 - získej uptime
...
Bot pak dostane pouze číslo. Číslo si přeloží na příkaz a vykoná ho. Aby byla komunikace bezpečnější, je šifrovaná pomocí RSA v obou směrech.

Na straně serveru je situace úplně stejná jen s tím rozdílem, že k němu má přímý přístup operátor. Ten zadává příkazy a vybírá si výsledky. V případě CryptoPHP je možnost ho ovládat i ručně přes GET požadavky (při znalosti požadovaného GET argumentu, který je zřejmě zvlášť generovaný pro každou infekci). Všiml jsem si, že data jsou strukturovaná pomocí JSONu, takže lépe zpracovatelná pro obě strany (bota i server).
Šíření je zajištěno pomocí exploitů pro populární CMS systémy. Nic moc víc se k tomu asi říct nedá.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website15.12.2014 18:38

Zpět
 
 
 

 
BBCode