歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

開源僵尸網絡平臺LiteHttp源碼分析

來源:本站整理 作者:佚名 時間:2019-06-05 TAG: 我要投稿

一、 簡介
如今,黑客越來越多的通過修改開源的病毒源碼來實現快速的病毒開發,如Mirai、qbot等公開了源碼的病毒,常被黑客用于二次開發,用以攻擊。前不久,一起針對巴基斯坦的APT攻擊中,發現黑客所使用的攻擊樣本是通過開源僵尸網絡病毒LiteHttp改造而來的,與后者的行為基本一致。分析開源惡意軟件源碼,能讓我們更直接地了解惡意軟件的工作原理,從而設計出更好的防護策略,下面,我們就來本地搭建LiteHttp并對其源碼進行簡單分析。
LiteHttp是一個使用C#編寫的開源僵尸網絡惡意軟件,
項目地址:https://github.com/zettabithf/LiteHTTP。

項目有3個目錄,Bot是病毒程序的代碼,Panel是控制端的代碼,使用PHP編寫,Builder是一個生成器,用于快速生成病毒程序。

生成器運行后如下圖,只要填入控制端的Url以及加解密密鑰,就能自動生成一個病毒程序,這樣就省去了修改病毒源碼重新編譯的步驟。Builder的代碼就是對Bot的一個封裝,下面重點分析Bot和Panel的代碼。

控制端只需要將Panel文件夾復制到PHP網站目錄下即可運行,不過運行之前要先導入Upload_to_database.sql初始化LiteHttp需要的數據庫。

數據庫初始化完畢后,訪問Panel下的login路徑即可進行登陸控制端,初始的賬戶名和密碼均為admin。

Dashboard顯示了上線主機的概況,下發惡意命令的功能在Tasks標簽處。

二、 源碼分析
2.1 代碼流程

2.2 主函數
程序一開始會創建兩個線程,分別用于執行核心攻擊操作,以及持久化攻擊操作。

2.3 持久化攻擊函數
持久化攻擊操作比較簡單,就是在注冊表下創建一個自啟動項“Catlyst Control Center”,實現每次開機自動運行。

2.4 核心攻擊函數
接下來看核心攻擊函數的代碼,主要做了3個主要操作:
[1] 收集主機信息,使用預先約定的密鑰進行加密,然后將加密后的信息以Http的方式上傳至控制端服務器。
[2] 接受控制端的控制碼并執行相應的操作。
[3] 上傳執行的結果。

2.5 C&C通信函數
與C&C通信的代碼在類Communication中,通過POST的方式將加密后的主機信息上傳到控制端服務器,這里有一點值得注意,發送數據包前會將Http頭中的UserAgent修改為一個隨機字符串,這個是控制端用來識別肉雞的標識。

2.6 惡意操作執行函數
主要的核心惡意操作在函數processTask中,通過代碼我們可以發現,控制碼是阿拉伯數字,接收的控制碼和執行參數都是通過base64加密的,首先需要對它們進行base64解密。主要的操作大致有4個:下載&執行可執行文件、訪問網站、清除異己、更新&卸載病毒程序。

三、 平臺演示
在運行病毒程序前,要現在Settings.cs中填入32位的加解密密鑰。

同時,在Panel的\inc\config.php中的$deckey中也填入上一步的密鑰,代碼中是使用AES-CBC算法進行加密的,密鑰必須相同才能保證解密出的數據一致。

調試病毒代碼的通信模塊,通過下圖藍色部分我們可以看到post的數據為一堆加密后的主機信息。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视