Анализ DDoS-бота Dirt Jumper v5

0
23.02.2012
в

Не так давно в публичный доступ просочился билдер для DDoS-бота Dirt Jumper версии 5. Я уже писал о предыдущих версиях, так же расскажу со временем о Simple и September, которые построены на исходника Dirt Jumper, но о них позже.

И так, начнем, передо мной 2 сэмпла, один, хранящийся еще с октября и новый, полученный вместе с утекшим билдером.

File Name:  DJS.exe
File Size:  194560 bytes
MD5:        ef9c4bfa9906251d52c3658252224d85
SHA1:       2b19632d659834082f6d3990fe1f5d767a6c997c
Sections (8):
  Name      Entropy  MD5
  CODE      6.53     4672828ee47947268d73d1c2a1fd1713
  DATA      3.62     1d4ae05c0211f9ea19df9f338d56e56c
  BSS       0.0      d41d8cd98f00b204e9800998ecf8427e
  .idata    4.5      2b9af02d60edec287ae4c9b3e0485dbe
  .tls      0.0      d41d8cd98f00b204e9800998ecf8427e
  .rdata    0.19     28765e2052b1ca47b176a8ee8084fa57
  .reloc    6.64     79a038d651070c4e5d8fb2bbba37bc86
  .rsrc     3.37     d54b88c104472e46d28e57efdbc3d8b2
File Name:  stub.exe
File Size:  194560 bytes
MD5:        506ba7a322288cc4dc55b7c32fea9f4f
SHA1:       d4795b350632ec0a2ea69cc8ab481634c903742d
Sections (8):
  Name      Entropy  MD5
  CODE      6.53     a6a2f999004ea4755f19af496de79c30
  DATA      3.62     1d4ae05c0211f9ea19df9f338d56e56c
  BSS       0.0      d41d8cd98f00b204e9800998ecf8427e
  .idata    4.5      2b9af02d60edec287ae4c9b3e0485dbe
  .tls      0.0      d41d8cd98f00b204e9800998ecf8427e
  .rdata    0.19     28765e2052b1ca47b176a8ee8084fa57
  .reloc    6.64     79a038d651070c4e5d8fb2bbba37bc86
  .rsrc     3.37     d54b88c104472e46d28e57efdbc3d8b2

Virustotal демонстрирует результат 18/43 — ведущие антивирусные вендоры не дремлют, хоть и не дают конкретного детекта, что это бот.

Файлы идентичны по содержимому, разница только в адресах панелей управления.
(далее…)

Попытка взлома блога школьниками? xD

3
20.02.2012
в

В логах обнаружил, что вечером 18-го какой-то школяр пытался брутить блог:

95.67.169.24 - - [18/Feb/2012:19:26:30 +0400] "GET /wp-login.php HTTP/1.1" 200 1150 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:30 +0400] "POST /wp-login.php HTTP/1.1" 503 213 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:30 +0400] "POST /wp-login.php HTTP/1.1" 503 213 "-" "-"

И так 995 попыток)
Сомневаюсь, что это прокси.

Так же было сканирование на уязвимости, хотя это тоже детские шалости:

95.67.169.24 - - [18/Feb/2012:19:26:24 +0400] "GET /readme.html HTTP/1.1" 200 4881 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /wp-includes/rss-functions.php HTTP/1.1" 500 20 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /wp-config.php.save HTTP/1.1" 503 213 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /wp-config.php_bak HTTP/1.1" 503 213 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /%23wp-config.php%23 HTTP/1.1" 503 213 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /wp-config.php~ HTTP/1.1" 503 213 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:26 +0400] "GET /wp-config.php.swp HTTP/1.1" 404 4862 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:27 +0400] "GET /wp-config.php.swo HTTP/1.1" 404 4862 "-" "-"

Ушлый хрен из Самары, в следующий раз юзай прокси, не позорься. Брутить бесполезно, учетки пользователей на этом блоге прав никаких не имеют, а нормальный пароль тебе попросту не сбрутить.

Вообще не понимаю немного, почему столько вредителей постоянно лезут со своими ботнетами/сканерами. Сайт не коммерческий и прибыли мне не приносит, если он лежит — то это только читателям минус, а не моим финансам.

IceSword 1.22

7
20.02.2012
в

IceSword — инструмент для обнаружения скрытых файлов, записей в реестре, процессов и прочих элементов, используемых вредоносными программами для закрепления в системе. Это не антируткит в привычном понимании, но программа вполне пригодна для борьбы с руткитами и тяжело удаляемыми инфекциями.

Полный список подконтрольных элементов:

  • Процессы
  • Порты и сетевые подключения
  • Модули ядра
  • Автозагрузка
  • Службы
  • SPI
  • Полный контроль над реестром
  • Полной контроль над файловой системой

IceSword — довольно мощная утилита, которая способна нанести вред системе при неумелом использовании, используйте ее только в случае, если вы уверены в своих действиях.

Программа умеет делать импорт собранной информации в текстовый файл.
Имеет интуитивно понятный интерфейс.
Язык английский.
Стабильная работа гарантируется под Windows xp/2003/vista.
Работа под семеркой не проверялась, но теоретически она невозможна без дополнительных манипуляций с конфигурацией системы из-за необходимости загрузки неподписанного драйвера.

Кстати, о драйвере.
Имя ему IsDrv122.sys (c:\windows\system32\drivers\IsDrv122.sys)
Не виден в проводнике, но на него реагируют другие антируткиты и иногда антивирусы, что временами может навлечь на мысль о заражении. Вы можете спокойно его удалить, если он мешает, но после запуска программы он будет создан заново.

Скачать IceSword 1.22 (md5:49582E999155CDF2812A1D645CAF0831)

Установка VirtualBox+Windows XP

6
16.02.2012
в

Для того чтобы провести анализ того или иного приложения без риска для своей операционной системы, нам понадобится система виртуальная, об установке которой мы сейчас и поговорим.

Даже с такой несложной задачей у некоторых бывают проблемы. Я коротко опишу процесс установки сначала самой виртуальной машины VirtualBox, затем установку в качестве гостевой системы windows xp professional.

На самом деле ничего сложного. Нам понадобится:

  • Virtualbox + VM VirtualBox Extension Pack. Скачивается с официального сайта:

https://www.virtualbox.org/wiki/Downloads

Версии под линукс: https://www.virtualbox.org/wiki/Linux_Downloads

  • Установочный образ Windows XP Professional SP3, качать его или купить — ваш выбор.
  • Не менее 6 гигабайт свободного пространства на жестком диске.
  • Не менее 768 мегабайт оперативной памяти. Для комфортной работы от 1 гигабайта и более.
  • Процессор особого значения не имеет, достаточно будет и 1 гигагерца.

Скачиваем установщик, ставим, затем устанавливаем двойным кликом пакет дополнений VM VirtualBox Extension Pack.
Теперь создадим новую виртуальную машину.
(далее…)

Заметка #16. Нужен ли раздел HOWTO?

2
16.02.2012
в

Ну, обновление шаблона прошло успешно, функционал сайта не пострадал, поэтому верной дорогой можно продолжать.
Что продолжать, спросите вы?
Я пока думаю, чего интересного такого написать, но ни сэмплов вкусных нет, ни спама какаго дивного-необычного.

Еще хочется посетовать на то количество людей, ломящихся с расспросами «Как самостоятельно реверсить мальварь?». Как-как, попробуйте почитать бложик с самого начала, самые старые статейки вполне подробно и в картинках описывают, как перехватить трафик программы, как найти какие-то интересности в коде, узнать куда и как себя в системе программа устанавливает..

Так же обязательно стоит прочитать книжку Malware Analyst’s Cookbook and DVD: Tools and Techniques for Fighting Malicious Code
Купить эту хорошую книгу можно на Амазоне. Оно стоит того: в ней собраны весьма актуальные материалы по исследованию вредоносного ПО, и все написано не сухим научным языком, а разжевано так, что поймет и пятиклассник.

Еще один источник категории «мастрид» — Dr. Fu’s Security Blog
Тут нас научат реверсить руткиты на примере Max++. Чтиво довольно тяжелое, но интересное для проникшихся.
Еще несколько премеров презентаций:

Другие ссылки на интересные сайты этой тематики можно найти у меня на главной в футере, столбец «Вирусология», но гугл способен выдать гораздо больше качественного материала, чем я смогу насоветовать, если научиться как следует искать, конечно же.

P.S.
Но все же я планирую создать раздел howto, в котором будут рассмотрены какие-то моменты, по которым мне задают больше всего вопросов.
Ну, это сегодня мне так все представляется, конкретную модель я еще не составил, может текстовая информация будет подкрепляться видео-материалами, а может и нет. Времени у меня все таки не безграничное количество =)

Принимаю пожелания/предложения в комментариях.

HOWTO — небольшие технические руководства, объясняющие как выполнить ту или иную задачу

Вверх