Η ανατομία ενός Botnet - Πως πιάστηκε στα πράσα ο εγκέφαλος πίσω από το Herpesnet

2012-06-10 00:54

Του εξειδικευμένου συνεργάτη του SecNews: Ιωάννη Ιωαννίδη

Το Herpesnet εμφανίστηκε το 2012 σαν ακόμα ένα Botnet εργαλείο και εξαπλώθηκε ραγδαία μέσω του Twitter και forums από τον ίδιο τον προγραμματιστή του με το ψευδώνυμο Frk7 ο οποίος πουλούσε σχετικές υπηρεσίες μέσω αυτού. Σύμφωνα με μια έρευνα στο Google στις 19 Μάιου έδειξε ότι το δίκτυο<…>

του Herpesnet έλεγχε 9827 Bots και είχε 1947 χρήστες.

1 Η ανατομία ενός Botnet – Πως πιάστηκε στα πράσα ο εγκέφαλος πίσω από το Herpesnet

 

Εικόνα –Οι μηχανισμοί του Herpesnet

Το εκπληκτικό είναι ότι η ανακάλυψη του Frk7 έγινε με την χρήση 3 εργαλείων που διατίθενται δωρεάν

  1. IDA 5.0 (disassembler για ανάλυση του κώδικα)
  2. Sqlmap (για την εκμετάλλευση της βάσης δεδομένων)
  3. Internet browser

 

Μέσω του IDA οι αναλυτές του εργαστηρίου malware-lu ανάλυσαν τον κώδικα για την κατανόηση της λειτουργίας του botnet καθώς και την αναγνώριση των τοποθεσιών στα λειτουργικά συστήματα που επηρεάζονταν.

 

 

Εικόνα – Ανάλυση του κώδικα μέσω του IDA

Η πιο μεγάλη ανακάλυψη έγινε μέσω της ανάλυσης του C&C του Herpesnet χρησιμοποιώντας το sqlmap η οποία κατέδειξε ευπάθεια SQL Injection στον σύνδεσμο http://www.zeroxcode.net/herpnet/run.php

Place: POST
Parameter: id
Type: AND/OR time-based blind
Title:MySQL>5.0.11 AND time-based blind
Payload: userandpc=foo&admin=1&os=WindowsXP&hwid=2&ownerid=12345&version=3.0&raminfo=256&cpuinfo=p1&hdiskinfo=12GO&uptime=3600&mining=0&pinfo=none&vidinfo=none&laninf=none&id=23724′ AND SLEEP(5) AND ‘PtaQ’='PtaQ

[08:22:41][INFO] the back-end DBMS isMySQL
web server operating system:Windows2008
web application technology: ASP.NET,Microsoft IIS 7.5, PHP 5.3.10
back-end DBMS:MySQL5.0.11

 

Η συγκεκριμένη ευπάθεια επέτρεψε στους αναλυτές να εξάγουν τους πίνακες της βάσης δεδομένων καθώς και το όνομα και τον κωδικό του ιδιοκτήτη σε αποθηκευμένο MD5 μορφή. Αν και ο κωδικός ήταν αποθηκευμένος σε MD5 μορφή, μέσω μιας απλής αναζήτησης στο Google οι αναλυτές ανακάλυψαν έκπληκτοι ότι ο κωδικός μεταφραζόταν σε “ciao”.

 

 

 

Μέσω του Metasploit Framework που συμπεριλαμβάνεται δωρεάν στην έκδοση BackTrack Linux οι αναλυτές κατάφεραν να πάρουν πρόσβαση στον υπολογιστή του και τα αρχεία του που θα χρησιμοποιούνταν στην συνέχεια για την συλλογή πληροφοριών για τον χρήστη.

 

Στη συνέχεια οι αναλυτές έκαναν μια μικρή έρευνα για τον Frk7 μέσω ενός Crypter που δημιούργησε ο ίδιος και ανακάλυψαν το πραγματικό του όνομα που ήταν Fransesco Pompo καθώς και αρκετές διευθύνσεις ηλεκτρονικού ταχυδρομείου, λογαριασμό στο Skype και το κυριότερο τον λογαριασμό στο Facebook.

 

Περαιτέρω οι αναλυτές ανακάλυψαν τον λογαριασμό του Fransesco στο Twitter και στο Picasa καθώς και ότι ζει στο Trapani στην Ιταλία.

Μετά από  το ρεζίλεμα, ο Fransesco δήλωσε ότι δεν έχει κάνει κάτι παράνομο και απλά πουλούσε το πρόγραμμα για να πληρώσει τα δίδακτρα.

 

Γιάννης Ιωαννίδης – NetSeqCy

 

 

Το Site έχει την άδεια της ΑΕΠΙ.

Τα Μουσικά έργα παρέχονται μόνο για ιδιωτική χρήση κάθε επισκέπτη – χρήστη και απαγορεύεται η με οποιονδήποτε τρόπο περαιτέρω εκμετάλλευση αυτών χωρίς την προηγούμενη άδεια της ΑΕΠΙ.

Επικοινωνία

Ραδιόφωνο Άνω Βριλησσίων radioanovrilissia@yahoo.com