开源僵尸网络平台LiteHttp源码分析
  

SANGFOR_智安全 Lv9发表于 2019-6-4 18:56

本帖最后由 SANGFOR_智安全 于 2019-6-4 18:57 编辑

一、简介

    如今,黑客越来越多的通过修改开源的病毒源码来实现快速的病毒开发,如Mirai、qbot等公开了源码的病毒,常被黑客用于二次开发,用以攻击。前不久,一起针对巴基斯坦的APT攻击中,发现黑客所使用的攻击样本是通过开源僵尸网络病毒LiteHttp改造而来的,与后者的行为基本一致。分析开源恶意软件源码,能让我们更直接地了解恶意软件的工作原理,从而设计出更好的防护策略,下面,我们就来本地搭建LiteHttp并对其源码进行简单分析。

LiteHttp是一个使用C#编写的开源僵尸网络恶意软件,项目地址:https://github.com/zettabithf/LiteHTTP。
544625cf64a6683093.png

项目有3个目录,Bot是病毒程序的代码,Panel是控制端的代码,使用PHP编写,Builder是一个生成器,用于快速生成病毒程序。
489255cf64a8d5f842.png

生成器运行后如下图,只要填入控制端的Url以及加解密密钥,就能自动生成一个病毒程序,这样就省去了修改病毒源码重新编译的步骤。Builder的代码就是对Bot的一个封装,下面重点分析Bot和Panel的代码。
859785cf64a9cb1eee.png

控制端只需要将Panel文件夹复制到PHP网站目录下即可运行,不过运行之前要先导入Upload_to_database.sql初始化LiteHttp需要的数据库。
555875cf64ab00009b.png

数据库初始化完毕后,访问Panel下的login路径即可进行登陆控制端,初始的账户名和密码均为admin。
824825cf64abb4477e.png

Dashboard显示了上线主机的概况,下发恶意命令的功能在Tasks标签处。
720035cf64aca8ee7b.png


二、源码分析

2.1 代码流程
672675cf64adde4ccb.png
2.2 主函数
程序一开始会创建两个线程,分别用于执行核心攻击操作,以及持久化攻击操作。
951325cf64af85cd34.png

2.3 持久化攻击函数
持久化攻击操作比较简单,就是在注册表下创建一个自启动项“Catlyst Control Center”,实现每次开机自动运行。
54425cf64b06e5707.png

2.4 核心攻击函数
接下来看核心攻击函数的代码,主要做了3个主要操作:
[1] 收集主机信息,使用预先约定的密钥进行加密,然后将加密后的信息以Http的方式上传至控制端服务器。
[2] 接受控制端的控制码并执行相应的操作。
[3] 上传执行的结果。
165835cf64b18d1a84.png

2.5 C&C通信函数
与C&C通信的代码在类Communication中,通过POST的方式将加密后的主机信息上传到控制端服务器,这里有一点值得注意,发送数据包前会将Http头中的UserAgent修改为一个随机字符串,这个是控制端用来识别肉鸡的标识。
366085cf64b30e1b9a.png

2.6 恶意操作执行函数
主要的核心恶意操作在函数processTask中,通过代码我们可以发现,控制码是阿拉伯数字,接收的控制码和执行参数都是通过base64加密的,首先需要对它们进行base64解密。主要的操作大致有4个:下载&执行可执行文件、访问网站、清除异己、更新&卸载病毒程序。
808515cf64b4ca6c93.png


三、平台演示

在运行病毒程序前,要现在Settings.cs中填入32位的加解密密钥。
347165cf64b5c4050a.png
同时,在Panel的\inc\config.php中的$deckey中也填入上一步的密钥,代码中是使用AES-CBC算法进行加密的,密钥必须相同才能保证解密出的数据一致。
23605cf64b6f9133c.png

调试病毒代码的通信模块,通过下图蓝色部分我们可以看到post的数据为一堆加密后的主机信息。
718995cf64b804b341.png

第一次运行时发现了一个bug,当病毒程序尝试与控制端服务器通信时,服务器返回了一个404,这时就觉得纳闷了,路径没错呀,为什么会返回404,这里就得到Panel源码中去找答案了。
380455cf64b96eae1e.png

打开page.php,发现原来是只要控制端接收的数据不对,就会跳转到404页面,而通过调试,最后确认了是如下蓝色部分的代码判断失败,这段代码是用来判断参数opsys(肉鸡操作系统)是否为英文和数字的组合,而我们中国地区的windows系统名带有中文,所以判断失败,把这段代码去掉就能成功执行下去了。
803165cf64ba92df32.png

运行病毒程序后,在控制端的Dashboard中可以看到一台主机上线,由于我的IP是内网地址,所以控制端没有解析出IP的地理位置。
184785cf64bb96c2a4.png

随后,我们就能在Tasks标签页下对该主机进行相应的恶意操作了,下发恶意命令,状态栏中会显示任务执行的状态。
592245cf64bc898985.png

参考链接:
http://it.rising.com.cn/dongtai/19587.html



这份干货对你有帮助吗?快来留言评论~

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

Sangfor_闪电回_朱丽 发表于 2019-6-10 16:53
  
分析开源恶意软件源码,能让我们更直接地了解恶意软件的工作原理,从而设计出更好的防护策略,点赞!
胖坨坨 Lv1发表于 2019-6-10 17:57
  
学习一下
暗夜星空 Lv13发表于 2019-6-11 08:32
  
偶尔搞点C#,还可以看得懂
念友真爱 Lv7发表于 2019-6-11 12:26
  
厉害了,一看就是技术型人才,点赞,打赏哦
Alen_luo Lv2发表于 2019-6-12 08:31
  
就喜欢这样的人才。棒棒的
安全之友 Lv2发表于 2019-6-12 09:24
  
不懂技术哦,有点深
Winner Lv1发表于 2019-6-12 11:56
  
谢谢分享!
会飞的癞蛤蟆 Lv13发表于 2019-6-13 16:07
  
码农们的福音。。。
饕餮2018 Lv3发表于 2019-6-13 21:54
  
收藏起来,慢慢消化

×
有话想说?点这里!
可评论、可发帖

本版版主

48
34
1

发帖

粉丝

关注

本版热帖

本版达人

SANGFOR...

本周分享达人