×

开源僵尸网络平台LiteHttp源码分析
  

SANGFOR_智安全 5646

{{ttag.title}}
本帖最后由 某公司_智安全 于 2019-6-4 18:57 编辑

一、简介

    如今,黑客越来越多的通过修改开源的病毒源码来实现快速的病毒开发,如Mirai、qbot等公开了源码的病毒,常被黑客用于二次开发,用以攻击。前不久,一起针对巴基斯坦的APT攻击中,发现黑客所使用的攻击样本是通过开源僵尸网络病毒LiteHttp改造而来的,与后者的行为基本一致。分析开源恶意软件源码,能让我们更直接地了解恶意软件的工作原理,从而设计出更好的防护策略,下面,我们就来本地搭建LiteHttp并对其源码进行简单分析。

LiteHttp是一个使用C#编写的开源僵尸网络恶意软件,项目地址:https://github.com/zettabithf/LiteHTTP。

项目有3个目录,Bot是病毒程序的代码,Panel是控制端的代码,使用PHP编写,Builder是一个生成器,用于快速生成病毒程序。

生成器运行后如下图,只要填入控制端的Url以及加解密密钥,就能自动生成一个病毒程序,这样就省去了修改病毒源码重新编译的步骤。Builder的代码就是对Bot的一个封装,下面重点分析Bot和Panel的代码。

控制端只需要将Panel文件夹复制到PHP网站目录下即可运行,不过运行之前要先导入Upload_to_database.sql初始化LiteHttp需要的数据库。

数据库初始化完毕后,访问Panel下的login路径即可进行登陆控制端,初始的账户名和密码均为admin。

Dashboard显示了上线主机的概况,下发恶意命令的功能在Tasks标签处。


二、源码分析

2.1 代码流程

2.2 主函数
程序一开始会创建两个线程,分别用于执行核心攻击操作,以及持久化攻击操作。

2.3 持久化攻击函数
持久化攻击操作比较简单,就是在注册表下创建一个自启动项“Catlyst Control Center”,实现每次开机自动运行。

2.4 核心攻击函数
接下来看核心攻击函数的代码,主要做了3个主要操作:
[1] 收集主机信息,使用预先约定的密钥进行加密,然后将加密后的信息以Http的方式上传至控制端服务器。
[2] 接受控制端的控制码并执行相应的操作。
[3] 上传执行的结果。

2.5 C&C通信函数
与C&C通信的代码在类Communication中,通过POST的方式将加密后的主机信息上传到控制端服务器,这里有一点值得注意,发送数据包前会将Http头中的UserAgent修改为一个随机字符串,这个是控制端用来识别肉鸡的标识。

2.6 恶意操作执行函数
主要的核心恶意操作在函数processTask中,通过代码我们可以发现,控制码是阿拉伯数字,接收的控制码和执行参数都是通过base64加密的,首先需要对它们进行base64解密。主要的操作大致有4个:下载&执行可执行文件、访问网站、清除异己、更新&卸载病毒程序。


三、平台演示

在运行病毒程序前,要现在Settings.cs中填入32位的加解密密钥。
同时,在Panel的\inc\config.php中的$deckey中也填入上一步的密钥,代码中是使用AES-CBC算法进行加密的,密钥必须相同才能保证解密出的数据一致。

调试病毒代码的通信模块,通过下图蓝色部分我们可以看到post的数据为一堆加密后的主机信息。

第一次运行时发现了一个bug,当病毒程序尝试与控制端服务器通信时,服务器返回了一个404,这时就觉得纳闷了,路径没错呀,为什么会返回404,这里就得到Panel源码中去找答案了。

打开page.php,发现原来是只要控制端接收的数据不对,就会跳转到404页面,而通过调试,最后确认了是如下蓝色部分的代码判断失败,这段代码是用来判断参数opsys(肉鸡操作系统)是否为英文和数字的组合,而我们中国地区的windows系统名带有中文,所以判断失败,把这段代码去掉就能成功执行下去了。

运行病毒程序后,在控制端的Dashboard中可以看到一台主机上线,由于我的IP是内网地址,所以控制端没有解析出IP的地理位置。

随后,我们就能在Tasks标签页下对该主机进行相应的恶意操作了,下发恶意命令,状态栏中会显示任务执行的状态。

参考链接:
http://it.rising.com.cn/dongtai/19587.html



这份干货对你有帮助吗?快来留言评论~

打赏鼓励作者,期待更多好文!

打赏
8人已打赏

Sangfor_闪电回_朱丽 发表于 2019-6-10 16:53
  
分析开源恶意软件源码,能让我们更直接地了解恶意软件的工作原理,从而设计出更好的防护策略,点赞!
胖坨坨 发表于 2019-6-10 17:57
  
学习一下
暗夜星空 发表于 2019-6-11 08:32
  
偶尔搞点C#,还可以看得懂
念友真爱 发表于 2019-6-11 12:26
  
厉害了,一看就是技术型人才,点赞,打赏哦
Alen_luo 发表于 2019-6-12 08:31
  
就喜欢这样的人才。棒棒的
安全之友 发表于 2019-6-12 09:24
  
不懂技术哦,有点深
Winner 发表于 2019-6-12 11:56
  
谢谢分享!
会飞的癞蛤蟆 发表于 2019-6-13 16:07
  
码农们的福音。。。
饕餮2018 发表于 2019-6-13 21:54
  
收藏起来,慢慢消化
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
产品连连看
功能体验
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人