欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

某个含有非常多功能的Perl后门工具研究专题

来源:本站整理 作者:佚名 时间:2017-09-14 TAG: 我要投稿

近来经由过程Cowrie蜜罐捕捉一枚风趣的后门法式,此法式用perl说话编写。功效包含:DDoS(udpflood、tcpflood、httpflood、sqlflood)、hacking(端口扫描、信息网络、当地root、日记清算等)谍报信息汇集(packetstorm、milw0rm)等
一、样本信息:
蜜罐日记表现黑客应用暗码猜解胜利登岸SSH后用wget敕令下载了法式:

文件信息:
CRC-32            fb9cfdcb
MD5 Hash        8756f19b4385cb2e6b6123da168aca38
SHA1 Hash       aa948991579c2f4e7454fd3fecf7c1255a17c835
SHA256 Hash   a424c0fc1ac52e34e6bfd68707720ac90148a8dc6450409e85c1dcf24aa7bf8b
VirusTotal 检测信息

二、行为阐发:
法式启动后挪用conectar函数树立与长途服务器的衔接,服务器IP地点:118.178.190.138  端口:9981

测试机运转后果:

 
而后读取长途服务器端传入的指令:
 

挪用parse函数剖析指令,并挪用bfunc函数履行响应的义务。此法式焦点内容皆在bfunc函数里,是以后续重要阐发这个函数。bfunc函数根据传入的指令参数有以下功效:
①停止过程:
 

②列出可处理的指令:
 

 
③停止罕见的DDoS入侵攻击:

能够看到拜访hxxp://server.perpetual.pw/syn.c下载源文件而后挪用GCC编译器停止编译,删除后应用敕令行./syn + []+[]+[]履行DDoS入侵攻击。经测试这个下载站点曾经生效。
Udpflood

能够看到假如收到的指令包含 udp  
  ,则根据收到的IP地点结构UDP包,持续向目的地点和端口发包,直至给定的停止光阴。
Tcpflood

假如收到的指令包含tcpflood    ,则挪用tcpflooder函数停止持续光阴为的tcpflood入侵攻击,tcpflooder函数以下:

实现办法很简略,即根据传入的IP地点、端口、持续光阴应用socket办法结构TCP包在持续光阴内持续对目的发送树立衔接的哀求。
Sqlflood:
 

假如传入的指令包含:sqlflood    ,则根据接管的IP地点树立至目的IP地点3306端口的TCP衔接,持续光阴为。
Httpflood:

假如传入的指令包含:httpflood    ,则根据接管的IP地点树立至目的IP地点80端口的TCP衔接,持续光阴为。
④停止罕见的hacking功效,如:端口扫描、socks5署理、当地root提权、谷歌 hacking等。
端口扫描:
 

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载