欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

揭秘Neutrino僵尸网络生成器

来源:本站整理 作者:佚名 时间:2015-08-25 TAG: 我要投稿

0x01 引言
一般情况下,网络犯罪分子通常都会以产品套装的形式来出售其攻击软件,其中包括:
恶意有效载荷:恶意软件的前端,用于感染用户。
C&C面板:恶意软件的后端部分,通常为LAMP环境下的一个Web应用程序。
生成器:一个应用程序,用来打包有效载荷,并嵌入特定发布者所感兴趣的信息,比如C&C地址、配置信息等。
这些恶意软件套装通常都是在黑市上销售的,尽管如此,有时还是会流入主流媒体的手上。这就给研究人员提供了一个宝贵的机会,来深入考察它们所使用的各种技术。
最近,我手头上就得到了这样的一个软件套装,其中就包括Neutrino僵尸网络的生成器。尽管这不是最新的版本,但是依旧能够提供有用的信息,来帮助我们与当今广泛传播的样本进行对比分析。
0x02 相关组成部分
Neutrino Builder:32位PE程序,使用VS2013编写,利用Safengine Shielden v2.3.6.0加壳(md5=80660973563d13dfa57748bacc4f7758)。
panel(利用PHP编写的)。
stub(有效载荷):32位PE程序,是用MS Visual C++编写的(md5=55612860c7bf1425c939815a9867b560, section .text md5=07d78519904f1e2806dda92b7c046d71)。
0x03 功能
Neutrino Builder v3.9.4
这个生成器是利用Visual Studio 2013编写的,因此需要合适的可再发行组件包(Redistributable Package)才能够正常运行。这个生成器是一个破解版,因为从标头部分可以看到“Cracked and coded by 0x22”等字样。
这个工具的功能非常简单:向用户询问C&C的地址,然后将其写入有效荷载。

比较两个有效荷载:一个是原始的有效荷载,一个是由该生成器编辑过的有效荷载。我们发现,实际上这个生成器所做的修改非常小,它只是对提供的URL进行加密处理,然后将其保存到指定的地方。
下面的图中,左图(stub)是原始的有效荷载,右图(test_stub.exe)是经过编辑之后的有效荷载。

Panel

这个软件套装含有完整的使用说明(readme.txt),不过使用俄语编写的,其中可以发现许多功能细节。

安装面板所需的软件:
PHP
MySQL,版本号不得低于5.6。
面板的默认登录名和口令:admin ,admin 。
被感染的客户端可以根据要求而执行的任务:
各种类型的DDoS攻击。
键盘记录(启用/禁用)功能,包括指定窗口内的轨迹文本。
查找指定类型的文件。
更新bot。
删除bot。
DNS欺骗(将地址X重定向到地址Y)。
Form表单截取,窃取FTP证书。
下载并执行下列类型的文件(EXE、DLL、、bat 、vbs)。
向Windows注册表添加指定内容。
发送给bot的完整命令列表:
functions.php
function EncodeCommand($command)
{
    switch (strtolower($command)) {
        case "http ddos":
            return "http";
            break;
        case "https ddos":
            return "https";
            break;
        case "slowloris ddos":
            return "slow";
            break;
        case "smart http ddos":
            return "smart";
            break;
        case "download flood":
            return "dwflood";
            break;
        case "udp ddos":
            return "udp";

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载