Botnet kierunkowany w komputery Ukrainy i Rosji

8 lutego, 2013

Tym razem zająłem się infiltracją pliku zawartego w najnowszym exploicie na Java Applet JMX (CVE-2013-0422).

Główna domena botnetu : 3vi.tv

3vi.tv/l/control.php <- Smoke C&C
3vi.tv/images/admin.php <- Fareit C&C

Sam analizowany plik to w rzeczywistości zbindowane (złączone) 2 pliki: główny loader oraz stealer haseł (Win32/Fareit).

Po odwiedzeniu ścieżki z punktem kontrolnym C&C ukazuje się stroną z rzekomym błędem 404 – Not Found.

1

Logowanie na podstawie basic authentication

2

3 1
Strona główna
3 5
Przynależność przejętych komputerów (Ukraina, Rosja, Białoruś)
4
Widok na poszczególne komputery
5 0
Kontrola zadań (zwróć uwagę na możliwy typ pliku do uruchomienia, może to być plik wykonywalny EXE, a może to być również biblioteka DLL)
6 1
Opcje
7 1
Logi wbudowanego stealera
8 1
Polecenia powłoki

Drugi plik odnosi się do panelu stealer’a, zidentifkowanego jako Pony. Dokładny opis i analiza w j. angielskim TUTAJ .

Panel logowania

p1


Ciekawe rozwiązanie i całkiem ekonomiczne myślenie. W razie gdyby ktoś usunął stealer (który i tak odpala się tylko RAZ w systemie, kradnąc hasła przeglądarek, FTP, SSH, RDP, SMTP) nadal zostaje pod kontrolą botnetu loadera „Smoke Loader”.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

[ninja_tables id=”27481″]

\r\n <\/div>\r\n<\/div>\r\n","isUserRated":"0","version":"7.6.30","wc_post_id":"16599","isCookiesEnabled":"1","loadLastCommentId":"0","dataFilterCallbacks":[],"phraseFilters":[],"scrollSize":"32","url":"https:\/\/avlab.pl\/wp-admin\/admin-ajax.php","customAjaxUrl":"https:\/\/avlab.pl\/wp-content\/plugins\/wpdiscuz\/utils\/ajax\/wpdiscuz-ajax.php","bubbleUpdateUrl":"https:\/\/avlab.pl\/wp-json\/wpdiscuz\/v1\/update","restNonce":"6ed79aec7e","is_rate_editable":"0","menu_icon":"https:\/\/avlab.pl\/wp-content\/plugins\/wpdiscuz\/assets\/img\/plugin-icon\/wpdiscuz-svg.svg","menu_icon_hover":"https:\/\/avlab.pl\/wp-content\/plugins\/wpdiscuz\/assets\/img\/plugin-icon\/wpdiscuz-svg_hover.svg","is_email_field_required":"1"}; var wpdiscuzUCObj = {"msgConfirmDeleteComment":"Are you sure you want to delete this comment?","msgConfirmCancelSubscription":"Are you sure you want to cancel this subscription?","msgConfirmCancelFollow":"Are you sure you want to cancel this follow?","additionalTab":"0"}; -->