Suicide: DDoS-bot by RKL aka Cr4sh
ICQ:213898
Возможности:
- Управление ботом через web и IRC
- Поддержка в IRC несколько одновременно работающих ботмастеров
- Разделение ботмастеров по уровню прав доступа
- Аутентификация по IRC c помощью хэша, с возможносью смены ключа хэш-функции для каждой группы пользователей
- Инжектирование кода в explorer.exe, невидимостьь в диспетчере задач
- Маскировка в системе методом перехвата API-функций CreateProcessW, RegEnumValue, FindNextFileA, FindNextFileW
- ICMP-флудер
- биндшелл
- SOCKS-прокси
- функция скачивания и запуска произвольного файла
- хранение настроек в реестре
- функция самоуничтожения
- общение с пользователем захваченой тачки через MessageBox =)))

В комплекте к боту: несколько упаковщиков, php-скрипты для руления через веб (и дамп БД для них), программа генерации авторизационных ключей для IRC



Скрины: http://cr4sh.h15.ru/screens.rar
Краткое описание:http://www.cr4sh.h15.ru/desc.htm



Все вопросы ТОЛЬКО в асю: 213898 (9-22 МСК)

Отчет тестирования бота "Suicide: DDoS-bot by RKL aka Cr4sh"

Мне выпала честь протестировать бота, посему вот мой отчет: Система для тестов:
локальная сеть из 2х компьютеров:
__________________________________________
WinXP SP1 (SP2) - система с ботом
Антивирус Касперского Professional 5.0.149
антивирусные базы за 24 августа 2005г.
Outpost Firewall 2.5.369.4608 (369) (правила по умолчанию)
or WinXP брандмауэр (настройки по умолчанию)
__________________________________________
WinXP SP2 - сервер
Apache 1.3.33
ircd 1.1.2.4
__________________________________________
Сеть:
Беспроводная сеть 54Мбит/c
__________________________________________

В целом мне бот понравился, хотя конечно есть небольшие недоработки, разберем по пунктам
С антивирем проблем никаких, не палится, прекрасно работает после сжатия любым упаковщиком,
либо после склейки. По поводу фаерволов, здесь уже возникают небольшие траблы.
При тестировании с "WinXP брандмауэр" никаких проблем не было, но так как это подобие фаервола,
бот был протестирован на Outposte, тут уже появились проблемы:
Во-первых, как я поднял, icmp ddos здесь основан на echo-reply, а по умолчанию исходящие
пакеты данного вида запрещены и, соответственно, ddos не проходит, но это еще пол беды.
Во-вторых, бот инжектируется в explorer, что сразу определил Outpost и заблокировал его.

http://securityprobe.net/other/testreport/1.gif
При работе бота процессом EXPLORER открываются установленные порты для SOCKS и BINDCMD,
кроме этого висит постоянное соединение с irc сервером и примерно раз в 15 секунд идет обращение к
Web интерфейсу, ну это мои самые большие замечания, теперь разберем по пунктам все, что описано в возможностях.

>>Управление ботом через web и IRC
Все отлично работает, никаких проблем ни с вебом, ни с irc нет.
>>Поддержка в IRC несколько одновременно работающих ботмастеров
Работает
>>Аутентификация по IRC c помощью ключа
Работает, правда есть небольшое замечание. При генерации хэша
почему-то надо писать "hash.exe :ircname key", зачем ставится это
лишнее двоеточие я так и не понял, но иначе бот тебя не распознает
>>Разделение ботмастеров по уровню прав доступа
Работает, поддерживается root и простой юзер
>>Инжектирование кода в другой процесс
Как я говорил выше, внедряется в explorer.exe
>>Маскировка в системе методом перехвата API-функций CreateProcessW,<br>
>>RegEnumValue, FindNextFileA, FindNextFileW
К сожалению это не работает, и процессы, и записи в реестре видны
Вот автозагрузка бота:
http://securityprobe.net/other/testreport/2.gif
Вот настройки бота в реестре:
http://securityprobe.net/other/testreport/3.gif
Вот видимость в проводнике:
http://securityprobe.net/other/testreport/4.gif
>>ICMP-флудер
Не считая траблов с фаером, флуд прекрасно работает
http://securityprobe.net/other/testreport/5.gif
>>биндшелл
В отличае от ПИНЧА, прекрасно работает!
>>SOCKS-прокси
Прекрасно работает, никаких сбоев
http://securityprobe.net/other/testreport/6.gif
>>функция скачивания и запуска произвольного файла
Работает
>>общение с пользователем захваченной тачки через MessageBox =)))
Функция, на мой взгляд, абсолютно не нужная, но, тем не менее, работает
>>функция самоуничтожения
Работает, правда удаление заключается только в остановке процесса и удалении
записи об автозагрузке, при этом сам файл и записи настроек в реестре остаются,
кроме того, т.к. код инжектируется в explorer то сам эксплорер падает и не всегда подымается
назад, при этом бедному юзеру остается наблюдать отсутствие рабочего стола =)

Ну вот и все мои претензии)
Вердикт:
Безусловно, это отличный бот, правда, еще совсем молодой.
Я думаю, мелкие неприятности авторы быстро исправят.В отличие от большинства троянов и ботов его отличает стабильность в работе
и безпроблемная работа bind и socks, чего так не хватает в других проектах.

С уважением madnet.

madnet, молодец ...
Правда остается несколько вопросов:
1) Работая в NT-подобной системе с ограниченными привилегиями (под юзером): бот сможет запуститься ?
2) Как бедному юзеру избавится от бота ? Т.е. после инжектирования в explorer.exe ...
3) Как я понял, если юзер будет работать под другим шеллом (не эксплорером), например под тем же талисманом, то бот опять не запустится ... Это так, просто к слову, ведь 99,9 % используют explorer ...

2madnet: ну вопервых респект за тестирование, и за то что ответственно отнёсся к делу


Вердикт:
Безусловно, это отличный бот, правда, еще совсем молодой.
Я думаю, мелкие неприятности авторы быстро исправят.В отличие от большинства троянов и ботов его отличает стабильность в работе
и безпроблемная работа bind и socks, чего так не хватает в других проектах.


Как главному девелоперу, мне очень приятно слышать такие лестные отзывы =)
Во-вторых, бот инжектируется в explorer, что сразу определил Outpost и заблокировал его.
здесь я к сожалению безсилен =(, т.к. бот работает в user mode
>>Маскировка в системе методом перехвата API-функций CreateProcessW,<br> >>RegEnumValue, FindNextFileA, FindNextFileW К сожалению это не работает, и процессы, и записи в реестре видны
Скорее всего опять же из-за Outpost. В системах с версией < 2.5 подобного не наблюдалось

1) Работая в NT-подобной системе с ограниченными привилегиями (под юзером): бот сможет запуститься ?
вполне

2) Как бедному юзеру избавится от бота ? Т.е. после инжектирования в explorer.exe
снять в процессах explorer.exe, после чего удалить ключи в автозапуске, и файл %system%/svcroot.exe (в зависимости от настроек конкретного екземпляра)

3) Как я понял, если юзер будет работать под другим шеллом (не эксплорером), например под тем же талисманом, то бот опять не запустится ... Это так, просто к слову, ведь 99,9 % используют explorer ...
да, если бот не найдет процесс експлорера, он не запустится, хотя в следующей версии бота подобной фичи =) нет, и бот будет висеть отдельным процессом

еще новой версии:
- поддержка плагинов, в виде загружаемых с сервера .dll
- почти вдвое меньший размер
- полностью переписаный механизм перехвата, API, хотя от прооблем с OUTPOST >= 2.5 это не спасает =((
- сбор сведений о захваченой машине (частота процессора, обём ОЗУ, версия и билд ОС, итп...)
новый релиз в ближайшее время будет выдан тестерам и доступен в продаже

>>>>Маскировка в системе методом перехвата API-функций CreateProcessW,>>>>RegEnumValue, FindNextFileA, FindNextFileW К сожалению это не работает, и >>>>процессы, и записи в реестре видны

>>Скорее всего опять же из-за Outpost. В системах с версией < 2.5 подобного не >>наблюдалось

Хм... не думаю, что оутпост что-то делает в этом направлении.

Хм... не думаю, что оутпост что-то делает в этом направлении.

Outpost Firewall Pro 2.5 (build 369/369)
Список новых возможностей:

Защита от внедрения в память процесса злонамеренного кода (тесты Copycat и Thermite)

Защита от запуска процесса в скрытом окне (бывший параметр DisableNetworkForHiddenPrcoess в файле outpost.ini)


Возможность создания новой базы данных контроля компонентов

Cr4sh, респект!
Могет быть я даже попользую...

Выяснилось (да, толькочто) что бот просто запускает CreateRemoteThread в explorer.exe (очень старый метод). Это палит outpost. Но самое ужасное что все это работает на пользовательском интерфейсе уровня приложения (как у микрософт это называется то?). Тоесть, открытые порту видны в любых фаерволах, никаких обходов установкой фильтров на устройства TCP, UDP нету, а ICMP echo (7) вообще блокируется.

Хотя написано очень аккуратно, для user mode ф-ии довольно продвинутые... Во всяком случае, хотябы процесс не видно. Автор молодца... А вот ICMP флуд, так бы и сказал, выдран из stream3 (3apa3a flooder) )))))

ой все это уже описал madnet, сорри не читал его пост до конца((

Респект, в любом случае проект хороший, будет развиваться и все будет отлично...
А появятся новые способы инжектирования - все можно добавить в виде плагина...

А появятся новые способы инжектирования - все можно добавить в виде плагина...


Какие е же ещё способы появяться? Фишка способо - другой процесс выполняет код, что не хорошо. Если бы работать совместно с автором бота... можно было бы разработать неубиваемого бота ур. ядра... и продавать...

Выяснилось (да, толькочто) что бот просто запускает CreateRemoteThread в explorer.exe (очень старый метод).Ой, да ты прям открыл глаза всем =) об инжектировании я уже давно писал у себя на сайте в ньюсах
ICMP echo (7) вообще блокируетсяВ след. версиях будет syn-флудер в виде плагина
А вот ICMP флуд, так бы и сказал, выдран из stream3 (3apa3a flooder) ))))):D ты так говориш, будто читал мои сорсы, или хотя бы юзал моего бота =))

сенкс ту алл за респекты. попрошу в следующий раз конструктивную критику, или какие-нибуть идеи/предложения по дальнейшему развитию сабжа

ты так говориш, будто читал мои сорсы, или хотя бы юзал моего бота =))


Ой да на скриншоте вообщето видел


Ой, да ты прям открыл глаза всем =) об инжектировании я уже давно писал у себя на сайте в ньюсах


А я их не читал к сожалению.


В след. версиях будет syn-флудер в виде плагина


Плагины это интересно, ты как реализовывал врубание плагина в EXE?

Да и кстати я подумал что ты пошутил когда назвал цену, правда. Так и никому ничего не продашь... - конструктивная критика

2KEZ пользовательский уровень это ring3
@Cr4sh имхо 150$ за такого троя это много,за 150$ можно купить троя более усовершественого по возможностям и скрытию.....

2KEZ пользовательский уровень это ring3


??? я чтото не так сказал?

// Цитата: Это палит outpost. Но самое ужасное что все это работает на пользовательском интерфейсе уровня приложения (как у микрософт это называется то?) //

я напомнил тебе :)

как у микрософт это называется то?


Я имею ввиду что intel-идеал был не такой как у микрософт, я уже писал что должно по идее быть 4 уровня - от 0 до 3.

Cr4sh имхо 150$ за такого троя это много,за 150$ можно купить троя более усовершественого по возможностям и скрытию.....Это не трой, а бот, ты понимаеш в чём между ними разница!?
Плагины это интересно, ты как реализовывал врубание плагина в EXE?Хм, меня сбила с толку фраза "врубание в exe" :D вобщем, читай здесь (http://www.cr4sh.h15.ru/index.php?mod=news&act=showitem&id=73077478)

поддержка плагинов ввиде скачиваемых с сервера dll

Скачивать или тоскать за собой бинарник плагина это конечно не самый эстетичный метод... Лучше всего как мне кажется, сразу впихивать код плагина в EXE при сборке, например как в BO2k

Скачивать или тоскать за собой бинарник плагина это конечно не самый эстетичный метод... Лучше всего как мне кажется, сразу впихивать код плагина в EXE при сборке, например как в BO2k

но тогда будем крайне неэстети4ным "вырубание" метрового(или того больше) бота с интегрированными плагинами, например, на диал-апе...

и еЩе, если плагин находится внутри ЕХЕ, то какой-тогда из него "плагин"?

и еЩе, если плагин находится внутри ЕХЕ, то какой-тогда из него "плагин"?


Как же, плагин в виде dll изначально. Его использует билдер бота. Тоесть плагин для билдера. И в EXE бота вписывается код, как в Back Orifice.

А кстати, чем сжимается бот? Дело в том что это дело можно разжать и вписать туда другие данные типа адресов серверов, каналов irc и т д.

Как же, плагин в виде dll изначально. Его использует билдер бота. Тоесть плагин для билдера. И в EXE бота вписывается код, как в Back Orifice.

А кстати, чем сжимается бот? Дело в том что это дело можно разжать и вписать туда другие данные типа адресов серверов, каналов irc и т д.

в том-то и фиШка, 4то плагины подгружаются на зомборованную та4ку (т.е. на клиент, а не на билдер), ина4е не вижу смысле использовать вообЩе такие "плагины"...

а помимо конвертной паковки в боте используется симметри4еское шифрование(писать подробнее, думаю, не буду), так4то помимо реверсерских знаний для его исследования нужны знания по криптографии, а спеЦиалистов с ситемным подходом к вышеописанному у нас ой как мало...

ещё бы сделали асиметричное шифрование, был бы вообще офигеть...
только мыло то в памяти всетаки присутствует когда на него высылаеться почта, можно установить откуда она появилось в памяти. я именно так пинч и переделывал. софтайс уже нужен и плагин IceExt к нему желательно.

ну ладно я вижу вы крутые программеры (всмысле я серьезно, это не издевка), прошу дать мне сорцы бота (вы же не думаете что я его буду использовать в своих целях?) как бета-тестеру... посмотрю код, что добавлю, может посоветуемся... сами понимаете, мне боты никак не нужны, просто интересно... это наглая просьба.

ответьте в асе