ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Отчет тестирования бота "Suicide: DDoS-bot by RKL aka Cr4sh"

Мне выпала честь протестировать бота, посему вот мой отчет: Система для тестов:
локальная сеть из 2х компьютеров:
__________________________________________
WinXP SP1 (SP2) - система с ботом
Антивирус Касперского Professional 5.0.149
антивирусные базы за 24 августа 2005г.
Outpost Firewall 2.5.369.4608 (369) (правила по умолчанию)
or WinXP брандмауэр (настройки по умолчанию)
__________________________________________
WinXP SP2 - сервер
Apache 1.3.33
ircd 1.1.2.4
__________________________________________
Сеть:
Беспроводная сеть 54Мбит/c
__________________________________________

В целом мне бот понравился, хотя конечно есть небольшие недоработки, разберем по пунктам
С антивирем проблем никаких, не палится, прекрасно работает после сжатия любым упаковщиком,
либо после склейки. По поводу фаерволов, здесь уже возникают небольшие траблы.
При тестировании с "WinXP брандмауэр" никаких проблем не было, но так как это подобие фаервола,
бот был протестирован на Outposte, тут уже появились проблемы:
Во-первых, как я поднял, icmp ddos здесь основан на echo-reply, а по умолчанию исходящие
пакеты данного вида запрещены и, соответственно, ddos не проходит, но это еще пол беды.
Во-вторых, бот инжектируется в explorer, что сразу определил Outpost и заблокировал его.


При работе бота процессом EXPLORER открываются установленные порты для SOCKS и BINDCMD,
кроме этого висит постоянное соединение с irc сервером и примерно раз в 15 секунд идет обращение к
Web интерфейсу, ну это мои самые большие замечания, теперь разберем по пунктам все, что описано в возможностях.

>>Управление ботом через web и IRC
Все отлично работает, никаких проблем ни с вебом, ни с irc нет.
>>Поддержка в IRC несколько одновременно работающих ботмастеров
Работает
>>Аутентификация по IRC c помощью ключа
Работает, правда есть небольшое замечание. При генерации хэша
почему-то надо писать "hash.exe :ircname key", зачем ставится это
лишнее двоеточие я так и не понял, но иначе бот тебя не распознает
>>Разделение ботмастеров по уровню прав доступа
Работает, поддерживается root и простой юзер
>>Инжектирование кода в другой процесс
Как я говорил выше, внедряется в explorer.exe
>>Маскировка в системе методом перехвата API-функций CreateProcessW,<br>
>>RegEnumValue, FindNextFileA, FindNextFileW
К сожалению это не работает, и процессы, и записи в реестре видны
Вот автозагрузка бота:

Вот настройки бота в реестре:

Вот видимость в проводнике:

>>ICMP-флудер
Не считая траблов с фаером, флуд прекрасно работает

>>биндшелл
В отличае от ПИНЧА, прекрасно работает!
>>SOCKS-прокси
Прекрасно работает, никаких сбоев

>>функция скачивания и запуска произвольного файла
Работает
>>общение с пользователем захваченной тачки через MessageBox =)))
Функция, на мой взгляд, абсолютно не нужная, но, тем не менее, работает
>>функция самоуничтожения
Работает, правда удаление заключается только в остановке процесса и удалении
записи об автозагрузке, при этом сам файл и записи настроек в реестре остаются,
кроме того, т.к. код инжектируется в explorer то сам эксплорер падает и не всегда подымается
назад, при этом бедному юзеру остается наблюдать отсутствие рабочего стола =)

Ну вот и все мои претензии)
Вердикт:
Безусловно, это отличный бот, правда, еще совсем молодой.
Я думаю, мелкие неприятности авторы быстро исправят.В отличие от большинства троянов и ботов его отличает стабильность в работе
и безпроблемная работа bind и socks, чего так не хватает в других проектах.

С уважением madnet.

__________________

http://madnet.name - madnet - blog | homepage (Мысли, релизы, скрипты, софт)

http://antichat.ru - Лучший сайт по безопасности
irc.antichat.ru:7771 #antichat - общение online
ГАРАНТ ФОРУМА

2madnet: ну вопервых респект за тестирование, и за то что ответственно отнёсся к делу

Как главному девелоперу, мне очень приятно слышать такие лестные отзывы =)
здесь я к сожалению безсилен =(, т.к. бот работает в user mode
Скорее всего опять же из-за Outpost. В системах с версией < 2.5 подобного не наблюдалось

вполне

снять в процессах explorer.exe, после чего удалить ключи в автозапуске, и файл %system%/svcroot.exe (в зависимости от настроек конкретного екземпляра)

да, если бот не найдет процесс експлорера, он не запустится, хотя в следующей версии бота подобной фичи =) нет, и бот будет висеть отдельным процессом

еще новой версии:
- поддержка плагинов, в виде загружаемых с сервера .dll
- почти вдвое меньший размер
- полностью переписаный механизм перехвата, API, хотя от прооблем с OUTPOST >= 2.5 это не спасает =((
- сбор сведений о захваченой машине (частота процессора, обём ОЗУ, версия и билд ОС, итп...)
новый релиз в ближайшее время будет выдан тестерам и доступен в продаже

madnet, молодец ...
Правда остается несколько вопросов:
1) Работая в NT-подобной системе с ограниченными привилегиями (под юзером): бот сможет запуститься ?
2) Как бедному юзеру избавится от бота ? Т.е. после инжектирования в explorer.exe ...
3) Как я понял, если юзер будет работать под другим шеллом (не эксплорером), например под тем же талисманом, то бот опять не запустится ... Это так, просто к слову, ведь 99,9 % используют explorer ...

>>>>Маскировка в системе методом перехвата API-функций CreateProcessW,>>>>RegEnumValue, FindNextFileA, FindNextFileW К сожалению это не работает, и >>>>процессы, и записи в реестре видны

>>Скорее всего опять же из-за Outpost. В системах с версией < 2.5 подобного не >>наблюдалось

Хм... не думаю, что оутпост что-то делает в этом направлении.

__________________

http://madnet.name - madnet - blog | homepage (Мысли, релизы, скрипты, софт)

http://antichat.ru - Лучший сайт по безопасности
irc.antichat.ru:7771 #antichat - общение online
ГАРАНТ ФОРУМА

Outpost Firewall Pro 2.5 (build 369/369)
Список новых возможностей:

Защита от внедрения в память процесса злонамеренного кода (тесты Copycat и Thermite)

Защита от запуска процесса в скрытом окне (бывший параметр DisableNetworkForHiddenPrcoess в файле outpost.ini)


Возможность создания новой базы данных контроля компонентов

Cr4sh, респект!
Могет быть я даже попользую...

Выяснилось (да, толькочто) что бот просто запускает CreateRemoteThread в explorer.exe (очень старый метод). Это палит outpost. Но самое ужасное что все это работает на пользовательском интерфейсе уровня приложения (как у микрософт это называется то?). Тоесть, открытые порту видны в любых фаерволах, никаких обходов установкой фильтров на устройства TCP, UDP нету, а ICMP echo (7) вообще блокируется.

Хотя написано очень аккуратно, для user mode ф-ии довольно продвинутые... Во всяком случае, хотябы процесс не видно. Автор молодца... А вот ICMP флуд, так бы и сказал, выдран из stream3 (3apa3a flooder) )))))

ой все это уже описал madnet, сорри не читал его пост до конца((

Респект, в любом случае проект хороший, будет развиваться и все будет отлично...
А появятся новые способы инжектирования - все можно добавить в виде плагина...

Какие е же ещё способы появяться? Фишка способо - другой процесс выполняет код, что не хорошо. Если бы работать совместно с автором бота... можно было бы разработать неубиваемого бота ур. ядра... и продавать...