Black Energy DDoS Bot [2017]

Тот случай, когда превьюшка к статье интереснее, чем все её содержание...

Пару дней назад слили в открытый доступ исходные коды древнего (практически артефакт) ддос-бота Black Energy. Хотя, будет опрометчивым сказать, что слили именно пару дней назад - возможно это произошло существенно раньше. Даже удивительно, если бы слили только пару дней назад. И к тому же, если вы будете читать эту статью спустя некоторое время, слова пару дней будут только вводить Вас в заблуждение. В общем. Были получены исходные коды ддос-бота. Как самого бота, так и панели.

Файлов не очень много, даже скорее мало.
Да, думаю что правильнее написать мало.
В общем, 8 файлов в админке. Хотя, это если считать db.sql, которой скорее всего не будет на сервере, иначе - 7 файлов. Но строго говоря, db.sql это тоже файл, поэтому файлов 8.
Папка www:



На анализ всего этого ушло 20 минут. Хотя возможно я заблуждаюсь, и времени ушло больше. А возможно и меньше. И скорее всего утверждать, что на анализ ушло 20 минут было бы неверным. Ведь 20 минут, это ровно 1200 секунд. А я не засекал время с секундомером. А если бы и засекал, то вряд ли бы уложился ровно в такое время. Да и если бы уложился, то считать ли анализом время, которое я потратил на включение/выключение секундомера? А ведь это минимум секунда-две...

В общем, за неизвестное количество времени были найдены несколько однотипных XSS:



Хотелось бы отметить, что для эксплуатации XSS приходится экранировать одинарные кавычки, чтобы SQL-запрос не поломался. Да, SQL-инъекция тоже есть, но толку от нее нет. Как и от Вас, мой дорогой читатель.

Code:

><script>alert(document.cookie)</script>​

Но ведь надо еще как-то попасть в админку? Да. Надо. Но это довольно сложный вопрос, что на самом деле нам надо, а что нет. В любом случае, по адресу нас встречает суровая формочка и, к превеликому сожалению, желаемый логин/пасс никакими скуль-инжектами не получить:



Однако, давайте переключим наше внимание на код скрипта index.php:

Code:

<?php

error_reporting(E_ALL ^ E_NOTICE);

session_start();
if (!isset($_SESSION[auth])) header(location: auth.php);

require_once config.php;
require_once MySQL.php;

//И Т.Д. И Т.П.​

Как Вы уже поняли, а если и не поняли, то... не поняли (железная логика), достаточно поменять ответ сервера с 302 на 200 и можно увидеть код админки:



Вот так все просто.

Как и Вам, мне показалось, что практически никто уже не пользуется этим ботом. Однако, чтобы убедится в этом на 100%, мы попробуем поискать админки с помощью следующих дорков:

intitle::: Botnet control intext:Auth please
intitle::: Botnet control intext:login:
Как Вы можете видеть, что-то все-таки нашлось:



Залежи древностей, в количестве четырех штук. После быстрого акта некрофилии проверки выясняем, что в самой интересной админке было всего 19 ботов, да и те давным-давно отправились к дискетным вирусам(праотцам):



Оставляем в админ-панельке доброе послание для следующих поколений археологов (alert(MEET THE GREAT KROBA).

Еще один бесполезный труд бесполезного медведя закончен.
Желаю Вам всего доброго. В аду Вам все равно пизда.


© r00t