您现在的位置是:首页 > 未分类 > 开源僵尸网络平台LiteHttp源码分析博客日记

开源僵尸网络平台LiteHttp源码分析

19-07-02未分类围观55

简介 开源僵尸网络平台LiteHttp源码分析 一、简介  如今,黑客越来越多的通过修改开源的病毒源码来实现快速的病毒开发,如Mirai、qbot等公开了源码的病毒,常被黑客用于二次开发

开源僵尸网络平台LiteHttp源码分析

 一、简介

  如今,黑客越来越多的通过修改开源的病毒源码来实现快速的病毒开发,如Mirai、qbot等公开了源码的病毒,常被黑客用于二次开发,用以攻击。前不久,一起针对巴基斯坦的APT攻击中,发现黑客所使用的攻击样本是通过开源僵尸网络病毒LiteHttp改造而来的,与后者的行为基本一致。分析开源恶意软件源码,能让我们更直接地了解恶意软件的工作原理,从而设计出更好的防护策略,下面,我们就来本地搭建LiteHttp并对其源码进行简单分析。

微信截图_20190702144212.jpg

 项目有3个目录,Bot是病毒程序的代码,Panel是控制端的代码,使用PHP编写,Builder是一个生成器,用于快速生成病毒程序。

 生成器运行后如下图,只要填入控制端的Url以及加解密密钥,就能自动生成一个病毒程序,这样就省去了修改病毒源码重新编译的步骤。Builder的代码就是对Bot的一个封装,下面重点分析Bot和Panel的代码。

微信截图_20190702144249.jpg

  控制端只需要将Panel文件夹复制到PHP网站目录下即可运行,不过运行之前要先导入Upload_to_database.sql初始化LiteHttp需要的数据库。

  数据库初始化完毕后,访问Panel下的login路径即可进行登陆控制端,初始的账户名和密码均为admin。

  Dashboard显示了上线主机的概况,下发恶意命令的功能在Tasks标签处。

 二、源码分析


2.1 代码流程

2.2 主函数


程序一开始会创建两个线程,分别用于执行核心攻击操作,以及持久化攻击操作。

 2.3 持久化攻击函数


持久化攻击操作比较简单,就是在注册表下创建一个自启动项“Catlyst Control Center”,实现每次开机自动运行。


 2.4 核心攻击函数


接下来看核心攻击函数的代码,主要做了3个主要操作:


[1] 收集主机信息,使用预先约定的密钥进行加密,然后将加密后的信息以Http的方式上传至控制端服务器。


[2] 接受控制端的控制码并执行相应的操作。


[3] 上传执行的结果。

 2.5C&C通信函数


与C&C通信的代码在类Communication中,通过POST的方式将加密后的主机信息上传到控制端服务器,这里有一点值得注意,发送数据包前会将Http头中的UserAgent修改为一个随机字符串,这个是控制端用来识别肉鸡的标识。

 2.6 恶意操作执行函数


主要的核心恶意操作在函数processTask中,通过代码我们可以发现,控制码是阿拉伯数字,接收的控制码和执行参数都是通过base64加密的,首先需要对它们进行base64解密。主要的操作大致有4个:下载&执行可执行文件、访问网站、清除异己、更新&卸载病毒程序。


Tags:

相关文章

本站推荐