mssp2992015/08/24 10:17 翻译：mssp299 原文地址：https://blog.malwarebytes.org/botnets/2015/08/inside-neutrino-botnet-builder/ 0x01 引言 一般情况下，网络犯罪分子通常都会以产品套装的形式来出售其攻击软件，其中包括： 恶意有效载荷：恶意软件的前端，用于感染用户。 C&C面板：恶意软件的后端部分，通常为LAMP环境下的一个Web应用程序。 生成器：一个应用程序，用来打包有效载荷，并嵌入特定发布者所感兴趣的信息，比如C&C地址、配置信息等。 这些恶意软件套装通常都是在黑市上销售的，尽管如此，有时还是会流入主流媒体的手上。这就给研究人员提供了一个宝贵的机会，来深入考察它们所使用的各种技术。 最近，我手头上就得到了这样的一个软件套装，其中就包括Neutrino僵尸网络的生成器。尽管这不是最新的版本，但是依旧能够提供有用的信息，来帮助我们与当今广泛传播的样本进行对比分析。 0x02 相关组成部分 Neutrino Builder：32位PE程序，使用VS2013编写，利用Safengine Shielden v2.3.6.0加壳（md5=80660973563d13dfa57748bacc4f7758）。 panel（利用PHP编写的)。 stub（有效载荷）：32位PE程序，是用MS Visual C++编写的（md5=55612860c7bf1425c939815a9867b560, section .text md5=07d78519904f1e2806dda92b7c046d71）。 0x03 功能 Neutrino Builder v3.9.4 这个生成器是利用Visual Studio 2013编写的，因此需要合适的可再发行组件包( Redistributable Package)才能够正常运行。这个生成器是一个破解版，因为从标头部分可以看到“Cracked and coded by 0x22”等字样。 这个工具的功能非常简单：向用户询问C&C的地址，然后将其写入有效荷载。 比较两个有效荷载：一个是原始的有效荷载，一个是由该生成器编辑过的有效荷载。我们发现，实际上这个生成器所做的修改非常小，它只是对提供的URL进行加密处理，然后将其保存到指定的地方。 下面的图中，左图（stub）是原始的有效荷载，右图（test_stub.exe）是经过编辑之后的有效荷载。 Panel 这个软件套装含有完整的使用说明（readme.txt），不过使用俄语编写的，其中可以发现许多功能细节。 安装面板所需的软件： PHP MySQL，版本号不得低于5.6。 面板的默认登录名和口令：admin ，admin 。 被感染的客户端可以根据要求而执行的任务： 各种类型的DDoS攻击。 键盘记录（启用/禁用）功能，包括指定窗口内的轨迹文本。 查找指定类型的文件。 更新bot。 […]

您可能也喜欢：
僵尸病毒网络Gameover Zeus被捣毁	微软宣布破坏全球最大的僵尸网络	从一个被忽略的漏洞到XSS僵尸网络	BoSSaBoTv2：一种自动化传播的新型僵尸网络	利用PHP漏洞自动化传播的新型僵尸网络
无觅