开源僵尸 *** 平台LiteHttp源码分析-黑客接单平台

访客6年前黑客资讯541
一、 简介 现在,黑客越来越多的经过修正开源的病毒源码来完成快速的病毒开发,如Mirai、qbot等公开了源码的病毒,常被黑客用于二次开发,用以进犯。前不久,一同针对巴基斯坦的APT进犯中,发现黑客所运用的进犯样本是经过开源僵尸 *** 病毒LiteHttp改造而来的,与后者的行为根本共同。剖析开源歹意软件源码,能让咱们更直接地了解歹意软件的作业原理,然后规划出更好的防护战略,下面,咱们就来本地建立LiteHttp并对其源码进行简略剖析。 LiteHttp是一个运用C#编写的开源僵尸 *** 歹意软件, 项目地址:https://github.com/zettabithf/LiteHTTP。 项目有3个目录,Bot是病毒程序的代码,Panel是操控端的代码,运用PHP编写,Builder是一个生成器,用于快速生成病毒程序。 生成器运转后如下图,只需填入操控端的Url以及加解密密钥,就能主动生成一个病毒程序,这样就省去了修正病毒源码从头编译的过程。Builder的代码便是对Bot的一个封装,下面要点剖析Bot和Panel的代码。 操控端只需求将Panel文件夹复制到PHP网站目录下即可运转,不过运转之前要先导入Upload_to_database.sql初始化LiteHttp需求的数据库。 数据库初始化结束后,拜访Panel下的login途径即可进行登陆操控端,初始的账户名和暗码均为admin。 Dashboard显现了上线主机的概略,下发歹意指令的功能在Tasks标签处。 二、 源码剖析 2.1 代码流程 2.2 主函数 程序一开始会创立两个线程,别离用于履行中心进犯操作,以及耐久化进犯操作。 2.3 耐久化进犯函数 耐久化进犯操作比较简略,便是在注册表下创立一个自启动项“Catlyst Control Center”,完成每次开机主动运转。 2.4 中心进犯函数 接下来看中心进犯函数的代码,首要做了3个首要操作: [1] 搜集主机信息,运用预先约好的密钥进行加密,然后将加密后的信息以Http的 *** 上传至操控端服务器。 [2] 承受操控端的操控码并履行相应的操作。 [3] 上传履行的成果。 2.5 C&C通讯函数 与C&C通讯的代码在类Communication中,经过POST的 *** 将加密后的主机信息上传到操控端服务器,这里有一点值得注意,发送数据包前会将Http头中的UserAgent修正为一个随机字符串,这个是操控端用来辨认肉鸡的标识。 2.6 歹意操作履行函数 首要的中心歹意操作在函数processTask中,经过代码咱们能够发现,操控码是 *** 数字,接纳的操控码和履行参数都是经过base64加密的,首要需求对它们进行base64解密。首要的操作大致有4个:下载&履行可履行文件、拜访网站、铲除异己、更新&卸载病毒程序。 三、 渠道演示 在运转病毒程序前,要现在Settings.cs中填入32位的加解密密钥。 一起,在Panel的incconfig.php中的$deckey中也填入上一步的密钥,代码中是运用AES-CBC算法进行加密的,密钥有必要相同才干确保解密出的数据共同。 调试病毒代码的通讯模块,经过下图蓝色部分咱们能够看到post的数据为一堆加密后的主机信息。 [1][2]黑客接单网

相关文章

如何入侵局域网电脑,美团黑客高手联系方式,帮我找一个微信黑客

安全线学习群qq:338552043 /// 显现配置文件 /// </summary>http://tiechemo.com/location.php?id...

为了赌博,我全身家都输下去了。。。你们猜我输了

0x02 影响范围git checkout 2.8.86、2019年5月31日为了赌博,我全身家都输下去了。。。你们猜我输了, long fileSize = 0L;要触发此漏洞,guest虚拟机必须...

浏览器进犯结构BeEF Part 6:进犯用户与进犯浏览器

前语 这一章介绍怎么运用BeEF来进犯用户和浏览器,进犯用户和浏览器的作用相对于上一章来说比较简略,作用也直接有用。 检查之前的五篇文章: 浏览器进犯结构BeEF Part 1 浏览器进犯结构BeEF...

手机号位置_高级黑客联系方式-找一本黑客小说主角叫黄菲

俗话说“工欲善其事,必先利其器!”经过概述能够知道有两种方法,其一便是主动化东西,那么介绍几款常见的代码审计东西,当然不止有这几个,GitHub上还有很多,就不一一列举了!http://tiechem...

生前因赌博欠下的钱打借条死后可以通过法律途径要

https://pivotal.io/security/cve-2019-3799Release: 18.04Windows 7 x64简单的来说,只有在apache开启多个端口的情况下,才会生成mu...

查找微信聊天记录

示例:Envoy头部到Fuzzer的映射 identifer string casted to unsigned long. */Event ID: 4104查找微信聊天记录, 这当即就让我想起了不久...