Đã tìm ra mạng Botnet tấn công các báo điện tử (Phần II)

[sky.it]

Máy chủ điều khiển botnet (C&C Server) ở đâu ?

Phân tích mã độc cho thấy, có 3 C&C server được mã độc kiểm tra liên tục để nhận lệnh về là :

• media.bulkweb.org
• speak.checknik.com
• lovenet.contbiz.com​

3 C&C server này được ghi cố định trong mã nguồn của mã độc (hard-coded)

Ảnh: Danh sách các C&C Server​

Hiện tại chỉ có speak.checknik.com là hoạt động, có địa chỉ IP là 91.109.24.149. Đây là địa chỉ IP thuộc nước Đức.
Lệnh điều khiển được đặt trong file search.thn hoặc view.thn trên các C&C Server. Bot sẽ download các file này về, giải mã và thực thi lệnh.

Ảnh: Bot kết nối lên C&C Server để nhận file điều khiển search.thn​

File điều khiển được mã hóa. Không mất nhiều công giải mã, ta sẽ có nội dung của các file này. Đây là danh sách mục tiêu bị tấn công từ chối dịch vụ và danh sách các User-Agent mà bot được chỉ định sử dụng nhằm qua mặt các thiết bị cũng như công nghệ chống DDOS:

Ảnh: Một phần của file điều khiển sau khi được giải mã​

Sau khi nhận file cấu hình và giải mã, mã độc thực thi việc tấn công ddos liên tục tới các server trong file cấu hình khiến cho các server này tê liệt hoàn toàn và người dùng không thế truy cập được.

​

Chủ đề liên quan: Đã tìm ra mạng Botnet tấn công các báo điện tử (Phần I)

 

bác có 2 file đó ko cho em mựon em làm tool chặn cho

 

cám ơn bạn nhé, đúng cái mình đang cần

 

Vẫn chưa có phần 3 nhỉ. Đang hay

 

Liệu có tìm ra thủ phạm đứng sau vụ này không nhỉ ?

 

nghe đâu là do darkseoul

 

thực sự thì vớ vẩn bm )
làm sao để tìm ra file mã độc đấy, file đó được lấy từ đâu ?, tại sao lại tìm ra link trên ?
về cơ bản thì thao tác chống lại ddos của vnexpress cũng quá là sida ), cho thêm 1 cái verify ở ngoài, chẳng có tác dụng gì cả )

 

Re: Đã tìm ra mạng Botnet tấn công các báo điện tử (Phần II)

Phần I và Phần II của bài này đc lấy ra nguyên văn từ hội thảo hacker whitehat 2013.

​

 

Re: Đã tìm ra mạng Botnet tấn công các báo điện tử (Phần II)

thực sự thì vớ vẩn bm )
làm sao để tìm ra file mã độc đấy, file đó được lấy từ đâu ?, tại sao lại tìm ra link trên ?
về cơ bản thì thao tác chống lại ddos của vnexpress cũng quá là sida ), cho thêm 1 cái verify ở ngoài, chẳng có tác dụng gì cả )

Nghe bạn nói như vậy thì có nói nó đc lấy từ đâu, tại sao tìm ra link trên chắc bạn cũng chưa đủ để hiểu đc.

 

Casual Type of Ugg Boots

..................

 

Re: Ðã tìm ra m?ng Botnet t?n công các báo di?n t? (Ph?n II)

iveries just like genuine forms and significant parcels. Courier Corporations monitor his or her shipment situations when considering having the capacity to ニューバランス 574 レディース to make legitimate prices if instructions are put making sure that shoppers learn if you may anticipate your shipping and delivery. Each individual small business provides their supply time period along with how much time may differ according to long distance along with the supplement. Locating a courier business to supply ones package around the globe can be just about very easy mainly because quite a few providers offer you low-priced courier services. Courier assistance firms utilize many technologies along with designed a courier operation improved upon in all of the particular rural spots along with faraway places. Be sure anything you ニューバランス576 レザー are sure to submit some sort of courier along with, safeguard a offering products within shut container or simply cover in order that it doesn't have possibility that you'll neglecting. If you accomplished the providing course of action, come up with http://www.whoccdindia.com/upload/mate.asp?q=shop-5070 absolutely sure you happen to be supplying the best insert.