Для обучения работой с вирусами мы будем использовать многофункциональный вирус пластика. Он обладает достаточным функционалом для реальных атак, поэтому все первые эксперименты можно начинать с него. Основной вируса является ботнет - пейлоад. Playload - полезная нагрузка. Например если мы скидываем программу, склеенную с вирусом, то в ней пейлоадом будет являться скрытый вирус. То есть payload - это скрытый реальный файл, ради которого склеивалось ПО.
Что такое ботнет-вирусы и почему мы используем их? Ботнет - это структура, где все боты объединены в сеть. Такими ботами можно управлять с командного центра. Командный центр в терминологии называется CC или C2. Ботнеты есть нескольких типов:
- Заточенные под какую-то конкретную задачу.
Хорошим примером такого ботнета может являться DDOS botnet. Он представляет из себя объединение инструментов, которые могут использоваться при атаке, но в таких сетях нет, например, инструментов для майнинга. Примером такого ботнета является mirai. - Лоадеры
Целью таких ботнетов является занесение другого вируса на систему, зачастую с последующим удалением себя. Они используются селлерами для продажи ботов. Типичный пример - smoke bot. - Многофункциональные
Логика многофункциональных ботнетов строится вокруг модулей. Они могут динамически подгружаться, расширяя функционал. Зачастую такими модулем могут быть целые другие вирусы. Например, отдельный стиллер или RAT. Таким является вирус пластика.
Лоадеры и многофункциональные ботнеты в чем-то похожи. Отличие в том, что последние имеют меню управления задачами, и имеют дополнительные функции для контроля задаче на каждой машине. В текущий функционал вируса пластика входит основа, которая используется для связывания с командным центром, и набор модулей. На данный момент доступны модели стилера, кейлогера и mini-rat(средства для просмотра удалённой файловой системы в реальном времени). Модули отличаются от сторонних вирусов тем, что у них сделана интеграция в панель. То есть результаты работы компонентов можно проверить прям там. Также для модулей не требуются отдельные сервера, что позволяет использовать их без дополнительной установки. Тем не менее при использовании своего гейта, на него можно установить всё что угодно.
Для работы вируса ему требуется гейт. Это сервер, который принимает соединения из внешнего мира и передаёт их на главный сервер. В целях безопасности подключение к главному серверу осуществляется через tor и его реальные данные скрыты. Поэтому в случае блокировки гейта все наработанные данные остаются.
В терминологии гейт часто называется прокладкой. Прокладка - промежуточный сервер, который в случае блокировки или накладывания ограничений возьмёт на себя удар. Прокладки используются часто, и не только в ботнетах, ими стараются пользоваться везде, где требуется поддерживать связь с главным сервером на протяжении долгого времени. Дело в том, что если постоянно использовать один сервер с одним IP, то он попадёт во всевозможные блеклисты и базы, и начнёт определяться как вирусный. По этой причине главный сервер отделяют ещё одним, чтобы иметь возможность легко менять внешний IP.
Боты
Доступ к персональной панели осуществляется через onion адрес. Интерфейс просмотра ботов выглядит так
- ID - уникальный идентификатор бота. Он не меняется от перезагрузки, и если запустить на машине вирус повторно, то ID остаётся.
- Тег - устанавливается при сборке вируса. Нужен, чтобы понимать, от куда бот пришёл.
- Online - показывает, когда бот в последний раз выходил на связь с сервером. Это всегда положительное значение.
- Добавление - когда бот был добавлен в первый раз.
- IP - IP на момент запуска, через который бот связался с сервером.
- Страна - страна, определённая по IP
- net - какие версии net поддерживаются на боте. Он требуется для запуска многих вирусов.
- HostName - имя компьютера и hostname для идентификации машины.
Задачи
При нажатии на кнопку Добавить появляется новое меню редактирование задачи.
- Имя - у задачи можно поменять имя, оно находится в самом верху.
- Активна определяет, ведётся ли сейчас распространение, или задача приостановлена.
- Запусти - сколько раз суммарно задача была отослана ботам
- Файл - область с серым фоном - кнопка для загрузки файла. Это файл, который будет выслан боту при выполнении задачи. Его можно поменять в любой момент. Например, в случае крипта или появлении новой версии.
- Автозапуск - возобновлять ли работу задачи после перезагрузки бота.
- Параметры запуска - аргументы командной строки, которые будут переданы запускаемой программе. Они важны для моделей
Модули
Тут содержатся все интегрированные в панель модули. Справа находятся ссылки на их панели управления, посередине имя, слева exe, который надо добавить в задачу для работы. Args - аргументы, которые надо вписать задаче
Stealer
В сводке содержатся все боты на которых отработал стиллер, даты, когда был произведён стил, количество найденных паролей и количество адресов, которые находятся в истории. Каждого бота можно скачать, в нём будет bat скрипт, который скопирует все настройки firefox бота, и запустит его на машине для отработки.
Пароли - это вкладка для просмотра всех найденных паролей. Они разбиты по ботам. В поле источник можно посмотреть, из какого браузера был получен пароль.
В истории можно искать по интересующим доменам, чтобы понять, у кого из ботов они есть.
keylogger
В кейлогере по каждому боту, на котором он запущен, доступен лог нажатия клавиш. Большими буквами написано название активного окна, Если навести на любой символ, то покажет время нажатия.
Специальные символы обозначаются так:
-
PageUp -- △
-
Next -- ▽
-
Escape -- ✕
-
Up -- ↑
-
Down -- ↓
-
Right -- →
-
Left -- ←
-
Left -- ←
-
Return -- ➭
-
Enter -- ➭
-
LControlKey -- ◎