Оригинал статьи - https://ims0rry.tumblr.com/post/175239218145/coala-bot-analysis
Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Прогоняем файл через Peid:
Отсюда делаем вывод, что билд зависим от .NET + накрыт .netReactor’ом.
Уточняем версию реактора:
И идем снимать.
Unpacking
Функционал
Бот построен на основе ассинхронных тасков и методов.
Конфигурация / Таски
Для работы с SOCKS юзается класс ProxySocket + обертка WinInet:
Присутствуют конструкторы классов для различных типов атак, которые выполняют роль парсинга, конструкторы тасков и методы для работы с ассинхронными методами:
Выделен целый класс для работы с версиями IE, таким образом, можно получать/создавать/редактировать версию через реестр:
Также, присутствуют методы кастомизации User-Agent/Cookie/Referrer при выполнении HTTP-запросов:
Получение текущего IP происходит через запрос к сервису https://api.ipify.org:
Также, присутствует проверка наличия языков СНГ-стран в раскладке:
Получение данных о машине происходит посредством System.Management.
Есть проверка на небольшое кол-во анализаторов и снифферов:
Установка и закрепление в системе
Автозагрузка осуществляется путем комбинирования Powershell + Task Scheduler:
PS-скрипт при запуске проверяет наличие файла в Startup директории, и если его нет, записывает и добавляет в "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" значение “WinWOW64Services”, в котором прописывается путь до файла “vstools.exe”. При этом, в автозагрузке (msconfig или диспетчер задач) красиво висит название “coala”.
Также, при запуске, приложение проверяет правильность имени файла, и в случае неудачи, перезаписывается под правильным именем:
Присутствует странная заглушка, видимо, автор забыл ее убрать:
Еще меня смутило вот это:
DDoS-функционал и алгоритм работы
В боте присутствует статическая обфускация домена C&C-панели, которая, после деобфускации, используется для получения тасков. Таски, в свою очередь, передаются в метод для их парсинга и выполнения. Есть отдельный парсер DDoS тасков и обычных. Для начала, рассмотрим последний:
dexecute:
Скачивает и запускает указанный файл
execute:
Запускает указанный файл
suicide:
Удаляет себя из системы
update:
Обновляет билд на зараженной машине
А теперь перейдем к DDoS-методам и обходам:
Как и обычно, все реализовано на сокетах. Каждый таск работает асинхронно.
Anti-Captcha:
Обход капчи реализован через сервис https://anti-captcha.com. Все обходы построены именно на основе этого метода, с небольшими доработками (вроде удаления каких-то html элементов и отправки доп. запросов)
Для сравнения, кусок кода обхода Sucuri WebSite Firewall:
Ссылки:
Продажник - https://forum.exploit.in/index.php?showtopic=126685&st=0 (Стоимость - $400)
