Bardzo zabawną analizę botnetu herpesnet dla początkujących możecie odnaleźć tutaj. Na stronie tej krok po kroku specjaliści obnażają błędy, które twórca sieci botnet nieświadomie przygotował, tym samym finalnie wystawiając się na całkowitą kompromitację (zdjęcia, nazwiska itp.). W dużym skrócie wyglądało to tak:
- Z pliku trojana wybrano adres serwera zarządzającego i jego przekazywane parametry (wersja systemu itp.)
- Przetestowano skrypt serwera zarządzającego na obecność podatności SQL Injection i wykryto takową
- Wykryto: web server operating system: Windows 2008, web application technology: ASP.NET, Microsoft IIS 7.5, PHP 5.3.10, back-end DBMS: MySQL 5.0.11
- Wybrano login (Frk7) i zaszyfrowane hasło do panelu zarządzającego, które okazało się bardzo skomplikowane: ciao
- Z panelu administracyjnego wykorzystano funkcjonalność trojana i wybrano komputer, który Frk7 używał do testowania złośliwego oprogramowania. Przejęto ten komputer.
- Pobrano z testowego komputera zrzuty ekranu i inne ciekawe informacje.
- Następnie łącząc różne zdobyte informacje uzyskano odpowiedź, kim jest twórca botnetu. Nick: frk7 lub siliceous, dane osobowe: Francesco Pompo, jego zdjęcia z serwisu Facebook itp.
W zasadzie autor bota popełnił kilka podstawowych błędów, które często spotykamy także w firmach wykonując testy penetracyjne. Hasła słabej jakości, podatności w serwisach internetowych, brak separacji dostępu, swobodne szastanie wrażliwymi danymi i o kłopot w zasadzie prosił się sam.
Jeden komentarz do
5 sierpnia, 2012 o godzinie 10:06
gotta love it