Вскрываем средство для DDoS-атак на российскую ИТ-инфраструктуру

[SGordon123]

почему гтрк вятка первая в списке, случайность?

[Zagrebelion]

файл mhddos_proxy_linux_arm64 (MD5: 9e39f69350ad6599420bbd66e2715fcb), загружаемый вместе с определенным Docker-контейнером

Скажите, пожалуйста, "определённый" докер-контейнер - это что-то из публичных и популярных, или какой-то самосбор?

[yamano]

Спасибо за вопрос! Докер-контейнер официальный, распространяемый самими злоумышленниками. Но поставили его неизвестным путём. На устройстве крутился веб-сервис на Go и давно не обновлявшийся Nomad, поэтому предполагаем что контейнер поставили через рцеху в этом оркестраторе, т.к. других точек входа не нашли

[SGordon123]

почему гтрк вятка первая в списке, случайность?

[yamano]

Интересный вопрос! Может быть случайность, а может это одна из первых целей была для обкатки инструмента

[Harwest]

Аналогично удивлен присутствием kamensktel.ru

[nikolz]

В чем смысл, Карл? Все лежит в открытом доступе. Честно написано - это для DDOS атак. Вы сомневаетесь, а вдруг не для этого. И вот вы удивляетесь списку. Вопрос, а какой список Вас не удивил бы?

По аналогии подошли к электроподстанции. На ней написано, "не влезай 10 тысяч вольт." Мы не верим, и начинаем в ней ковыряться. В конце рабочего дня, так и не поняли сколько точно тысяч вольт, но установили, что напряжение точно есть и предположили, что может убить.

[yamano]

Хороший вопрос!
Действительно, и так понятно что утилита для DDoS'а, но лично мне интересно, а на какие именно цели она заточена, какие методы защиты авторы применили, и есть ли там ещё что-то интересное внутри. По итогу получился неплохой (по нашему мнению) материал, который может быть интересен в качестве кейс-туториала по анализу вредоносов защищенных таким же образом, или дальнейших модификаций данной утилиты (возможно, более агрессивных в плане закрепления) поэтому и решили поделиться!

[nikolz]

А мне показалось, что решение слабое и скорее сделано как учебное пособие, а не как реальное средство для атаки. Но если Вы его разобрали, то более интереснее было бы рассказать о методах борьбы с атаками с помощью этого ПО или рассказать об уязвимых местах этого решения.

[yamano]

По поводу того что инструмент слабый - мне кажется, что разработчики бы с вами не согласились. Да и учебную функцию он не выполняет, вся конфигурация и цели зашиты внутри инструмента и инфраструктуры на github)
Но по поводу других интересных разрезов анализа этого ПО - это Вы верно подметили, спасибо

[voltag]

Смысл в заголовке: они нашли доказательства!
Статья же не называется: "Разбираем DDos Bot на питоне" или "Пример вскрытия PyArmor с картинками"

[sergiodev]

А как получается эта штука попала на сервер изначально? Какой-то злоумышленник ее туда загрузил через дырявый порт?

[yamano]

Спасибо за вопрос! На устройстве крутился веб-сервис на Go и давно не обновлявшийся Nomad, поэтому предполагаем что через рцеху в этом оркестраторе установили и запустили докер-контейнер вредоносный, других артефактов не нашли

[sgjurano]

Очень крутая статья, спасибо большое, читал как детектив, на одном дыхании)

[yamano]

Спасибо Вам, "будем постараться"!)

[Feniksovich]

Спасибо за статью, потрясающая работа.

[yamano]

Рад стараться, спасибо Вам!)

[dimania]

Здорово! Молодцы.. Очень интересно.

[yamano]

Тут почему-то начались минусные осадки, и тем не менее, спасибо вам на добром слове, будем пытаться создавать ещё больше полезных и интересных материалов!

[pa77]

Отличная статья! Спасибо!

[yamano]

Спасибо за Вашу оценку! Постараюсь держать планку, хоть статья и не без огрехов!

[e-boroda]

Потрясающая работа! Очень круто.

[yamano]

Очень приятная оценка, спасибо за поддержку!

[shikakito]

С удовольствием почитал именно про процесс анализа. И было не важно, что из себя представляет подопытный.

Спасибо

[yamano]

Спасибо! если ещё найдётся интересный и познавательный кейс, обязательно расскажу о нём)

[yetiman]

В копилку к аналогичным мерзким тварям сюда: https://github.com/open-source-peace/protestware-list

[yamano]

Не уверен, что залетело бы, всё таки у ПО из того списка предполагается полезный функционал изначально, а тут...

[pinkotter]

Статья супер!! Очень подробный анализ. Спасибо!

[yamano]

Спасибо Вам! будем и дальше пытаться не слишком упрощать контент

[blind_oracle]

ДДОСилки на питоне... куда мы катимся

[yamano]

К светлому будущему, с легко-поддерживаемым, расширяемым, портируемым кодом!

sarcasm_off

А с будущим выходом Mojo, быть может, к производительному и статически-типизированному настоящему

[Sheti]

Недавно услышал про Mojo. Честно говоря звучало как то фантастически.

[NutsUnderline]

Спасибо за расширение эрудиции. Pyarmor то вроде платная вещь, интересно а можно ли извлечь номер лицензии и "вычислить" злодея..

[yamano]

Спасибо! Не думаю, что разработчики инструмента ставили себе задачу от чего-то скрываться, но Ваша идея интересная, и на мой взгляд вполне осуществимая если бы ею занялись сами разработчики pyarmor, так как уникальная ключевая информация в каждом экземпляре присутствует

[BattleUmca]

Прочитал на одном дыхании, хоть с питоном не знаком, но все довольно легко читается с Вашими комментариями, отлично и доступно изложен процесс анализа.
Также вдохновился на знакомство с Питоном) ну и конечно ИБ-прям мечта детства, жаль только что войти в данную сферу очень проблематично(

[yamano]

Одной из целей ставил, чтобы было полезно и интересно для тех, кто не совсем в данной теме, так что очень рад видеть Ваш коммент, спасибо!
А про сложность - это чистая правда, но относится и к другим сферам, по себе знаю) Обилие неструктурированной информации входит в противоречие с количеством свободного от работы временем, пытаешься от случая к случаю зачитываться материалом, а на большее уже и не хватает

[c0mmandor]

спасибо, очень любопытно. вообщем есть методы против кости сапрыкина...

[yamano]

Спасибо, Стараемся!

[force]

Начал читать статью и стал ловить флешбеки. Оказалось, что 30-ого сентября прошлого года помогал другу с анализом DDOS-атаки где использовалась именно эта программа.

Правда мне терпения хватило только расшифровать список целей для атаки, этого хватило для его задач.

Но вы провели колоссальную работу. Отличная статься.

[yamano]

Спасибо! Надеюсь, что было полезно! Действительно, пришлось попотеть, тут постарался задокументировать только "правильный" путь. Помимо этого, сделать кучу ошибок, которые даже не стал подробно описывать - и так много, да и не упомнишь всё)

[ASD33]

мне бы такое терпение...

[yamano]

Дорогу осилит идущий! На самом деле, если знать изначально куда копать, то всё это проделать не так уж сложно. Но если ничего неизвестно, как было в данном случае - да, придётся запастись терпением и пытаться, пытаться, пытаться...

[NutsUnderline]

Говорят это тренируется.. ношением воды в горы, вышкой крестиком и бисером...