My Opera
Analyse rapide du binaire laissé lors de la dernière attaque
Sunday, February 19, 2012 4:44:07 PM
J'ai jeté un coup d'œil aux exécutables qui étaient présents dans l'archive laissée sur le honeypot et c'est la grosse déception puisqu'ils ne font rien de mauvais (donc rien d'intéressant 
)
En fait on peut même trouver ladite archive à cette adresse.
Ma première impression était la bonne, a savoir ça a rapport avec le jeu Counter Strike. Je ne saurais pas dire s'il s'agit d'un serveur de jeu ou d'un serveur de score étant donné que le protocole du jeu m'est inconnu.
L'archive contient 4 binaires. Les plus simples étant start et stop.
start se charge de demander à l'utilisateur des données (ip de la machine locale, port, module, nom de dossier, nom dns), effectue quelques requêtes wget puis lance en tache de fond les binaires redirect et registerer.
L'analyse de start s'est fait assez rapidement, d'abord en statique avec HT Editor puis tracé (ltrace et strace) depuis REMnux (bien que cela aurait pu être fait depuis n'importe quel Linux virtualisé).
J'ai poussé le bouchon jusqu'à réécrire le code en bash.
Le binaire stop fait lui seulement deux killall -9 sur redirect et registerer.
redirect est le binaire le plus gros. Il commence par récupérer les données enregistrées dans des fichiers par start puis se sert de wget pour faire de nouvelles requêtes vers www.csservers.ro.
Il affiche des statisques, infos de jeu à l'écran puis ouvre un port UDP local (qu'il faut avoir redirigé sur son routeur au préalable).
Il crée ensuite un thread pour lancer une fonction registerInMasters qui se connecte sur ce qui semble être des serveurs de jeux (css.seti.info, hellsrv.lavrik.org... il y a un bon nombre d'adresses IP hardcodées).
S'ensuit des échanges de ce qui doit être des statistiques sur des joueurs.
Il est amusant de voir que l'auteur utilise une fois un appel à wget et l'autre fois se sert de socket/connect pour effectuer une requête... pourtant vers le même serveur
Quand au binaire registerer il effectue à intervalle régulier des requêtes vers une page alive.php sur le même serveur.
Bref l'occasion d'analyser un binaire C++ mais sinon rien de bien intéressant.
)En fait on peut même trouver ladite archive à cette adresse.
Ma première impression était la bonne, a savoir ça a rapport avec le jeu Counter Strike. Je ne saurais pas dire s'il s'agit d'un serveur de jeu ou d'un serveur de score étant donné que le protocole du jeu m'est inconnu.
L'archive contient 4 binaires. Les plus simples étant start et stop.
start se charge de demander à l'utilisateur des données (ip de la machine locale, port, module, nom de dossier, nom dns), effectue quelques requêtes wget puis lance en tache de fond les binaires redirect et registerer.
L'analyse de start s'est fait assez rapidement, d'abord en statique avec HT Editor puis tracé (ltrace et strace) depuis REMnux (bien que cela aurait pu être fait depuis n'importe quel Linux virtualisé).
J'ai poussé le bouchon jusqu'à réécrire le code en bash.
Le binaire stop fait lui seulement deux killall -9 sur redirect et registerer.
redirect est le binaire le plus gros. Il commence par récupérer les données enregistrées dans des fichiers par start puis se sert de wget pour faire de nouvelles requêtes vers www.csservers.ro.
Il affiche des statisques, infos de jeu à l'écran puis ouvre un port UDP local (qu'il faut avoir redirigé sur son routeur au préalable).
Il crée ensuite un thread pour lancer une fonction registerInMasters qui se connecte sur ce qui semble être des serveurs de jeux (css.seti.info, hellsrv.lavrik.org... il y a un bon nombre d'adresses IP hardcodées).
S'ensuit des échanges de ce qui doit être des statistiques sur des joueurs.
Il est amusant de voir que l'auteur utilise une fois un appel à wget et l'autre fois se sert de socket/connect pour effectuer une requête... pourtant vers le même serveur
Quand au binaire registerer il effectue à intervalle régulier des requêtes vers une page alive.php sur le même serveur.
Bref l'occasion d'analyser un binaire C++ mais sinon rien de bien intéressant.
