Перейти к содержимому

Препарируем DDosia. Часть 1.

Опубликовано 05.03.2023

Есть такая штука NoName057(16) DDoS-проект: https://t.me/+fiTz615tQ6BhZWFi своего рода добровольный ботнет для DDoS’а. Скачал программу, зарегистрировался и решил посмотреть что там под капотом. Публиковать не хотел, дважды обращался к представителям NoName057(16), но был проигнорирован, очень надеюсь что сделают выводы и проведут работу над ошибками.

В архиве программа на Golang под разные платформы (windows,linux,arm). Открываем раздел .data и смотрим модули:

github.com/denisbrodbeck/machineid v1.0.1 — модуль определения ID компьютера более подробно по ссылке на GitHub
go_stresser_20 (devel) — собственно сам стрессер
— golang.org/x/net v0.4.0
— golang.org/x/sys v0.3.0
— golang.org/x/text v0.5.0 — стандартные модули для работы с сетью, строками etc.
Вирусов нет и это хорошо, но всё равно запускать такие штуки лучше в виртуальном окружении.

Открываем исполняемый файл в любом hex-редакторе и ищем адреса, явки, пароли…

http://94.140.115.129/client/get_targets заходим по ссылочке и видим цели атаки в формате JSON

{
  "targets": [
    {
      "id": "6388a0cf3f1cf0b03dcd3f47",
      "ratio": "1",
      "type": "http",
      "method": "GET",
      "host": "",
      "address": "94.140.115.129",
      "port": 80,
      "use_ssl": false,
      "path": "/client/get_targets",
      "body": {
        "type": "",
        "value": ""
      },
      "use_random_user_agent": true,
      "timeout": 500,
      "response": true,
      "headers": [],
      "is_deleted": false,
      "activate_by_schedule": true,
      "started_at": "2023-02-16 10:00",
      "finished_at": "2023-02-18 18:00"
    }
    
  ]}

С этим уже можно работать. Вместо адреса 94.140.115.129 вставляем 127.0.0.1:8080 — 14 символов чтобы не сместить блок данных. Настраиваем Nginx и задаём свои цели, теперь ddosia работает на нас.
На десерт ddosia работающая локально, скачиваем архив, распаковываем в удобное место, запускаем nginx.exe потом d_win_x64_mod-local.exe. Устанавливать цели можно путём изменения поля «address»: «94.140.115.129» и/или «host»: «» в файле test.json, путь до файла /nginx-1.23.3/html/test.json.
Конфиг Nginx находиться в каталоге /conf, в нём подсказки для тех кто понимает.

P.S: Если закинуть свой client_id.txt в каталог с dosia и nginx, задать вашу цель в конфиге, то будет начисляться статистика. Про цели и статистику в следующих выпусках, не переключайтесь 🙂

Опубликовано в ddosia и DDosia Project

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *