Zeus C&C Server Analyse

Durch Zufall bin ich Heute an einen Zeus Botnet Command & Control Server gekommen, Serverstandort Indien – 34 Bots Online.

Scheinbar soll das Webpanel mit Crypter in einschlägigen Foren bis zu 1000$ kosten,
und die Käufer sind scheinbar zu blöde zum absichern.

FAIL’s des Serverbesitzers:
.htaccess ind _.htaccess umbenannt, da es scheinbar Probleme mit XAMPP gab.
Offener FTP mit Standard XAMPP login (newuser:wampp) und VOLLEN schreibrechten.
MySQL Root benutzer OHNE Passwort.

Was Ich gemacht habe:
Per FTP eingeloggt (kein Hack, die Daten waren ja Standard) und MySQLDumper hochgeladen
(PhpMyAdmin hat lustige fehler ausgeworfen das PHP zu alt ist), und das Admin Passwort den Zeus Panels geändert
(MD5 OHNE Salt, simpler Online Generator hat gereicht)

Hier haben wir den Login Bildschirm:

Danach begrüßen uns gleich die Bot Statistiken:

Die Detail Seite mit den Daten eines Bots sieht so aus:

Ein Interface zum sniffen von HTTP Verbindungen gibts auch:

Bots lassen sich umfangreich filtern:

Die Liste der benutzten Betriebssysteme:

Auch eine nette Auswahl an Multifunktionen gibt es:

Wie zb. der Check ob auf dem Host ein SOCKS5 Proxy laufen kann:

Die Scripting Engine hat auch einiges zu Bieten:

Hier die verfügbaren Commands – “kos” schaut recht “freundlich” aus 😛 :

Und hier noch welche Files benötigt werden zum Installieren von Zeus:

Und hier noch ein Video mit einem Walkthrough:

http://www.dailymotion.com/user/str0/video/xan56t_germandeutsch-inside-of-a-zeus-botn_tech

This entry was posted in Uncategorized. Bookmark the permalink.

13 thoughts on “Zeus C&C Server Analyse

  1. die certs könnten sicherheits zertifikate sein für ssl verbindungen zu zB online banking oder sowas

  2. Interessant ist auch, dass von den 210 Deutschen nur 3 online waren; auch Platz 2 und 3 bei den installs haben kaum bots online. Kanada ist da erster/zweiter, obwohl es in der linken Spalte nur Platz 12 belegt.

    Mir ist auch nicht ganz klar was mit “Installs” gemeint ist – es gibt anscheinend nur 820, obwohl die total bots bei 1 134 liegen…

  3. Naja, wenn man die Uhrzeit bedenkt macht es Sinn – den Artikel hab ich irgendwann mitten in der Nacht geschrieben – da haben die Deutschen Natürlich ihre PCs aus 😉

    Die Total Bots dürfte die bereits entfernten einschließen 😀

  4. Ah OK, das mit der Uhrzeit hatte ich nicht bedacht 🙂

    [Ratio Online/Bots: –utc+1 DE 0,01 – PL 0,00 – FR 0,00 – NL 0,05 – IT 0,11 – ES 0,09 –utc+2 TR 0,01 – IL 0,12]

  5. willmaster.. bist du auch in irgendwelchen foren aktiv? uNkn0wn, hackhound, securityshell etc.? wenn ja, wie heißt du da?

Comments are closed.