{
	"id": "49bdbfaa-f005-4245-bbaf-a61a24ded872",
	"created_at": "2026-04-06T00:14:55.772747Z",
	"updated_at": "2026-04-10T03:21:04.900513Z",
	"deleted_at": null,
	"sha1_hash": "59192395038051c4ef1731f6b6def1908227031c",
	"title": "Анализ ботнета DarkSky",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 952164,
	"plain_text": "Анализ ботнета DarkSky\r\nBy ims0rry\r\nPublished: 2017-12-30 · Archived: 2026-04-05 19:22:18 UTC\r\nАнализ ботнета DarkSky\r\nims0rry\r\nАдмин-панель\r\nОболочка\r\nСразу хочется отметить, что в плане внешности, панелька очень даже неплохая.\r\nТут же отмечу, что имеются некоторые баги:\r\n1) Я запускал файл на дедике - он отстучал в двух разных ботов, хотя по данным они идентичны\r\n2) Неправильно определяется версия Windows: на дедике Windows Server 2012 R2, а в панели Win8/10x64\r\nПрисутствует удобная настройка панели, страница тасков, логов, последних действий.\r\nВнутренности\r\nВот тут уже начинается темная сторона этого продукта. Из серьезных недоработок я нашел:\r\n1) Update - автообновление панели, которое можно использовать как бекдор\r\nКласс:\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 1 of 17\n\nИспользование:\r\nВозможно, сделано это ненамеренно, но риск остается.\r\n2) Уязвимость к SQL-инъекциям - хоть и используется mysqli, но толку от него ноль:\r\nДанные вставляются в принятом формате (я где-то видел метод, который регулярками что-то либо\r\nсравнивает, либо чистит, но регулярки, я слышал, не спасают):\r\n3) \"Шифрование данных\" - это HEX. Если уж заявили о шифровании, нужно его сделать адекватно, а не\r\nтак, чтобы все это через любой онлайн-декодер расшифровывалось:\r\nАнализ файла\r\nPE\r\nСмотрим через PE-сканнеры:\r\nФайл ничем не запакован, ЯП - Delphi.\r\nДанные\r\nОткрываем файл в IDA и первое, на что обращаем внимание - строки:\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 2 of 17\n\nОчень много hex-строк, а как мы уже знаем, в софте именно это является основным шифрованием данных.\r\nПри декодировании можно найти пару интересных строк:\r\nUser-Agent с которым делается http-запрос:\r\nХост на который привязан лоадер:\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 3 of 17\n\nПараметры:\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 4 of 17\n\nА тут мы видим что лоадер использует стандартную автозагрузку:\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 5 of 17\n\nФункции\r\nОсновной метод выглядит так:\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 6 of 17\n\nПроисходят DLL-проверки (чек на песочницу, виртуалку и т.д.), далее происходит запуск в памяти массива\r\nбайт (предпоследняя строчка).\r\nНа графе выглядит примерно так:\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 7 of 17\n\nТеперь нам нужно отыскать то, что запускается в памяти:\r\nПереходим:\r\nДалее открываем функцию Main этого массива (sub_420434):\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 8 of 17\n\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 9 of 17\n\nВ функции sub_4213B8 происходит запрос к серверу, там же мы видим захексованный хост и параметры:\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 10 of 17\n\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 11 of 17\n\nДалее в цикле происходит запрос текущих тасков и их выполнение. По названиям строк (str_load, str_udp,\r\nstr_method_http) не трудно догадаться что первое - это таск загрузки и запуска файла, второе - udp-flood,\r\nтретье - http-flood.\r\nСмотрим функции по порядку:\r\nЗагрузка и запуск файла\r\nЗагрузка:\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 12 of 17\n\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 13 of 17\n\nЗапуск:\r\nUDP-flood\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 14 of 17\n\nHTTP-flood\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 15 of 17\n\nВ цикле стартуют потоки этой функции:\r\nРеализация довольно громоздкая, можно было сделать куда проще и эффективнее.\r\nСсылки\r\nСорцы панели + семпл - https://github.com/ims0rry/DarkSky-botnet\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 16 of 17\n\nПродажник - https://lolzteam.net/threads/314749/\r\n-----------------------------\r\nАвтор @ims0rry\r\nhttps://t.me/ims0rryblog\r\nSource: http://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nhttp://telegra.ph/Analiz-botneta-DarkSky-12-30\r\nPage 17 of 17\n\n  http://telegra.ph/Analiz-botneta-DarkSky-12-30 \nТеперь нам нужно отыскать то, что запускается в памяти:\nПереходим:   \nДалее открываем функцию Main этого массива (sub_420434):\n   Page 8 of 17",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"references": [
		"http://telegra.ph/Analiz-botneta-DarkSky-12-30"
	],
	"report_names": [
		"Analiz-botneta-DarkSky-12-30"
	],
	"threat_actors": [],
	"ts_created_at": 1775434495,
	"ts_updated_at": 1775791264,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/59192395038051c4ef1731f6b6def1908227031c.pdf",
		"text": "https://archive.orkl.eu/59192395038051c4ef1731f6b6def1908227031c.txt",
		"img": "https://archive.orkl.eu/59192395038051c4ef1731f6b6def1908227031c.jpg"
	}
}