Перейти к содержанию

Recommended Posts

shaana

Извините, я нечаянно нажал Ентер или чето типа тово...

А возможности редактирования собственных мессаг нет. Это просто лицорука. Ну ладно.

Я не буду расписываться за всё семейство Zeus, ибо его модификаци

...его модификаций вагон и маленькая тележка. Но довольно часто начинающие настраивают троян (кейлоггер и т. п.) на отсылку логов себе на почту. Феерично, но бывает, что это обычная юзерская почта, которую "хакер" использует как основную. По протоколу SMTP, не защищенному шифрованием, авторизационные данные идут в кодировке base64, которую раскодировать в обычные буквоцифры можно в один клик.

Делается это, грубо говоря, так. Берете подопытный файл, суете его в виртуалку. Это может быть обычная ХР без патчей и антивирусов, голая как мышь. Запускаете Wireshark, начинаете снифить трафик вашего интернет-канала. Попрут пакеты, на них не обращайте внимания. Запускаете подопытный файл. Если он связывается с ФТП или СМТП, то отслеживаете обмен пакетами командой контекстного меню follow TCP stream. Смотрите, где там авторизационная инфа. Кидаете логин/пароль в декодер base64 (их просто дофига, как онлайн, как офлайн). Профит.

Если есть у вас интересный "malware", можете скинуть в архиве с паролем, попробую навируалке "смотреть" что к чему.

Я мог бы вам даже тестовый кейлоггер сконфигить, но просто лень... Скачайте любое что-то типа Perfect Keylogger, сделайте дроп-файл (можете с чем-то склеить), заведите фейковую почту, забейте в конфиг кейлоггера ее авторизац. данные. Потом запустите дроп-файл в виртуалке и попробуйте выловить пару логин/пароль.

Уверяю вас, эта задача по шкале сложности от 1 до 10 имеет сложность 1.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

shaana

Спасибо. +

НО щас как то "модно" ботнеты. Spyeye, zeus... Слышал, что там невозможно ничего отслеживать (ибо очень сложно), т.к. все передается зашифровано.

У меня оказался старый билд стилера паролей. вроде Pinch. запустил и перехватил данные. оказался, что по smtp высылает данные через rambler почту. также декодировал логин и пароль исходящей почты. А вот узнать на какой адрес шлется пароли(отчеты) - не смог понять :) Там вообще есть такое дело ?

кстати, follow TCP stream - хорошая вещь ! не знал про него )))) смотрел все внизу ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
У меня оказался старый билд стилера паролей. вроде Pinch. запустил и перехватил данные. оказался, что по smtp высылает данные через rambler почту. также декодировал логин и пароль исходящей почты. А вот узнать на какой адрес шлется пароли(отчеты) - не смог понять Там вообще есть такое дело ?

С этим разобрался. просто там почта заблокирован был, по этому не смог пройти авторизацию smtp.

думаю стоит немного усложнять задачу ))) какая будет следующая задача? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
НО щас как то "модно" ботнеты. Spyeye, zeus... Слышал, что там невозможно ничего отслеживать (ибо очень сложно), т.к. все передается зашифровано.

Весь трафик от Spy Eye, Zeus, TDL4 очень мощно зашифрован. Разобрать пакеты не реально. Но в админках spy eye и zeus находят кучу SQL-уязвимостей, последняя громкая уязвимость была обнаружена в октябре, 0day в админках Spy Eye позволял в пару кликов угонять ботнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
Но в админках spy eye и zeus находят кучу SQL-уязвимостей, последняя громкая уязвимость была обнаружена в октябре, 0day в админках Spy Eye позволял в пару кликов угонять ботнет.

дааа. это круто )) наверно такую инфомацию не выложат в паблик :) она наверно актуальна пока.

Весь трафик от Spy Eye, Zeus, TDL4 очень мощно зашифрован. Разобрать пакеты не реально.

да, мне так и сказали как то.. даже админку(куда ссылается трой) неньзя узнать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
дааа. это круто )) наверно такую инфомацию не выложат в паблик :) она наверно актуальна пока.

В хакере за январь есть статья по угону ботнетов на базе Spy Eye.

да, мне так и сказали как то.. даже админку(куда ссылается трой) неньзя узнать ?

Шифруется абсолютно весь обмен трафиком между ботом и командным центром.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
В хакере за январь есть статья по угону ботнетов на базе Spy Eye.

Автор выложил только в теории как будет.. И 1-2 жалких методов, как по дорам искать дохлые ботнеты.

Шифруется абсолютно весь обмен трафиком между ботом и командным центром.

Вообще возжможно простым смертным раскодировать этот шифр?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
izlesa

>> Вообще возжможно простым смертным раскодировать этот шифр?

смысл дешифровать трафик, если можно посмотреть внутрь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
>> Вообще возжможно простым смертным раскодировать этот шифр?

смысл дешифровать трафик, если можно посмотреть внутрь?

А там тож же ведь все шифровано + критовка(обфуксация).

Ради интереса запустип RAT (BlackEnergy) и думал увижу куда коннектится.. А фиг! ))) тоже все шифровано, ничего нельзя даже угадать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
izlesa

навесные крипторы снимаются быстро, остальное тоже не представляет сложности

зевс и спайай довольно примитивны с технической точки зрения

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
навесные крипторы снимаются быстро, остальное тоже не представляет сложности

зевс и спайай довольно примитивны с технической точки зрения

Речь идет не о криптовании .exe, а о криптовке трафика между ботом и сервером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

izlesa

это хорошо :) А то терял надежду.

CatalystX

Не, я о exe, про трафика как я понял - смысла нету.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Krec, главное отличие криптора от упаковщика, это наличие шифрованных данных и антиэмуляционых приемов. Но мощные крипторы(которые на cyber crime стоят от 500$) обычно имеют еще детекты виртуалок, анти-отладку, сильное замусоривание кода, комбинированные приемы антиэмуляции. Новичку лучше с упаковщика UPX и заканчивать FSG и переходить к протекторам, от Asprotect и заканчивая Themida. Если распаковал Themida, то мощные крипторы сразу станут не такими мощными как кажутся.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

CatalystX

+ спасибо.

У меня тут как раз вопрос по этими упаковщиками... слышал такое выражение:

"если файл упакован упаковщиком, то в отладчике будет видно только код самого упаковщика".

тогда как исследуют malware? они вроде все упакованы+кприптованы.

Хотел бы подробно насчет этого.

и еще:

Какая разница между ollydbg и IDA pro? говорят, что первый - это отладчик, а второй дизассемблер. А по большему счету это не одинаково? Какой заточен под какие задачи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
У меня тут как раз вопрос по этими упаковщиками... слышал такое выражение:

"если файл упакован упаковщиком, то в отладчике будет видно только код самого упаковщика".

тогда как исследуют malware? они вроде все упакованы+кприптованы.

Хотел бы подробно насчет этого.

Насчет "если файл упакован упаковщиком, то в отладчике будет видно только код самого упаковщика" это правда. Но любой упаковщик/криптор рано или поздно передаст управление на OEP(Original Entry Point). Вся трудность заключается в нахождении инструкции передачи управления. У UPX идет сначала точка входа, а за ней весь код распаковщика, который заканчивается инструкцией JMP 0046F49E(0046F49E это OEP детектора упаковщиков PEiD).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

CatalystX

вот тут не очень понял... через ollydbg можно все же понять что за зверь, если даже упакован exe_шник?

про точку входа в одном курсе видел. преблизительно понял о чем это.

т.е. начиная все с точки входа - это и есть код самой программы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
вот тут не очень понял... через ollydbg можно все же понять что за зверь, если даже упакован exe_шник?

Нет. Вообще идея съема упаковщиков такова: определяем упаковщик, находим OEP, снимаем дамп, восстанавливаем импорт.

начиная все с точки входа - это и есть код самой программы?

Да.

Какая разница между ollydbg и IDA pro?

Через IDA проще анализировать не защищенный код, определить замусоривание кода, да и импорт можно посмотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
CatalystX

вот тут не очень понял... через ollydbg можно все же понять что за зверь, если даже упакован exe_шник?

про точку входа в одном курсе видел. преблизительно понял о чем это.

т.е. начиная все с точки входа - это и есть код самой программы?

На самом деле все не совсем так :)

Начнем с начала - ollydbg это достаточно простой usermode отладчик. Если мы под ним запустим малварь, то начнется исполнение кода малвари (если она ничем не упакована) или мы попадем в код пакера/криптора/протектора. Естественно, что если мы по шагам протрассируем этот код, то рано или поздно мы дойдем до того момента, когда работа кода того самого пакера/криптора/протектора закончится, и мы попадем в машинный код распакованной малвари и пойдем по нему. Однако следует понимать, что:

1. протектор может понять, что запуск и работа ведется под отладчиком, и как следствие либо "сорвет" отладку (и дальнейшее исполнение кода пойдет не под контролем ollydbg), либо прервет распаковку и симулирует какую-то ошибку

2. некая малварь может быть запакована "бутербродом" из нескольких пакеров/крипторо/протекторов. Т.е. протрассировав код первого мы вместо реального исполняемого кода попадем в код второго, потом третьего ... и каждый из них может детектировать отладку или бороться с ней

3. даже если мы добрались до реальной OEP и получили наконец код малвари, то рано радоваться :) Ибо:

3.1 код может модифицировать сам себя в процессе работы. Причем начиная от точечных замен (например, затереть JMP посредством NOP-ов, поменять JE на JNE и т.п.) и до достаточно радикальных модификаций

3.2 может распаковаться не весь код, а только его кусочек. Остальное будет распаковываться по мере надобности – в итоге мы не сможем дампировать весь код для анализа

3.3 отлаживаемый процесс может проинжектировать некий код в другой процесс и запустить его (например, создать удаленный поток). Если вовремя это не понять и не обеспечить трассировку такого инжектируемого кода, то мы утеряем полную картину работы зверя. Хуже еще то, что инжектированный код может быть неким перехватчиком, и понять его логику работы в отладчике может быть проблемно

3.4 часть логики зловреда может быть сделано по принципу интерпретатора. Т.е. распакованный код будет интерпретатором, который в свою очередь начнет выполнение некоего P-кода. Уловить логику работы в такой ситуации под отладчиком проблемно, равно как очень сложно дизассемблировать такой семпл (мы дизассемблируем интерпретатор, тогда как исполняемый им код будут не более чем константой с непонятными данными)

3.5 зловреды не обязан проявлять свое злобное поведение сразу. Т.е. трассируя его отладчиком мы можем и не увидеть зловредного поведения, котрое проявится при определенной ситуации. Простейший пример - были одно время модны примитивный троянцы, которые при изменении буфера обмена смотрели, что там - и если там скажем номер кошелька Webmoney, то меняли его на кошелек зловредописателя. Соответственно, пока в буфере не появится подходящий номер, не активируется меняющий его код. Другой пример - реакция на подключение флешки в червяке. Нет подключения - нет реакции...

3.6 если зверь дропнет что-то и запустит, а отлаживающий код специалист это упустит, то запуск дропнутого кода пойдет уже не под отладчиком. Еще хуже драйвер - если семпл дропнет некую kernelmode компоненту, и загрузит ее - то olly будет бессилен. Аналогично буткит – дроппер запишет его в заданные сектора и отребутит ПК …

3.7 в общем случае у зверя может быть много потоков. И если однопоточное приложение отлаживать более менее просто, то многопоточное сложнее, особенно если потоки активно взаимодействуют друг с другом.

3.x и т.п., и т.д. :)

К этому можно прибавить обфускацию - как классическую (т.е. замусоривание кода ненужными операциями, кучами переходов, фрагментами неисполняемого мусорного кода и т.п.), так и поведенческую - т.е. семпл может осуществлять сотни и тысячи ненужных вызовов API (а в цикл это породит миллионы событий), проявляя в итоге бурную, но бестолковую активность - на случай, если кто-то захочет помониторить его чем-то типа processmonitor

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Зайцев Олег

Спасибо за такую информацию.

жесть просто, я как бы думал, что они тоже используют свои механизмы защиты, но не знал, что настолько "интеллектуальные". Когда так успели "поумнеть" вирусы так ? :D

мне уже страшно становится от мыслей, когда думаю, что мне предтоит с ними поближе познакомится ))))))))))

Теперь у меня появились еще больше вопросов и как все в одном может звучить так: КАК БЫТЬ ТОГДА ? :)

чем и каким алгоритмом(тактикой) их исследовать?

Мне ничего реверсить ненужно. Надо только понять суть - что они делают (и вообще это malware или безобидное ПО?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Когда так успели "поумнеть" вирусы так ? :D

Это очень длинная история ;)

Если посмотреть на некоторое время назад, то высокотехнологичной мальвари было мало, в основном примитивы от школьников на делфи или студнетов. Да и цели написания были другие, понтанутся перед друзьями или хотелось почувствовать себя крутым кодером. Но время изменилось, начали появляться онлайн-шопы, платежные системы и остальная нужная и не особо нужная муть. Защищена она была плохо и увести денежки от туда, смышленым пацанам не составляло труда, но время не стоит на месте, кто-то исчезает, кто-то умнеет, админы всех шопов, платежек и.т.д. Начали ставится аверы, патчится уязвимости, но любителей легких денег это не останавливало. И именно тогда в киберкриминале начали появляться люди, которые могли управлять деньгами, но не умели обходить защиту.

Антивирусы научились легко детектить usermode мальварь даже не сигнатурами, тем самым обломав школьников и студентов начальных курсов. И тогда вредоносы(руткиты в частности) начали углубятся в систему. В 2005 впервые был показан загрузочный руткит или буткит. В 2007 буткиты перестали быть концептами и буткит Sinowal/Mebroot был первым серийным буткитом, который умел еще и шпионить за пользователем, в 2010 из-за увеличения доли 64 битных систем появился TDL4, первый буткит способный обходить защиту ядра от Microsoft и протаскивать туда свой не подписанный драйвер. В 2011 появился руткит который способен работать в ядре под 64 бита, но не заражает MBR, это был Cidox или маячок, он заражает VBR. Очевидно же, что время школьников на вирусной арене окончено, так как противостоять сегодняшним антивирусам они не могут, но это получается у высококвалифицированных кодеров, которые еще из этого имеют очень большие деньги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

CatalystX

да, все это интересно. теперь надо подумать как все это понять на уровне дизассемблирования/отлидчика..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

Теперь у меня появились еще больше вопросов и как все в одном может звучить так: КАК БЫТЬ ТОГДА ? :)

чем и каким алгоритмом(тактикой) их исследовать?

Мне ничего реверсить ненужно. Надо только понять суть - что они делают (и вообще это malware или безобидное ПО?)

Однозначного ответа на это нет и быть не может ... если бы он был, то вирусам и всей отрасли был-бы трендец :) Общую тенденцию могу сказать - некоторые современные технологии позволяют изучать алгорит работы зверя, а не его машинный код - в такой ситуации уже не важно, чем он там упакован или зашифрован.

При этом я могу еще рассказать ключевой момент: есть куча малварей, которые ведут себя как легитимные, и куча легитимных, которые ведут себя как малвари :)

Например, я лично знаю (так как изучал детально) примерно 50 тыс. уникальных программ, поведение которые формально можно назвать малварным. Т.е. они регистрируют сами себя в автозапуск, регистрируют BHO, меняют критически важные системые настройки, качают что-то из Интернет или передают туда некие данные, патчат системные файлы, регистрируют себя в качестве отладчиков системных процессов (например, для подмены диспетчера задач), обращаются к диску напрямую, меняют настройки Firewall и т.п. Причем это 1-2 не исключения, таких программ десятки тысяч. И наоборот, есть куча малварей, которые до поры ведут себя тихо и пристойно, и никакого опасного поведения не проявляют

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Оч. хороший ответ дал Олег. Ещё раз хочется напомнить всем — не держите авторов malware за дураков.

Не полагайте, что malware глупое.

Не надейтесь, что вы всегда сможете его обнаружить.

Не считайте, что сможете качественно проанализировать угрозу и "вылечить" систему.

Это под силу считанным людям в мире. В обычном случае, поражённую систему следует уничтожать и переустанавливать с нуля, соблюдая все нормы безопасности. И, конечно же, проанализировать причины поражения, ибо в этом практически всегда виноват администратор, администратор и никто кроме администратора.

Работайте на предотвращение угрозы, а не на "лечение". Это бесполезно, посмотрите на раздел форума "Помощь в лечении", одни и те же темы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Зайцев Олег

даэто уже понял, что к чему. мне интересует чем это дело анализировать, чтоб отличать добра от зла.

WindowsNT

А причем тут лечение или защиту? я тут не обсуждаю тему типа "как защищатся", а как анализировать ПО, понять род деятельности. А как защищатся или как быть в случае заражения - знаю уже давно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

даэто уже понял, что к чему. мне интересует чем это дело анализировать, чтоб отличать добра от зла.

Универсального средства нет... Тем более что малваре-писатели не стоят на месте и идет постоянная "борьба брони и снаряда". Изначально следует определиться для себя и дать четкий ответ на вопросы:

0. какие малвари предполагается изучать ?

1. для чего это нужно ?

2. стоит ли задача построить полностью автоматический комплекс анализа малварей (т.е. на вход семпл, на выходе вердикт) ?

3. сколько времени допустимо тратить на один семпл ?

При этом сразу могу сказать, что при любой реализации фолсы неизбежны, причем разные фолсы - можно зверя признать чистым, а можно наоборот

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×