Перейти к содержанию

Recommended Posts

shaana

Извините, я нечаянно нажал Ентер или чето типа тово...

А возможности редактирования собственных мессаг нет. Это просто лицорука. Ну ладно.

Я не буду расписываться за всё семейство Zeus, ибо его модификаци

...его модификаций вагон и маленькая тележка. Но довольно часто начинающие настраивают троян (кейлоггер и т. п.) на отсылку логов себе на почту. Феерично, но бывает, что это обычная юзерская почта, которую "хакер" использует как основную. По протоколу SMTP, не защищенному шифрованием, авторизационные данные идут в кодировке base64, которую раскодировать в обычные буквоцифры можно в один клик.

Делается это, грубо говоря, так. Берете подопытный файл, суете его в виртуалку. Это может быть обычная ХР без патчей и антивирусов, голая как мышь. Запускаете Wireshark, начинаете снифить трафик вашего интернет-канала. Попрут пакеты, на них не обращайте внимания. Запускаете подопытный файл. Если он связывается с ФТП или СМТП, то отслеживаете обмен пакетами командой контекстного меню follow TCP stream. Смотрите, где там авторизационная инфа. Кидаете логин/пароль в декодер base64 (их просто дофига, как онлайн, как офлайн). Профит.

Если есть у вас интересный "malware", можете скинуть в архиве с паролем, попробую навируалке "смотреть" что к чему.

Я мог бы вам даже тестовый кейлоггер сконфигить, но просто лень... Скачайте любое что-то типа Perfect Keylogger, сделайте дроп-файл (можете с чем-то склеить), заведите фейковую почту, забейте в конфиг кейлоггера ее авторизац. данные. Потом запустите дроп-файл в виртуалке и попробуйте выловить пару логин/пароль.

Уверяю вас, эта задача по шкале сложности от 1 до 10 имеет сложность 1.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

shaana

Спасибо. +

НО щас как то "модно" ботнеты. Spyeye, zeus... Слышал, что там невозможно ничего отслеживать (ибо очень сложно), т.к. все передается зашифровано.

У меня оказался старый билд стилера паролей. вроде Pinch. запустил и перехватил данные. оказался, что по smtp высылает данные через rambler почту. также декодировал логин и пароль исходящей почты. А вот узнать на какой адрес шлется пароли(отчеты) - не смог понять :) Там вообще есть такое дело ?

кстати, follow TCP stream - хорошая вещь ! не знал про него )))) смотрел все внизу ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
У меня оказался старый билд стилера паролей. вроде Pinch. запустил и перехватил данные. оказался, что по smtp высылает данные через rambler почту. также декодировал логин и пароль исходящей почты. А вот узнать на какой адрес шлется пароли(отчеты) - не смог понять Там вообще есть такое дело ?

С этим разобрался. просто там почта заблокирован был, по этому не смог пройти авторизацию smtp.

думаю стоит немного усложнять задачу ))) какая будет следующая задача? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
НО щас как то "модно" ботнеты. Spyeye, zeus... Слышал, что там невозможно ничего отслеживать (ибо очень сложно), т.к. все передается зашифровано.

Весь трафик от Spy Eye, Zeus, TDL4 очень мощно зашифрован. Разобрать пакеты не реально. Но в админках spy eye и zeus находят кучу SQL-уязвимостей, последняя громкая уязвимость была обнаружена в октябре, 0day в админках Spy Eye позволял в пару кликов угонять ботнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
Но в админках spy eye и zeus находят кучу SQL-уязвимостей, последняя громкая уязвимость была обнаружена в октябре, 0day в админках Spy Eye позволял в пару кликов угонять ботнет.

дааа. это круто )) наверно такую инфомацию не выложат в паблик :) она наверно актуальна пока.

Весь трафик от Spy Eye, Zeus, TDL4 очень мощно зашифрован. Разобрать пакеты не реально.

да, мне так и сказали как то.. даже админку(куда ссылается трой) неньзя узнать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
дааа. это круто )) наверно такую инфомацию не выложат в паблик :) она наверно актуальна пока.

В хакере за январь есть статья по угону ботнетов на базе Spy Eye.

да, мне так и сказали как то.. даже админку(куда ссылается трой) неньзя узнать ?

Шифруется абсолютно весь обмен трафиком между ботом и командным центром.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
В хакере за январь есть статья по угону ботнетов на базе Spy Eye.

Автор выложил только в теории как будет.. И 1-2 жалких методов, как по дорам искать дохлые ботнеты.

Шифруется абсолютно весь обмен трафиком между ботом и командным центром.

Вообще возжможно простым смертным раскодировать этот шифр?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
izlesa

>> Вообще возжможно простым смертным раскодировать этот шифр?

смысл дешифровать трафик, если можно посмотреть внутрь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
>> Вообще возжможно простым смертным раскодировать этот шифр?

смысл дешифровать трафик, если можно посмотреть внутрь?

А там тож же ведь все шифровано + критовка(обфуксация).

Ради интереса запустип RAT (BlackEnergy) и думал увижу куда коннектится.. А фиг! ))) тоже все шифровано, ничего нельзя даже угадать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
izlesa

навесные крипторы снимаются быстро, остальное тоже не представляет сложности

зевс и спайай довольно примитивны с технической точки зрения

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
навесные крипторы снимаются быстро, остальное тоже не представляет сложности

зевс и спайай довольно примитивны с технической точки зрения

Речь идет не о криптовании .exe, а о криптовке трафика между ботом и сервером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

izlesa

это хорошо :) А то терял надежду.

CatalystX

Не, я о exe, про трафика как я понял - смысла нету.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Krec, главное отличие криптора от упаковщика, это наличие шифрованных данных и антиэмуляционых приемов. Но мощные крипторы(которые на cyber crime стоят от 500$) обычно имеют еще детекты виртуалок, анти-отладку, сильное замусоривание кода, комбинированные приемы антиэмуляции. Новичку лучше с упаковщика UPX и заканчивать FSG и переходить к протекторам, от Asprotect и заканчивая Themida. Если распаковал Themida, то мощные крипторы сразу станут не такими мощными как кажутся.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

CatalystX

+ спасибо.

У меня тут как раз вопрос по этими упаковщиками... слышал такое выражение:

"если файл упакован упаковщиком, то в отладчике будет видно только код самого упаковщика".

тогда как исследуют malware? они вроде все упакованы+кприптованы.

Хотел бы подробно насчет этого.

и еще:

Какая разница между ollydbg и IDA pro? говорят, что первый - это отладчик, а второй дизассемблер. А по большему счету это не одинаково? Какой заточен под какие задачи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
У меня тут как раз вопрос по этими упаковщиками... слышал такое выражение:

"если файл упакован упаковщиком, то в отладчике будет видно только код самого упаковщика".

тогда как исследуют malware? они вроде все упакованы+кприптованы.

Хотел бы подробно насчет этого.

Насчет "если файл упакован упаковщиком, то в отладчике будет видно только код самого упаковщика" это правда. Но любой упаковщик/криптор рано или поздно передаст управление на OEP(Original Entry Point). Вся трудность заключается в нахождении инструкции передачи управления. У UPX идет сначала точка входа, а за ней весь код распаковщика, который заканчивается инструкцией JMP 0046F49E(0046F49E это OEP детектора упаковщиков PEiD).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

CatalystX

вот тут не очень понял... через ollydbg можно все же понять что за зверь, если даже упакован exe_шник?

про точку входа в одном курсе видел. преблизительно понял о чем это.

т.е. начиная все с точки входа - это и есть код самой программы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
вот тут не очень понял... через ollydbg можно все же понять что за зверь, если даже упакован exe_шник?

Нет. Вообще идея съема упаковщиков такова: определяем упаковщик, находим OEP, снимаем дамп, восстанавливаем импорт.

начиная все с точки входа - это и есть код самой программы?

Да.

Какая разница между ollydbg и IDA pro?

Через IDA проще анализировать не защищенный код, определить замусоривание кода, да и импорт можно посмотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
CatalystX

вот тут не очень понял... через ollydbg можно все же понять что за зверь, если даже упакован exe_шник?

про точку входа в одном курсе видел. преблизительно понял о чем это.

т.е. начиная все с точки входа - это и есть код самой программы?

На самом деле все не совсем так :)

Начнем с начала - ollydbg это достаточно простой usermode отладчик. Если мы под ним запустим малварь, то начнется исполнение кода малвари (если она ничем не упакована) или мы попадем в код пакера/криптора/протектора. Естественно, что если мы по шагам протрассируем этот код, то рано или поздно мы дойдем до того момента, когда работа кода того самого пакера/криптора/протектора закончится, и мы попадем в машинный код распакованной малвари и пойдем по нему. Однако следует понимать, что:

1. протектор может понять, что запуск и работа ведется под отладчиком, и как следствие либо "сорвет" отладку (и дальнейшее исполнение кода пойдет не под контролем ollydbg), либо прервет распаковку и симулирует какую-то ошибку

2. некая малварь может быть запакована "бутербродом" из нескольких пакеров/крипторо/протекторов. Т.е. протрассировав код первого мы вместо реального исполняемого кода попадем в код второго, потом третьего ... и каждый из них может детектировать отладку или бороться с ней

3. даже если мы добрались до реальной OEP и получили наконец код малвари, то рано радоваться :) Ибо:

3.1 код может модифицировать сам себя в процессе работы. Причем начиная от точечных замен (например, затереть JMP посредством NOP-ов, поменять JE на JNE и т.п.) и до достаточно радикальных модификаций

3.2 может распаковаться не весь код, а только его кусочек. Остальное будет распаковываться по мере надобности – в итоге мы не сможем дампировать весь код для анализа

3.3 отлаживаемый процесс может проинжектировать некий код в другой процесс и запустить его (например, создать удаленный поток). Если вовремя это не понять и не обеспечить трассировку такого инжектируемого кода, то мы утеряем полную картину работы зверя. Хуже еще то, что инжектированный код может быть неким перехватчиком, и понять его логику работы в отладчике может быть проблемно

3.4 часть логики зловреда может быть сделано по принципу интерпретатора. Т.е. распакованный код будет интерпретатором, который в свою очередь начнет выполнение некоего P-кода. Уловить логику работы в такой ситуации под отладчиком проблемно, равно как очень сложно дизассемблировать такой семпл (мы дизассемблируем интерпретатор, тогда как исполняемый им код будут не более чем константой с непонятными данными)

3.5 зловреды не обязан проявлять свое злобное поведение сразу. Т.е. трассируя его отладчиком мы можем и не увидеть зловредного поведения, котрое проявится при определенной ситуации. Простейший пример - были одно время модны примитивный троянцы, которые при изменении буфера обмена смотрели, что там - и если там скажем номер кошелька Webmoney, то меняли его на кошелек зловредописателя. Соответственно, пока в буфере не появится подходящий номер, не активируется меняющий его код. Другой пример - реакция на подключение флешки в червяке. Нет подключения - нет реакции...

3.6 если зверь дропнет что-то и запустит, а отлаживающий код специалист это упустит, то запуск дропнутого кода пойдет уже не под отладчиком. Еще хуже драйвер - если семпл дропнет некую kernelmode компоненту, и загрузит ее - то olly будет бессилен. Аналогично буткит – дроппер запишет его в заданные сектора и отребутит ПК …

3.7 в общем случае у зверя может быть много потоков. И если однопоточное приложение отлаживать более менее просто, то многопоточное сложнее, особенно если потоки активно взаимодействуют друг с другом.

3.x и т.п., и т.д. :)

К этому можно прибавить обфускацию - как классическую (т.е. замусоривание кода ненужными операциями, кучами переходов, фрагментами неисполняемого мусорного кода и т.п.), так и поведенческую - т.е. семпл может осуществлять сотни и тысячи ненужных вызовов API (а в цикл это породит миллионы событий), проявляя в итоге бурную, но бестолковую активность - на случай, если кто-то захочет помониторить его чем-то типа processmonitor

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Зайцев Олег

Спасибо за такую информацию.

жесть просто, я как бы думал, что они тоже используют свои механизмы защиты, но не знал, что настолько "интеллектуальные". Когда так успели "поумнеть" вирусы так ? :D

мне уже страшно становится от мыслей, когда думаю, что мне предтоит с ними поближе познакомится ))))))))))

Теперь у меня появились еще больше вопросов и как все в одном может звучить так: КАК БЫТЬ ТОГДА ? :)

чем и каким алгоритмом(тактикой) их исследовать?

Мне ничего реверсить ненужно. Надо только понять суть - что они делают (и вообще это malware или безобидное ПО?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Когда так успели "поумнеть" вирусы так ? :D

Это очень длинная история ;)

Если посмотреть на некоторое время назад, то высокотехнологичной мальвари было мало, в основном примитивы от школьников на делфи или студнетов. Да и цели написания были другие, понтанутся перед друзьями или хотелось почувствовать себя крутым кодером. Но время изменилось, начали появляться онлайн-шопы, платежные системы и остальная нужная и не особо нужная муть. Защищена она была плохо и увести денежки от туда, смышленым пацанам не составляло труда, но время не стоит на месте, кто-то исчезает, кто-то умнеет, админы всех шопов, платежек и.т.д. Начали ставится аверы, патчится уязвимости, но любителей легких денег это не останавливало. И именно тогда в киберкриминале начали появляться люди, которые могли управлять деньгами, но не умели обходить защиту.

Антивирусы научились легко детектить usermode мальварь даже не сигнатурами, тем самым обломав школьников и студентов начальных курсов. И тогда вредоносы(руткиты в частности) начали углубятся в систему. В 2005 впервые был показан загрузочный руткит или буткит. В 2007 буткиты перестали быть концептами и буткит Sinowal/Mebroot был первым серийным буткитом, который умел еще и шпионить за пользователем, в 2010 из-за увеличения доли 64 битных систем появился TDL4, первый буткит способный обходить защиту ядра от Microsoft и протаскивать туда свой не подписанный драйвер. В 2011 появился руткит который способен работать в ядре под 64 бита, но не заражает MBR, это был Cidox или маячок, он заражает VBR. Очевидно же, что время школьников на вирусной арене окончено, так как противостоять сегодняшним антивирусам они не могут, но это получается у высококвалифицированных кодеров, которые еще из этого имеют очень большие деньги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

CatalystX

да, все это интересно. теперь надо подумать как все это понять на уровне дизассемблирования/отлидчика..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

Теперь у меня появились еще больше вопросов и как все в одном может звучить так: КАК БЫТЬ ТОГДА ? :)

чем и каким алгоритмом(тактикой) их исследовать?

Мне ничего реверсить ненужно. Надо только понять суть - что они делают (и вообще это malware или безобидное ПО?)

Однозначного ответа на это нет и быть не может ... если бы он был, то вирусам и всей отрасли был-бы трендец :) Общую тенденцию могу сказать - некоторые современные технологии позволяют изучать алгорит работы зверя, а не его машинный код - в такой ситуации уже не важно, чем он там упакован или зашифрован.

При этом я могу еще рассказать ключевой момент: есть куча малварей, которые ведут себя как легитимные, и куча легитимных, которые ведут себя как малвари :)

Например, я лично знаю (так как изучал детально) примерно 50 тыс. уникальных программ, поведение которые формально можно назвать малварным. Т.е. они регистрируют сами себя в автозапуск, регистрируют BHO, меняют критически важные системые настройки, качают что-то из Интернет или передают туда некие данные, патчат системные файлы, регистрируют себя в качестве отладчиков системных процессов (например, для подмены диспетчера задач), обращаются к диску напрямую, меняют настройки Firewall и т.п. Причем это 1-2 не исключения, таких программ десятки тысяч. И наоборот, есть куча малварей, которые до поры ведут себя тихо и пристойно, и никакого опасного поведения не проявляют

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Оч. хороший ответ дал Олег. Ещё раз хочется напомнить всем — не держите авторов malware за дураков.

Не полагайте, что malware глупое.

Не надейтесь, что вы всегда сможете его обнаружить.

Не считайте, что сможете качественно проанализировать угрозу и "вылечить" систему.

Это под силу считанным людям в мире. В обычном случае, поражённую систему следует уничтожать и переустанавливать с нуля, соблюдая все нормы безопасности. И, конечно же, проанализировать причины поражения, ибо в этом практически всегда виноват администратор, администратор и никто кроме администратора.

Работайте на предотвращение угрозы, а не на "лечение". Это бесполезно, посмотрите на раздел форума "Помощь в лечении", одни и те же темы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Зайцев Олег

даэто уже понял, что к чему. мне интересует чем это дело анализировать, чтоб отличать добра от зла.

WindowsNT

А причем тут лечение или защиту? я тут не обсуждаю тему типа "как защищатся", а как анализировать ПО, понять род деятельности. А как защищатся или как быть в случае заражения - знаю уже давно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

даэто уже понял, что к чему. мне интересует чем это дело анализировать, чтоб отличать добра от зла.

Универсального средства нет... Тем более что малваре-писатели не стоят на месте и идет постоянная "борьба брони и снаряда". Изначально следует определиться для себя и дать четкий ответ на вопросы:

0. какие малвари предполагается изучать ?

1. для чего это нужно ?

2. стоит ли задача построить полностью автоматический комплекс анализа малварей (т.е. на вход семпл, на выходе вердикт) ?

3. сколько времени допустимо тратить на один семпл ?

При этом сразу могу сказать, что при любой реализации фолсы неизбежны, причем разные фолсы - можно зверя признать чистым, а можно наоборот

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Реализовать возможность добавлять произвольную информацию в Инфо. Информация добавляется в Инфо. аналогично тому, как это реализовано с критериями поиска, но без влияния на статус файла\объекта. Например оператор произвёл замену\обновление ряда системных файлов\драйверов с версии ??? на версию ??? Оператор работая с системой может зайти в Инфо. прописать информацию и затем при необходимости посмотреть всю историю того, или иного файла - что с ним происходило. т.е. Можно создать себе некую памятку. Например оператору не хватает информации которую предоставляет ему UVS по умолчанию. Оператор может добавить данные по времени создания\изменения файла. Сравнительную информацию одного файла с другим. Какие записи в реестре были и какие новые появились, была у файла ЭЦП или её изначально не было, Оригинальный это файл или это патч.  и т.д. + Возможность сохранить не отдельную строку, а всю информацию из окна Инфо. т.е. делать быстрые записи\сохранение информации. Актуально, как при работе с системой, так и при работе с образами.
    • santy
      может быть проблема в том, что часть файлов от известных производителей просто не подписана. судя по этому образу только два файла из каталога vmware с нарушенной подписью, остальные с действительной. C:\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\VMWAREBASE.DLL
      C:\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\X64\VMWARE-VMX.EXE проверка этих файлов по VT показывает что файлы не подписаны. Signature Info Signature Verification  File is not signed https://www.virustotal.com/gui/file/9c04db2177eabca00c1ae0788c31ce9c041cfbbfd02ea569b6364ebede5e9b69/details возможно, ты уже о таких случаях писал раньше, но уже как то забылось а это по lsass.exe на VT не подписан, Signature Verification Highlights whether the file being studied is signed and whether the signature is valid.  File is not signed а в образе с нарушенной цифровой НАРУШЕНА, файл модифицирован или заражен https://www.virustotal.com/gui/file/dcf9d744fe1b1cf47ec2870b44c852846c221d604b50de8adf79f60629a92a55/details   PROBOOK_2019-12-11_20-15-06_v4.1.8.7z
    • Svetik2244
      Можно электронную книгу, планшет или беспроводные наушники подарить...
    • Svetik2244
      Мне тоже нравятся игры на ПК и на смартфоне. Обожаю аркады.
    • natalie_irbis
      Коллеги, предлагаем протестировать систему «Ирбис»: проверить физических, юридических лиц и недвижимость. Главные отличия от других систем — акцент сделан на проверке физических лиц и есть полная база всех судов с 2005 года. В системе более 100 открытых государственных баз, которые обновляются 24/7. Вся информация выводится в одном окне. Есть следующие инструменты: — судимость — задолженность по ФССП — заложенное имущество — банкротство — список террористов — список дисквалифицированных — ЕГРЮЛ/ЕГРИП — история юрлица — действительность паспорта — бухгалтерская отчетность — обременение на недвижимости — право собственности недвижимости — и другие источники.   Бесплатный доступ на сутки: https://ir-bis.org/ Будем рады любым отзывам.
×