Взлом формграбера ZeuS

Discussion in 'Безопасность и Анонимность' started by Glynec, 9 May 2008.

  1. Glynec

    Glynec Elder - Старейшина

    Joined:
    30 Jan 2008
    Messages:
    68
    Likes Received:
    25
    Reputations:
    2
    В данной статье мы рассмотрим простейший анализ малварь грабера (бота) ZeuS и дальнейший взлом его админки...

    Немного про Zeus - это бот формграбер, довольно многофункциональный, стоит он порядка 3к$, главная его
    задача это грабинг веб форм, грабинг фтп, т.е. выполняет функции по сбору паролей у юзера и другие различные фичи.

    Управление данным ботом производится через Web-админку, которую мы и заюзаем.

    Для начала нам понадобится сам бинарник Zeus'a, его довольно просто найти к примеру на сайте
    www.malwaredomainlist.com, на нём выкладывают линки на раздичные малварь, вирусы, эксплоиты и прочий стафф,
    и Zeus тому не исключение. Достаточно в поиск ввести ldr.exe - это бинарник Zeus'a, либо cfg.bin -
    это его конфиг, в котором хранятся нстройки бота в зашифрованном виде. Сам бинарник при открытии первым делом будет качать cfg.bin - это его конфиг, в нём
    записан путь к админке Zeus'a, но обычно (90% случаев) бинарник с конфигом лежат в одной директории
    с админкой.

    В общем качаем попавшийся бинарник Zeus'a и начинаем анализировать откуда он качает конфиг, делать
    это через отладчик не желательно, ибо да же малварь анализаторы (некие "песочницы" анализирующие активность вредоносного кода) не могут определить откуда
    идёт скачка, по этому воспользуемся снифером пакетов Wireshark.

    Открываем Wireshark, вкладка Capture -> Interfaces, там выбираем наш сетевой адаптер и жмём Start.
    После чего в главном окне программы будут отображаться передаваемые пакеты.
    Так как нам нужны пакеты которые отсылает именно Zeus тогда откроем его (например на виртуальной машине) после чего в логе ищем следующую строчку :

    Source Destination Protocol Info
    66.175.*.* 211.95.*.* HTTP Get /web/cfg.bin HTTP/1.0

    следовательно отсюда видно что получаем конфиг зевса гет запросом, посмотрев в нижнее окно снифера
    можно найти домен с которого идёт скачка конфига:

    Get /web/cfg.bin HTTP/1.0..User-Agent: Mozilla/4.0(comportable); MSIE 6.0;
    Windows NT 5.1)..HOST: ddosmanager.***..Ptagma: no-cashe....

    следовательно ddosmanager.*** это и есть домен, а конфиг лежит по следующему адресу:

    ddosmanager.***/web/cfg.bin

    нам его необходимо скачать и расшифровать, чтобы наверняка узнать адрес админки, для этого используем
    софтину ZeusDecrypter, скормим ей конфиг и получим следующий текст:

    Config version: 1.0.6.2
    Loader url: http://ddosmanager.***/web/ldr.exe //путь до лоадера бота
    Server url: http://ddosmanager.***/web/s.php //путь до скрипта админки
    Advanced config 1: http://ftpiframer.***/cfg1.bin //пыть до дополнительной админке
    etc...

    отсюда видим что полный путь до скрипта админки http://ddosmanager.***/web/s.php ....
    следовательно начинаем проверять:
    http://ddosmanager.***/web/in.php - ага видим сама админка, запрос логина и пароля можно попробывать их
    подобрать)))
    http://ddosmanager.***/web/.install - проверяем может вдруг случайно не удалили папку с инсталом и мы
    сможем спалить пароли к бд
    http://ddosmanager.***/web/.files - проверяем существует ли папка в которую Zeus копирует сертификаты

    если существует то всё гуд.

    В Zeus'e так же есть грабер сертификатов, вебмани ключей, скрины кликов. Всё это добро копируется в диру
    .files, следовательно можно попытаца отправить в эту диру произвольный PHP скрипт за место сертификата,
    например тот же веб-шел. Для этого нам понадобицо сплоит который можно слить сдесь:

    http://rapidshare.com/files/113307574/Zeus_Exploit.rar.html

    далее заливаем сплоит на хост с поддержкой PHP, запускаем и вводим данные по веб админке:
    HOST: ddosmanager.***
    FOLDER: web/

    ну и жмём заветную кнопку на запуск, после чего сплоит выводит нам данные по админке:


    q4array(8) { [0]=> string(1) "1" ["id"]=> string(1) "1" [1]=> string(4) "vis*" ["login"]=> string(4)

    "vis*" [2]=> string(6) "fynji*" ["pass"]=> string(6) "fynji*" [3]=> string(10) "4294967295" ["priv"]=>

    string(10) "4294967295" } array(8) { [0]=> string(1) "2" ["id"]=> string(1) "2" [1]=> string(9)

    "elpirato*" ["login"]=> string(9) "elpirato*" [2]=> string(6) "12312*" ["pass"]=> string(6) "12312*" [3]=>

    string(7) "2097135" ["priv"]=> string(7) "2097135" } array(8) { [0]=> string(1) "4" ["id"]=> string(1) "4"

    [1]=> string(7) "Stifle*" ["login"]=> string(7) "Stifle*" [2]=> string(6) "12345*" ["pass"]=> string(6)

    "12345*" [3]=> string(6) "368871" ["priv"]=> string(6) "368871" } MYSQLHOST: localhost MYSQLUSER:

    traff*****_zeus MYSQLPASS:123***

    отсюда видим:
    1)
    vis* - логин
    fynji* - пароль
    2)
    elpirato* - логин
    12312* - пароль
    3)
    Stifle* - логин
    12345* - пароль

    3 логина и пароля к админке - так как к ней имели доступ 3 пользователя, так же сплоит выдаёт другие
    данные по БД.

    Ну вот и всё в принципе, теперь имея полученные данные можно логинецо в админку, угонять ботов, сливать
    логи и делать другие действия. Так же через сплоит можно на хост залить шел.

    Исправить данный баг довольно просто, нужно запретить выполнение скриптов из этой директори, к примеру простым добавлением строчек в .htaccess:

    RemoveType php

    <IfModule mod_php4.c>
    php_flag engine 0
    </IfModule>

    <IfModule mod_php5.c>
    php_flag engine 0
    </IfModule>

    з.ы. отдельное спасибо за сплоит Semen-Demon ^^

    © St.

    Оригинал http://www.gfs-team.ru/?act=articles&pact=255
     
  2. SMAC

    SMAC Elder - Старейшина

    Joined:
    24 Apr 2008
    Messages:
    10
    Likes Received:
    10
    Reputations:
    0
    Нет тут не оригинал, эту статью Сталин уже давно на своей хомпаге выкладывал.
     
  3. stalin

    stalin Member

    Joined:
    2 Oct 2007
    Messages:
    17
    Likes Received:
    23
    Reputations:
    0
    SMAC за что её ддосят по сей день) теперь на gfs орегенал будет)
     
    1 person likes this.