Авторские статьи Обратная сторона трояна

Discussion in 'Статьи' started by fucker"ok, 26 Jun 2007.

  1. fucker"ok

    fucker"ok Elder - Старейшина

    Joined:
    21 Nov 2004
    Messages:
    580
    Likes Received:
    279
    Reputations:
    91
    обратная сторона трояна

    обратная сторона трояна
    Всем нам приходят трояны. Они приходят через почту или icq. Обычно мы их удаляем или игнорируем ссылки на них. В статье я распишу один из способов получения выгоды из чужого трояна.

    немного о трояне
    Всем понятно, что троян куда-то посылает ваши пароль, обычно это почта или гейт. В статье буду рассматривать посылку паролей на почту.

    а что несёт в себе троян?
    Даже нубу известно, что троян ворует пароли, но не каждый смекнул, что по сути троян сам в себе несёт пароль от какой-то почты. А происходит это по следующей причине: большинство smtp серверов требуют авторизацию. Значит троян должен вначале авторизоваться на smtp сервере, а только потом он сможет отправить письмо. (Пару лет назад авторизации на smtp небыло даже на mail.ru. Какие были времена..) Вот этот логин\пароль для авторизации мы и будем доставать.

    как будем доставать?
    Поскольку я не владею приёмами реверсинга и чудесами ассемблера, то будем доставать по рабоче-крестьянски - с помощью снифера. Естественно на своей машине запускать троян как-то не хочется, поэтому будем запускать на виртуальной (на неё вам нужно установить win)

    toolz
    Мы будем использовать две программы
    1. vmware - виртуальная машина. Имеется 30-ти дневный бесплатный ключ.
    2. wireshark- снифер пакетов. Бывший ethereal.
    ссылки в конце статьи

    begin
    Как вы наверно уже поняли, мы будем запускать троян на виртуальной машине, а на своей реальной машине будем сниферить куда какие пакеты идут. (в принципе если вы это поняли и знаете как это делается, то дальше можно не читать)
    Сперва запускаем снифер и настраиваем его на интерфейс смотрящий в интернет.

    Выбор интерфейса
    [​IMG]
    В моём случае я выбираю интерфейс eth0 (жму start рядом с ним) Снифер работает.
    Теперь нам нужно запустить сам троян под vmware. Тут я думаю обойдёмся без скриншотов :) Запуск под vmware совершенно безопасен для вашей винды.
    Запустили. Троян отправил рапорты. Теперь возвращаемся к сниферу.
    Останавливаем процесс сбора пакетов (такая красная кнопочка)

    находим smtp пакет и смотрем содержимое (folow tcp stream)
    [​IMG]

    нужный кусок содержимого
    [​IMG]
    Красным цветом снифер отмечает пакеты, которые отсылаете ВЫ, а синим отмечены ответы на ваши пакеты.

    Что мы имеем?
    Итак. Начинаем разбирать что имеем.
    Code:
    220 mail.ru ESMTP Tue, 26 Jun 2007 13:36:32 +0400
    От сюда понятно, что smtp сервер mail.ru
    AUTH LOGIN
    Это значит, что троян сейчас будет посылать логин\пароль
    eFh4LVNvZnR3YXJl
    это троян послал логин
    NjZiOTMzNWM2ZDFhOTUxOA==
    это пароль
    
    Так же из снифера можно узнать куда и откуда идёт письмо.
    Пока наш логин\пароль не очень похож на нормальный логин\пароль. Согласно спекам протокола smtp такие вещи передаются в base64. Естественно их нужно декодировать. Это очень просто сделать, достаточно ввести в google base64 decoder и будет куча ссылок. Например вот этот кодер\декодер
    Декодируя логин\пароль мы получим
    логин - xXx-Software
    пароль - 66b9335c6d1a9518
    Вот мы и получили заветный логин\пароль от почты, через которую троян посылает пароли.

    Ошибка в настройке трояна
    Очень часто юные впариватели указывают в настройках того же пинча логин\пароль от той же почты, куда и идут рапорты трояна. Для нас это конечно идеальный вариант и он очень часто встречается в сети. Три из трёх троянов, которые в последние дни мне пытались впарить были именно такие. =)
    Естественно при таком раскладе мы имеем доступ к рапортом трояна. Тоесть наш герой трудиться и впаривает трояны, а мы берём уже готовые рапорты =)))

    А если троян настроен нормально?
    Тут уже поживиться чужими рапортами не получиться т.к. троян логиниться под одной почтой, а посылает на другую. Пока я не встречал почтовых серверов (я просто ими не пользуюсь), где была бы доступна опция сохранения исходящих писем через smtp. Если появятся такие почтовые службы, то мы опять сможем контролировать все рапорты. В любом случае мы можем сделать юному впаривателю западло, а именно изменить пароль на почту. И вся его рассылка трояна пропадёт т.к. троян не сможет зайти на сервер. (если конечно есть возможность смены пароля. Да и пароль можно восстановить)

    end
    Думаю этой статьёй я сильно не открыл глаза тем, кто умеет пользоваться снифером, но лично мне было трудно представить сразу, что троян, который ворует пароли, по сути сам несёт в себе пароль. Так же в статье я не разбирал троян, который отсылает рапорты на гейт (пока руки не дошли)
    Способ в действии вы можете посмотреть в моём видео, которое я снял для этой статьи. В видео я делаю так мной названый "обратный хэк =/".

    links
    vmware
    virtualbox можно использовать вместо vmware
    wireshark
    base63 encoder\decoder

    video
    http://video.antichat.ru/file230.html
    Видео в формате ogg должно открываться с помощью mediaplayer.

    упд
    Вместо vmware можно использовать virtualbox, который полностью бесплатный.
     
    #1 fucker"ok, 26 Jun 2007
    Last edited: 8 Dec 2008
    21 people like this.
  2. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    Какой трой рассмотрен в статье? Pinch ?
    Практика применения материала:
    1. Дезактивация рассылки отчётов чужого троя (выгода сомнительна)
    2. Если повезёт (ошибка настройки троя), то хаваем чужие отчёты. (выгода есть).

    P.S. Гуд. Пиши продолжение, если отсылка идёт на гейт.
     
  3. tcl

    tcl Banned

    Joined:
    17 Jun 2007
    Messages:
    35
    Likes Received:
    49
    Reputations:
    40
    какая выгода? :) Простое удовлетворения от того, что какой-то добоёб потеряет своего понча. Вот например один топик в тему с васма http://www.wasm.ru/forum/viewtopic.php?id=20101
    PS Все кто рассылает пончи, но не может сам реализовать хотя бы приблизительно похожее - простые чайники, которым в интернет нельзя.
     
    #3 tcl, 26 Jun 2007
    Last edited: 26 Jun 2007
  4. fucker"ok

    fucker"ok Elder - Старейшина

    Joined:
    21 Nov 2004
    Messages:
    580
    Likes Received:
    279
    Reputations:
    91
    В моём видео это пинч, хотя в статье троян рассматривается в принципе т.к. думаю большинство троянов работают по такой же схеме. Просто пинч - сможет даже амёба
    Везёт очень часто =)
    true!
     
    #4 fucker"ok, 26 Jun 2007
    Last edited: 26 Jun 2007
  5. Ch3ck

    Ch3ck Elder - Старейшина

    Joined:
    9 Jun 2006
    Messages:
    1,363
    Likes Received:
    1,193
    Reputations:
    430
    Мне кажется видео излишне. И без него всё понятно....
     
    #5 Ch3ck, 26 Jun 2007
    Last edited: 26 Jun 2007
    1 person likes this.
  6. GreenBear

    GreenBear наркоман с медалью

    Joined:
    7 May 2005
    Messages:
    2,547
    Likes Received:
    1,398
    Reputations:
    612
    да нет. видео прежде всего для новичков, я думаю будет интересно им посмотреть.
     
  7. fucker"ok

    fucker"ok Elder - Старейшина

    Joined:
    21 Nov 2004
    Messages:
    580
    Likes Received:
    279
    Reputations:
    91
    GreenBear, так тыж модератор. Я тебе послал на [email protected] :D
     
    1 person likes this.
  8. GreenBear

    GreenBear наркоман с медалью

    Joined:
    7 May 2005
    Messages:
    2,547
    Likes Received:
    1,398
    Reputations:
    612
    ну я делаю.. у меня 95% аплоада на торренте =) заливается ...
     
    1 person likes this.
  9. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    471
    Likes Received:
    248
    Reputations:
    189
    гораздо интереснее дать пинчу украсть у вас пасс от фтп, где хранится "приватный софт" (потрояненные уже вами какие-нить фейки)..

    а насчет видео - согласен с BlackLogic'ом - из-за такой ерунды наврядли кто захочет 11м качать..

    кста, чаще всего, если используют тот же пинч, то с отсылкой отчетов на гейт, а не на почту..
     
  10. fucker"ok

    fucker"ok Elder - Старейшина

    Joined:
    21 Nov 2004
    Messages:
    580
    Likes Received:
    279
    Reputations:
    91
    Сейчас это не проблема. Сбегал в туалет по маленькому, оно и скачалось =) РАзве что модемщикам проблемно.
    От того у тебя и репутация 558 =)
     
    1 person likes this.
  11. genom--

    genom-- Elder - Старейшина

    Joined:
    9 Jul 2006
    Messages:
    668
    Likes Received:
    416
    Reputations:
    288
    статья гавно

    на гейт тупо смотрим код гейта и вуаля истина открывается нам

    $ip=getenv("REMOTE_ADDR");
    $email=$_POST['a'];
    $subject=$_POST['b']." (".$ip.")";
    $msg=str_replace(" ", "+", $_POST['c']);
    $var=$_POST['d'];
    постом а a идет мыло
    в это сабж -- в с само содержимое отчета тк передается через веб то пробелы идут как +
    в пост d идет расширение отчета

    бугого рассматривал классический гейт --------- кстати то что отсылается в пост С -- сам текст отчета еще и в base64 кодирован -- при записи декодится

    вуаля я тоже тсатью написал --- давайте мне пицот плюсенков =) -- чет я сення разошелся
     
    1 person likes this.
  12. OverflOw

    OverflOw New Member

    Joined:
    18 Jun 2007
    Messages:
    5
    Likes Received:
    3
    Reputations:
    0
    ну я не думаю что новички многое поймут в незнакомом линух интерфейсе) а вообще видео неплохое, ибо наглядный пример всегда лучше.

    Хорошая статья, спасибо =)
     
  13. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    а дизассемблировать понча и посмотреть там мыло и пароль не судьба?
    может уж тогда поставим снифер у провайдера и будет смотреть что через нас посылает понч?
    выгода - да, супер выгода. отнять чужое мыло с отчетами понча. потом продавать девятизнаки и красивые мыла за 0.01 wmr
     
    1 person likes this.
  14. _Great_

    _Great_ Elder - Старейшина

    Joined:
    27 Dec 2005
    Messages:
    2,032
    Likes Received:
    1,119
    Reputations:
    1,139
    Софт, который грузят тебе на комп, бывает весьма разнообразный, поэтому без реверса тут делать, вообщем-то, и нечего
     
    1 person likes this.
  15. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    для примера - логин и пароль к мылу идут на HTTP гейт зашироваными. xor'ом даже если. и что тогда делать?
     
  16. NaX[no]rT

    NaX[no]rT Members of Antichat

    Joined:
    3 Sep 2005
    Messages:
    489
    Likes Received:
    201
    Reputations:
    202
    Если Xor'ом, то ничего страшного, если что-то другое - сложнее
     
    _________________________
  17. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    ксором и к каждому очередному байту прибавлять очередное значение из таблицы
    0xff, 0x2d, 0x24, 0x5c, 0xc2, 0xfc, 0x99 по кругу.
    страшно?
     
    1 person likes this.
  18. fucker"ok

    fucker"ok Elder - Старейшина

    Joined:
    21 Nov 2004
    Messages:
    580
    Likes Received:
    279
    Reputations:
    91
    Эти же программы есть под windows.

    Тут согласен в принципе. Зато есть духовное удовлетворение. =)
    Были такая мысль, но я сразу написал, что ассемблером и реверсингом не владею.
     
    2 people like this.
  19. Ni0x

    Ni0x Elder - Старейшина

    Joined:
    27 Aug 2006
    Messages:
    338
    Likes Received:
    157
    Reputations:
    37
    это самый правильный вариант, но статья явно ориентирована не для знатоков.
    сейчас многие хак порталы загибаются из-за обилия такого говна в "купле-продаже", это пораждает всяких ублюдков барыжащих очередным мпаком за 10$, поэтому, как по мне, нужно либо не выкладывать такие статьи в паблик, либо убирать продажные разделы в приват.
     
    1 person likes this.
  20. cataha01

    cataha01 New Member

    Joined:
    11 Apr 2007
    Messages:
    17
    Likes Received:
    3
    Reputations:
    -1
    НЕ мужики (и прекрасные дамы ) чё вы на человека накинулись у меня нет тут рейтинга и тд но всётаки человек старался и не для тех кто гуру или как там а для начинающих !
    А вы всё засрали !