В данной статье мы рассмотрим простейший анализ малварь грабера (бота) ZeuS и дальнейший взлом его админки... Немного про Zeus - это бот формграбер, довольно многофункциональный, стоит он порядка 3к$, главная его задача это грабинг веб форм, грабинг фтп, т.е. выполняет функции по сбору паролей у юзера и другие различные фичи. Управление данным ботом производится через Web-админку, которую мы и заюзаем. Для начала нам понадобится сам бинарник Zeus'a, его довольно просто найти к примеру на сайте www.malwaredomainlist.com, на нём выкладывают линки на раздичные малварь, вирусы, эксплоиты и прочий стафф, и Zeus тому не исключение. Достаточно в поиск ввести ldr.exe - это бинарник Zeus'a, либо cfg.bin - это его конфиг, в котором хранятся нстройки бота в зашифрованном виде. Сам бинарник при открытии первым делом будет качать cfg.bin - это его конфиг, в нём записан путь к админке Zeus'a, но обычно (90% случаев) бинарник с конфигом лежат в одной директории с админкой. В общем качаем попавшийся бинарник Zeus'a и начинаем анализировать откуда он качает конфиг, делать это через отладчик не желательно, ибо да же малварь анализаторы (некие "песочницы" анализирующие активность вредоносного кода) не могут определить откуда идёт скачка, по этому воспользуемся снифером пакетов Wireshark. Открываем Wireshark, вкладка Capture -> Interfaces, там выбираем наш сетевой адаптер и жмём Start. После чего в главном окне программы будут отображаться передаваемые пакеты. Так как нам нужны пакеты которые отсылает именно Zeus тогда откроем его (например на виртуальной машине) после чего в логе ищем следующую строчку : Source Destination Protocol Info 66.175.*.* 211.95.*.* HTTP Get /web/cfg.bin HTTP/1.0 следовательно отсюда видно что получаем конфиг зевса гет запросом, посмотрев в нижнее окно снифера можно найти домен с которого идёт скачка конфига: Get /web/cfg.bin HTTP/1.0..User-Agent: Mozilla/4.0(comportable); MSIE 6.0; Windows NT 5.1)..HOST: ddosmanager.***..Ptagma: no-cashe.... следовательно ddosmanager.*** это и есть домен, а конфиг лежит по следующему адресу: ddosmanager.***/web/cfg.bin нам его необходимо скачать и расшифровать, чтобы наверняка узнать адрес админки, для этого используем софтину ZeusDecrypter, скормим ей конфиг и получим следующий текст: Config version: 1.0.6.2 Loader url: http://ddosmanager.***/web/ldr.exe //путь до лоадера бота Server url: http://ddosmanager.***/web/s.php //путь до скрипта админки Advanced config 1: http://ftpiframer.***/cfg1.bin //пыть до дополнительной админке etc... отсюда видим что полный путь до скрипта админки http://ddosmanager.***/web/s.php .... следовательно начинаем проверять: http://ddosmanager.***/web/in.php - ага видим сама админка, запрос логина и пароля можно попробывать их подобрать))) http://ddosmanager.***/web/.install - проверяем может вдруг случайно не удалили папку с инсталом и мы сможем спалить пароли к бд http://ddosmanager.***/web/.files - проверяем существует ли папка в которую Zeus копирует сертификаты если существует то всё гуд. В Zeus'e так же есть грабер сертификатов, вебмани ключей, скрины кликов. Всё это добро копируется в диру .files, следовательно можно попытаца отправить в эту диру произвольный PHP скрипт за место сертификата, например тот же веб-шел. Для этого нам понадобицо сплоит который можно слить сдесь: http://rapidshare.com/files/113307574/Zeus_Exploit.rar.html далее заливаем сплоит на хост с поддержкой PHP, запускаем и вводим данные по веб админке: HOST: ddosmanager.*** FOLDER: web/ ну и жмём заветную кнопку на запуск, после чего сплоит выводит нам данные по админке: q4array(8) { [0]=> string(1) "1" ["id"]=> string(1) "1" [1]=> string(4) "vis*" ["login"]=> string(4) "vis*" [2]=> string(6) "fynji*" ["pass"]=> string(6) "fynji*" [3]=> string(10) "4294967295" ["priv"]=> string(10) "4294967295" } array(8) { [0]=> string(1) "2" ["id"]=> string(1) "2" [1]=> string(9) "elpirato*" ["login"]=> string(9) "elpirato*" [2]=> string(6) "12312*" ["pass"]=> string(6) "12312*" [3]=> string(7) "2097135" ["priv"]=> string(7) "2097135" } array(8) { [0]=> string(1) "4" ["id"]=> string(1) "4" [1]=> string(7) "Stifle*" ["login"]=> string(7) "Stifle*" [2]=> string(6) "12345*" ["pass"]=> string(6) "12345*" [3]=> string(6) "368871" ["priv"]=> string(6) "368871" } MYSQLHOST: localhost MYSQLUSER: traff*****_zeus MYSQLPASS:123*** отсюда видим: 1) vis* - логин fynji* - пароль 2) elpirato* - логин 12312* - пароль 3) Stifle* - логин 12345* - пароль 3 логина и пароля к админке - так как к ней имели доступ 3 пользователя, так же сплоит выдаёт другие данные по БД. Ну вот и всё в принципе, теперь имея полученные данные можно логинецо в админку, угонять ботов, сливать логи и делать другие действия. Так же через сплоит можно на хост залить шел. Исправить данный баг довольно просто, нужно запретить выполнение скриптов из этой директори, к примеру простым добавлением строчек в .htaccess: RemoveType php <IfModule mod_php4.c> php_flag engine 0 </IfModule> <IfModule mod_php5.c> php_flag engine 0 </IfModule> з.ы. отдельное спасибо за сплоит Semen-Demon ^^ © St. Оригинал http://www.gfs-team.ru/?act=articles&pact=255
