fucker"ok
26.06.2007, 15:09
обратная сторона трояна
Всем нам приходят трояны. Они приходят через почту или icq. Обычно мы их удаляем или игнорируем ссылки на них. В статье я распишу один из способов получения выгоды из чужого трояна.
немного о трояне
Всем понятно, что троян куда-то посылает ваши пароль, обычно это почта или гейт. В статье буду рассматривать посылку паролей на почту.
а что несёт в себе троян?
Даже нубу известно, что троян ворует пароли, но не каждый смекнул, что по сути троян сам в себе несёт пароль от какой-то почты. А происходит это по следующей причине: большинство smtp серверов требуют авторизацию. Значит троян должен вначале авторизоваться на smtp сервере, а только потом он сможет отправить письмо. (Пару лет назад авторизации на smtp небыло даже на mail.ru. Какие были времена..) Вот этот логин\пароль для авторизации мы и будем доставать.
как будем доставать?
Поскольку я не владею приёмами реверсинга и чудесами ассемблера, то будем доставать по рабоче-крестьянски - с помощью снифера. Естественно на своей машине запускать троян как-то не хочется, поэтому будем запускать на виртуальной (на неё вам нужно установить win)
toolz
Мы будем использовать две программы
vmware - виртуальная машина. Имеется 30-ти дневный бесплатный ключ.
wireshark- снифер пакетов. Бывший ethereal.
ссылки в конце статьи
begin
Как вы наверно уже поняли, мы будем запускать троян на виртуальной машине, а на своей реальной машине будем сниферить куда какие пакеты идут. (в принципе если вы это поняли и знаете как это делается, то дальше можно не читать)
Сперва запускаем снифер и настраиваем его на интерфейс смотрящий в интернет.
Выбор интерфейса
http://img408.imageshack.us/img408/2520/notroj1ya8.gif
В моём случае я выбираю интерфейс eth0 (жму start рядом с ним) Снифер работает.
Теперь нам нужно запустить сам троян под vmware. Тут я думаю обойдёмся без скриншотов :) Запуск под vmware совершенно безопасен для вашей винды.
Запустили. Троян отправил рапорты. Теперь возвращаемся к сниферу.
Останавливаем процесс сбора пакетов (такая красная кнопочка)
находим smtp пакет и смотрем содержимое (folow tcp stream)
http://img209.imageshack.us/img209/5378/notroj2eh2.gif
нужный кусок содержимого
http://img171.imageshack.us/img171/2247/notroj3kp5.gif
Красным цветом снифер отмечает пакеты, которые отсылаете ВЫ, а синим отмечены ответы на ваши пакеты.
Что мы имеем?
Итак. Начинаем разбирать что имеем.
220 mail.ru ESMTP Tue, 26 Jun 2007 13:36:32 +0400
От сюда понятно, что smtp сервер mail.ru
AUTH LOGIN
Это значит, что троян сейчас будет посылать логин\пароль
eFh4LVNvZnR3YXJl
это троян послал логин
NjZiOTMzNWM2ZDFhOTUxOA==
это пароль
Так же из снифера можно узнать куда и откуда идёт письмо.
Пока наш логин\пароль не очень похож на нормальный логин\пароль. Согласно спекам протокола smtp такие вещи передаются в base64. Естественно их нужно декодировать. Это очень просто сделать, достаточно ввести в google base64 decoder и будет куча ссылок. Например вот этот кодер\декодер (http://makcoder.sourceforge.net/demo/base64.php)
Декодируя логин\пароль мы получим
логин - xXx-Software
пароль - 66b9335c6d1a9518
Вот мы и получили заветный логин\пароль от почты, через которую троян посылает пароли.
Ошибка в настройке трояна
Очень часто юные впариватели указывают в настройках того же пинча логин\пароль от той же почты, куда и идут рапорты трояна. Для нас это конечно идеальный вариант и он очень часто встречается в сети. Три из трёх троянов, которые в последние дни мне пытались впарить были именно такие. =)
Естественно при таком раскладе мы имеем доступ к рапортом трояна. Тоесть наш герой трудиться и впаривает трояны, а мы берём уже готовые рапорты =)))
А если троян настроен нормально?
Тут уже поживиться чужими рапортами не получиться т.к. троян логиниться под одной почтой, а посылает на другую. Пока я не встречал почтовых серверов (я просто ими не пользуюсь), где была бы доступна опция сохранения исходящих писем через smtp. Если появятся такие почтовые службы, то мы опять сможем контролировать все рапорты. В любом случае мы можем сделать юному впаривателю западло, а именно изменить пароль на почту. И вся его рассылка трояна пропадёт т.к. троян не сможет зайти на сервер. (если конечно есть возможность смены пароля. Да и пароль можно восстановить)
end
Думаю этой статьёй я сильно не открыл глаза тем, кто умеет пользоваться снифером, но лично мне было трудно представить сразу, что троян, который ворует пароли, по сути сам несёт в себе пароль. Так же в статье я не разбирал троян, который отсылает рапорты на гейт (пока руки не дошли)
Способ в действии вы можете посмотреть в моём видео, которое я снял для этой статьи. В видео я делаю так мной названый "обратный хэк =/".
links
vmware (http://www.vmware.com/)
virtualbox можно использовать вместо vmware (http://www.virtualbox.org/)
wireshark (http://www.wireshark.org/)
base63 encoder\decoder (http://makcoder.sourceforge.net/demo/base64.php)
video
http://video.antichat.ru/file230.html
Видео в формате ogg должно открываться с помощью mediaplayer.
упд
Вместо vmware можно использовать virtualbox (http://www.virtualbox.org/), который полностью бесплатный.
Всем нам приходят трояны. Они приходят через почту или icq. Обычно мы их удаляем или игнорируем ссылки на них. В статье я распишу один из способов получения выгоды из чужого трояна.
немного о трояне
Всем понятно, что троян куда-то посылает ваши пароль, обычно это почта или гейт. В статье буду рассматривать посылку паролей на почту.
а что несёт в себе троян?
Даже нубу известно, что троян ворует пароли, но не каждый смекнул, что по сути троян сам в себе несёт пароль от какой-то почты. А происходит это по следующей причине: большинство smtp серверов требуют авторизацию. Значит троян должен вначале авторизоваться на smtp сервере, а только потом он сможет отправить письмо. (Пару лет назад авторизации на smtp небыло даже на mail.ru. Какие были времена..) Вот этот логин\пароль для авторизации мы и будем доставать.
как будем доставать?
Поскольку я не владею приёмами реверсинга и чудесами ассемблера, то будем доставать по рабоче-крестьянски - с помощью снифера. Естественно на своей машине запускать троян как-то не хочется, поэтому будем запускать на виртуальной (на неё вам нужно установить win)
toolz
Мы будем использовать две программы
vmware - виртуальная машина. Имеется 30-ти дневный бесплатный ключ.
wireshark- снифер пакетов. Бывший ethereal.
ссылки в конце статьи
begin
Как вы наверно уже поняли, мы будем запускать троян на виртуальной машине, а на своей реальной машине будем сниферить куда какие пакеты идут. (в принципе если вы это поняли и знаете как это делается, то дальше можно не читать)
Сперва запускаем снифер и настраиваем его на интерфейс смотрящий в интернет.
Выбор интерфейса
http://img408.imageshack.us/img408/2520/notroj1ya8.gif
В моём случае я выбираю интерфейс eth0 (жму start рядом с ним) Снифер работает.
Теперь нам нужно запустить сам троян под vmware. Тут я думаю обойдёмся без скриншотов :) Запуск под vmware совершенно безопасен для вашей винды.
Запустили. Троян отправил рапорты. Теперь возвращаемся к сниферу.
Останавливаем процесс сбора пакетов (такая красная кнопочка)
находим smtp пакет и смотрем содержимое (folow tcp stream)
http://img209.imageshack.us/img209/5378/notroj2eh2.gif
нужный кусок содержимого
http://img171.imageshack.us/img171/2247/notroj3kp5.gif
Красным цветом снифер отмечает пакеты, которые отсылаете ВЫ, а синим отмечены ответы на ваши пакеты.
Что мы имеем?
Итак. Начинаем разбирать что имеем.
220 mail.ru ESMTP Tue, 26 Jun 2007 13:36:32 +0400
От сюда понятно, что smtp сервер mail.ru
AUTH LOGIN
Это значит, что троян сейчас будет посылать логин\пароль
eFh4LVNvZnR3YXJl
это троян послал логин
NjZiOTMzNWM2ZDFhOTUxOA==
это пароль
Так же из снифера можно узнать куда и откуда идёт письмо.
Пока наш логин\пароль не очень похож на нормальный логин\пароль. Согласно спекам протокола smtp такие вещи передаются в base64. Естественно их нужно декодировать. Это очень просто сделать, достаточно ввести в google base64 decoder и будет куча ссылок. Например вот этот кодер\декодер (http://makcoder.sourceforge.net/demo/base64.php)
Декодируя логин\пароль мы получим
логин - xXx-Software
пароль - 66b9335c6d1a9518
Вот мы и получили заветный логин\пароль от почты, через которую троян посылает пароли.
Ошибка в настройке трояна
Очень часто юные впариватели указывают в настройках того же пинча логин\пароль от той же почты, куда и идут рапорты трояна. Для нас это конечно идеальный вариант и он очень часто встречается в сети. Три из трёх троянов, которые в последние дни мне пытались впарить были именно такие. =)
Естественно при таком раскладе мы имеем доступ к рапортом трояна. Тоесть наш герой трудиться и впаривает трояны, а мы берём уже готовые рапорты =)))
А если троян настроен нормально?
Тут уже поживиться чужими рапортами не получиться т.к. троян логиниться под одной почтой, а посылает на другую. Пока я не встречал почтовых серверов (я просто ими не пользуюсь), где была бы доступна опция сохранения исходящих писем через smtp. Если появятся такие почтовые службы, то мы опять сможем контролировать все рапорты. В любом случае мы можем сделать юному впаривателю западло, а именно изменить пароль на почту. И вся его рассылка трояна пропадёт т.к. троян не сможет зайти на сервер. (если конечно есть возможность смены пароля. Да и пароль можно восстановить)
end
Думаю этой статьёй я сильно не открыл глаза тем, кто умеет пользоваться снифером, но лично мне было трудно представить сразу, что троян, который ворует пароли, по сути сам несёт в себе пароль. Так же в статье я не разбирал троян, который отсылает рапорты на гейт (пока руки не дошли)
Способ в действии вы можете посмотреть в моём видео, которое я снял для этой статьи. В видео я делаю так мной названый "обратный хэк =/".
links
vmware (http://www.vmware.com/)
virtualbox можно использовать вместо vmware (http://www.virtualbox.org/)
wireshark (http://www.wireshark.org/)
base63 encoder\decoder (http://makcoder.sourceforge.net/demo/base64.php)
video
http://video.antichat.ru/file230.html
Видео в формате ogg должно открываться с помощью mediaplayer.
упд
Вместо vmware можно использовать virtualbox (http://www.virtualbox.org/), который полностью бесплатный.