ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > ИНФО > Статьи > Авторские статьи
Перезагрузить страницу Обратная сторона трояна
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

обратная сторона трояна
  #1  
Старый 26.06.2007, 15:09
Аватар для fucker"ok
fucker"ok
Познавший АНТИЧАТ
Регистрация: 21.11.2004
Сообщений: 1,137
Провел на форуме:
2487541

Репутация: 761


По умолчанию обратная сторона трояна
обратная сторона трояна
Всем нам приходят трояны. Они приходят через почту или icq. Обычно мы их удаляем или игнорируем ссылки на них. В статье я распишу один из способов получения выгоды из чужого трояна.

немного о трояне
Всем понятно, что троян куда-то посылает ваши пароль, обычно это почта или гейт. В статье буду рассматривать посылку паролей на почту.

а что несёт в себе троян?
Даже нубу известно, что троян ворует пароли, но не каждый смекнул, что по сути троян сам в себе несёт пароль от какой-то почты. А происходит это по следующей причине: большинство smtp серверов требуют авторизацию. Значит троян должен вначале авторизоваться на smtp сервере, а только потом он сможет отправить письмо. (Пару лет назад авторизации на smtp небыло даже на mail.ru. Какие были времена..) Вот этот логин\пароль для авторизации мы и будем доставать.

как будем доставать?
Поскольку я не владею приёмами реверсинга и чудесами ассемблера, то будем доставать по рабоче-крестьянски - с помощью снифера. Естественно на своей машине запускать троян как-то не хочется, поэтому будем запускать на виртуальной (на неё вам нужно установить win)

toolz
Мы будем использовать две программы
  1. vmware - виртуальная машина. Имеется 30-ти дневный бесплатный ключ.
  2. wireshark- снифер пакетов. Бывший ethereal.
ссылки в конце статьи

begin
Как вы наверно уже поняли, мы будем запускать троян на виртуальной машине, а на своей реальной машине будем сниферить куда какие пакеты идут. (в принципе если вы это поняли и знаете как это делается, то дальше можно не читать)
Сперва запускаем снифер и настраиваем его на интерфейс смотрящий в интернет.

Выбор интерфейса

В моём случае я выбираю интерфейс eth0 (жму start рядом с ним) Снифер работает.
Теперь нам нужно запустить сам троян под vmware. Тут я думаю обойдёмся без скриншотов Запуск под vmware совершенно безопасен для вашей винды.
Запустили. Троян отправил рапорты. Теперь возвращаемся к сниферу.
Останавливаем процесс сбора пакетов (такая красная кнопочка)

находим smtp пакет и смотрем содержимое (folow tcp stream)


нужный кусок содержимого

Красным цветом снифер отмечает пакеты, которые отсылаете ВЫ, а синим отмечены ответы на ваши пакеты.

Что мы имеем?
Итак. Начинаем разбирать что имеем.
Код:
220 mail.ru ESMTP Tue, 26 Jun 2007 13:36:32 +0400
От сюда понятно, что smtp сервер mail.ru
AUTH LOGIN
Это значит, что троян сейчас будет посылать логин\пароль
eFh4LVNvZnR3YXJl
это троян послал логин
NjZiOTMzNWM2ZDFhOTUxOA==
это пароль
Так же из снифера можно узнать куда и откуда идёт письмо.
Пока наш логин\пароль не очень похож на нормальный логин\пароль. Согласно спекам протокола smtp такие вещи передаются в base64. Естественно их нужно декодировать. Это очень просто сделать, достаточно ввести в google base64 decoder и будет куча ссылок. Например вот этот кодер\декодер
Декодируя логин\пароль мы получим
логин - xXx-Software
пароль - 66b9335c6d1a9518
Вот мы и получили заветный логин\пароль от почты, через которую троян посылает пароли.

Ошибка в настройке трояна
Очень часто юные впариватели указывают в настройках того же пинча логин\пароль от той же почты, куда и идут рапорты трояна. Для нас это конечно идеальный вариант и он очень часто встречается в сети. Три из трёх троянов, которые в последние дни мне пытались впарить были именно такие. =)
Естественно при таком раскладе мы имеем доступ к рапортом трояна. Тоесть наш герой трудиться и впаривает трояны, а мы берём уже готовые рапорты =)))

А если троян настроен нормально?
Тут уже поживиться чужими рапортами не получиться т.к. троян логиниться под одной почтой, а посылает на другую. Пока я не встречал почтовых серверов (я просто ими не пользуюсь), где была бы доступна опция сохранения исходящих писем через smtp. Если появятся такие почтовые службы, то мы опять сможем контролировать все рапорты. В любом случае мы можем сделать юному впаривателю западло, а именно изменить пароль на почту. И вся его рассылка трояна пропадёт т.к. троян не сможет зайти на сервер. (если конечно есть возможность смены пароля. Да и пароль можно восстановить)

end
Думаю этой статьёй я сильно не открыл глаза тем, кто умеет пользоваться снифером, но лично мне было трудно представить сразу, что троян, который ворует пароли, по сути сам несёт в себе пароль. Так же в статье я не разбирал троян, который отсылает рапорты на гейт (пока руки не дошли)
Способ в действии вы можете посмотреть в моём видео, которое я снял для этой статьи. В видео я делаю так мной названый "обратный хэк =/".

links
vmware
virtualbox можно использовать вместо vmware
wireshark
base63 encoder\decoder

video
http://video.antichat.ru/file230.html
Видео в формате ogg должно открываться с помощью mediaplayer.

упд
Вместо vmware можно использовать virtualbox, который полностью бесплатный.
Последний раз редактировалось fucker"ok; 08.12.2008 в 16:56.. Причина: добавил ссылку на virtualbox
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
PandaLabs сообщает о комбинированной атаке червя Spamta.VK и трояна Spamtaload.DT VanB Мировые новости 0 04.04.2007 14:05
Впарили трояна удалённого администрирования buba Защита ОС: вирусы, антивирусы, файрволы. 7 25.01.2007 18:41



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ