Снифаем билд стилера

Тема в разделе "СТАТЬИ И УРОКИ ПО ВЗЛОМУ И ОБХОДУ ЗАЩИТЫ", создана пользователем Антоха, 30 июл 2014.

↑ ↓
  1. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Давно хотел эту статейку отрерайтить и выложить,но сейчас подумал,что лучше от этого она не станет.От себя добавлю,что тут описывается сотая часть от возможностей Wireshark,чтобы изучить все его
    возможности,настройки,работу-нужно прочитать очень большое количество мануалов.
    Оригинал статьи от Вазонеза:

    Итак, сегодня мы будем отлавливать гейт/фтп/адрес, на которые настроен уже существующий билд стилера.
    Нам понядобятся:
    1 Билд стилера. Его ловим на любом хэк-форуме, обычно его впаривают под видом неибаццо полезной тулзы или кряка.
    2Wireshark (http://www.wireshark.org)
    3 Виртуалка (Oracle VirtualBox)
    Установку VBox и Wireshark опустим, это должно быть установлено и настроено заранее.
    Первое, что надо сделать — убить или хотя бы за'suspend-ить все процессы, которые юзают сеть. Так будет проще найти нужные данные в тоннах хуйни. Запускаем Wireshark и настраиваем интерфейс для сниффинга: Capture -> Interfaces. Выбираем тот, который используется у Вас — в колонке Packets будет наибольшее число. Жмем "Start", тем самым начиная сниффинг.
    Запускаем билд стилера (всё на виртуалке, и никак иначе!) и контролируем Process Explorer'ом (на самый худой и короткоствольный конец — Диспетчером задач) его работу, ожидаем завершения.
    Переходим в Wireshark и жмем Capture -> Stop, т.е. завершаем сниффинг. Теперь у нас есть дамп сетевой активности всей системы за то время, пока работал билд стилера. Осталось найти нужные данные.
    Для начала пробуем засечь FTP-сервер, вдруг стилер именно таким образом отправляет отчет с паролями. Для фильтрации в Wireshark'е есть всё необходимое — вбиваем в поле фильтрации (оно находится прямо над списком пойманных пакетов) слово "ftp" и жмем "Enter":
    p1.
    Мы получили список пакетов, отправленных по FTP:

    p2.
    На картинке обозначены хост, логин и пароль от FTP. Негодяй-впариватель попался, время отрывать ему яйца.
    Если же ничего такого в окне сниффера не просматривается, значит на FTP логи не идут (еще это может значить, что в стилере включены анти-фичи вроде Anti-Wireshark, но об этом позже).
    Попробуем словить адрес гейта. Убираем "ftp" из строки фильтрации и ищем по пакетам следы стилера. Жмем Ctrl+F для открытия окна поиска. Выбираем поиск строк (Find by: String) и вбиваем в поле поиска строку "UFR", остальное оставляем по дефолту, и ищем. Если билд отправляет пароли на гейт, что-то должно было найтись, вкусный пакет вот такого вида:

    p3.
    Обезьяна со стилером попалась, собираем кибер-братию и идём бить морду.
    Если же находятся только левые пакеты, то забиваем, это всё быть мусор — на гейт ничего не идёт.
    Остается только мыло. Для этого в поле фильтрации вбиваем строку "smtp" и видим такое:
    p4.

    Декодируем логин и пароль от мыла отправителя при помощи этой веб-морды, заходим в почту и меняем пароль (чтоб поднасрать, ибо нехуй!).
    Если же сниффинг ничего не дал, значит в стилере включена защита от подобной хуиты. Можно попробовать сменить имя EXE'шника вайршарка, или изменить заголовок окна, но не факт что поможет.
     
    • Мне нравится Мне нравится x 7
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Интересная статья...wink1
     
    • Мне нравится Мне нравится x 2
  3. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    в свое время люди занимались снифанием гейтов пинча (оочень популярный был трой) и взламывали паблик эксплойтом его гейт и сливали хранящиеся там отчеты :)
    никто не потрошил гейт уфр-а на предмет этого? (чтобы просто тырить чужие троянские отчеты).
     
    • Мне нравится Мне нравится x 1
  4. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Nedovirus, а какими ты пользуешься инструментами для исследования мальвари?
     
    • Мне нравится Мне нравится x 1
  5. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    смотря какая задача ставится. если булевная величина - хватает чаще всего инфы с вт (по именам детектов итак семейства помню). если что-то поковырять что как себя ведет - динамический анализ на разных системах. если вглубь, то связка из отладчика\дизасма. какой из этапов интересует?
     
    • Мне нравится Мне нравится x 1
  6. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Вот как раз поковырять.Отладчик это конечно хорошо,но тут и знания нужны поглубже.
     
    • Мне нравится Мне нравится x 1
  7. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    Смотря с какой целью идет раковырка малвари. Если хочется спереть чужой антиэмуль и встроить в свою, то это упорная пошаговая трассировка с выискиванием глазами мест, которые предположительно похожи на код, предназначенный для обламывания эмулятора... но с учетом того, что я таким не занимаюсь, то расскажу про то, чем занимаюсь лично я.

    1. Запускаем малварь, смотрим что она вообще делает в системе (вариантов много деятельности: винлок, шифровальщик, как-то троянобэкдор, даунлоадер, битмайнер и т.д). В зависимости от этого можно дальше идти или нет, если алгоритм работы и его бизнес-логика лежат на поверхности, то смотреть особо нечего (например, sfx-архив или какой-то инсталлер дропает кучу батников, которые друг друга запускают и в итоге имеем на старте системы запуск битмайнера с параметрами (пул, воркер, в общем, стандартно все).
    2. Если это винлокер и есть настроение и время - можно поиграться с ним как с крякмисом - выдрать пароль. Тут тупо патчим в памяти\на диске куски кода, которые мешают работать с другим окном (отладчика) и далее работа как с обычным крякмисом (только не особо рекомендую это делать - к некоторым винлокам тупо или нет пароля или в коде декодирования\шифровки ошибка и не подходит даже тот пароль, который задумывался создателем, на это можно потратить энное кол-во часов зазря).
    Отладчик бывает полезен еще когда надо что-то остановить, глянуть какие-то данные, временный какой-то файл и т.д...
    Отладчик обычно (всегда) использую OllyDbg (другие пробовал, но к чему привык, к тому и привык). Но вообще семейства и логика редко бывает новой. Если я когда-то ковырял троян bicololo\usteal, то второй-то раз мне его зачем ковырять?
    Если интересует больше КАК пользоваться инструментарием, то навскидку могу рекомендовать что-то вроде "введение в крякинг с нуля используя ollydbg" - примерно так называется. Реально (наверное) нагуглить и онлайн версию и версию в chm.
     
    • Мне нравится Мне нравится x 4
  8. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Ну да,про статьи-мануалы Рикардо Нарваха слышал,но не читал.Быстренько пробежался по chm-инструкции,неплохо.Автор и переводчик довольно-таки простым языком доносят мысль.
     
    • Мне нравится Мне нравится x 3
  9. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Ну-да я тоже сейчас её читаю...Dmeh-Smeh-Smeh!!! sm3888

    Вот ссылка если нужно каму:https://yadi.sk/d/aMD2fRvYYxRdQ
     
    • Мне нравится Мне нравится x 2

Поделиться этой страницей