книги хакеры / журнал хакер / 186_Optimized

Взлом

Авторы: Jean-Marie Borello, Julien Boutet, Jeremy Bouetard, Yoanne Girardin

Система: Linux

URL: rpcview.org

ВСЕДЛЯRPС

RpcView — это бесплатный мощный инструмент для изучения всех RPC функциональных групп, присутствующих в системах от Microsoft.

Большинство существующих инструментов для мониторинга RPC базируются на компоненте Endpoint Mapper для того, чтобы перечислить все зарегистрированные интерфейсы. К сожалению, обычно программы используют RPC без регистрации интерфейса как IPC-механизма. И в таком случае Endpoint Mapper не самое лучшее решение для перечисления RPC-интерфейсов. Базируясь на внутренностях RPC runtime, RpcView способен не только анализировать все существующие интерфейсы в системе, но также и декомпилировать большинство из них.

Программа состоит из нескольких view:

•процессы;

•endpoints (PID, протокол, имя);

•интерфейсы;

•процедуры;

•декомпиляции.

Подробнее хочется сказать про декомпиляцию. Спецификация Microsoft NDR позволяет декомпилировать сервер stub, ответственный за процесс маршалинга. RpcView способен воссоздать MIDL-совместимый IDL-файл, описывающий интерфейс. После чего реверс и фаззинг упрощается в разы.

Авторы: Jurriaan Bremer, Marion Marschalek

Система: Windows

URL: github.com/ jbremer/vb6tracer

VB6TRACER

Окунемся в начало двухтысячных и вспомним такого старичка, как Visual Basic 6.0, который был выпущен Microsoft в 1998 году. Данный Objectbased и event-driven язык предназначался для быстрой разработки приложений. Заменен VB .NET в 2002-м, а поддержка его закончилась в 2008-м. Аминь.

Но нет, и по сей день можно встретить приложения от мелких вспомогательных программ до приложений корпоративного уровня (привет АСУ ТП), где используется Visual Basic 6.0. Также можно вспомнить такое вредоносное ПО:

•2000: Pikachu Worm;

•2005: Kelvir Worm;

•2009: Changeup Worm.

Так что списывать VB6 со счетов рано. И обидно, что хороших инструментов для его анализа совсем мало: VB Decompiler, Tequila Debugger, IDA Scripts, скрипты от Питера Ферри (Peter Ferrie) и Масаки Суенаги (Masaki Suenaga).

Но это совсем непригодно при динамическом анализе, когда хочется видеть трейс вызовов и передаваемые в функции параметры.

Данную задачу можно решить с помощью инструментации. VB6Tracer — это инструмент, предназначенный для инструментации Visual Basic 6 Virtual Machine и для того, чтобы анали-

зировать VB6 P-Code приложения во время выполнения. VB6Tracer работает в двух режимах. Он может запускаться либо вручную из командной строки с использованием утилиты для инъекции DLL, либо автоматически, интегрировавшись с последней версией Cuckoo Sandbox.

За более подробным описанием советуем обратиться к презентации (github.com/jbremer/ vb6tracer/raw/master/presentation/area41.pdf).

Автор: pentestgeek Система: Windows/ Linux/*BSD

URL: github.com/ pentestgeek/ phishing-frenzy

RORPHISHINGFRAMEWORK

Поговорим о фишинге. Он ни для кого не нов, и все знают, что это такое. Но вот достойные публичные инструменты для этого дела найти не так-то просто. Совсем недавно на конференции DerbyCon был представлен фреймворк для почтового фишинга — подделки писем.

Основные особенности:

•фишинговые кампании — ты можешь создавать проекты и удобно управлять ими. Там ты можешь задавать, кому отправлять, от кого и что, и отслеживать статусы сообщений. Все очень хорошо сгруппировано;

•управление шаблонами — ты можешь создавать, использовать и переиспользовать различные фишинговые шаблоны/сценарии в различных операциях. При этом есть возможность делиться этими сценариями с сообществом и скачивать новые;

•отчеты — программа генерирует отличные отчеты о фишинговой кампании. Предоставляется информация о том, сколько людей перешло по ссылкам, откуда (IP) с отображением на карте, и данные о том, что удалось в итоге найти интересного в трафике (логин/ пароль).

Как развернуть всю систему на Debian с MySQL в качестве бэкенда, можно прочитать на странице проекта.

7 утилит для взлома и анализа безопасности

Автор: secret squirrel Система: Windows/ Linux

URL: github.com/ secretsquirrel/the- backdoor-factory

PATCHBINARIESЧЕРЕЗMITM

В интернете много ресурсов, где можно скачать установщики программ или недостающих библиотек. И в большинстве случаев это все передается по HTTP. Как следствие, очень просто провести атаку «человек посередине» (MITM). Уже сейчас есть несколько программ, которые позволяют подменять контент, но вот вставить свой код в легальную программу было нельзя.

На конференции DerbyCon был представлен инструмент BDFProxy, который может справиться с этой задачей. Например, кто-то качает последнюю версию Wireshark, а ты делаешь на него MITM и патчишь установщик, вставляя туда reverse tcp shellcode. Сказка!

Для своей работы использует программу это-

го же автора The Backdoor Factory (BDF) (github. com/secretsquirrel/the-backdoor-factory), кото-

рая как раз и отвечает за патчинг исполняемого кода и добавление в него нового функционала. Данная библиотека также примечательна и достойна внимания. Она позволяет патчить x86/ x64 исполняемые файлы, вставлять один или несколько собственных shellcode и при этом способна каждый раз генерировать уникальный exe-файл.

Также вторая программа, обеспечивающая работу BDFProxy, — это mitmproxy (mitmproxy. org), о которой мы уже рассказывали на страницах нашего журнала.

Данный трюк не пройдет, если исполняемый файл, который мы патчим, использует механизмы самопроверки на целостность.

АТАКУЕМZIGBEE

ZigBee (Wiki) — спецификация сетевых протоколов верхнего уровня (уровня приложений API

исетевого уровня NWK), использующих сервисы нижних уровней — уровня управления доступом к среде MAC и физического уровня PHY, регламентированных стандартом IEEE 802.15.4. ZigBee и IEEE 802.15.4 описывают беспроводные персональные вычислительные сети (WPAN). Спецификация ZigBee ориентирована на приложения, требующие гарантированной безопасной передачи данных при относительно небольших скоростях и возможности длительной работы сетевых устройств от автономных источников питания (батарей).

KillerBee — это фреймворк, базирующийся на Python, и набор инструментов для исследования и эксплуатации безопасности ZigBee

иIEEE 802.15.4. Используя программу KillerBee

исовместимый IEEE 802.15.4 радиоинтерфейс, ты можешь прослушивать ZigBee-сети, записывать и переправлять сетевой трафик, атаковать криптосистемы и многое другое. Используя фреймворк KillerBee, ты можешь построить свои собственные инструменты. Например, реализовать ZigBee-фаззер, эмулятор и атаковать конечные устройства (роутеры, навигаторы и прочее).

Также хочется отметить, что идет разработка платы под названием Api-Mote v2, которая является железным интерфейсом для KillerBee

испециально разработана для прослушивания ZigBee-сетей, инъекций в них и разных других хакерского рода действий.

XROP

В нашей рубрике мы уже не раз касались темы написания эксплойтов, а если быть точнее — инструментов, помогающих ускорить процесс их написания. И ты наверняка знаешь, что сейчас ни один мало-мальский эксплойт не обходится без ROP-цепочки в шелл-коде для обхода DEP.

ROP-гаджеты сегодня самому искать практически не надо (если только тебе не требуется что-то экзотическое), даже уже потихоньку появляются инструменты для генерации шелл-кодов из ROP-гаджетов. Но также возникает и потребность в поддержке не только архитектур x86/x64, но и ARM с MIPS, на которых крутится много различных железяк, например роутеры или модемы.

Инструмент под названием xrop как раз и примечателен тем, что поддерживает несколько архитектур:

•ARM,

•x86,

•MIPS,

•PPC.

Xrop использует библиотеку дизассемблиро-

вания libxdisasm (github.com/acama/libxdisasm)

от этого же автора. Для работы программы достаточно ей на вход подать исполняемый файл, где необходимо найти ROP-гаджеты.

Как видишь, с каждым днем писать эксплойты для различных железяк становится все проще и проще, а дырок там предостаточно, так что дерзай :).

Трояны-монетизаторы

2

1Рис. 1. Webalta.ru соб-

ственной персоной

Рис. 2. Установка

WebaltaService вместе со скачанным с одного из многочисленных сайтов торрент-кли- ентом (по умолчанию стоит пункт «Простая распаковка (рекомендуется)», при этом выбор из четырех галочек спрятан)

Рис. 3. Декомпилированный кусок кода

Trojan.StartPage.58232 (выделена установка стартовой страницы на ultimate-search.net)

Рис. 4. Замена стартовой страницы в IE

на duba.com путем изменений в реестре

(работа Trojan. StartPage.58232)

3Рис. 5. На китайском duba.com есть и при-

личный поисковик

4

5

WARNING

Внимание! Информация представлена исключительно с целью ознакомления! Ни авторы, ни редакция за твои действия ответственности не несут!

WWW

Самые распространенные партнерки по работе

сплатными архивами: cashmagnat.com,

zippro2.com, www.zipmonster.ru, wizardpacker.com, installmonster.ru

МОНЕТИЗАТОРЫТРАФИКА

(СЕМЕЙСТВОTROJAN.LOADMONEY)

В большинстве случаев у всех представителей этого семейства ноги растут из какой-либо партнерской программы по монетизации трафика за инсталлы.

Суть этих программ заключается в плате за загрузку вместе со скачиваемым контентом дополнительного программного обеспечения. Выглядит это следующим образом: владелец какого-нибудь сайта со скачиваемым контентом меняет прямые ссылки на свой контент на линки партнерской программы, по которым лежит программа-загрузчик. Посетитель сайта, кликнув ссылку на понравившийся контент, скачивает этот загрузчик (который как раз и определяется антивирусами как нежелательная программа), далее после запуска загрузчик вместе со скачиваемым контентом устанавливает дополнительное ПО (обычно это тулбар к браузеру или сам браузер от ка- кого-нибудь известного коммуникационного портала).

Как правило, загрузчик подписывается цифровой подписью, чтобы у посетителей сайта не возникало лишних вопросов.

Если посмотреть обмен загрузчика с сервером партнерской программы, там можно увидеть и идентификатор партнера в партнерской программе, и название партнерки, и имя скачиваемого файла, и то самое дополнительное ПО, которое будет установлено вместе со скачанным контентом.

Понятно, что владельцы партнерской программы несут ответственность только за свой загрузчик, а качество контента остается на совести его владельца. Хотя условиями партнерских программ предусмотрена проверка всего контента, проходящего через них, и блокирование всего, что вызывает сомнение, оперативность этого процесса оставляет желать лучшего. Мне, например, встречались несколько ссылок вообще без запрашиваемого файла, однако тулбар и браузер исправно установились, или ссылки вели на платный архив со «сбрасывальщиком триального срока для антивируса». Так что под прикрытием валидной цифровой подписи загрузчика на компьютер может запросто попасть что-нибудь нехорошее.

Рис. 6. Партнерка по монетизации трафи-

ка loadmoney.ru

Рис. 7. Общая схема работы партнерской программы по монетизации трафика

Рис. 8, 9. Загрузчики от разных партнерских программ

Рис. 10. Сертификат программы-загрузчика

Рис. 11. Кусочек обмена загрузчика

с сервером в виде XMLтрафика

6

15

Трояны-монетизаторы

12 14

deeonis deeonis@gmail.com

ŨśŧŨ ŖţŨŞŘŞŦũŧŤŘ: ŗśŧťšŖŨţŤ ŞšŞţśŤŭśţŲ?

AVIRA FREE ANTIVIRUS, AVAST! FREE ANTIVIRUS, AVG FREE ANTIVIRUS, KAV ПРОТИВ DRIVE-BY АТАК

Drive-by — самый главный способ доставки цифрового контента, которым в настоящий момент пользуются злые вирмейкеры. Не нужно (хотя все еще можно :)) втыкать зараженные флешки, не обязательно открывать сомнительные аттачи с sexygirlphoto.jpg.exe — достаточно всего лишь зайти на скомпрометированный сайт и получить на свою машину хорошую коллекцию троянов в нагрузку.

Обычно drive-by подразумевает под собой использование уязвимости в браузерах и сопутствующем софте, например JVM, Adobe Reader или Flash. Антивирусы, в свою очередь, должны ле-

зущую через заботливо оставленные щели малварь пропалить, зловреда — удалить, а юзеру выдать предупреждение. Насколько эффективно они справляются со своей задачей? Проверим на практике!

ВЫБИРАЕМ АНТИВИРУСЫ ДЛЯ ТЕСТА

Простой домашний пользователь не хочет вникать во все тонкости информационной безопасности (он лучше тебе позвонит, если появится проблема). Ему нужна максимально надежная защита за минимальные деньги. Благо со стоимостью антивирусных программ сейчас все в порядке — есть как недорогие платные решения, так и абсолютно бесплатные продукты. К таким можно отнести, например, Avira Free Antivirus, avast! Free Antivirus, AVG Free Antivirus. Вот именно их мы и будем тестировать. Для начала посмотрим, что умеют наши испытуемые.

Avira предоставляет облачную защиту ПК и блокировку шпионских программ. Если установить расширение для браузера, то пользователь получит защиту от отслеживания в интернете и оценку безопасности посещаемых сайтов.

Avast также предоставляет защиту от шпионских программ и руткитов и, кроме того, делает это интеллектуально, с использованием технологии DynaGen. Функционал AVG Antivirus Free позволяет бороться с руткитами и шпионским ПО, а также предоставляет защиту веб-серфинга и поиска.

ТЕСТИРОВАНИЕ

Тест антивирусов: бесплатно или не очень?

1

•CVE-2013-2551 — позволяет удаленно выполнить произвольный код IE;

•CVE-2013-2471 — позволяет удаленно повлиять на конфиденциальность данных в JRE различных версий;

•CVE-2013-2460 — похожа на предыдущую уязвимость

CVE-2013-2471 для JRE;

•CVE-2013-1493 — позволяет удаленно выполнить произвольный код в JRE различных версий.

Это только малая часть того, что будет применяться для заражения наших тестовых ПК. Использование злоумышленниками того или иного набора эксплойтов определяется в первую очередь его эффективностью, то есть какой процент машин будет заражен. Это, в свою очередь, зависит от качества поддержки авторами своего набора эксплойтов и его своевременного обновления. Чем больше эксплойтов включено в набор и чем лучше они обфусцированы, тем выше будет доля успешных атак.

Всему этому безобразию должен был противостоять выбранный нами защитный софт. Если антивирусное ПО блокировало попытку выполнения эксплойта или ловила загружаемый вирус, то испытание считалось пройденным.

Первым на очереди был avast! Free Antivirus. Его модули для мониторинга веб-серфинга и файловой системы показали себя очень хорошо. Мимо avast! прошел лишь один зловред — это достойный результат. Стоит также отметить, что на каждый вредоносный линк чешский антивирус срабатывал дважды, один раз сообщая о подозрительной ссылке, а второй раз блокируя уже скачанный файл. Так что по меркам бесплатных пакетов avast! держится довольно уверенно.

Далее в наших испытаниях следовали AVG и Avira. Они, к сожалению, по непонятным нам причинам показали плохой результат. Всего 10% угроз было обнаружено и обезврежено ими… странно. AVG всегда считался довольно параноидальным, и если бы год назад меня спросили, кто из этой тройки (включая avast!) более эффективен, — я бы еще задумался.

ДОБАВИМПЕРЦУ

Помимо бесплатных решений, есть и платные продукты. Логика подсказывает: если результат одинаков, то зачем платить больше? Но чтобы проверить надежность freeware защитного ПО в сравнении с платными решениями мы устроили внеконкурсную проверку Kaspersky Anti-Virus. Чтобы

ИТОГИ

С каждым годом бесплатные антивирусы все больше беспокоят пользователя рекламными окошками и предложениями очень выгодно приобрести платную версию (этим особенно грешит avast! — я ставил его года два назад, и тогда так настойчиво он ко мне не приставал). Да и опыт подсказывает, что в вопросах защиты доверяться бесплатным решениям можно не всегда, с платным продуктом всё же поспокойнее.

Kaspersky Anti-Virus показал наилучший результат, что, в принципе, ожидаемо с учетом количества защитных технологий, которые он использует. Тем не менее стоит помнить, что стопроцентную трояноустойчивость не может дать ни один антивирус. Только своевременное обновление ПО на компьютере и работа под учетной записью с ограниченными правами (а для особо критичных вещей стоит использовать виртуальную машину) может гарантировать тот уровень безопасности, который можно назвать высоким.