• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Снифаем билд стилера (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Давно хотел эту статейку отрерайтить и выложить,но сейчас подумал,что лучше от этого она не станет.От себя добавлю,что тут описывается сотая часть от возможностей Wireshark,чтобы изучить все его
возможности,настройки,работу-нужно прочитать очень большое количество мануалов.
Оригинал статьи от Вазонеза:

Итак, сегодня мы будем отлавливать гейт/фтп/адрес, на которые настроен уже существующий билд стилера.
Нам понядобятся:
1 Билд стилера. Его ловим на любом хэк-форуме, обычно его впаривают под видом неибаццо полезной тулзы или кряка.
2Wireshark (http://www.wireshark.org)
3 Виртуалка (Oracle VirtualBox)
Установку VBox и Wireshark опустим, это должно быть установлено и настроено заранее.
Первое, что надо сделать — убить или хотя бы за'suspend-ить все процессы, которые юзают сеть. Так будет проще найти нужные данные в тоннах хуйни. Запускаем Wireshark и настраиваем интерфейс для сниффинга: Capture -> Interfaces. Выбираем тот, который используется у Вас — в колонке Packets будет наибольшее число. Жмем "Start", тем самым начиная сниффинг.
Запускаем билд стилера (всё на виртуалке, и никак иначе!) и контролируем Process Explorer'ом (на самый худой и короткоствольный конец — Диспетчером задач) его работу, ожидаем завершения.
Переходим в Wireshark и жмем Capture -> Stop, т.е. завершаем сниффинг. Теперь у нас есть дамп сетевой активности всей системы за то время, пока работал билд стилера. Осталось найти нужные данные.
Для начала пробуем засечь FTP-сервер, вдруг стилер именно таким образом отправляет отчет с паролями. Для фильтрации в Wireshark'е есть всё необходимое — вбиваем в поле фильтрации (оно находится прямо над списком пойманных пакетов) слово "ftp" и жмем "Enter":
p1.png

Мы получили список пакетов, отправленных по FTP:

p2.png

На картинке обозначены хост, логин и пароль от FTP. Негодяй-впариватель попался, время отрывать ему яйца.
Если же ничего такого в окне сниффера не просматривается, значит на FTP логи не идут (еще это может значить, что в стилере включены анти-фичи вроде Anti-Wireshark, но об этом позже).
Попробуем словить адрес гейта. Убираем "ftp" из строки фильтрации и ищем по пакетам следы стилера. Жмем Ctrl+F для открытия окна поиска. Выбираем поиск строк (Find by: String) и вбиваем в поле поиска строку "UFR", остальное оставляем по дефолту, и ищем. Если билд отправляет пароли на гейт, что-то должно было найтись, вкусный пакет вот такого вида:

p3.png

Обезьяна со стилером попалась, собираем кибер-братию и идём бить морду.
Если же находятся только левые пакеты, то забиваем, это всё быть мусор — на гейт ничего не идёт.
Остается только мыло. Для этого в поле фильтрации вбиваем строку "smtp" и видим такое:
p4.png


Декодируем логин и пароль от мыла отправителя при помощи этой веб-морды, заходим в почту и меняем пароль (чтоб поднасрать, ибо нехуй!).
Если же сниффинг ничего не дал, значит в стилере включена защита от подобной хуиты. Можно попробовать сменить имя EXE'шника вайршарка, или изменить заголовок окна, но не факт что поможет.
 

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
334
в свое время люди занимались снифанием гейтов пинча (оочень популярный был трой) и взламывали паблик эксплойтом его гейт и сливали хранящиеся там отчеты :)
никто не потрошил гейт уфр-а на предмет этого? (чтобы просто тырить чужие троянские отчеты).
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Nedovirus, а какими ты пользуешься инструментами для исследования мальвари?
 

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
334
смотря какая задача ставится. если булевная величина - хватает чаще всего инфы с вт (по именам детектов итак семейства помню). если что-то поковырять что как себя ведет - динамический анализ на разных системах. если вглубь, то связка из отладчика\дизасма. какой из этапов интересует?
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
если что-то поковырять что как себя ведет - динамический анализ на разных системах.
Вот как раз поковырять.Отладчик это конечно хорошо,но тут и знания нужны поглубже.
 

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
334
Смотря с какой целью идет раковырка малвари. Если хочется спереть чужой антиэмуль и встроить в свою, то это упорная пошаговая трассировка с выискиванием глазами мест, которые предположительно похожи на код, предназначенный для обламывания эмулятора... но с учетом того, что я таким не занимаюсь, то расскажу про то, чем занимаюсь лично я.

1. Запускаем малварь, смотрим что она вообще делает в системе (вариантов много деятельности: винлок, шифровальщик, как-то троянобэкдор, даунлоадер, битмайнер и т.д). В зависимости от этого можно дальше идти или нет, если алгоритм работы и его бизнес-логика лежат на поверхности, то смотреть особо нечего (например, sfx-архив или какой-то инсталлер дропает кучу батников, которые друг друга запускают и в итоге имеем на старте системы запуск битмайнера с параметрами (пул, воркер, в общем, стандартно все).
2. Если это винлокер и есть настроение и время - можно поиграться с ним как с крякмисом - выдрать пароль. Тут тупо патчим в памяти\на диске куски кода, которые мешают работать с другим окном (отладчика) и далее работа как с обычным крякмисом (только не особо рекомендую это делать - к некоторым винлокам тупо или нет пароля или в коде декодирования\шифровки ошибка и не подходит даже тот пароль, который задумывался создателем, на это можно потратить энное кол-во часов зазря).
Отладчик бывает полезен еще когда надо что-то остановить, глянуть какие-то данные, временный какой-то файл и т.д...
Отладчик обычно (всегда) использую OllyDbg (другие пробовал, но к чему привык, к тому и привык). Но вообще семейства и логика редко бывает новой. Если я когда-то ковырял троян bicololo\usteal, то второй-то раз мне его зачем ковырять?
Если интересует больше КАК пользоваться инструментарием, то навскидку могу рекомендовать что-то вроде "введение в крякинг с нуля используя ollydbg" - примерно так называется. Реально (наверное) нагуглить и онлайн версию и версию в chm.
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Ну да,про статьи-мануалы Рикардо Нарваха слышал,но не читал.Быстренько пробежался по chm-инструкции,неплохо.Автор и переводчик довольно-таки простым языком доносят мысль.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 376
Репутация
7 873
Telegram