Авторские статьи Исследуем трояны

Discussion in 'Статьи' started by mmvds, 14 May 2008.

Thread Status:
Not open for further replies.
  1. mmvds

    mmvds Member

    Joined:
    28 Apr 2008
    Messages:
    5
    Likes Received:
    9
    Reputations:
    0
    {Введение}
    В настоящее время так же остро как проблема обнаружения вредоносных программ стоит проблема по их анализу. Очень интересно узнать, что делает данная программа, какие изменения проводит на компьютере пользователя, а также, куда отправляет собранную информацию.

    Для примера распространенный троян Pinch можно настроить и закриптовать за несколько секунд, антивирусная проверка ничего не покажет. Но при его запуске все ваши пароли к почте, аське, ftp, сохраненные пароли форм браузера, системная информация, история, куки сайтов и многое другое уйдут на электронный адрес злоумышленника. Хотелось бы выяснить, что конкретно ушло и куда, а возможно и наказать троянщика.

    {Инструменты}
    1) Виртуальная машина - VMware
    Процесс исследования вредоносных программ не безопасен и может повлечь порчу и утрату информации, поэтому в качестве среды анализа будем использовать виртуальную машину. В ней мы можем проводить любые изменения, которые не затронут основную ОС.

    2) Мониторы реестра и файловой системы - RegMon и FileMon
    Нужны, для подробного исследования обращений к реестру и файлам.

    3) Анализатор изменений реестра - RegShot
    Одна из самых полезных программ, позволяет узнать как работает троян, куда прячет автозапуск, как обходит фаерволы и т.д.

    4) Анализатор сетевого трафика - Iris, CommView
    Позволит определить куда уходят отчеты троя и через что.
    Iris и CommView удобны тем, что распознают огромное количество протоколов и умеют налету декодировать пакеты. Отличия у них в том, что Iris сортирует пакеты по портам, а CommView по приложениям. Т.е. если вы не знаете, как будет называться троян после расклейки (сджойненный), то лучше использовать Iris, если имя вредоносной программы известно заранее, то лучше использовать CommView. Вообще можно использовать любой доступный сниффер, тот же Wp3pr0, но он изначально создан не для анализа, а для подмены пакетов.

    5) Анализатор PE файлов (EXE, DLL, SYS, DRV...) - PE Explorer
    В случае если трафик передается в зашифрованном виде, или просто не ловится сниферами позволит вытащить полезную информацию.

    6) Редактор памяти - WinHex
    И наконец, если трафик не ловится, а файл криптован, нам понадобится редактор памяти.

    7) Сама вредоносная программа
    Без комментариев

    {Где взять?}
    Почти все описанные инструменты можно взять на cracklab.ru (не сочтите за рекламу) ну и конечно же помогут Яндекс с Гуглем.

    {Виртуальная машина}
    1) Устанавливаем VMware
    2) Жмем в ней File->New->VirtualMachine (Ctrl+N)
    3) В качестве операционки выберем Win XP Pro SP2
    4) Для возможности выхода в инет установим необходимые настройки.
    5) Выделим 6 Гб на жестком диске (можно меньше)
    6) После создания виртуальной машины настроим необходимые виртуальные устройства (жмем Edit Virtual Machine Settings)
    7) Добавим по возможности оперативной памяти (Memory)
    8) У виртуального CD-Rom выберем реальный CD/DVD, чтоб было с чего устанавливать ОС.
    9) Добавим USB контроллер (Add->USB Controller) чтобы передавать данные с реальной на виртуальную машину через флешку, или как вариант, можно создать виртуальный диск из папки на винте.
    10) Запустим виртуальную машину (Start this Virtual Machine)
    11) Устанавливаем ОС как на обычный комп.
    12) Копируем все вышеперечисленные инструменты на флэшку.
    13) В виртуальной машине выбираем VM->Removable Devices->USB Devices и выбираем название нашей флешки, теперь ее видит виртуальная машина.
    14) Копируем инструменты с флешки на виртуальную машину
    15) Устанавливаем все программы кроме RegMon, FileMon, RegShot (не требуют установки), сам троян тоже пока не запускаем :)
    16) Теперь когда система полностью настроена и все нужные проги установлены жмем на кнопку Take Snapshot of VirtualMachin при ее нажатии создастся снимок всей виртуальной машины и какие бы мы изменения ни проводили, всегда можно будет вернуть систему к исходному состоянию.

    {Исследование}
    1) RegShot необходима для просмотра изменений в реестр, для начала запустим ее и сделаем «снимок» реестра до запуска вредоносной программы
    [​IMG]

    2) Запустим программу RegMon, отслеживающую обращения к реестру, в качестве фильтра установим название запускаемого вредоносного файла.
    [​IMG]

    3) Аналогично запустим и настроим программу FileMon, отслеживающую обращения к файловой системе.

    4) Запустим IRIS – программу анализа сетевого трафика и нажмем Start (Ctrl+A)

    5) И наконец, запустим саму вредоносную программу

    6) Сделаем второй «снимок» в программе RegShot и посмотрим на внесенные изменения
    [​IMG]

    На основе данного отчета можно понять, что троян добавляет себя в автозагрузку, а также в «белые листы» распространенных фаерволлов для беспрепятственной отправки данных злоумышленнику.

    7) На основе отчетов программ RegMon и FileMone можно увидеть, что данный троян собирает личную информацию пользователя (пароли, cookies, историю просмотра, информацию о системе и т.д.)
    [​IMG]

    8) В Iris жмем на Stop (Ctrl+Z), затем Decode и смотрим, какие данные передавались во время запуска трояна.
    [​IMG]
    На данном скрине видим, что по почтовому протоколу SMTP на почтовый адрес злоумышленника с другой его почтовой учетной записи отправляется письмо с вложением report.bin (скорее всего сам отчет)
    Более того в отчете видим исходящий почтовый сервер и строку авторизации (AUTHPLAIN) а зная что протокол smtp использует для mime кодирования данных алгоритм BASE64 без труда получаем логин и пароль аккаунта, с которого происходит отправка отчетов.

    Например, получили следующую авторизационную часть пакета:
    Code:
    220 mail.ru ESMTP Wed, 14 May 2008 18:42:55 +0400
    EHLO 1-7f4589a43fe42
    250-mx39.mail.ru Hello 1-7f4589a43fe42 [75.45.2.173]
    250-SIZE 31457280
    250-8BITMIME
    250-AUTH PLAIN LOGIN
    250 PIPELINING
    AUTH PLAIN b3V0aGFja2VyBGpoZDMzZ2ZzZA==
    235 Authentication succeeded
    MAIL FROM:
    250 OK
    RCPT TO:
    250 Accepted
    DATA
    354 Enter message, ending with "." on a line by itself
    Date: Wed, 14 May 2008 18:42:55 +0400
    From: =?KOI8-R?Q??= 
    To: [email protected]
    Subject: Report
    Message-Id: <[email protected]>
    
    Нас интересуют следующие строки:
    AUTH PLAIN b3V0aGFja2VyBGpoZDMzZ2ZzZA== строка передачи данных авторизации
    To: [email protected] отсюда получаем, куда ушел отчет
    Message-Id: <[email protected]> через какой адрес посылали

    Идем на _http://quest.antichat.net/code.php копируем данную строку AUTH PLAIN b3V0aGFja2VyBGpoZDMzZ2ZzZA== и выбираем Decode Base64, получаем outhacker jhd33gfsd логин и пароль мыла, через которое отправляется отчет.
    Теперь зайдя на почтовый сервер мы можем сменить пароль на его учетной записи, тем самым сделав работу трояна в дальнейшем невозможной.
    Более того, есть шанс, что пароль к мылу получателя отчетов такой же, тогда если письма с сервера не удаляются, получим базу с отчетами :)

    9) К сожалению, встречаются вредоносные программы, работающие в обход сетевых анализаторов, тогда нам на помощь приходит программа PE Explorer.
    Открываем наш троян через PE Explorer и жмем на кнопку Disassembler (Ctrl+M).
    В появившемся окошке жмем Start Now, получаем наш троян в ассемблерном коде, удобно разложенный по категориям, что выгодно отличает его от других дизассемблеров.
    Выбираем вкладку Strings (Строки) и ищем через Find (Ctrl+F) части строк вроде .ru .com @.
    Первым же проходом по символу "@" поиск дал в моем случае аналогичный результат:
    smtp.list.ru
    outhacker
    jhd33gfsd
    [email protected]

    [​IMG]

    10) Но часто бывает и так, что строки зашифрованы, или до них вообще нельзя добраться из-за того что троян сжат\закриптован.
    Тут конечно можно повозиться с расжатием\раскриптовкой, но крипторов и пакеров великое разнообразие, да и переписать под себя не долго.
    В данном случае, когда сетевой анализатор не ловит пакеты трояна, а сам троян зашифрован нам пригодится WinHex, точнее его часть-редактор памяти. Для того, чтобы сделать захват процесса трояна отключим интернет соединение VMware. И еще раз запустим наш троян.
    В WinHex выбираем Open RAM (Alt+F9) из списка процессов ищем трояна и название его exe файла.
    Сделав захват процесса с трояном, а затем сделав поиск (Ctrl+F) по .ru .com можно получить аналогичную информацию о том, куда отправляет информацию вредоносная программа.
    [​IMG]

    В данном случае получили, что троян шлет свои отчеты через скрипт _aumoch.hocomua.ru/gate3/gate.php (обведено красным).
    Куда конкретно шлет, в данном случае выяснить нельзя, если только не договориться с админом hocomua.ru :)
    Наказать троянщика опять же можно только через админов данного сайта, т.к. обычно такие скрипты размещают на халявном хостинге.
    Ниже в памяти идут параметры скрипта (обведены зеленым), но не стоит обращать на них особое внимание, при посылке через можно указать любое мыло отправителя, т.е. скорее всего адреса [email protected] не существует.

    11) После окончания исследования можно с чистой совестью нажать в VMware на кнопку Revert Snapshot и восстановить систему к прежнему состоянию.

    {Выводы}
    Хотя на первый взгляд описанная инструкция выглядит достаточно громоздкой, после анализа 2-3 троянов все действия совершаются на автомате.
    Иногда попадаются поистинне золотые жилы, как например база логинов/паролей к полутаре тысяч аккаунтов серверов линейки, которые в течении долгого времени успешно собирала программа, якобы взламывающая все на свете. А автор проги использовал для отправки тот же емейл, что и для приема.
    Анализ троянов данными методами не ограничивается, простор для фантазии огромен, но и этих знаний вполне хватит, чтоб поохотиться за халявными базами отчетов.
    Удачи в поисках!


    (c) mmvds 14.05.2008
     
    8 people like this.
  2. taha

    taha Elder - Старейшина

    Joined:
    20 Aug 2006
    Messages:
    399
    Likes Received:
    330
    Reputations:
    251
    хмммм... мдамс.. таких статей много.. я думал ты будешь исследовать трояны с помощью IDAPro и OllyDbg... Расскажешь о VMWare, как из под неё вырваться, песочницах и тп..

    кстати о мониторах.. если прога написана скажем на далфи они зашкалят если это не трой, как мы подозреваем
     
    #2 taha, 15 May 2008
    Last edited: 15 May 2008
    1 person likes this.
  3. mmvds

    mmvds Member

    Joined:
    28 Apr 2008
    Messages:
    5
    Likes Received:
    9
    Reputations:
    0
    Можно ссылку хоть на одну?

    Вот такого добра как-раз таки навалом, трояны особо не отличаются от обычных программ, более того защищены гораздо слабее, а статей по крэку в инете хоть лопатой греби.

    В моей статье все доступным языком, знание асемблера не требуются.

    Точнее, что имеется ввиду?

    мониторы нужны для подробного просмотра обращений к файлам/реестру, а чтоб не "зашкаливало" используйте фильтры по имени процесса, видам операций.
     
  4. Chuck

    Chuck Banned

    Joined:
    23 Jul 2007
    Messages:
    77
    Likes Received:
    180
    Reputations:
    11
    https://forum.antichat.ru/thread66152.html
    https://forum.antichat.ru/thread43114.html
    http://exploit.in/forum/index.php?showtopic=9671
    не считая того, что вероятно есть на других порталах.

    Сразу вопрос: зачем описывать работу вмвари? оО и почему нельзя переносить файлы через общую папку? оО

    Для псв-троев достаточно OllyDbg.
    И опять же идёт описание обнаружения посредством соответствующих утил, интересно бы было почитать что-нибудь своё.

    Возможность вируса вылезти из-под програмной эмуляции и кинуться на реальную ось. Если не ошибаюсь, про это Elekt писал ещё..

    Статья такого плана должна быть более и более мастабной.. Впринципе, если автор бы увидел другие статьи, то получилось бы лишь описание антималварьских тулз.
    НО! первый блин комом, ничего страшного :)
     
  5. taha

    taha Elder - Старейшина

    Joined:
    20 Aug 2006
    Messages:
    399
    Likes Received:
    330
    Reputations:
    251
    mmvds, я имел ввиду, что исследовать программу полагаясь только на показания мониторов файла и реестра как то странно, особенно если не знаешь что искать. И отчетов будет многовато.

    Вообще нужно предохраняться, тоесть проверять файлы на www.virustotal.com, иметь установленные и обновленные антивирус и фаервол, правильно настроенная и обновленная система. И если троян всетаки прорвался, то либо он такой 0day, либо на нем приват-криптор и рыться в нем Hex-Editor'ом, мягко говоря, бесполезно.

    Поверхостный анализ ничем не поможет, разве что опытом ковыряния файлов.

    В исследовании вирусов и троянов необходимы огромные знания в области исследования программного обеспечения и ни каждому это под силу, не говоря уж о тех, кто первый раз видит монитор реестра и тп.

    add:
    по crack'у много, но по грамотному исследованию вирусов и троянов (и написанию лекарства) крайне мало

    add:
    я знаю как пользоваться утилитами М. Руссиновича
     
    #5 taha, 15 May 2008
    Last edited: 15 May 2008
    1 person likes this.
  6. mmvds

    mmvds Member

    Joined:
    28 Apr 2008
    Messages:
    5
    Likes Received:
    9
    Reputations:
    0
    Спасибо за ссылки и замечания.
    Это первая моя статья, так так что сильно не пинайте плиз, до всего доходил сам, жаль не увидел статьи раньше (кстати очень понравилось про locate *.bin *.rep, надо будет попробывать)
    И все же, думаю моя конкретная инструкция к действию от начала и до конца будет полезна и доступна даже начинающим. А чем больше людей обладают подобным знанием, тем меньше рабочих пинчей в сети :)
     
    1 person likes this.
  7. taha

    taha Elder - Старейшина

    Joined:
    20 Aug 2006
    Messages:
    399
    Likes Received:
    330
    Reputations:
    251
    Если речь идет только о пинче то самое то, в нем ничего сверхестественного...
    я тут распинаюсь про исследования вобщем
    кстати вот статья на подобии которой хотелось бы видеть остальные http://forum.antichat.ru/showthread.php?p=304970#post304970
     
    2 people like this.
  8. CMEPTb

    CMEPTb Elder - Старейшина

    Joined:
    2 Mar 2008
    Messages:
    36
    Likes Received:
    3
    Reputations:
    0
    тут короче мне какой то лошок в аську постоянно кидает текст типа: Программа для определения, кто написал вам в мнениях на сайте vkontakte.ru - http://dump.ru/file_download/370246.aspx я посмотрел данный пинч шлет отчеты на 760818.110mb.com/beer/gate.php тока отчетов там не видать может кто разберется в чем дело ??
     
  9. Karapuziko

    Karapuziko Elder - Старейшина

    Joined:
    20 Jan 2008
    Messages:
    32
    Likes Received:
    14
    Reputations:
    3
    Вы меня извините,(может кто поддержит), но вот так люди накручивают репу!:)
    Это называется собрал везде по чуть чуть.....
    ----ППЦ!------
    Где отладчики?!Дизассемблеры? Hex - редакторы? А точнее где их использование?
    Читал статьи модераторов раздела реверсинг, вот это ДА!Респект!
    А здесь....настроение испортил....:(
    Извините еще раз, не сдержался пишу так как вижу...
     
Loading...
Similar Threads - Исследуем трояны
  1. s_p_a_m

    Авторские статьи мой первый троян

    Replies:
    0
    Views:
    4,771
  2. fucker"ok
    Replies:
    30
    Views:
    26,279
  3. -=lebed=-
    Replies:
    64
    Views:
    78,491
Thread Status:
Not open for further replies.