Историческая вирусология: хронология вирусов мобильных устройств - CommonWarrior: история, хронология, анализ или почему я передумал покупать Iphone
Приветики. Сегодня у нас будет что-то новое, точнее это новое в старом облике, но все таки о таком еще я не писал. Стартует очередной подцикл внутри цикла Исторической вирусологии, в котором будем разбирать различные исторические вредоносы и уязвимости для мобильных телефонов. От стареньких на Java, до современных на Андроид 12 и IOS 16.
Ведь так пошло дело, как бы не старались разработчики: латая дыры, изобретая что-то новое, неизбежно оно будет уязвимо, а когда мы об этом узнаем - вопрос времени. Каждый буквально день определяются какие-то незащищенные участки, в последствии приводя к созданию эксплоитов, бэкдоров и компрометированию вас же, пользователи, но дело это реальности и мгновения, именуемого не иначе как “сейчас”, а все, что уже было, неизбежно становится историей, а это дело как раз для нас - Историческая вирусология. Это уже пятнадцатый выпуск, стало быть прошлые статейки ниже:
1. Немного ностальгии: историческая вирусология или LoveLetter в цвете современности - 22 года спустя
2. Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ
3. Историческая вирусология: Чернобыль — как это было на самом деле или как заставить ваш ПК полететь из окна: история, хронология, анализ - CIH
4. Историческая вирусология: разговор о первом черве - или как одна ошибка изменила ход истории - Morris Worm
5. Историческая вирусология: раняя хронология программ-вымогателей - AIDS, GPcode, Arhivarius. Или как шутка психически больного стала каноном
6. Историческая вирусология: поздняя хронология программ-вымогателей - ZeuS, CryptoLocker, CTB: вирусный трафик ценой в миллиарды. Часть 1
7. Историческая вирусология: локер Илона Маска или как открылась Тесла - поздняя хронология программ вымогателей. Часть 2
8. Историческая вирусология: американский школьник и 250 миллионов - Blaster Worm: история, хронология, анализ
9. Историческая вирусология: Политически предубежденный вирус или как очередное исследование зашло не в ту степь - Confiker: история, хронология, анализ
10. Историческая вирусология: безумное китайское творение, натворившее дел - червь Nimda: история, хронология, анализ
11. Историческая вирусология: сказание о мировом кровотечении - уязвимость HeartBleed: или как я случайно нашел несколько дыр в Codeby
И вот такая вот картина перед глазами: какой-то светловолосый парнишка едет в своем тонированном белом… Не придумал название машины. На чем-то едет. Представьте, что в багажнике его транспорта находится нечто, что озвучивать просто так не стоит здесь. За то самое нечто наш персонаж желает получить выкуп и разбогатеть. Для сего дела он подготовил два мобильных телефона: первый - его обычненький Айфончик, которым он вовсе и не пользовался, разве что смотрел противопоказания для приема героина с алкоголем. А второй же был куплен специально в переходе за наличку, симкарту же выменял у цыган на противоположном конце города.
И вот наш герой едет за черту города, естественно на заброшенный завод по производству кокса, стоп-стоп, не о том подумали, так называется разновидность угля, используемая в металлургии. Приехав на место, он быстро вставляет батарейку в телефон, набирает заведомо подготовленный номер телефона и озвучивает свои требования. После спокойно отключает телефон, вынув батарею, и едет домой.
Дома он спокойненько играл в КС, делясь со своими тиммейтами секретами успеха, мол завтра я получу на счет крупненькую сумму денег и улечу жить в Уганду, как это делают все успешные злодеи. И вот в разгар чемигры раздается звонок в дверь, ничего не подозревая, наш герой открывает двери, а затем… Он так и не вернулся доиграть катку, а его тиммейты решили этого болвана просто кикнуть. И все дело в том, что за дверью его ожидал дисклеймер и вот этот вот тип на танке:
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.
Начало
Думаю не стоит мне растолковывать как так вышло, что нашего героя поймали, а зовут его кстати… Дима, наш персонаж теперь сидит в коробке и не вылазит из дома, ибо страшно. ( Очень на автора в этом похож). Ну, не обижайтесь, если что, здесь просто имя, не ваше даже. А теперь вернемся на 17 годиков назад, наш Денис ходит в школу, родители недавно купили ему новый телефон, а знаете, что для 2005 года был телефон?
Черт, это было невероятно круто. К примеру, телефон впервые я увидел только двумя годами позднее, а пользоваться им и подавно не было возможности. Очень часто в мои школьные годы все говорили, мол на телефоны вирусов нет, а значит антивирус и не нужен. И это было в годах так 2010-2015, хотя даже тогда я уже не особо в это все верил. Я это к тому, что если такие мнения были в массах тогда, то что было в 2005 ? Ну, вообразите сие сами, а мы движемся к сути.
И вот наш Дима постоянно ходит с этим аппаратом по школе, частенько играет в игрушки, обменивается приложениями с такими же “блатными”, спасибо Яне за такое прекрасное слово, ребятами. И вот однажды после урока, на котором наш Денис сидел себе, играя в змейку, у него на телефоне запрашивает установку приложение CommonWarrior, он ничего не смыслит и просто кликает, да, желая дальше играть в змейку по сети.
Уже дома он с ужасом замечает, что его телефон начал передавать на все устройства с включенным Блютуз какие-то файлы, типа eijfnejfnrej.sis, а папка сообщений переполнена MMS сообщениями, которые также содержат файл с расширением .sis. А если у вас на телефоне были ещё какие-то файлы, типа фотографий, хотя на то время телефоны с камерой были редкостью, то все ваше личное и сокровенное рассылается через MMS списку ваших контактов, а вдобавок ещё и реклама 1xBet, просто непотребный спам с обманом.
Представьте себе, что вы держите там фотку какую-то откровенную на своей Нокии, не буду уточнять, но в будущем это станет мейнстримом интернет-знакомств всяких педофилов в ВК, и этот файл увидел весь ваш список контактов. Какова ваша реакция?
Прикол? Ну, Денис ничего такого не хранил у себя, потому бояться ему нечего. Но что же произошло на самом деле?
Все достаточно просто, вы словили первый нашумевший вирус для мобильных устройств, не все ведь ограничивать компьютерами вашими. Рад представить - CommonWarrior - вредонос, который использовал недоработку системы Блютуз и ММС, рассылая как себя самого, так и спам. Но если ваш телефон пуст и вы использовали его исключительно для игры в змейку, то единственным минусом будет быстро разряжающийся аккумулятор. Целевой аудиторией были устройства на Symbian Series 60, вроде как исключительно Нокиа, ну да. Тот самый кирпич.
А теперь небольшая хронология, я особо не могу никак понять, как этот вирус смог нанести около 20 миллионов долларов ущерба, это странно.
4 марта 2005 года - где-то в СНГ, появился вот этот наш КоммонВарриор, он был отправлен какому-то госслужащему, а тот по неосторожности его установил и начал этим самым эпидемию. До сих пор неизвестно кто произвел сие чудо, но в его коде имеется одна занимательная отсылка:
CommWarrior v1.0 (c) 2005 by e10d0r
OTMOP03KAM HET!
7 марта 2005 года - вирус стремительно распространяется среди состоятельной прослойки общества и даже выходит за границы СНГ. Заразил он, по моим подсчетам, около 50 тысяч устройств. Не так и много.
8 марта 2005 года - выпускается утилита, которая способна уничтожить вирус и прекратить его деятельность на устройстве, правда она не предотвращает повторного заражения и если все персоны из вашей адресной книги уже подхватили этот зловред, то вас ожидает цикличное инфицирование. Кстати, он не имел механизма определения, точнее он не задумывается типа “был ли я на этом устройстве уже?”, ему плевать и он будет это делать циклично до тех пор, пока телефон не отключится.
9 марта 2005 года - выходит новая версия, ух ты! CommonWarrior.B, которая отличалась лишь измененным копирайтингом.
15 марта 2005 года - разработчики симбиан выпускают патч для своей системы и отзывают ещё не проданные телефоны для перепрошивки. Только вот беда, это никак не поможет уже инфицированным.
6 июля 2005 года - выходит версия commonwarrior.D, которая тоже никак не отличается от оригинала, но весит на 100 байт больше.
10 июля 2005 года - около 500.000 устройств заражены, но на этот момент был выпущен и антивирусный модуль от F-labs и оказалось, что обычный сброс поможет, потому эпидемия пошла на спад. 20 миллионов долларов ущерба, создатель до сих пор неизвестен.
А теперь разберемся как же он работает и распространяется. Исполняемый файл вредоноса упакован в архив Symbian (SIS), размер которого от 27 до 30 КБ. Сразу же после подтверждения своей установки он создает папку со своим именем в следующей директории:
Код:
/system/apps/
Туда он распаковывает два своих файла, которые постоянно заняты процессом и просто так их удалить не выйдет - commwarrior.exe commrec.mdl.
Затем процесс вредоноса копирует следующие файлы и оригинальный файл SIS в системную директорию \system\updates\ - commwarrior.exe, commrec.md, lcommw.sis.
А после он начинает рассылку файлов, если те имеются и приступает к саморепликации, а она достаточно интересная и включает в себя временной режим с двумя методами.
При нормальной работе, с 8:00 до 23:59 он использует Bluetooth для распространения, так как это хорошая возможность заразить другие устройства через Bluetooth в пределах его досягаемости. Во время сна пользователя, который обычно длится с 12:00 до 6:59, вредонос использует телефонную книгу и отправляет себя с помощью MMS. Зловред посылает ММС через каждые 10 секунд. Выбор номер телефона выполняется путем перечисления каждого номера из адресной книги, далее происходит попытка понять совместимо ли устройство. Цель же этой процедуры предельно ясна – максимизировать распространение самого себя на совместимые мобильные устройства, что удалось достаточно неплохо.
С 7:00 до 7:59 вредонос тщательно заметает следы, удаляя все сообщения, которые отправлял. Если календарное число превышает 14-й день месяца, то телефон в 00:00 перезагрузится, включив беззвучный режим.
Сам текст сообщений не особо отличался умом и сообразительностью, чем дальше это пишу, тем больше считаю создателя идиотом. Вот к примеру:
New Dr.Web antivirus for Symbian OS. Try it!
Free SEX!
Free *SEX* software for you!
Happy Birthday!
Happy Birthday! It is a present for you!
Internet Accelerator
Internet accelerator, SSL security update #7.
Internet Cracker
It is *EASY* to *CRACK* provider accounts!
Или вот это:
Porno images
Porno images collection with nice viewer!
Virtual SEX
Virtual SEX mobile engine from Russian hackers!
Может на то время это была актуалочка, но сейчас я сочту это полным абсурдом.
По правде кое-как мне удалось раздобыть первую версию сего вируса, а также телефон, который в идеале должен быть совместимым с ним, проверим, посмотрим, будет ли оно вообще работать. По приколу включу блютуз на своем телефоне, двенадцатый Андроид, что станет интересно.
Итак, с помощью простенькой SD-карты тех времен помещаем вредонос на устройство и открываем, затем подтверждаем установку. Телефон перезагружается, символично, ведь у нас 14-е число.
После перезагрузки функция Блютуз включена, а телефон переведен в беззвучный режим. И он пытается отправить себя на мой основной телефон. В целом, никаких неудобств особо и нет. Змейку тянет. Проверять будет ли разряжаться быстрее батарея не стану, очевидно, что да. Кстати, блютуз можно просто отключить. А так как сим-карты нет, увидеть его “высокоинтеллектуальные” сообщения, к счастью, не получится.
Почему я отказался от покупки Iphone: или насколько же эта штука дырявая
Что же мы знаем о IPhone? Это бренд, это показатель “успеха”, это круто. И, к огромному сожалению, большинство современного поколения знают о нем лишь поверхностно.
Привет, вот последние недели две размышлял о покупке Айфона XR или 13-го, ну нравятся они мне, вот так уж сложилось, что никогда особо не пользовался такими устройствами, за исключением 7S, и то он был не моим. На те года, когда он недавно вышел только, я не видел в нем никаких минусов, вот честно, и даже имел мечту стать обладателем Айфона.
И вот недавно вспомнил, вроде и кошелек позволяет, и подыскал достойный вариант, но потом мне просто в моменте стало жалко денег и я решил поискать уязвимости и дыры в IOS, чтобы убедить самого себя, что мой отказ вполне себе обоснован.
Июнь 2019 года, была обнаружена уязвимость в функции AirDrop, позволяющая совершенно левому человеку, если поблизости кто-то обменивается файлами, заполучить конфиденциальную информацию обоих пользователей. Официально опубликованной была эта дыра лишь в конце 2021 года, потому актуалочка что-ли.
Здесь все дело в начальной стадии передачи, когда устройства пытаются понять находятся ли их мобильные номера в списке контактов или же почты, потому отправляют пакет AWDL (Apple Wireless Direct Link), который содержит в себе всю необходимую информацию как: технические характеристики,номера телефонов, идентификаторы Apple ID, адреса электронной почты. Конечно в 2019 году это шифровалось с помощью SHA256, вроде так и осталось кстати, но что такое этот тип шифрования? Я могу вбить в гугле “дешифратор SHA256” и легко узнать ваши персональные данные.
И чтобы это сделать мне не нужно иметь образование или быть специалистом в какой-то из областей IT, мне достаточно установить Кали и вот этот репозиторий:
Код:
git clone https://github.com/hexway/apple_bleee.git
А ну ещё две сетевые карты с поддержкой мониторинга, в переходе можно купить USB-адаптер за 0 рублей.
Ну и установить все необходимые зависимости для работы:
Код:
sudo apt update && sudo apt install -y bluez libpcap-dev libev-dev libnl-3-dev libnl-genl-3-dev libnl-route-3-dev cmake libbluetooth-dev
git clone https://github.com/seemoo-lab/owl.git && cd ./owl && git submodule update --init && mkdir build && cd build && cmake .. && make && sudo make install && cd ../..
sudo pip3 install -r requirements.txt
Сперва подключим наш адаптер к виртуальной машине, затем в консоли переведем его в режим мониторинга следующей командой:
Код:
sudo iwconfig wlan0 mode monitor && sudo ip link set wlan0 up && sudo owl -i wlan0 -N &
А затем и запустим сам скрипт:
Код:
sudo python3 airdrop_leak.py
Ну, проверить нет на ком, поверим на слово, что где-то есть пользователь с IOS ниже 13-го, а они есть, поверьте.
И дело даже не в этой штуке, было обнаружено ещё несколько десятков похожих уязвимостей, которые связаны с Блютузом, точнее с функцией BLE, через которую устройства обмениваются информацией с ближайшим соседом, при том мы можете даже не пользоваться ничем, но информация все равно будет передана.
И вот эту частоту с легкостью можно прослушивать, представим, что какой-то Денис сидит у вас за стенкой и ожидает когда же вы начнете что-то делать.
В репозитории, который мы уже установили имеется данный скрипт, потому запустим его:
Код:
python3 ble_read_state.py
И как вы можете заметить здесь есть куча функций, вплоть к отправке Imessage на телефон жертвы. SSID, номер телефона. состояние вашего устройства и даже ваше имя с фамилией - перехватить можно все.
А затем мы и вовсе можем запросить обмен паролями, но для этого уже понадобится информация из прошлого скрипта:
Код:
adv_wifi.py [-h] [-p PHONE]
И это как бы вот самая поверхность, лишь один пример, а теперь представьте сколько всего существует и сколько всего ещё не обнаружено. Ни в коем случае не подумайте, что я критикую Айфон, нет. Хорошие телефоны и больше нечего сказать, это была как попытка убедить самого себя, что он мне не нужен. А для себя решайте сами.
Итоги
Так-с, что же, у нас на рассмотрении был первый известный червь для телефонов на базе Симбиан 60. Он рассылал спам, самореплицировался и отправлял голые фотки владельцев инфицированных устройств на обозрение миру. Сказать, что это какой-то беспрецедентный случай? М-м-м, не могу. Такое случилось бы рано или поздно, не все системы совершенны и везде есть дыры.
Пятьсот тысяч пострадавших по всему миру и около 20 миллионов долларов ущерба, неплохо, как для червя на Нокиа. В те времена если и задумывались о безопасности в интернете, то явно не думали, что и их кнопочный кирпич тоже под угрозой. Доверие людей и элементарный фишинг дали свои плоды, сейчас эти методы покажутся абсурдом, но тогда может было и актуально.
А статья подходит ко своему логическому завершению, о Айфонах - отдельная история, которую мы будем развивать в следующих выпусках, может даже куплю себе его специально для статей. Как знать. А с вами был как всегда какой-то парень под ником DeathDay и очередная статья из цикла исторической вирусологии. Не прощаюсь, мира всем.
4.04.2005. CommomWarrior.A.