Статья TeamViewer encryption tvr.cfg или разбор конфигурации TeamSpy

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Уже не впервой хакеры используют для взлома и удаленного управления готовые программы, которые модернизируют для своих задач, раньше да и сейчас это:

Radmin, DameWare, Omniquad Instant Remote Control, Remote Desktop Control, Remote Desktop Professional, Hidden Administrator, Activity Monitor, Ideal Administrator, Atelier Web Remote Commander, Удаленный рабочий стол Chrome, RDP Wrapper, RMS, AeroAdmin, AnyDesk, Supremo Remote Desktop, Splashtop Streamer, RemotePC, Access Remote PC, Remote Utilities, RealVNC, UltraVnc, TightVNC for Windows, Ammyy Admin, TeamViewer и.т.д

Так же и вирусо-писатели не отстают, и так как в программах уже предусмотрены и VPN подключения им остается только направить соединения своих детищ к C&C servers или спрятаться в vpn на dedicated server или любом VDS (на арендованном или захваченном чужом оборудовании).

Вопрос возникает как можно увидеть в программе удаленного доступа конфигурацию для соединения с сервером C&C (командным).
Рассмотрим TeamViewer(TeamSpy), в нём несут эту информацию файлы:

"tv.cfg" - чаще можно встретить с malware и просто так его голыми руками не взять, с такими малварями разобрался насколько мне известно Румынский центр Касперского - но мне не повезло и за два месяца общения они не смогли выделить времени для совместного исследования, ну или просто не захотели делиться опытом.
Подробнее (28 стр.);
"tvr.cfg" - вот это чаще используют "хакеры".
Подробнее (пункт: Файл конфигурации).
Код:
C:\Python37-32>python.exe TWR.py tvr.cfg
29349

Python:
import sys

fdata = open(sys.argv[1], 'rb').read()
res = []

password = 'TeamViewer'

res = ""
for cnt1 in range(0, len(fdata)):
    val = 0
    for cnt2 in range(0, len(password)):
        val ^= ord(password[cnt2]) + cnt1 * cnt2
    res += chr(ord(chr(fdata[cnt1])) ^ (val& 0xff) )
print (res)
В прикрепленном файле "TeamViewer encryption tvr.cfg.zip":
tvr_decrypt.py - старая версия Python;
TWR.py - новая версия Python;
TWR2.py - новая версия Python с возможностью ввода пути.
Благодарен за помощь нашего Unison (за переделку для Python 3.7) и еще человечку Foresight за внесение удобства и изменений TWR2.py
 

Вложения

Последнее редактирование:
Мы в соцсетях: