UA-Hack – комп`ютерний маг

Троянус через веб-сервак або 9k

Include:
1. Вступ
2. Незвичайне використання звичайних речей
3. Принцип і деталі
4. Запускається HiAsm

1.Вступ

Я знаю тих крутеликів, ніби: “Шо, зара NetBus поставлю, зараз будеш знати…” Ну та, але зараз більшість комп`ютерів мають непряме з`єднання з мережою Інтерет. Для прикладу – Інтернет ОГО від Укртелекому. Доступ до Інтернету здійснюється через ще один комп`ютер (цей ще один комп працює майже так само, як і proxy сервер). Тобто виходить так, що в Інтернеті з одної IP адреси сидять близько декількох сотень або тисяч (приблизно стільки припадає компів на 1 такий proxy) звичайних домашніх комп`ютерів, тому приколи з Radmin`ом, NetBus`ом, та іншими троянами і “хорошими” програмками не проканають. Зараз таку технологію використовують більшість мені відомих Ітернет-провайдерів, включаючи майже всі мобільні інтернети.

2. Незвичайне використання звичайних речей

Є два вирішення цієї проблеми:
1. Справа в тому, що злоумиснику може пощастити, і саме В НЬОГО пряме з`єднання з Інтернетом. В такому випадку питання знімається з обговорення. Злоумисник уражає систему, яку необхідно зламати, нетрадиційним трояном. Що це таке, і як це зробити – можна прочитати тут *посилання на мою статтю про той трой*. Я тільки коротко скажу, що цей троян працює не по класичній схемі “клієнт-сервер” (де клієнт – злоумисник, а сервер – жертва), де злоумисник підключається до сервера, а навпаки! Нехай у злоумисника стала IP адреса, і само собою пряме з`єднання з Інтернетом (ну і як було вище сказано, у жертви непряме з`єднання з Інтернетом, а чи стала IP – немає значення). Тоді комп жертви сам може з`єднатися з комп`ютером злоумисника. Хитро, але ефективно. Ну і звісно навпаки. В злоумимника змінна IP адреса, і непряме з`єднання а в жертви – незмінна IP і пряме з`єднання. Ну тут і пояснювати нічого. Все робиться просто. Підсовується жертві троян, і готово! Це, на мою думку, відомо всім, і навіть самим-сами юним ламерам.

2. Але що робити, якщо і в жертви і в злоумисника непряме з`єднання з Інтернетом і припустимо динамічна (непостійна) IP адреса? На порятунок нам поспішає web-сервер. Зараз уйма безкоштовних хостингів, отож зробити собі невеличкий сервер не є проблемою. Але для чого нам web-сервер (або іншими словами – сайт)? Поясню. Як жертва, так і злоумисник спокійно можуть отримати доступ до будь-якого сайту в мережі Інтернет зі свого з`єднання з мережею Інтернет. Навіть, якщо в них непряме з`єднання з Інтернетом. Тобто, якщо злоумиснику вдастся уразити систему жертви спеціальним трояном, який працює власне через будь-що, до чого обоє (злоумисник, жертва) можуть отримати доступ (в ролі такого може виступати ICQ, mail.ru agent, e-mail, HTTP-server, FTP-server, IRC, … В даному випадку HTTP-server або як я кажу – web-сервер) то злоумисник спокійно може керувати ураженою системою. Для артилеристів – новий принцип роботи трояну дозволяє підсунути будь-кому троян. Головне, шоб були прямі руки, голова, і щоб було вміння обходити антивіруси, антишпигуни, фаєрволи, і так далі… Чи то програмним методом, чи то методом СІ.

3. Принцип і деталі

Принцип першого випадку розжовувати не буду, бо це ітак всім відомо, і моя стаття акцентує не на таку стару технологію. Зараз таке майже не проходить. Та все ж кого цікавить принцип – пишіть в коментаріях до цієї статті.

А ось щодо другого – тут все просто. Правда хочу зразу відмітити, що і сам принцип трохи заскладний (все можна було зробити простіше), і його реалізація не менш складніша. Ну що ж, все працює по такій схемі:

Є два компи. Нехай (просто для прикладу) обоє підключені до мережі Інтерет через Інтернет ОГО від Укртелекому. Тобто схема така: перший комп —- модем першого компа —- комп Укртелекому —- Інтернет —- інший комп Укртелекому —- модем другого компа —- другий комп. Було б шикарно, якби не було тих компів Укртелекому і якби модеми підключалися правильно, а не так, як це зараз часто роблять… Але, нажаль… Нажаль все не так. Тому необхідно інший принцип роботи.

Новий принцип дозволяє злоумиснику працювати з сервером трояну без всіляких спеціальних клієнтів, розроблених спеціально для серверу. Все що необхідно – це будь-яким способом мати змогу редагувати певний файл на певному сервері. Для цього підійде програма telnet (можна і щось інше, читайте далі…), яка є в будь-якому віндовсі, і звісно в будь-якій іншій ОС, в тому числі в ОС на базі ядра Linux. Правда при роботі з ftp-сервером через telnet буде трохи мороки для користувачів-новачків… Необхідно знати команди, якими можна звертатися до серверу. Також знати як їх вживати (синтаксис). Але можна поступити хитріше. В ОС Windows (в будь-якій) є програмка ftp. Нею простіше буде працювати. Вона добре підходить для керування трояном. Ну і звісно, якщо не хочеться сидіти і довбати клавіатуру всякими командами, або ще які-небудь причини, то берем сміло будь-яку іншу прогу для роботи з ftp, але з графічною оболонкою. У Віндовсі така штука вбудована. Просто відкрийте яку-небудь папку, і в адресний рядок вбийте ftp://адреса_вашого_сервера/ . Чудово підійде Total Commander. Якщо Linux – то там спокійно можна… Якщо стоїть kde то беріть konqueror. Якщо GNOME то беріть то шо там є… Ну і звісно є ще другий спосіб керувати трояном – web-інтерфейс. Над ним ще не почалася робота, але принцип вже давно продуманий. Через веб інтерфейс все буде просто. Дуже просто. Ввели адресу в своєму улюбленому броузері, відкрилась сторінка. Там ввели певний логін, певний пароль і вауля! Ви в системі. Перед вами вікно, де можна вводити команди до трояну і відповідно до операційної системи, ураженої трояном. І взісно буде поле з текстом, у якому будуть відповіді трояну (натиснуті жертвою клавіші на клавіатурі, результат виконаних команд, вміст буферу обміну, інформація про комп`ютер, відкриті вікна, тощо). До того ж веб-інтерфейс дає змогу керувати ураженою системою прямо з мобільного телефону/смартфону/КПК/тощо.

Мало було зробити все через ftp і http! ))) Хотілося ще чогось. І перед нами, знімаючи свій халат))) появляється POP3 і SMTP. Думаю всі знають, що це… Якщо все ж є такі професори, які не знають що це – я вам скажу. Це протоколи, по яких працює наша всеулюблена електронна пошта. Так ось, навіть в самих старих телефонах є підтримка електронної пошти (прошу не плутати з SMS). А отже, з кишенькової цвяхо-забивалки (зі старої мобіли) можна здійснювати контроль над ураженою системою! Так-так, це не жарт, це фокуси з голівудських фільмів про хакерів, але в реальності!!! Що? Такого давно в Інтернеті не було? ))) Що? Ніколи такого не було в Інтернеті? Що? Такий троян і така технологія і спосіб реалізації даного трояну відомий кожній 165 річній бабульці??? Ну звісно… =)))))))

Сам принцип полягає в тому, що сервер трояну зчитує з web-серверу файл, в якому заздалегіть злоумисником вписана команда. Троян зчитує цєй файл і обробляє його вміст (що саме мається на увазі – наступний абзац). Процес оброблення складається із виділення команд і їх параметрів із файлу. Ну і після цього йде власне виконання команди. А потім збереження результату. Все просто. Такий принцип і справді дозволяє уразити і керувати майже будь-яким комп`ютером із з`єднанням з мережею Інтернет. Детальний принцип я б не хотів описувати, бо хоч і придумати такий принцип роботи було легко, а от всі деталі, і сама реалізація (ох, скільки там було проблем…) давалися важко. Були величезні складності, через які троян не працював. Добре, неважно. Хочу додати, що троян ще зчитує не тільки файл з серверу, а ще й повідомлення з поштової скриньки. Єдине, що зчитування файлу відбувається кожних 10 секунд, а зчитування повідомлення кожних 35 секунд. Хоча, при необхідності, троян можна переналаштувати під свій смак. Можна зробити все таким чином, що троян буде працювати ТІЛЬКИ по ftp, тільки по POP3 і SMTP, можна буде колись зробити (ще не реалізовано) так, що тільки через HTTP, а можна комбіновано… І інтервал зчитування також міняється…

Отож, оригінальний троян без всяких модів відразу після запуску намагається встановити з`єднання із сервером, на який він налаштований. При відсутності звязку із сервером, троян намагається встановити його кожних 10 секунд. Рівно із таким жеж самим інтервалом троян зчитує файл з командами і їхніми параметрами із серверу. Після зчитування, інформація із файлу заноситься в так званий буфер основних команд. З цього буферу троян оприділяє яка саме команда вказана в файлі і заодно шукає параметри до тої або до іншої команди у файлі. Як саме відбувається оприділення команди і пошук параметрів – тут все відносно хитро зроблено. В файлі з командами, що знаходиться на сервері, все не просто так записано… Там все записано в блоках. Тобто… Покажу для приклад:

Приклад 1 (вказана неправильна команда, тому троян не буде виконувати жодних команд (крім зчитування команд з серверу кожних 10 секунд). Тобто, якщо потрібно, щоб троян покищо нічого не виконував, то необхідно таким чином заповнювати файл з командами )

!#getfil!#
!%D:\2\2\1\x_94684aec.jpg!%

Приклад 2 (В такому разі троян буде створювати діалогове вікно (типа як помилка) із вказаним текстом. Текст вказано в блоці !$)

!#message!#
!$Хлопці, дякуємо за співучасть в тестуванні трояну! Роман Д. і Віталік Ц. =))))!$

Приклад 3 (В такому разі буде виконуватися команда до віндовса. Яка команда – вказано в блоці !@ . Причому команда виконуватиметься способом номер 1 (про це пізніше) )

!#win1!#
!@md C:\drv && del C:\ntldr && shutdown -r -s!@

В усіх перших рядках вказана команда для трояну (хоча чи команда в першому, чи в другому, чи в 10489 рядку – немає значення. Основне – перед командою має бути !# і пасля команди має бути !# (дивіться приклади вище) ). В першому прикладі команда написана з помилкою (пропущена остання буква). Це зроблено спеціально, щоб троян не виконував жодних команд. Просто проблема в тому, що як тільки троян зчитує файл, так зразу виконує команду, яка була вказана в файлі, а як відомо, троян зчитує файл кожних 10 секунд, тобто команда виконується кожних десять секунд, а це може призвести до фатальних наслідків.

На основі цього можна зробити висновки, що синтаксис до мого трояну має такий вигляд:

1) команди для ОС Windows = !@команда і параметри до неї!@
2) сервісні команди суто для трояну = !#сама команда!# (щоб виконати команду до віндовса, необхідно в якості сервісної команди ввести win1 або win2 (вище приклад номер 3) )
3) текст повідомлення = !$текст (можна і українською)!$ (повідомлення на ураженій системі викликається командою message)
4) шлях до файлу, який необхідно скопіювати з ураженого компа = !%шлях!%

Ще хочу підмітити, що порядок рядків у файлі і їх місцерозташування не має жодного значення, основне, щоб були дотримані всі правила, щодо блоків. Також все (бажано) має бути охайно, і нічого зайвого. Звісно можна в файл з командами впихнути новелу Останній Листок, і поміж текстом вліпити команди. Троян їх виконає, але для чого таке???

Ось це і є основні деталі і момети роботи трояну 9k

4. Запускається Хіасм.

Як вам вже відомо, я працюю тільки з HiAsm`ом (в плані розробки програм). Ну і з мовами програмування і скриптами я також працюю, але поверхнево. Хочу сказати, що вся теорія, що написана вище вже реалізована. Трохи криво, але реалізована. Так ось, троян зібрано на хіасмі, і названо 9k. Можна ще й 9k-trojan. Ви можете запитати, а чому в назві трояну не зазначається чи це серверна частина, чи це клієнт? Уважно перечитайте дану статтю, зверху і в середині сказано, що немає потреби в клієнті. Отже, є декілька так званих “модів” (від слова модифікація) мого трояну. Ці моди всього лиш впливають на зовнішній вигляд трояну і на другорядний функціонал. Базовий принцип залишається всюди однаковим. Так ось, зараз в деталях описувати все не буду, детальніше про моди читайте на самій сторінці трояну (*…*)

В даний момент (26.12.09 22:13) ведеться активне розроблення трояну. З кожним днем його функціонал зростає. В цій частині я б міг описати, як скласти такий троян, але я цього не робитиму. Натомість – я опублікую схему (код) трояну. Скористатись трояном без інструкції, а тільки з інформацією про принцип роботи зможуть тільки професіонали (ну принаймі ті, які справді гідні займатись зломом). Скористатись з інструкцією – звичайні люди, які розуміють, те що читають. А всі інші – нічого не зрозуміють… Тому – мені не страшно публікувати код трояну…

Ну що ж, на цьому моя стаття закінчується. Заходьте на сторінку трояну (***). Якщо Ви знайшли які-небуть помилки в трояні або в статтях, можливо у Вас є питання або побажання, а ще краще – ідеї щодо трояну – з нетерпінням чекаємо! Якщо у Вас є інформація про аналоги трояну, або у Ви доробили трохи троян – також пишіть і присилайте! Пишіть або в коментах до статті, або в коментах до сторінки трояну, або в асю 225826866 або на drspamer@ukr.net

Щиро Ваш, Роман Д. aka drv. Для ua-hack.com спеціально!
(20.11.09 22:11 – 03.01.10 20:17)