Добрый день дорогие читатели.
И снова ... в строю сарафанное радио. После долгого перерыва по известным вам обстоятельствам я решил тряхнуть стариной и написать небольшой разминочный обзор.
Блок ностальгии:
Многое изменилось за эти годы. Я не тот, форум не тот, друзей и коллег осталось совсем мало. И очень тяжело сейчас все вспоминать. Радует несомненно то, что наше дело продолжает жить в годах. Что нашлись люди готовые и способные продолжать этот труд. А я/мы... Ну кто кроме нас
Так что собираем сопли в крепкий мужской кулак, выдавливаем концентрат грубых мужских эмоций на чистый лист и понеслось.
О чем обзор:
На обзоре у нас сегодня стиллер под название КРОТ.
Оффициальный топик
Краткое описание:
Установка:
Тут писать особенно не о чем. Заливаем файлы на сервак. Создаем пользователя и базу данных. Заливаем дамп. Задаем в конфиге логин и md5(пароль) + ключик шифрования. Не забываем расставить права на папки и файлы согласно мануала.
Ну и вуаля. Перед нами админка Крота.
Анализ бинарника от Quake3:
Семпл весит 77.5кб, ничем не упакован, Peid почему-то считает, что софт написан на дельфи аж 3ьей версии , чего конечно же быть не может. Загружаем в exeinfope - показывает, что написано на Visual Studio 2015, что является более правдоподобным, т.к. автор пишет на Си.
В хидере файла указано, что запускатся он должен с NT 5.1 (т.е. начиная с ХР) и он действительно там работает. Поддержка ХР , с одной стороны, может и мало кому нужна, с другой - мало ли, какая еще машина в трафе попадется. Импорта нет, точнее только 1 апи, которая к функционалу стиллера не особо относится.
Загружаем файл в IDA. Большинство строк пошифровано, к этому вернемся позже. Из открытого - строки либы SQLITE, и какой-то ip-адрес . Сначала я думал, что это путь к админке, но это dns сервер для резольва .bit доменов.
Переходим к коду, общая структура программы такова:
Первая функция просто получает адрес РЕВ и сохраняет в переменную, это пригодится дальше. Далее, происходит расшифровка строк с помощью такого алгоритма:
Декриптятся имена библиотек (wininet,winsock,dnsapi,crypt32 и т.д.), которые дальше загружаются с помощью LoadLibraryEx. Поиск апи идет по хешам, заполняется структура с именами апи, после чего идет работа. Проверяется текущая локаль винды, если это СНГшная машина, софт самоудаляется (через cmd /c del ..). В противном случае стиллер делает свою основную работу, т.е. сбор инфы с браузеров и программ, установленых на компе. Работа с бд фаерфокса идет без скачивания доп. либ с админки (как было в азоре), парсер SQLITE реализован выборочно, т.е. софт не линкуется с огромным sqlite3.с (как видар). После отправки инфы в админку софт удаляет себя. Эксплоитов, обходов или иных способов поднимать привилегии в системе нет. Обходы UAC нет. Тихая работа обеспечивается исключительно за счет того, что бинарник не лезет куда не положено и не дергает никаких системных библиотек или вызовов.
Подготовка к тестированию:
Гребанная фигня. ...... {тут была куча матов}. Дольше всего я мудохался с настройкой виртуалок под это дело. Казалось бы - ничего сложного. Да и виртуалки были под рукой. Но вот автор изменил способ идентификации. Например, ранее пункт (не работает по РУ) действовал в зависимости от наличия русской раскладки в системе. А вот нынче он не раскладку ищет, а читает локализацию. Пришлось грустно закрыть имеющиеся виртуалки и заново накатить две системы. Более суток они дружно тянули обновления. И обновлялись. Казалось бы.... можно найти ситему с кумулятивными обновлениями. Но нет. Мы же с вами за честные тесты. Я скачал с офф сайта msdn образы. Установил. Обновил. Думал постарею за это время. Уффф. Выговорился.
Далее накатывался софт. Для теста я решил обкатать следующие пункты описания:
сбор данных с эксплорера
сбор данных с хрома
сбор данных с огнелиса
сбор данных с файлзиллы
сбор данных с тоталкоммандера (портативная версия)
сбор данных RDP
сбор данных electrum (портативныя версия)
сбор данных psi+ (портативныя версия)
На десятку бонусом поставил winscp
Тестирование:
На виртуалках запускался чистый выданный билд, размером 78,848 байт.
Первый тест - запуск на windows7 x64 от обычного пользователя.
Стартуем ииииии хрен там. Нет. Не совсем хрен. Алертов нет. Вообще никаких. Репорт в админке появляется. А вот в нем только данные с браузеров.
Идем к автору. Выясняется что в админке отображаются только пароли с браузеров. Нужно качать архив и в нем будет все остальное. По ходу еще выяснилось, что я не правильно установил права на каталоги. Странно, все делал по мануалу. Лады. Переделал все и запустил снова. Видим что появилась ссылка на скрин и на архив. Открываем архив = в нем только filezilla и браузеры. А где остальное???? Например "wallet.dat рекурсией".
Оказывается если юзать портабл версии то ничего не находит. Ладно. перебиваем еще раз софт на виртуалке. Тотал только не перебивал. Итак времени убил знатно.
Повторный запуск принес нам:
Пароли Firefox
Пароли CHrome
Пароли IE
Пароли Filezilla
Пароли PSI+
Файл default_wallet.dat
Нет в списке:
Totalcommander (это нормально. Тотал я оставил портабл)
RDP
Бонусом в архиве лежит скриншот экрана. Ну ок. Пароли верные. Куки даже лежат сохраненные в текстовые файлы.
Тест2 Win7 x64 админская учетка:
Перед тестом удалил все логи пришедшие ранее. Что бы просто не путаться.
Ситуация полностью повторилась. Специально перед стартом открыл rdp соединение что бы было видно, что оно сохранено в системе.
Хотя нет. Есть еще замеченный косяк. В админке отображает, что я пользователь. Хотя данный пользователь в группе админов.
Тест3 win10 x64 пользовательский аккаунт
Ну для начала у нас среагировал Defender. Смотрим скрины.
Ну да бог с ним. Файл не криптован. Допускаем.
Прилетает отчет в админку.
Пришло:
Firefox
CHrome
IE
Filezilla
PSI+
default_wallet.dat
Не пришло:
Totalcommander (это нормально. Тотал я оставил портабл)
RDP
WinSCP
Что интересно - куки из Microsoft edge не прилетают.
Тест4 win10 x64 админский аккаунт
О чудо! Появился winscp.
RDP так и не появились. Как не измелилась ошибка с определением роли пользователя в системе. Скрин сделан самим кротом.
Вот так выглядит архив-отчет со стиллера.
Специально после этого отчета загрузил еще раз кастрированного пользователя и проверил, а не забыл ли я в winscp сохранить учетку. Даже завел заново и повторил прошлый тест. ХренТоБЕ.
{Злобный смех за кадром!!!} Теперь я могу закрыть эти гребанные виртуалки и выдать коричневые комочки правды всем желающим!
1. Вот скажите мне друзья хорошие. Нахрена давать панельке адрес вида http://site.com/Ksdd239ty23h/тут_файлы ??? (а это требование автора)
Вы действительно считаете, что это помогает хоть как-то скрыть админку от посторонних глаз? Да я вам сразу скажу "Хрен там!". Давайте разбираться почему. От тупого пользователя или скана директорий это действительно скрывает админку. Ну мало шансов, что при скане папок кто-то будет искать каталог вида Ksdd239ty23h. Но у вас вобще часто сканят что-то кроме phpmyadmin и его разновидностей? Да и от аверов это ни капельки не скрывает ровным счетом ничего. Авер отследит запрос из системной функции и тут же отправит его в виде отчета для анализа в конторку. Пааабам. Вам трындец. Потому что не нужно иметь семи пядей во лбу, что-бы определить, что за софт юзается просто по форме автризации и ответам на стандартные имена файлов. На этом моменте вам выдают красную карточку в виде абузы и блока в браузерах.
2. Объясните мне убогому, зачем нужна админка в которой можно смотреть только пароли от браузеров? Ну вам же прилетают текстовые файлы. Ну распарсите их. Делов-то на пару часов. Возвращаемся к консоли и парсим десятки файлов? Нда. Прогресс ушел в регресс. А я пошел плакать в подушку
((3. Ни о какой полноте поиска и сбора данных говорить не приходится. Все что не в %localappdata%, %appdata% не найдется. Продукт рассчитан на хомячков.
4. Хотя нахрапом найти уязвимость в админке не вышло - жопой чую, что она есть. При таких параметрах передаваемых в адресной строке-то...
5. Вот тут хотел прямо по косточкам разнести продукт, но во-время остановился, дабы быть объективным. Остановила меня фраза Quake о том, что это лучший продукт на рынке!!! Остальные и того хуже!!! У меня мозг разорвало и потекла скупая мужская слеза. Где наши умельцы? Где наш уровень? Куда блин мы катимся? Если это лучшее - то хвалебной русской сцене и "русским хакерам" откровенный писец пришел. У меня еще теплится надежда, что действительно годные продукты есть, просто не в паблике. Но с другой стороны - а где же те приваты? Я повостанавливал аккаунты почти на всех форумах где был ранее. И знаете что? Нет там нихрена. Ситуция еще хуже чем на экс дамаге. Здесь хоть какой-то движняк еще присутствует.
Теперь о хорошем.
- Продукт реально работает. Не идеально, не прямо "ВАХ", но работает и возразить тут нечего. (Как сказал один мой знакомый: "Чего ты доебался? Ну работает же!")
- Шифрование данных кое-какое есть.
- Сам бинарник сделан не плохо. Работает тихо, строки пошифрованы. Размер файла вменяемый.
- Поддержка ssl/tls имеется.
- Отличная цена.
Отдельная благодарность Quake3, который провел анализ бинарника и является соавтором обзора!
p.s. by Ar3s специально для xss.pro (ex damagelab.org). Все персонажи выдуманы. Все совпадения случайны. В результате написания обзора не пострадал ни один хомяк.
Последнее редактирование:
