szukaj

07.08.2014 | 19:01

avatar

Adam Haertle

Zaatakowany badacz odpowiada robiąc zdalnie zdjęcie kamerką hakera

Bardzo często opisujemy kolejne włamania, których ofiarami podają zwykli użytkownicy. Czasem jednak role się odwracają i to włamywacze stają się celami ataków. Taki los spotkał także początkującego chyba hakera, któremu badacz zrobił zdjęcie.

Włamywacz, próbujący rozesłać klienta swojego botnetu, miał pecha, ponieważ jedna z jego wiadomości trafiła na konto Raashida Bhata, badacza złośliwego oprogramowania. Raashid postanowił odpłacić hakerowi pięknym za nadobne, przejął kontrolę nad jego komputerem, zrobił mu zdjęcie wbudowaną kamerą i je opublikował. Całą historię opisał na swoim blogu.

Próba infekcji

Zaczęło się od wiadomości poczty elektronicznej z informacją o rzekomym znalezieniu niedaleko biura odbiorcy ciała jego współpracownika. Do wiadomości oczywiście załączone było „zdjęcie” ciała i prośba o jego rozpoznanie. „Zdjęcie” było plikiem image.scr z ikoną MS Painta. Raashid postanowił przyjrzeć się bliżej przesłanemu plikowi.

Pierwszy rzut oka w IDA wskazał na użycie VBpackera. Po wypakowaniu oryginalnego pliku szybko można było stwierdzić, ze jest to klasyczny klient botnetu Zeus. Plik wykonywalny był tak zmodyfikowany, by nie uruchamiać się w formie rozpakowanej (sztuczka mająca być może zachęcić botmasterów do zakupu usługi szyfrowania i pakowania plików). Dla Raashida nie było to jednak dużą przeszkodą – na blogu opisuje krok po kroku sposób działania zabezpieczenia opartego na prostym szyfrowaniu i jak je ominął.

Hakowanie hakera

Kiedy już posiadał działający plik binarny Zeusa postanowił sprawdzić, czy przez przypadek serwer C&C botnetu nie jest podatny na zdalne wykonanie kodu. Jest to podatność odkryta i opisana w roku 2010 a polega na dość banalnym ominięciu filtrów w procesie przesyłania na serwer danych od klienta botnetu. Zamiast spisu haseł użytkownika można przesłać plik PHP np. dodając do jego nazwy na końcu pojedynczą kropkę, a plik zostanie wykonany na serwerze.

Aby przeprowadzić proces ataku trzeba znać klucz RC4, szyfrujący komunikację oraz adres podatnego serwera C&C. Obie dane można otrzymać po rozkodowaniu pliku konfiguracyjnego klienta botnetu. Dalszy ciąg ataku ułatwia fakt, że inny badacz, Xylitol, zbudował odpowiednie narzędzie automatyzujące uzyskanie zdalnego dostępu do powłoki na atakowanym serwerze. Po przejęciu kontroli nad serwerem wystarczy już tylko podłożyć odpowiedni moduł Metasploitu w panelu logowania (zapewne wykorzystujący błędy w przeglądarce ofiary) i poczekać na wizytę botmastera.

Uśmiechnij się, jesteś w ukrytej kamerze

Raashid uzyskał dostęp do komputera ofiary i dzięki Meterpreterowi wykonał zdjęcie hakera, który próbował zainfekować jego komputer.

Zdjęcie botmastera

Zdjęcie botmastera

Zdjęcie może nie jest najwyższej jakości (pewnie ze względu na duży kontrast…) ale stanowi bez wątpienia ładny element kolekcji trofeów badacza złośliwego oprogramowania. Co ciekawe podobny atak niecałe dwa lata temu udało się przeprowadzić gruzińskim badaczom, którzy sfotografowali atakującego ich rosyjskiego hakera.

Za link dziękujemy Adamowi

Powrót

Komentarze

  • avatar
    2014.08.07 19:47 Michal

    Dobry artykuł Adam, dlatego wole czytać was niż tego nieb.. szkoda gadać jakie artykuły tworzą..

    Odpowiedz
    • avatar
      2014.08.07 21:05 Polsilver

      Przynajmniej nie usuwają niewygodnych artykułów jak ten o wycieku plików Allegro.

      Odpowiedz
      • avatar
        2014.08.07 21:07 Adam

        A ktoś usuwa?

        Odpowiedz
    • avatar
      2014.08.07 21:20 c.

      absolutnie sie zgadzam. konkurencja czasami przypomina „onet”

      Odpowiedz
      • avatar
        2014.08.07 22:46 wakacje

        Oj tam. Niekoniecznik czesto w mainstreamie bryluje, szczegolnie upodobal go sobie krakowski TVN. Z3S cenie za merytoryczne artykuly, bedace co prawda przedrukami zagranicznych oublikacji, jednak wymagajacych odpowiedniego poziomu wiedzy.

        Odpowiedz
    • avatar
      2014.08.08 00:40 Duży Pies

      Aż tak źle o „Niebezpieczniku” bym nie powiedział. Dobrze że są różne strony i fora, mające różne charaktery. Dobrze że jest „Niebezpiecznik” i „Z3S”. Różnorodność jest fajna. Często daje perspektywę, nieosiągalną przy tylko jednym źródle informacji.

      Oprócz w/w, lubię i cenię także:
      1) http://nfsec.pl/
      2) https://badsector.pl/
      3) http://wampir.mroczna-zaloga.org/

      Odpowiedz
      • avatar
        2014.08.08 11:50 JackN

        Ja polecam jeszcze http://sekurak.pl , artykuły nie codziennie, za to zazwyczaj obszerne i ciekawe.

        Odpowiedz
        • avatar
          2014.08.08 15:36 Duży Pies

          Oczywiście że znam Sekuraka! Zapomniałem go dodać, za co bardzo Sekuraka przepraszam, bo to bardzo merytoryczny portal.

          Odpowiedz
    • avatar
      2014.08.08 09:15 bezpiecznik

      niebezpiecznik = „pudelek IT” :)

      Odpowiedz
      • avatar
        2014.08.08 16:12 marsjaninzmarsa

        Nieeeee, Pudelkiem IT jest Spider’sWeb. :D

        Odpowiedz
  • avatar
    2014.08.07 22:08 Radek

    @Michal
    @c.
    Nic konstruktywnego ale od razu złośliwości, walka i próba dowalenia.
    Dlaczego w tym kraju tak jest?!

    Odpowiedz
    • avatar
      2014.08.07 22:33 Michal

      Drogi Radku zauważ że mogę mieć swoje zdanie . Nieb.. oraz Zaufanatrzecia strona działają w tej samej branży jednak gdy zestawimy ich wkład oraz poziom artykułów to w mojej ocenie zaufanatrzeciastrona jest lepsza. Tak z logicznego punktu widzenia jak mogę komuś dowalić skoro zestawiam dwie strony i skoro jedna strona tworzy coś bardziej branżowego to dlaczego jej nie docenić i litować się nad inną stroną ? Podoba Ci się tam to czytaj tam . Ja nie zaglądam do nich bo wole tutaj dowiedzieć się czegoś . Adam to klarowniej przedstawia . Jeśli Cie uraziłem to proponuje narzekać dalej jak typowy Polak .

      Odpowiedz
    • avatar
      2014.08.08 07:45 stefan

      To przez Tuska. Przykład idzie z góry…

      Odpowiedz
      • avatar
        2014.08.08 11:52 JackN

        Trzeba wreszcie odsunąć ten PiS od władzy …

        Odpowiedz
  • avatar
    2014.08.07 23:43 dzk

    na nieb… kilka razy usuwali komenty, w których czarno na białym wykazywałem hipokryzję w pewnym temacie. rzecz dotyczyła byłego ministra piętaka, ale oczywiście konieczny uznał, że ocenzurować będzie fajniej. dno, i metr mułu.
    od tamtej pory nie zaglądam tam, i nie zajrzę. pozostała mi z3s, i wcale się z tego powodu nie martwię.

    Odpowiedz
    • avatar
      2014.08.08 11:53 JackN

      Moje komentarze na tym drugim portalu regularnie znikają. A w zasadzie się nie pojawiają. Tak po 3-5 w tygodniu. Przestałem w sumie pisać, jak sobie policzyłem ile czasu zmarnowałem na komcie, które nikomu nic nie dały :)

      Odpowiedz
    • avatar
      2014.08.11 18:05 steppe

      Kilka razy to i tak mało jak na nich ;)

      Odpowiedz
  • avatar
    2014.08.08 09:02 Ninja

    „pewnie ze względu na duży kontrast…”

    Hahahaha.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Zaatakowany badacz odpowiada robiąc zdalnie zdjęcie kamerką hakera

Komentarze