07.08.2014 | 19:01

Adam Haertle

Zaatakowany badacz odpowiada robiąc zdalnie zdjęcie kamerką hakera

Bardzo często opisujemy kolejne włamania, których ofiarami podają zwykli użytkownicy. Czasem jednak role się odwracają i to włamywacze stają się celami ataków. Taki los spotkał także początkującego chyba hakera, któremu badacz zrobił zdjęcie.

Włamywacz, próbujący rozesłać klienta swojego botnetu, miał pecha, ponieważ jedna z jego wiadomości trafiła na konto Raashida Bhata, badacza złośliwego oprogramowania. Raashid postanowił odpłacić hakerowi pięknym za nadobne, przejął kontrolę nad jego komputerem, zrobił mu zdjęcie wbudowaną kamerą i je opublikował. Całą historię opisał na swoim blogu.

Próba infekcji

Zaczęło się od wiadomości poczty elektronicznej z informacją o rzekomym znalezieniu niedaleko biura odbiorcy ciała jego współpracownika. Do wiadomości oczywiście załączone było „zdjęcie” ciała i prośba o jego rozpoznanie. „Zdjęcie” było plikiem image.scr z ikoną MS Painta. Raashid postanowił przyjrzeć się bliżej przesłanemu plikowi.

Pierwszy rzut oka w IDA wskazał na użycie VBpackera. Po wypakowaniu oryginalnego pliku szybko można było stwierdzić, ze jest to klasyczny klient botnetu Zeus. Plik wykonywalny był tak zmodyfikowany, by nie uruchamiać się w formie rozpakowanej (sztuczka mająca być może zachęcić botmasterów do zakupu usługi szyfrowania i pakowania plików). Dla Raashida nie było to jednak dużą przeszkodą – na blogu opisuje krok po kroku sposób działania zabezpieczenia opartego na prostym szyfrowaniu i jak je ominął.

Hakowanie hakera

Kiedy już posiadał działający plik binarny Zeusa postanowił sprawdzić, czy przez przypadek serwer C&C botnetu nie jest podatny na zdalne wykonanie kodu. Jest to podatność odkryta i opisana w roku 2010 a polega na dość banalnym ominięciu filtrów w procesie przesyłania na serwer danych od klienta botnetu. Zamiast spisu haseł użytkownika można przesłać plik PHP np. dodając do jego nazwy na końcu pojedynczą kropkę, a plik zostanie wykonany na serwerze.

Aby przeprowadzić proces ataku trzeba znać klucz RC4, szyfrujący komunikację oraz adres podatnego serwera C&C. Obie dane można otrzymać po rozkodowaniu pliku konfiguracyjnego klienta botnetu. Dalszy ciąg ataku ułatwia fakt, że inny badacz, Xylitol, zbudował odpowiednie narzędzie automatyzujące uzyskanie zdalnego dostępu do powłoki na atakowanym serwerze. Po przejęciu kontroli nad serwerem wystarczy już tylko podłożyć odpowiedni moduł Metasploitu w panelu logowania (zapewne wykorzystujący błędy w przeglądarce ofiary) i poczekać na wizytę botmastera.

Uśmiechnij się, jesteś w ukrytej kamerze

Raashid uzyskał dostęp do komputera ofiary i dzięki Meterpreterowi wykonał zdjęcie hakera, który próbował zainfekować jego komputer.

Zdjęcie botmastera

Zdjęcie botmastera

Zdjęcie może nie jest najwyższej jakości (pewnie ze względu na duży kontrast…) ale stanowi bez wątpienia ładny element kolekcji trofeów badacza złośliwego oprogramowania. Co ciekawe podobny atak niecałe dwa lata temu udało się przeprowadzić gruzińskim badaczom, którzy sfotografowali atakującego ich rosyjskiego hakera.

Za link dziękujemy Adamowi

Powrót

Komentarze

  • 2014.08.07 19:47 Michal

    Dobry artykuł Adam, dlatego wole czytać was niż tego nieb.. szkoda gadać jakie artykuły tworzą..

    Odpowiedz
    • 2014.08.07 21:05 Polsilver

      Przynajmniej nie usuwają niewygodnych artykułów jak ten o wycieku plików Allegro.

      Odpowiedz
      • 2014.08.07 21:07 Adam

        A ktoś usuwa?

        Odpowiedz
    • 2014.08.07 21:20 c.

      absolutnie sie zgadzam. konkurencja czasami przypomina „onet”

      Odpowiedz
      • 2014.08.07 22:46 wakacje

        Oj tam. Niekoniecznik czesto w mainstreamie bryluje, szczegolnie upodobal go sobie krakowski TVN. Z3S cenie za merytoryczne artykuly, bedace co prawda przedrukami zagranicznych oublikacji, jednak wymagajacych odpowiedniego poziomu wiedzy.

        Odpowiedz
    • 2014.08.08 00:40 Duży Pies

      Aż tak źle o „Niebezpieczniku” bym nie powiedział. Dobrze że są różne strony i fora, mające różne charaktery. Dobrze że jest „Niebezpiecznik” i „Z3S”. Różnorodność jest fajna. Często daje perspektywę, nieosiągalną przy tylko jednym źródle informacji.

      Oprócz w/w, lubię i cenię także:
      1) http://nfsec.pl/
      2) https://badsector.pl/
      3) http://wampir.mroczna-zaloga.org/

      Odpowiedz
      • 2014.08.08 11:50 JackN

        Ja polecam jeszcze http://sekurak.pl , artykuły nie codziennie, za to zazwyczaj obszerne i ciekawe.

        Odpowiedz
        • 2014.08.08 15:36 Duży Pies

          Oczywiście że znam Sekuraka! Zapomniałem go dodać, za co bardzo Sekuraka przepraszam, bo to bardzo merytoryczny portal.

          Odpowiedz
    • 2014.08.08 09:15 bezpiecznik

      niebezpiecznik = „pudelek IT” :)

      Odpowiedz
      • 2014.08.08 16:12 marsjaninzmarsa

        Nieeeee, Pudelkiem IT jest Spider’sWeb. :D

        Odpowiedz
  • 2014.08.07 22:08 Radek

    @Michal
    @c.
    Nic konstruktywnego ale od razu złośliwości, walka i próba dowalenia.
    Dlaczego w tym kraju tak jest?!

    Odpowiedz
    • 2014.08.07 22:33 Michal

      Drogi Radku zauważ że mogę mieć swoje zdanie . Nieb.. oraz Zaufanatrzecia strona działają w tej samej branży jednak gdy zestawimy ich wkład oraz poziom artykułów to w mojej ocenie zaufanatrzeciastrona jest lepsza. Tak z logicznego punktu widzenia jak mogę komuś dowalić skoro zestawiam dwie strony i skoro jedna strona tworzy coś bardziej branżowego to dlaczego jej nie docenić i litować się nad inną stroną ? Podoba Ci się tam to czytaj tam . Ja nie zaglądam do nich bo wole tutaj dowiedzieć się czegoś . Adam to klarowniej przedstawia . Jeśli Cie uraziłem to proponuje narzekać dalej jak typowy Polak .

      Odpowiedz
    • 2014.08.08 07:45 stefan

      To przez Tuska. Przykład idzie z góry…

      Odpowiedz
      • 2014.08.08 11:52 JackN

        Trzeba wreszcie odsunąć ten PiS od władzy …

        Odpowiedz
  • 2014.08.07 23:43 dzk

    na nieb… kilka razy usuwali komenty, w których czarno na białym wykazywałem hipokryzję w pewnym temacie. rzecz dotyczyła byłego ministra piętaka, ale oczywiście konieczny uznał, że ocenzurować będzie fajniej. dno, i metr mułu.
    od tamtej pory nie zaglądam tam, i nie zajrzę. pozostała mi z3s, i wcale się z tego powodu nie martwię.

    Odpowiedz
    • 2014.08.08 11:53 JackN

      Moje komentarze na tym drugim portalu regularnie znikają. A w zasadzie się nie pojawiają. Tak po 3-5 w tygodniu. Przestałem w sumie pisać, jak sobie policzyłem ile czasu zmarnowałem na komcie, które nikomu nic nie dały :)

      Odpowiedz
    • 2014.08.11 18:05 steppe

      Kilka razy to i tak mało jak na nich ;)

      Odpowiedz
  • 2014.08.08 09:02 Ninja

    „pewnie ze względu na duży kontrast…”

    Hahahaha.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Zaatakowany badacz odpowiada robiąc zdalnie zdjęcie kamerką hakera

Komentarze