こんにちは、Habr!
ハック、ネポヘク、1337 h4x0rzなどに関する記事の「波」を見ました。 そして、Habruはこのマルウェアについて、またクロスシェアニュースからではなく、それを操作した人々の手からどのように機能するかについて興味を持っていると思いました。
私はすぐにこれを発表します:この記事のすべての情報は情報提供のみを目的としており、主にセキュリティシステムのエラーを示すことを目的としています。
ほとんどの場合、アンチウイルス(以下ABと呼びます)はすべての有害な小動物に対処しましたが、晴れた晴れた日:私はこれらの「小動物」のフードの下で、いわばクロールしなければなりませんでした。
2008年8月
44日でした。 当時、私はあらゆる種類のマルバリなどとの戦いに関して少し技術的で、実際に精通していた。
だから、検索エンジンが私に必要なソフトウェアを探して送った怪しげな性質のサイトを登ると、nod32は突然、Trojan-Spy.Win32.Zbot(以降、zeus \ zbot \ zevs)に何かを与えようとしていると叫びました。 何が頭に浮かんだのか分かりませんが、この獣を研究するように駆り立てられました。
私がゼウスをどのように見たかについて、私は彼の司令部に行き、カットの下でそれにアクセスしました。
この記事では、マルウェアの「トピック」に関与したトロイの木馬について表面的に話します...さらに、ハバルーザーが興味を持っている場合は、マルウェアを扱う他の興味深い事例、作業に関する記事、興味深い標本の廃棄について説明します。
こんにちはゼウス!
まず、グーグルに乗り込んで、どのような魅力に落ち着こうとしているのかを見つけました。検索エンジンは特に抵抗せず、説明付きでURLを教えてくれました。
だから、私が学んだことは鍵です:
- それは何で、何ができますか?
- トロイの木馬フォームグラバー1個。 (後に注入システムのサポートがある次のバージョンがリリースされます)
- バージョン7までのInternet Explorerのフォームのみがクラッシュします(モジュールをサポートする次のバージョンがリリースされます。モジュールの1つにより、トロイの木馬がFireFoxブラウザフォームを奪うことができます)
- Cookieと保存されたフォームデータの強奪
- NATの外部にある場合、つまり、本当の\ホワイトIPアドレスを持っている場合、感染したPCからsocks5プロキシサーバーを作成できます(backconnetcモジュールは後で出てくるので、PCがNATの背後にあるという制限を回避できます)
- キルシステム
- グラバー証明書とソル
- 感染したPCのユーザーへの「フィード」偽ページ
- ファイルを検索して削除するか、リモートサーバーにアップロードする
- そして、この種のマルヴァリーに特有のその他の事柄...
- 彼はどこに住んでいて、何が一緒に詰まっていますか?
- OS Windows XP x32
- 管理者アカウント、一般ユーザーのアカウント、ゲストアカウントの両方で機能します。
- ボットはUserMode(Ring3)のWinAPIインターセプトに完全に基づいています。つまり、ボットは使用しません。
Ring0のドライバーと呼び出し。 - Visual C ++バージョン9.0以降で作成され、追加のライブラリは使用されません
msvcrt、ATL、MFC、QTなど。 - およびその他の機能...
clで この記事は古いバージョンのボットに関するものであるため、このトロイの木馬に関する記事がさらに増えるので、その機能と機能の詳細には触れないことにしました。
次に、PCにどのように感染するかについて興味深いことを学びました。 ボットは3つの重要な要素で構成されていることが判明しました。
1.ボット自体。
2.構成ファイル。
3. Gate \ adminパネル。
PCに感染した後、彼は設定ファイルをダウンロードしました。このファイルには、自分の設定とゲートへのアドレスが示されており、そこで戦利品を送ります。 つまり、理論的には、インターネットのないPCで実行した場合、盗まれた商品のレポートをどこに送信すればよいかわからないため、何も悪いことはありません。
VirtualBoxとWin XPをインストールした後、AVログにアクセスし、exeトロイの木馬が置かれているURLを抽出しました。
トロイの木馬を仮想マシンにダウンロードした後、そこで急いで起動しませんでした。 Wiresharkパケットスニファーをダウンロードして起動し、実マシンから仮想ネットワークアクセスを切断して、仮想マシンでトロイの木馬を起動しました...
そして、トライがどのように設定を取得しようとし、URLを設定にコピーしてダウンロードするように要求するようになったのかを見ました。暗号化されていて、何があったのかわかりませんでした。 それは仮想マシンだったので、システムを気にしませんでした:)、ネットワークへのアクセスを仮想マシンに戻し、スニファーのログを見続けました。
構成をダウンロードした後、彼はゲートで受信し始め、ボットはhttpプロトコルポストを介してゲートから情報を受信および提供し、リクエストを取得しました。
IEを開いて、サイトを登り、データをいくつかの形式にプッシュし、提案された場所にパスワードを保存しました。
スニファログを再度開き、インターネットでの冒険をフィルタリングすると、ボットが要求するすべての投稿で情報を送信することがわかりました。つまり、トロイの木馬は実際にアクティビティのすべてのデータをIEに送信しました。
当時、私はそれ以上知ることができず、沈静化を望みませんでした。
zeusの検索クエリでタブを閉じ始めた後、「FillがZeus管理パネルに移動しました」というタブの1つを見て、ここで再び興味が湧きました。
継続するには...Zeusコマンドセンター(ゲート、管理パネルなど)があるサーバーへのアクセス方法、サーバー上のTXTファイル内のボットネット所有者との通信、ボットネットコントロール。
PS:ご質問にお答えします。
UPD: パート2-こんにちは、Trojan-Spy.Win32.Zbot !!! パート2 ...シェル、ルートキット、エスクロイト、およびtxtファイルのチャットについて