ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Всем нам приходят трояны. Они приходят через почту или icq. Обычно мы их удаляем или игнорируем ссылки на них. В статье я распишу один из способов получения выгоды из чужого трояна.

немного о трояне
Всем понятно, что троян куда-то посылает ваши пароль, обычно это почта или гейт. В статье буду рассматривать посылку паролей на почту.

а что несёт в себе троян?
Даже нубу известно, что троян ворует пароли, но не каждый смекнул, что по сути троян сам в себе несёт пароль от какой-то почты. А происходит это по следующей причине: большинство smtp серверов требуют авторизацию. Значит троян должен вначале авторизоваться на smtp сервере, а только потом он сможет отправить письмо. (Пару лет назад авторизации на smtp небыло даже на mail.ru. Какие были времена..) Вот этот логин\пароль для авторизации мы и будем доставать.

как будем доставать?
Поскольку я не владею приёмами реверсинга и чудесами ассемблера, то будем доставать по рабоче-крестьянски - с помощью снифера. Естественно на своей машине запускать троян как-то не хочется, поэтому будем запускать на виртуальной (на неё вам нужно установить win)

toolz
Мы будем использовать две программы

1. vmware - виртуальная машина. Имеется 30-ти дневный бесплатный ключ.
2. wireshark- снифер пакетов. Бывший ethereal.

ссылки в конце статьи

begin
Как вы наверно уже поняли, мы будем запускать троян на виртуальной машине, а на своей реальной машине будем сниферить куда какие пакеты идут. (в принципе если вы это поняли и знаете как это делается, то дальше можно не читать)
Сперва запускаем снифер и настраиваем его на интерфейс смотрящий в интернет.

Выбор интерфейса

В моём случае я выбираю интерфейс eth0 (жму start рядом с ним) Снифер работает.
Теперь нам нужно запустить сам троян под vmware. Тут я думаю обойдёмся без скриншотов Запуск под vmware совершенно безопасен для вашей винды.
Запустили. Троян отправил рапорты. Теперь возвращаемся к сниферу.
Останавливаем процесс сбора пакетов (такая красная кнопочка)

находим smtp пакет и смотрем содержимое (folow tcp stream)


нужный кусок содержимого

Красным цветом снифер отмечает пакеты, которые отсылаете ВЫ, а синим отмечены ответы на ваши пакеты.

Что мы имеем?
Итак. Начинаем разбирать что имеем.
Так же из снифера можно узнать куда и откуда идёт письмо.
Пока наш логин\пароль не очень похож на нормальный логин\пароль. Согласно спекам протокола smtp такие вещи передаются в base64. Естественно их нужно декодировать. Это очень просто сделать, достаточно ввести в google base64 decoder и будет куча ссылок. Например вот этот кодер\декодер
Декодируя логин\пароль мы получим
логин - xXx-Software
пароль - 66b9335c6d1a9518
Вот мы и получили заветный логин\пароль от почты, через которую троян посылает пароли.

Ошибка в настройке трояна
Очень часто юные впариватели указывают в настройках того же пинча логин\пароль от той же почты, куда и идут рапорты трояна. Для нас это конечно идеальный вариант и он очень часто встречается в сети. Три из трёх троянов, которые в последние дни мне пытались впарить были именно такие. =)
Естественно при таком раскладе мы имеем доступ к рапортом трояна. Тоесть наш герой трудиться и впаривает трояны, а мы берём уже готовые рапорты =)))

А если троян настроен нормально?
Тут уже поживиться чужими рапортами не получиться т.к. троян логиниться под одной почтой, а посылает на другую. Пока я не встречал почтовых серверов (я просто ими не пользуюсь), где была бы доступна опция сохранения исходящих писем через smtp. Если появятся такие почтовые службы, то мы опять сможем контролировать все рапорты. В любом случае мы можем сделать юному впаривателю западло, а именно изменить пароль на почту. И вся его рассылка трояна пропадёт т.к. троян не сможет зайти на сервер. (если конечно есть возможность смены пароля. Да и пароль можно восстановить)

end
Думаю этой статьёй я сильно не открыл глаза тем, кто умеет пользоваться снифером, но лично мне было трудно представить сразу, что троян, который ворует пароли, по сути сам несёт в себе пароль. Так же в статье я не разбирал троян, который отсылает рапорты на гейт (пока руки не дошли)
Способ в действии вы можете посмотреть в моём видео, которое я снял для этой статьи. В видео я делаю так мной названый "обратный хэк =/".

links
vmware
virtualbox можно использовать вместо vmware
wireshark
base63 encoder\decoder

video
http://video.antichat.ru/file230.html
Видео в формате ogg должно открываться с помощью mediaplayer.

упд
Вместо vmware можно использовать virtualbox, который полностью бесплатный.