|
|
Пишет schegloff (![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small} schegloff)@ 2007-09-12 20:56:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
О взломах - 2, или Выдающийся успех отечественного трояностроения
Столкнувшись с потерей своего защищенного паролем аккаунта (email, ICQ, ЖЖ, яндекс-деньги, вебмани и даже личный банковский счет), рядовой пользователь Сети чувствует примерно то же самое, что и вышедшая из троллейбуса домохозяйка, внезапно обнаружившая отсутствие кошелька. Не может быть, чтобы вытащили, наверное, карман дырявый, кошелек сам выпал.
Раз за разом при взломе очередного журнала наблюдается все та же картина: виноват карман. SUP, ljplus, mail.ru - все они (со слов пострадавших) только тем и занимаются, что раздают наши пароли сетевым хулиганам. Ведь как можно украсть пароли у самого пользователя, если они даже на экране отображаются только звездочками, а антивирус не находит на диске ничего подозрительного?
Так вот, уважаемые читатели: украсть ваши пароли не просто, а очень просто. Сегодня для этого не требуется даже уметь программировать. В продаже на черном рынке имеется целый ряд специализированных программ - генераторов троянов. Подробный их обзор я оставлю за кадром, а напишу сейчас только о самом простом (и как следствие, самом популярном). Знакомьтесь: Pinch 2.0 Pro, созданный легендарным coban2k и до недавнего времени развиваемый на соответствующем сайте (ныне закрыт) не менее легендарным Damrai:
Генератор (билдер, говоря по русско-английски) позволяет пользователю сконструировать собственный троян (exe-файл), специализирующийся на воровстве сохраненных на компьютере жертвы паролей. Запустившись на удаленной машине, готовый троян за 2-3 секунды сканирует известные ему хранилища паролей, собирает их все (пока еще в зашифрованном виде) в один файл и отправляет его по указанному в момент сборки адресу (на емэйл или на сайт, специально созданный для приема такого рода данных). Получив отчет, кулхацкер расшифровывает его программой-читалкой (парсером) - и видит примерно следующее:
Я не случайно пишу "примерно" - дело в том, что отчет о своей машине я получил с помощью триал-версии легальной программы MPR, которую coban2k (первый автор Pinch) продает со своего официального сайта. Покупать ее мне было лень, поэтому в паролях отображается только первый символ. Но насчет парсера, идущего в комплекте с Pinch 2 Pro, можете не сомневаться - он-то отобразит ваши пароли полностью.
Итак, запустившийся на компьютере троян мигом узнает все сохраненные там пароли (я с удивлением обнаружил в установленной у меня FileZilla действующие пароли к ftp, про которые сам давно позабыл). Но разве антивирус позволит ему запуститься? Не позволит, конечно... но только в том случае, если собранный генератором exe-файл будет содержать в себе сигнатуру (последовательность байт), уже известную антивирусу. А вот если при сборке троян будет модифицирован или зашифрован таким образом, чтобы антивирус его не узнавал - то никто ему и слова не скажет. Судя по общению на наших "хакерских" форумах, проблемы с "криптованием" готовых троянов имеют лишь самые зеленые новички; у остальных успешно получаются невидимые для антивирусов exe-шники. Запускайся - не хочу.
Остается последняя надежда - на файрволл, который обнаружит попытку незнакомой программы отправить данные в Интернет и выдаст об этом предупреждающее сообщение. Однако создатели Pinch последних версий предусмотрели и эту возможность! В стандартный файрволл Windows XP троян сразу же прописывает себя как доверенное приложение, а вот с активной защитой AVP и Outpost справляется еще более элегантным образом. Он просто отслеживает открывающееся окошко с сообщением файрволла и сам нажимает на кнопку "Разрешить":
Проактивка с этим справляется, беда, что этот зверь потом эмулирует клики и прочее на алерт этой самой проактивки (на кнопку "Разрешить")
у kis проактивка не дотягивает до ловли pinchа (причём что интересно - как только закрылся сайт пинча, где регулярно сообщалось об обхождении проактивки kis - её сразу же латали, теперь, видимо разработчики kis не знают, что их проактивка дырявая)
Но поймите, что речь идёт не о баге каком-то, а о вечном усовершенствовании "проактивки". Автоклик проходит не потому, что написали глючный код. Он проходит потому, что не продумали ещё какой-то метод его совершить.
Резюме специалистов по защите от Pinch выглядит так: единственная защита от него и ему подобных - не скачать их.
Насколько трудно защититься от Pinch, можно судить по следующему факту. В свежей презентации исследователя черного рынка программ Dr. Thomas Holt'а "The Market for Malware" приводятся расценки на готовые отчеты Pinch, собираемые поставщиком такого рода данных с рассыпанных по всему миру троянов:
- 200 отчетов (минимальная партия) - 3 доллара
- 20 мегабайт отчетов (минимальная партия) - 6 долларов.
Для воровства паролей не требуется даже самому рассылать трояны. Достаточно купить пару тысяч готовых отчетов - и сотни "защищенных" паролями ресурсов окажутся в вашем распоряжении. Неплохое подспорье для дальнейшей, более адресной работы - вроде засылки троянов конкретному ЖЖ-юзеру от имени его лучшего, но тем не уже взломанного друга.
Так что спите спокойно, жители Интернета. Ваши пароли в надежных руках!
Столкнувшись с потерей своего защищенного паролем аккаунта (email, ICQ, ЖЖ, яндекс-деньги, вебмани и даже личный банковский счет), рядовой пользователь Сети чувствует примерно то же самое, что и вышедшая из троллейбуса домохозяйка, внезапно обнаружившая отсутствие кошелька. Не может быть, чтобы вытащили, наверное, карман дырявый, кошелек сам выпал.
Раз за разом при взломе очередного журнала наблюдается все та же картина: виноват карман. SUP, ljplus, mail.ru - все они (со слов пострадавших) только тем и занимаются, что раздают наши пароли сетевым хулиганам. Ведь как можно украсть пароли у самого пользователя, если они даже на экране отображаются только звездочками, а антивирус не находит на диске ничего подозрительного?
Так вот, уважаемые читатели: украсть ваши пароли не просто, а очень просто. Сегодня для этого не требуется даже уметь программировать. В продаже на черном рынке имеется целый ряд специализированных программ - генераторов троянов. Подробный их обзор я оставлю за кадром, а напишу сейчас только о самом простом (и как следствие, самом популярном). Знакомьтесь: Pinch 2.0 Pro, созданный легендарным coban2k и до недавнего времени развиваемый на соответствующем сайте (ныне закрыт) не менее легендарным Damrai:
Генератор (билдер, говоря по русско-английски) позволяет пользователю сконструировать собственный троян (exe-файл), специализирующийся на воровстве сохраненных на компьютере жертвы паролей. Запустившись на удаленной машине, готовый троян за 2-3 секунды сканирует известные ему хранилища паролей, собирает их все (пока еще в зашифрованном виде) в один файл и отправляет его по указанному в момент сборки адресу (на емэйл или на сайт, специально созданный для приема такого рода данных). Получив отчет, кулхацкер расшифровывает его программой-читалкой (парсером) - и видит примерно следующее:
Я не случайно пишу "примерно" - дело в том, что отчет о своей машине я получил с помощью триал-версии легальной программы MPR, которую coban2k (первый автор Pinch) продает со своего официального сайта. Покупать ее мне было лень, поэтому в паролях отображается только первый символ. Но насчет парсера, идущего в комплекте с Pinch 2 Pro, можете не сомневаться - он-то отобразит ваши пароли полностью.
Итак, запустившийся на компьютере троян мигом узнает все сохраненные там пароли (я с удивлением обнаружил в установленной у меня FileZilla действующие пароли к ftp, про которые сам давно позабыл). Но разве антивирус позволит ему запуститься? Не позволит, конечно... но только в том случае, если собранный генератором exe-файл будет содержать в себе сигнатуру (последовательность байт), уже известную антивирусу. А вот если при сборке троян будет модифицирован или зашифрован таким образом, чтобы антивирус его не узнавал - то никто ему и слова не скажет. Судя по общению на наших "хакерских" форумах, проблемы с "криптованием" готовых троянов имеют лишь самые зеленые новички; у остальных успешно получаются невидимые для антивирусов exe-шники. Запускайся - не хочу.
Остается последняя надежда - на файрволл, который обнаружит попытку незнакомой программы отправить данные в Интернет и выдаст об этом предупреждающее сообщение. Однако создатели Pinch последних версий предусмотрели и эту возможность! В стандартный файрволл Windows XP троян сразу же прописывает себя как доверенное приложение, а вот с активной защитой AVP и Outpost справляется еще более элегантным образом. Он просто отслеживает открывающееся окошко с сообщением файрволла и сам нажимает на кнопку "Разрешить":
Проактивка с этим справляется, беда, что этот зверь потом эмулирует клики и прочее на алерт этой самой проактивки (на кнопку "Разрешить")
у kis проактивка не дотягивает до ловли pinchа (причём что интересно - как только закрылся сайт пинча, где регулярно сообщалось об обхождении проактивки kis - её сразу же латали, теперь, видимо разработчики kis не знают, что их проактивка дырявая)
Но поймите, что речь идёт не о баге каком-то, а о вечном усовершенствовании "проактивки". Автоклик проходит не потому, что написали глючный код. Он проходит потому, что не продумали ещё какой-то метод его совершить.
Резюме специалистов по защите от Pinch выглядит так: единственная защита от него и ему подобных - не скачать их.
Насколько трудно защититься от Pinch, можно судить по следующему факту. В свежей презентации исследователя черного рынка программ Dr. Thomas Holt'а "The Market for Malware" приводятся расценки на готовые отчеты Pinch, собираемые поставщиком такого рода данных с рассыпанных по всему миру троянов:
- 200 отчетов (минимальная партия) - 3 доллара
- 20 мегабайт отчетов (минимальная партия) - 6 долларов.
Для воровства паролей не требуется даже самому рассылать трояны. Достаточно купить пару тысяч готовых отчетов - и сотни "защищенных" паролями ресурсов окажутся в вашем распоряжении. Неплохое подспорье для дальнейшей, более адресной работы - вроде засылки троянов конкретному ЖЖ-юзеру от имени его лучшего, но тем не уже взломанного друга.
Так что спите спокойно, жители Интернета. Ваши пароли в надежных руках!
