@bachus
Blog (66)
Komentarze (4.8k)
Recenzje (2)

[RETRO] Prosiak — ciekawy polski backdoor

@bachus[RETRO] Prosiak — ciekawy polski backdoor16.09.2017 17:11

Podczas ostatniego przeglądania pudeł z "przydasiami" zawierającymi elektronikę natrafiłem poza takimi skarbami jak akcelerator 3Dfx VooDoo na dysk Seagate 810MB kupiony w 1996 roku - wtedy to była całkiem konkrenta pojemność:

[Dysk Seagate 810MB]
[Dysk Seagate 810MB]

Napęd ten służył mi jako główny dysk przez blisko dwa lata, aby po tym czasie zostać zastąpionym przez demona pojemności (2.1GB) a sam wylądować w tzw. szufladzie:

- przyjdziesz do mnie z dyskiem? - a jaką masz szufladę - OPTIMUS, czy ADAX? (#gimbynieznaja)

Wracając do tematu. - dysk udało mi się podpiąć przez adaptor IDE<-->USB. Nie spodziewałem się za dużo, gdyż pudło przeżyło i jego zawartość sporo, łącznie ze sporymi przeciążeniami (rzucanie) skończywszy na przechowywaniu w temperaturach różniących się czasem o 50-60 oC (mrozy, lub rogrzany w lecie strych). Zagrzechotało ramię głowicy, zapowiadało się nieźle - S.M.A.R.T. (system monitorowania i powiadamiania o błędach działania) nie rzucił żadnymi błędami - może głównie przez to, że technologia ta weszła do powszechnego użycia jakieś 8 lat później :-) Nie zawiodłem się, powiało nostalgią... Kiedyś to były czasy teraz już nie ma czasów!

N05t4lg1a

Na dysku znalazłem głównie kopie bezpieczeństwa rzeczy, które były wtedy dla mnie ważne - część z nich to temat na kilka osobnych wpisów. Konfiguracje, pluginy i wariacje wersji botów ircowych (Eggdrop, VoiD), sterowniki, firmware zwiększające funkcjonalność niektórych urządzeń (np. z napędu x8 robił się x32, czy kamera dostawała opcje znane z wersji o 1200zł droższej), lub dziwne ZINy opisujące jak np. przerobić dyskietkę, aby po jej wsadzeniu do komputera zapalił się komputer. Dodatkowo programy typu Bankrut, mIRC, czy definicje do programu antywirusowego. Postanowiłem jednak skupić się na tym najciekawszym, czyli konie trojańskie z backdoorami :

31337 TCP/UDP ( "Elite")

Ostatnie lata XX wieku (~98) były dość burzliwe i ciekawe dla rozwoju informatyki - pędzący postęp technologiczny (2-letni komputer był już przestarzały), raczkujący internet, początki użytkowej kompresji obrazu i dźwięku (MP3). Na komputerach gościł już Windows 98 - systemy bazujące na jądrze Unix/Linux w domach były raczej jako ciekawostka - czyli niewiele się zmieniło w ostatnich 20 latach ;-) Internet był pozyskiwany dzięki wdzwanianiu poprzez modem 33kbit/s - a rachunki od TP S.A. mogły doprowadzić do zawału. Dla lepszego zrozumienia: 33.6kbit/s pozwalało na pobranie w ciągu godziny średnio 6-7MB (~0.007GB) Dopiero około roku 2000 zaczęto wprowadzać SDI, gdzie na tzw. stałym łączu i gdy nikt jednocześnie nie prowadził rozmowy telefonicznej uzyskiwało się 115kbit/s (jako ciekawostka - jedno z chyba najstabilniejszych łącz TPSA, dużo firm jeszcze do niedawna utrzymywało linię z SDI jako łącze zapasowe). W czasach, gdy nie było za bardzo stron jak "Dobre Programy" a samo pobieranie przez modem trwało wieki, korzystało się ze wszystkiego jak leci. Wtedy też domorośli 'hakerzy' szlifowali swoje techniki psychologiczne nie wiedząc jeszcze, że używają elementów socjotechniki, gdzie głównym miejscem do takich akcji dywersyjnych był IRC. Ot, wystawiało się komunikat, że ma się najnowszą wersję Winamp i można udostępnić via DCC, czyli bezpośrednią komunikacją w ramach klientów IRC z pominięciem serwera.

Prosiak - Teraz Polska

Wśród dziesiątek ogólnie dostępnych backdoorów wypada wymienić NetBusa, AntiMKSa, czy BigBen, jednak w Polsce najbardziej popularny był chyba Prosiak, którego postanowiłem sobie "przypomnieć".

Sam instalator "Prosiaka" przypominał ofierze bardzo popularny wtedy program do odtwarzania muzyki Winamp (o tym za chwilę). Programy takie bazowały na prostej nieszyfrowanej bezpośredniej komunikacji (TCP) - połączenie na zdalny otwarty jawnie port. Na pierwszy rzut oka może dziwić kilka rzeczy: [item]jak taki program dostał się na komputer (nie jest to przecież wirus, tylko koń trojański),[/item]jak możliwe, że nie zatrzymał tego firewall na komputerze, [item]jak możliwe, że ktoś się dostał do sieci domowej bez przekierowywania portów na routerze (NAT),[/item][item]jak możliwe, że nie wykrył tego program antywirusowy.[/item][img=TrojanHorse]

Instalacja samego programu, jak wynika z definicji konia trojańskiego, odbywała się z inicjatywy samego atakowanego - pobrany program. Co do firewalla na komputerze (Windowsie) - wtedy nie do końca były znane takie zagrożenia, dodatkowo mało kto miał zaintalowane dodatkowe oprogramowanie jak np. ZoneAlarm. Ominięcie NATowania (routera w sieci domowej) - nie było najczęściej takiej potrzeby. Ludzie łączyli się głównie z modemów (wdzwanianie), gdzie dostawało się zmienny publiczny adres IP. To samo dotyczyło też połączeń np. z akademików, gdzie studenci dostawali także własne adresy IP. Program antywirusowy - niby była jakaś tam świadomość, że są wirusy i na komputerach gościł Norton Antivirus od Symanteca, ale miał najczęściej bardzo stare definicje (sygnatury), co czyniło go bezużytecznym. Definicje wymagały pobrania z internetu dość "ciężkich" plików (na modemie jak miały po kilkanaście MB mogło to zmienić się w godziny). Dla mnie głównym źródłem definicji AV były płyty dodawanie do gazet - głównie do nieistniejącego już miesięcznika CHIP.

[ Prosiak: katalog programu ]
[ Prosiak: katalog programu ]

Katalog Prosiaka zawiera kilka plików: [item]Client - konsola programu używana przez osobę atakującą,[/item] [item]Konfig - konfiguracja konia trojańskiego (serwera),[/item][item]server.dat - główny plik serwera konia trojańskiego,[/item][item]prosiak.ini, *.lng - plik zapisanej konfiguracje i językowe.[/item]Przyjrzyjmy się więc przygotowaniu takiej paczki z backdoorem - do tego służy załączony konfigurator (konfig):

[ backdoor Prosiak - konfuguracja ]
[ backdoor Prosiak - konfuguracja ]

Pierwsze okno [START] daje możliwość ustawienia: [item]Nazwy pliku instalatora - tak zostanie zapisany plik wynikowy (można go nazwać np. Winamp2.666),[/item][item]Hasło backdoora - najczęściej pozostawiane było domyślne 'prosiak' - po przeskanowaniu fragmentu sieci dawało możliwość podłączenia się pod podrzucone przez kogoś innego kukułcze jajo.[/item]

Kolejna zakładka [SIEĆ] to konfiguracja komunikacji:

[item]Uruchom backdoor- główny port (domyślnie: 44444), którego używa "twardy" (okienkowy) klient,[/item] [item]Uruchom Telnetd- połączenie bezpośrednie przez klienta telnet (operacje z linii komend),[/item] [item]Uruchom HTTPD - połączenie do backdoora za pomocą przeglądarki internetowej (wtedy królował Internet Explorer),[/item][item]Uruchom Proxy - jedna z ciekawszych jak na tamte czasy opcja - w przypadku, gdy nie było możliwości bezpośredniego połączenia (internet dzielony na kilka osób) zestawienie połączenia było możliwe za pośrednictwem serwera proxy.[/item] Zakładka [Powiadomienie] umożliwia zdefiniowanie adresu email na który zostanie wysłana informacja o pomyślnej instalacji backdoora na komputerze ofiary - email taki będzie zawierał także adres IP:

Dalej w [Install Shield] możemy skonfigurować jak będzie zachowywać się koń trojański po uruchomieniu na komputerze docelowym - jest to forma uśpienia czujności ofiary. Zdefiniowanie nazwy instalatora (tutaj Winamp 2.6), oraz czasu po której wystąpi błąd instalacji (mogący sugerować, że po prostu pobrało się uszkodzony plik) dając jednocześnie czas na uruchomienie w tle backdoora:

Pozostałe dwie zakładki ([Inne] i [Instalacja]) to między innymi zdefiniowanie do jakiego pliku na dysku będą logowane wciśnięte klawisze (można później pobrać taki plik), czy pod jakimi nazwami będą przechowywane w katalogach Windowsa pliki backdoora:

Po udanym podrzuceniu pliku instalatora ofiara otrzyma program wydający się zwykłym instalatorem:

Uruchomienie spowoduje pojawienie się symulacji postępu, która po ustalonym czasie (53%) wyświetli błąd:

Atak

Klient programu jest bardzo intuicyjny.

Znając adres IP, hasło i port celu wystarczy go wpisać w odpowiednie pola i nawiązać połączenie. W tym samym oknie znajduje się też prosty skaner, który przeczesując ustalonony zakres sprawdza, czy jest otwarty port 44444. Udane połączenie prezentuje się następująco:

Tutaj zaczyna się właściwa "zabawa" - program pomimo prostoty interfejsu ma imponującą liczbę funkcji - od złośliwości typu zmiany nazwy okien, otwierania stron internetowych, usuwania pulipitu lub przycisku START po operacje na plikach i zmianie konfiguracji backdoora, oraz nawet zatarciu śladów (usunięciu programu z systemu):

Poniżej na filmie znajduje się krótka prezentacja działania tego backdoora. Prawe okno to komputer ofiary, na pulpicie znajduje się już pobrany koń trojański. Lewa strona to pulpit atakującego - jak widać w prezentacji samo skanowanie podsieci w celu wyszukania klientów nie zawsze działa (jest to prawdopodobnie związane z bardzo małą latencją sieci - z lenistwa nie chciało mi się już symulować wolniejszego łącza i większego "pingu"). Wśród "sztuczek" nie wszystkie też działają na każdej wersji Windows 98 (np. "twórca dziur"). Na koniec pokazane połączenie zestawione przez przeglądarkę (IE), konsolę (telnet), oraz proces usunięcia szkodnika. Środowisko testowe: dwie maszyny wirtualne z Windows 98SE: [youtube=https://www.youtube.com/watch?v=DKsLgJ8bUcM]

Uwaga: jeżeli ktoś jest zainteresowany, mogę udostępnić najnowszą eksluzywną wersję Windowsa 11 kodowana nazwa "KidneyStone".

Windows_11.build_v2666.exe ;-)

Wpis i prezentacja (YT) są jest tylko dla celów edukacyjnych, nie ponoszę odpowiedzialności za użycie w złych zamiarach. Przy tworzeniu tego wpisu nie ucierpiał żaden prosiak.

Wybrane dla Ciebie
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.