Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

[RETRO] Prosiak — ciekawy polski backdoor

Podczas ostatniego przeglądania pudeł z "przydasiami" zawierającymi elektronikę natrafiłem poza takimi skarbami jak akcelerator 3Dfx VooDoo na dysk Seagate 810MB kupiony w 1996 roku - wtedy to była całkiem konkrenta pojemność:

Napęd ten służył mi jako główny dysk przez blisko dwa lata, aby po tym czasie zostać zastąpionym przez demona pojemności (2.1GB) a sam wylądować w tzw. szufladzie:
- przyjdziesz do mnie z dyskiem?
- a jaką masz szufladę - OPTIMUS, czy ADAX?
(#gimbynieznaja)
Wracając do tematu. - dysk udało mi się podpiąć przez adaptor IDE<-->USB. Nie spodziewałem się za dużo, gdyż pudło przeżyło i jego zawartość sporo, łącznie ze sporymi przeciążeniami (rzucanie) skończywszy na przechowywaniu w temperaturach różniących się czasem o 50-60 oC (mrozy, lub rogrzany w lecie strych).
Zagrzechotało ramię głowicy, zapowiadało się nieźle - S.M.A.R.T. (system monitorowania i powiadamiania o błędach działania) nie rzucił żadnymi błędami - może głównie przez to, że technologia ta weszła do powszechnego użycia jakieś 8 lat później :-) Nie zawiodłem się, powiało nostalgią... Kiedyś to były czasy teraz już nie ma czasów!

N05t4lg1a

Na dysku znalazłem głównie kopie bezpieczeństwa rzeczy, które były wtedy dla mnie ważne - część z nich to temat na kilka osobnych wpisów. Konfiguracje, pluginy i wariacje wersji botów ircowych (Eggdrop, VoiD), sterowniki, firmware zwiększające funkcjonalność niektórych urządzeń (np. z napędu x8 robił się x32, czy kamera dostawała opcje znane z wersji o 1200zł droższej), lub dziwne ZINy opisujące jak np. przerobić dyskietkę, aby po jej wsadzeniu do komputera zapalił się komputer. Dodatkowo programy typu Bankrut, mIRC, czy definicje do programu antywirusowego. Postanowiłem jednak skupić się na tym najciekawszym, czyli konie trojańskie z backdoorami:

31337 TCP/UDP ( "Elite")

Ostatnie lata XX wieku (~98) były dość burzliwe i ciekawe dla rozwoju informatyki - pędzący postęp technologiczny (2-letni komputer był już przestarzały), raczkujący internet, początki użytkowej kompresji obrazu i dźwięku (MP3). Na komputerach gościł już Windows 98 - systemy bazujące na jądrze Unix/Linux w domach były raczej jako ciekawostka - czyli niewiele się zmieniło w ostatnich 20 latach ;-) Internet był pozyskiwany dzięki wdzwanianiu poprzez modem 33kbit/s - a rachunki od TP S.A. mogły doprowadzić do zawału. Dla lepszego zrozumienia: 33.6kbit/s pozwalało na pobranie w ciągu godziny średnio 6-7MB (~0.007GB) Dopiero około roku 2000 zaczęto wprowadzać SDI, gdzie na tzw. stałym łączu i gdy nikt jednocześnie nie prowadził rozmowy telefonicznej uzyskiwało się 115kbit/s (jako ciekawostka - jedno z chyba najstabilniejszych łącz TPSA, dużo firm jeszcze do niedawna utrzymywało linię z SDI jako łącze zapasowe).
W czasach, gdy nie było za bardzo stron jak "Dobre Programy" a samo pobieranie przez modem trwało wieki, korzystało się ze wszystkiego jak leci. Wtedy też domorośli 'hakerzy' szlifowali swoje techniki psychologiczne nie wiedząc jeszcze, że używają elementów socjotechniki, gdzie głównym miejscem do takich akcji dywersyjnych był IRC. Ot, wystawiało się komunikat, że ma się najnowszą wersję Winamp i można udostępnić via DCC, czyli bezpośrednią komunikacją w ramach klientów IRC z pominięciem serwera.

Prosiak - Teraz Polska

Wśród dziesiątek ogólnie dostępnych backdoorów wypada wymienić NetBusa, AntiMKSa, czy BigBen, jednak w Polsce najbardziej popularny był chyba Prosiak, którego postanowiłem sobie "przypomnieć".
Sam instalator "Prosiaka" przypominał ofierze bardzo popularny wtedy program do odtwarzania muzyki Winamp (o tym za chwilę). Programy takie bazowały na prostej nieszyfrowanej bezpośredniej komunikacji (TCP) - połączenie na zdalny otwarty jawnie port. Na pierwszy rzut oka może dziwić kilka rzeczy:
  • jak taki program dostał się na komputer (nie jest to przecież wirus, tylko koń trojański),
  • jak możliwe, że nie zatrzymał tego firewall na komputerze,
  • jak możliwe, że ktoś się dostał do sieci domowej bez przekierowywania portów na routerze (NAT),
  • jak możliwe, że nie wykrył tego program antywirusowy.
  • Instalacja samego programu, jak wynika z definicji konia trojańskiego, odbywała się z inicjatywy samego atakowanego - pobrany program. Co do firewalla na komputerze (Windowsie) - wtedy nie do końca były znane takie zagrożenia, dodatkowo mało kto miał zaintalowane dodatkowe oprogramowanie jak np. ZoneAlarm. Ominięcie NATowania (routera w sieci domowej) - nie było najczęściej takiej potrzeby. Ludzie łączyli się głównie z modemów (wdzwanianie), gdzie dostawało się zmienny publiczny adres IP. To samo dotyczyło też połączeń np. z akademików, gdzie studenci dostawali także własne adresy IP. Program antywirusowy - niby była jakaś tam świadomość, że są wirusy i na komputerach gościł Norton Antivirus od Symanteca, ale miał najczęściej bardzo stare definicje (sygnatury), co czyniło go bezużytecznym. Definicje wymagały pobrania z internetu dość "ciężkich" plików (na modemie jak miały po kilkanaście MB mogło to zmienić się w godziny). Dla mnie głównym źródłem definicji AV były płyty dodawanie do gazet - głównie do nieistniejącego już miesięcznika CHIP.

    Katalog Prosiaka zawiera kilka plików:
  • Client - konsola programu używana przez osobę atakującą,
  • Konfig - konfiguracja konia trojańskiego (serwera),
  • server.dat - główny plik serwera konia trojańskiego,
  • prosiak.ini, *.lng - plik zapisanej konfiguracje i językowe.
  • Przyjrzyjmy się więc przygotowaniu takiej paczki z backdoorem - do tego służy załączony konfigurator (konfig):

    Pierwsze okno [START] daje możliwość ustawienia:

  • Nazwy pliku instalatora - tak zostanie zapisany plik wynikowy (można go nazwać np. Winamp2.666),
  • Hasło backdoora - najczęściej pozostawiane było domyślne 'prosiak' - po przeskanowaniu fragmentu sieci dawało możliwość podłączenia się pod podrzucone przez kogoś innego kukułcze jajo.
  • Kolejna zakładka [SIEĆ] to konfiguracja komunikacji:

  • Uruchom backdoor- główny port (domyślnie: 44444), którego używa "twardy" (okienkowy) klient,
  • Uruchom Telnetd- połączenie bezpośrednie przez klienta telnet (operacje z linii komend),
  • Uruchom HTTPD - połączenie do backdoora za pomocą przeglądarki internetowej (wtedy królował Internet Explorer),
  • Uruchom Proxy - jedna z ciekawszych jak na tamte czasy opcja - w przypadku,
    gdy nie było możliwości bezpośredniego połączenia (internet dzielony na kilka osób) zestawienie połączenia było możliwe za pośrednictwem serwera proxy.
  • Zakładka [Powiadomienie] umożliwia zdefiniowanie adresu email na który zostanie wysłana informacja o pomyślnej instalacji backdoora na komputerze ofiary - email taki będzie zawierał także adres IP:

    Dalej w [Install Shield] możemy skonfigurować jak będzie zachowywać się koń trojański po uruchomieniu na komputerze docelowym - jest to forma uśpienia czujności ofiary. Zdefiniowanie nazwy instalatora (tutaj Winamp 2.6), oraz czasu po której wystąpi błąd instalacji (mogący sugerować, że po prostu pobrało się uszkodzony plik) dając jednocześnie czas na uruchomienie w tle backdoora:

    Pozostałe dwie zakładki ([Inne] i [Instalacja]) to między innymi zdefiniowanie
    do jakiego pliku na dysku będą logowane wciśnięte klawisze (można później pobrać taki plik), czy pod jakimi nazwami będą przechowywane w katalogach Windowsa pliki backdoora:

    Po udanym podrzuceniu pliku instalatora ofiara otrzyma program wydający się zwykłym instalatorem:

    Uruchomienie spowoduje pojawienie się symulacji postępu, która po ustalonym czasie (53%) wyświetli błąd:

    Atak

    Klient programu jest bardzo intuicyjny.
    Znając adres IP, hasło i port celu wystarczy go wpisać w odpowiednie pola i nawiązać połączenie. W tym samym oknie znajduje się też prosty skaner, który przeczesując ustalonony zakres sprawdza, czy jest otwarty port 44444. Udane połączenie prezentuje się następująco:
    Tutaj zaczyna się właściwa "zabawa" - program pomimo prostoty interfejsu ma imponującą liczbę funkcji - od złośliwości typu zmiany nazwy okien, otwierania stron internetowych, usuwania pulipitu lub przycisku START po operacje na plikach i zmianie konfiguracji backdoora, oraz nawet zatarciu śladów (usunięciu programu z systemu):

    Poniżej na filmie znajduje się krótka prezentacja działania tego backdoora. Prawe okno to komputer ofiary, na pulpicie znajduje się już pobrany koń trojański. Lewa strona to pulpit atakującego - jak widać w prezentacji samo skanowanie podsieci w celu wyszukania klientów nie zawsze działa (jest to prawdopodobnie związane z bardzo małą latencją sieci - z lenistwa nie chciało mi się już symulować wolniejszego łącza i większego "pingu"). Wśród "sztuczek" nie wszystkie też działają na każdej wersji Windows 98 (np. "twórca dziur"). Na koniec pokazane połączenie zestawione przez przeglądarkę (IE), konsolę (telnet), oraz proces usunięcia szkodnika. Środowisko testowe: dwie maszyny wirtualne z Windows 98SE:

    Uwaga: jeżeli ktoś jest zainteresowany, mogę udostępnić najnowszą eksluzywną wersję Windowsa 11 kodowana nazwa "KidneyStone".

    Windows_11.build_v2666.exe ;-)

    Wpis i prezentacja (YT) są jest tylko dla celów edukacyjnych, nie ponoszę odpowiedzialności za użycie w złych zamiarach. Przy tworzeniu tego wpisu nie ucierpiał żaden prosiak. 

    windows internet inne

    Komentarze

    0 nowych
    Shaki81 MODERATOR BLOGA  38 #1 16.09.2017 20:53

    Kurcze, jak to dobrze powspominać stare dobre programy a jeszcze nich skorzystać to już odlot:)

    Thadrion   6 #2 16.09.2017 21:31

    pamiętam, że był prosiak, ale pierwszy raz okazję mam zobaczyć go w akcji :)

    Windows 11 "KidneyStone" - padłem :D

    Direwolf   4 #3 16.09.2017 23:00

    Ale wpadka!
    Używasz do pokazu lewej kopii systemu Windows - wstydź się.
    A redakcja nie powinna mieć innego wyjścia, jak skasować wpis, który promuje piractwo.

    karol1k95   6 #4 16.09.2017 23:09

    @Direwolf: Nie zesraj się.

    cabis   13 #5 16.09.2017 23:26

    Przypomniałeś czasy podstawówki ;P Choć jedyną opcją jakiej potrafiłem wtedy użyć to wysuwanie tacki cd-romu ;)

    wojtex   11 #6 16.09.2017 23:30

    @karol1k95: masz Mistrza ^_^.

      #7 16.09.2017 23:50

    Do wysuwania tacki napędu CD wystarczyło wówczas podstawić spreparowany plik graficzny i stronę go zawierającą otworzyć ówczesnym IE. Kod tegoż wynalazku można obejrzeć tutaj: https://dev.techlog.pl/gist/windows_varia_otwieranie-tacki-cd-dziura-w-IE.txt

    Gnieffko   3 #8 17.09.2017 00:28

    @bachus "Na komputerach gościł już Windows 98 - systemy bazujące na jądrze Unix/Linux w domach były raczej jako ciekawostka - czyli niewiele się zmieniło w ostatnich 20 latach ;-)" Gdyby był konkurs na największą szpilkę roku, to dostałbyś medal! :)

    Należy też dodać, że w tamtych czasach koszt oprogramowania zabezpieczającego nie był jednym z ważniejszych wydatków na liście, przez co masa komputerów nie była w ogóle zabezpieczona. Drukowanie dokumentów na cudzej drukarce było na porządku dziennym.

    JaneQPL   2 #9 17.09.2017 01:25

    Autor chyba pomylił SDI z ISDN jeśli chodzi o firmy...

    Gnieffko   3 #10 17.09.2017 01:59

    @JaneQPL: Autor niczego nie pomylił. Wystarczy wyszukać w Wikipedii pojęcie [SDI Internet], aby dowiedzieć się, o co chodziło.

    zakius   7 #11 17.09.2017 04:58

    winamp i install shield
    ludzie nic się nie zmienili, po prostu dzisiejszy sprzęt sprawia, że mniej czasu im zajmuje zrobienie sobie krzywdy

    bachus   23 #12 17.09.2017 07:15

    @Direwolf: "Ale wpadka!
    Używasz do pokazu lewej kopii systemu Windows - wstydź się. "

    Żadna wpadka - też się cieszę, że znasz ten kod na pamięć ;-) Jako chomik informatyczny / zbieracz "przydasiów" mam kilka "boxowych" kopii DOS/3.11/95/98/XP. Często do celów testowych używam dziwnych aktywatorów, modyfikatorów, witaminek - nigdy jednak nie przekraczam ilością aktywnych instancji liczbą posiadanych licencji.

    bachus   23 #13 17.09.2017 07:18

    @JaneQPL: "Autor chyba pomylił SDI z ISDN jeśli chodzi o firmy..." - ISDN to był rak i jedyny plus, że nie blokowało się linii. SDI ("Szybki Dostęp do Internetu") bazował na HIS ( https://pl.wikipedia.org/wiki/Home_internet_Solution ) i był na swoje czasy rewolucją. Koszt też nie był mały - z tego co pamiętam aktywacja kosztowała ponad 1000zł (1200zł?).

      #14 17.09.2017 07:56

    Co tam prosiak, pod koniec lat 90 był dostępny poradnik jak napisać w Borland Delphi własnego trojana jako podstawę a później tylko dodawać kolejne własne procedury. To była magicznie wciągająca wiedzą w tamtych czasach i kosmiczna różnica, używać a napisać zgodnie z czarną księgą po czym uczyć się w celu rozwijania takiego programiku. Sam też fakt poszukiwania tej wiedzy w okrojonym czasie modelowym to była sztuka przyjemna :)

      #15 17.09.2017 09:50

    Bylem betatesterem Prosiaka. Zabawne czasy. Dobrze, ze minely.

    Axles   18 #16 17.09.2017 10:10

    Dzięki za powrót do miłych wspomnień, ile to miałem swojego czasu radochy jak udało się coś za pomocą Prosiaka nabroić u kolegi :)

    MiłoszW   9 #17 17.09.2017 13:44

    U nas się mówiło "jaką masz kieszeń?". Kiedyś spaliłem dysk właśnie 2GB, wkładając dysk z jednej kieszeni do innej, 'złej' kieszeni (nawiasem mówiąc to był skandal), 999zł kosztował, ale że to było mega szybko po kupnie, uznali gwarancję i dostałem nowy LOL.

    Autor edytował komentarz w dniu: 17.09.2017 13:46
      #18 17.09.2017 14:34

    "systemy bazujące na jądrze Unix/Linux w domach były raczej jako ciekawostka - czyli niewiele się zmieniło w ostatnich 20 latach"

    Zmieniło zmieniło. Dzisiaj Linux na desktopie to nie ciekawostka, a dla wielu ludzi jest w stanie zastąpić Windowsa. To nie te czasy co wtedy, gdzie grzebało się pół dnia w konfiguracji iksów i kompilowało sterowniki do modemów.

    JaneQPL   2 #19 17.09.2017 14:57

    @bachus: ISDN to nie transmisja danych do Internetu. W wielu firmach używają do tej pory chociażby zestawów telekonferencyjnych po ISDNie, czy zestawionych centrali telefonicznych. W ciągu 15 lat mieliśmy jedną awarię linii spowodowaną tym, że podczas powodzi centrala TPSA została zalana... SDI nie bez powodu zaraz zostało nazwane "Ślamazarnym Dostępem do Internetu", nawet nie chce mi się opowiadać jakie problemy ten analogowy wytwór powodował. Dobrze, że zniknął tak szybko jak się pojawił.

      #20 17.09.2017 15:23

    @MiłoszW: Właściwie do momentu zakończenia seryjnej sprzedaży szuflad PATA w polskich warunkach dodawali do tego "licencję" SwapManagera i opychali kieszenie zwykłe jako hot swap. Znajomy uwalił tak elektronikę sześciu twardzieli pod rząd, i to nowych, całe szczęście sklep za każdym razem cierpliwie wymieniał.

    bachus   23 #21 17.09.2017 15:35

    @JaneQPL: uprościłem za bardzo, masz rację. Co do SDI - nie mogę się zgonić. Przez blisko 10 lat była to jedna z najstabilniejszych form dostępu do internetu w Polsce - często też stosowana jako zapasowe łącze. Stabilne 115kb/s, dodatkowo co bardzo ważne - stały adres IP. Na SDI opierało się większość "zwoływanych" sieci osiedlowych jak i kafejek internetowych po 10-15 komputerów. Prawdziwą jednak rewolucją (głównie ze względu na cenę) była Neostrada.

    Autor edytował komentarz w dniu: 17.09.2017 15:55
    MiłoszW   9 #22 17.09.2017 15:45

    @JaneQPL: Tja SDI ślamazarne? Pierwsze słyszę. Był to oddech powietrza w gęstym syfie dziadowskiego 0202122. A potem wychodzi prezes czy wiceprezes Orange i opowiada jacy to oni innowacyjni... tja, ciekawe jak to blokowali rozwój internetu za czasów tepsy, ciekawe, czemu wtedy nie byli innowacyjni.

    bachus   23 #23 17.09.2017 16:01

    @MiłoszW: pomijając już koszta wdzwaniania się na 0202122 (z czasem pojawiły się taryfy liczące impuls po 6 minutach i pakiety minut), to czasami dostanie się do wolnego modemu po stronie tpsa to był koszmar. Miałem jakiś automat do wygodnego wznawiania próby połączenia (może to było wbudowane w "Bankruta"?) i jak po 30-45 minutach udało się, to człowiek cieszył się jakby trafił przynajmniej 4-kę w totka. Później jak weszły modemy 56k (mój pierwszy to był chyba już softwareowy "Zoltrix Spirit"), to po dźwiękach negocjacji połączenia można było wywnioskować, czy zestawienie będzie powyżej 50k (jak negocjacja wydłużała się i nagle pojawiały się ciche modulowane dźwięki, to lepiej było spróbować jeszcze raz - 5-10kb/s robiło ogromną różnicę).

    MiłoszW   9 #24 17.09.2017 18:56

    No... dlatego SDI było mega wybawieniem. Drogim w założeniu, ale mega wybawieniem : )

    Fhj   7 #25 17.09.2017 20:28

    Nie znałem. Grafika wymiata!

    bystryy   12 #26 18.09.2017 08:29

    @bachus: Fajna kolekcja, ale zabrakło w niej naszego gwiazdora CAFEiNi ;)

    irokiee   9 #27 18.09.2017 08:37

    heh i wtedy powstawały rodzime antywirusy Mks-Vir i pamiętam jak definicje się przynosiło na dyskietkach z domu do domu...

    bachus   23 #28 18.09.2017 08:38

    @bystryy: "CAFEiNi "

    True, true, zmora kafejek :-) Wadą tego backdoora było to, że strasznie "mulił" zarażaony komputer, za to miał świetny panel zarządzania (klient).

      #29 18.09.2017 09:25

    @bachus: na pewno nie, jak już to jedno zero mniej, bo pamiętam że rodzice mi sprawili gdy jeszcze byłem uczniem, za 1000 nigdy by się nie zgodzili.

    Krogulec REDAKCJA  22 #30 18.09.2017 09:50

    Super wpis :) A te dyski swego czasu to była popularna pojemność - tak mniej więcej za czasów Pentium 75 MHz ;)

    bachus   23 #31 18.09.2017 10:09

    @Krogulec: Optimus Harvard P120 kupiony w czerwcu 1996 na Powstaców Śląskich (P120 + S3Trio + 810MB HDD + 8MB RAM + Goldsar 14 + CD Aztec x6 + DOS6.22 i Win3.11). 4650 albo 4750zł w 1996r :-(
    Na kartę dźwiękową nie starczyło, dopiero po kilku miesiącach dokupiłem SB AWE32 :-)

    bachus   23 #32 18.09.2017 10:14

    @xxyyx (niezalogowany): sprawdziłem, aktywacja usługi 999zł i 160 zł (abonament miesięczny). Było jednak warto dla pewnych 11,5 KB/s :-)

    kilijanek   9 #33 18.09.2017 10:52

    @bachus: Możesz udostępnić gdzieś tą wersję Windows 11? Jestem nią baardzo zainteresowany ;)

    btw. z tego co wiem, to... WinWorldPC oferowało wersje oprogramowania "opuszczonego", czyli wersje DOS/Windows/Mac OS i inne. Oferowali to za zgodą twórców :) Microsoft nie miał nawet nic przeciwko, pod warunkiem, że nie będzie tam Windows XP i nowszych ;)

    Jest tam Win2000 :D

    Hmm, teraz mają jakies problemy z domenami :( Chyba ktoś ich zaatakował :(

    bachus   23 #34 18.09.2017 11:06

    @kilijanek: "Możesz udostępnić gdzieś tą wersję Windows 11? Jestem nią baardzo zainteresowany ;) " Priv to podrzucę :-)
    Smuteczek, że winWorldPC.com leży.

    Autor edytował komentarz w dniu: 18.09.2017 11:10
      #35 18.09.2017 12:09

    Pamiętamy, pamiętamy :) Zamykajcie okna, bo latający prosiak wleci :)

    kilijanek   9 #36 18.09.2017 12:31

    @bachus: Nic strasznego, niebawem naprawią ;) Ostatni komunikat jest z 9 września i mają ogromne wsparcie społeczności :)

    gaijin   5 #37 18.09.2017 13:16

    heh pamiętam jak "kolega" po sieci lokalnej udostępnił skoki małysza 2 które okazały się "instalatorem" prosiaka. Bawił się potem często moim cd otwierając go i zamykając. Wtedy nikt nie myślał o antywirusach.

    bachus   23 #38 18.09.2017 13:55

    @gaijin: otwierał podstawkę pod kawę ;-)

    gaijin   5 #39 18.09.2017 14:06

    @bachus: widać nie znał mnie dobrze bo ja nie pijam kawy :)

    Berion   16 #40 23.09.2017 17:44

    "Zagrzechotało ramię głowicy, zapowiadało się nieźle - S.M.A.R.T. (system monitorowania i powiadamiania o błędach działania) nie rzucił żadnymi błędami - może głównie przez to, że technologia ta weszła do powszechnego użycia jakieś 8 lat później"

    Jesteś pewien? Mam 300MB HDD i tam S.M.A.R.T jest obecny (ale sprawdzanych parametrów jak na lekarstwo).

    bachus   23 #41 23.09.2017 17:48

    @Berion: z ciekawości, jaki model? To zwykły IDE? Jaki model? S.M.A.R.T. w domowym sprzęcie jest relatywnie młodą technologią, chociaż formy monitoringu dysków pamiętam nawet z AS/400.

    Autor edytował komentarz w dniu: 23.09.2017 17:48
    Berion   16 #42 24.09.2017 02:40

    @bachus: Tak, najzwyklejszy IDE (ATA33), WDAC2340-00H.