Mit ne csinálj fiatalon. Malware Suligépeken.

 ( rodneymullen2 | 2018. január 11., csütörtök - 19:16 )

2017 3. negyedében jelentettem ezt a HUN-CERT-nek.
Nem, nem akartam jeleteni mert a következő leírásban egy fiatal diákról lesz szó aki rosszat csinált, amivel nem lenne baj mert mindenki hibázik. Sajnos azonban mások adatait is publikusá tette így nem volt más esélyem mint jelenteni. Ha pedig értesz ezekhez a dolgokhoz kérlek ne írd le kommentben hogy kiről szól a cikk.

Egyik nap belefutottam egy magyar malware mintába, csodálkoztam is mert azért ritkán jut át a kezeimen magyar malware. (később írni fogok még pár új mintáról)
A sample: 628ab51775d21b09a3c7571cc52ced4eba650ad23c3788e497e4693f60ea84b0; Nvdia driver.exe

Nincs benne semmi hardcore dolog valljuk be, sima .NET-es keylogger. De engem érdekelt hogy honnan jött ez az egész, ki lehet mögötte, de azért nézzük meg mit csinál nagy vonalakban.
Létrehoz egy Registry kulcsot (Nvidia driver) hogy ha ujraindítod a gépet akkor újra elinduljon.

Aztán van benne egy rész ahol az van megadva hogy küldje el az adatokat emailben. (logikus ehhez valahogy auth-olni kell szóval itt olvasható a jelszó is az email címhez)

Utánna pedig egy feltöltés a lopott adatokról (Már takedown-olva lett):

Illetve volt egy USBSpread funkció:

Ez után gondoltam megnézem mi van fent ott ahova logol. Volt DIR browsing és elérhető volt direktbe szóval láttam mindent a logokból.

Megnéztem mennyi gép fertőzött illetve kinek milyen adatait lopta el. Meglepődtem hogy még a tanár gépe is meg volt fertőzve nem csak a diákoké, illetve az első fertőzött gép amire koncentráltam hogy kiderüljön honnan indult minden.
Azon láttam a belogolt user nevét illetve hogy mi történt a fertőzés idején. Azt láttam hogy épp az órarendjét töltötte le valaki remote-ba és felfigyeltem a domainre ahonnan ez jött. (A domaint kitakartam mert még él).
Később pedig láttam hogy megnyitotta azt az oldalt ahova a keylogger küldi az adatokat. Innen már tudtam hogy Ő az aki megfertőzte a gépet manuálisan. A domain neve elég beszédes volt így gyorsan kiderült hogy ki Ő. Aztán meglett a malware is hogy hol tárolja: hXXp://agXXXXXs.tk/nvdisp10.exe (Kitakarva mert még él)
Itt hiányzott még az hogy kik a fertőzöttek meg hol vannak. Láttam persze fiatalok többségével de voltak befizetési adatok illetve kifizetések cégeknek. Ez utobbi a tanári gépről mint később kiderült.
A saját oldalán láttam is hogy Copyright és a neve (Nevezzük most Dánielnek). Szóval nem tudtam Dániel hova valósi mert elég népszerű neve van, így fogtam és az órarendjét és a jegyzeteit megnéztem. A jegyzetek logojából derült ki az érintett iskola Egerben van. Szóval így már összeállt minden.

Összegyűjtöttem minden infót ami van (az érintetteket is egyenként) és leadtam a HUN-CERT-nek hogy segítsenek. Persze ilyenkor már megvolt a facebookja Dánielnek tudtam hol lakik stb.
Így egész gyorsan meg is lett oldva a dolog.

Note: durva hogy a mai fiatalok miket csinálnak, de nem értem miért nem jóra használják a tudásukat. Ahhoz képest hogy középiskolás Dániel, szerintem kreatív volt.
Ennél mondjuk egy viccesebb dolog volt hogy a HUN-CERT oldalán ahol reportoltam a dolgot az eléggé out of date Drupal volt... :D De ezt fixálták gyorsan.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Es mennyire kicsin mulna, hogy ne lehessen felgorgetni...

Pl. ha nincs dir browsing. Kb. cska az apache-ban default.
Vagy az emailcimre szabaly van beallitva, es rogton forwardolja a
levelet egy masik cimre, amire mar nem tudsz belepni (onnan meg torli).
Gmailen is megoldhato.

Es mi lett a vege a sztorinak? Megiscsak gyerekrol van szo.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Ha nincs meg a domain miatt akkor emailből megvannak a lopott adatok. (ha valaki belép persze) mert akkor belépek és 2 helyre forwardolom nem 1 helyre :)

Nem tudok konkrétumot mi lett a vége, a logok el lettek távolítva, a gépek nem küldtek már adatokat. Remélem nem lett semmi komoly.

gmailben beallitasz alkalmazasjelszot, egyebkent meg 2faktoros azonositast plusz ertesitest ha valaki belepett:))

De a gmail nem eletbiztositas, szerintem kiadjak az adatait a hun-certnek (ip logok).

Facebookon tuti kiderul mi lett a sztori vege. Nem vagytok ismerosok?:)

Innen egyebkent 2 ut van a diak elott, vagy komolyan elmerul a temaban, es rafekszik a "nem hagy nyomot" temara:)), vagy elmegy a kedve az egesztol.

Csak ugye amikor a kornyeken betores tortenik, eloszor a rendorok is a "regi arcokat" nezik meg. Mar ha van hozza kedvuk.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

ha 2 faktor auth akkor meg eléggé át kéne írnia a keyloggert :) De persze minden lehetséges. Sok spammer pont ezt csinálja hogy megad egy email addresst és oda gyűjt több különböző phishing oldalról jelszavakat és azokat továbbküldi automatán ahol meg harvesteli DB-be. Ezek a tipikus "rezultboxok". De ugye ebben az esetben $send =

jelszó nélkül.
Szerintem ha kivitelezett egy ilyet ennyi idősen akkor van annyira okos hogy tanul a dolgokból és jóra fogja használni. :)

Azért írta az alkalmazás jelszót. Gmailbe van ilyen, hogy adott szolgáltatáshoz (imap, smtp, stb) lehet jelszót csinálni ilyenkor ami csak arra jó. jelen esetbe csak smtp-hez, és azzal nem tudsz belépni magába a fiókba.

Köszi a pdf-eket.
Meg így le is teszteltem a vírusírtómat.
Szerk1:
Érdekes a virustotal eredménye is.

Miért a CERT-nek reportoltad és miért nem a rendőrségnek?
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Én úgy gondoltam hogy talán ez jobb mint a rendőrségnek. Kitöltesz egy ürlapot és kész. Rendőrségnél meg eltöltesz fél napot és jobb esetben akkor sem értik vagy nem is érdekli őket hogy mi van / mi történt. (egyszer próbáltam már elmagyarázni nekik mikor megtaláltam egy scammert, és hogy mit hogyan csináltam, nem volt sikeres)
Én simán itt szoktam bejelenteni: https://www.cert.hu/incidensek-bejelentese

Igen. Csak ennek így nulla nevelő hatása van. Az info előbb-utóbb visszaér a kispajtásunkhoz, kétségbeesve lelövi a szervert, aztán, mikor kicsit lehiggad folytatja.
A rendőrnek, rendőr nyelven kell beszélni. Őt nem érdekli, hogy keylogger, usbspread, whatever. Nála Btk.$422, $423 megsértése. Érintett személyek száma, érintett intézmény, megszerzett adatok típusa, feltételezett elkövető és ennyi. Bónuszként csatolhatod egy CD-R-n (nem röhög, jogi oka van) a hozzád jutott és összegyűjtött adatokat.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

lehet igzad van nem tudom. Tényleg nem. Épp most írok mégegy blogbejegyzést. Abban pont erre térek ki :) 20 perc s fent van max.

Felesleges lett volna. A srác még a kódot is nyúlta. ;)

Nekem nagyon negatív tapasztalatom van a rendőrséggel IT vonalon. Mikor még forró nyom is lenne, akkro is szarnak bele, aztán csak hónapokkal később állnak neki vakarozni (gondolom addigra lett valaki aki értette egyáltalán) aztán akkor már semmi nincs.

elég random gmail jelszót választott

jóra = eladható™, piacképes™, innovatív™ villantásokra?

Nem. Inkább terjesszen keyloggert az iskolákban.

Több értelme van, mint egy N+1. csetalkalmazást megírni Androidra.

lock

Nem értelek titeket, fősodratú mérnök urakat, mi ez a nagy lock mánia. Félsz, hogy átszerkesztem és nem mutogathatod a többieknek vagy birkáéknak, hogy micsoda szörnyűségeket™ fogalmaz meg ez a hájbazer?

A lock három dolgot jelent:
1) Hülyeséget mondtál, maradjon meg az utókornak
2) Hülyeséget mondtál, tudj róla
3) Hülyeséget mondtál, tudjanak mások róla.

Egyébként te milyen forrásból tájékozódsz arról hup tagok milyen szakmával rendelkeznek, és milyen munkát végeznek? Mert szereted okádni magadból ezt a mérnökurazást, de ténylegesen ráhányod mindenkire, vagy tudod is, hogy az illető az?

Így már világos, köszönöm.

A fősodratú mérnök úr címek a tanúsított hozzáállás alapján kerülnek kiosztásra.

marmint eddig nem volt vilagos szamodra hogy mindenki egy bolondnak tart?

IJ

Bezzeg az én időmben még pornó témájú képernyő kímélőket telepítettünk az infóterem gépeire...

+1

És tényleg :D

A Minecraftosokhoz hasonloan o is eleg kreativ.
Vajon ha a masolas nem sikerult, akkor a text es a text2 kulonbozo marad, a CurrentUser es a LocalMachine kulcsait meg kulonbozoekre allitja be. Azt meg megertenem, hogy akkor beall arra, ami epp fut, de a sikertelen masolas nemletezo exe-jet miert probalja registrybol inditani? Elkuldenel neki egy patch-et? :)

Egyebkent szep kod, de igy tenyleg nagy a lebukas veszelye.
E-mailben kuldott olyan adatot, amit az uploadere nem kezelt le? Vagy arra a reszre mi szuksege volt?

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

Szia. Üdv az oldalon, látom új (reg) vagy. Nagyon jó írásokat tolsz, köszi érte, csak így tovább :)

+1

+1 Engem is érdekelnek ilyen contentek.

+1, kicsit mondjuk fura hogy valaki rendszeresen posztol szakmai kontentet, kíváncsi vagyok meddig bírja :D

amíg nem kezdi el kiszorítani /trackből a oneplusone meg iphoneakksi topikokat, mert akkor már csak a /modlogban jelenhet meg

+1

+1

+1

köszi. jön majd még pár dolog csak van amit.. hogy is mondjam. nem akarom hogy tiltás vagy esetleg baj legyen belőle ha megírom. De tervezek még jópár cikket :)

Helyes. Jöhet jó sok! Tanulságosak a bejegyzéseid.

EGyebkent megkerdezhetem, hogy mivel foglalkozol, hogy ennyi szabadidod van?:)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Eljöttem életem legrosszabb melohelyéről ("kék" bank). Nincs melom jelenleg :)
De amugy amiket publikálok már régebbiek, csak előtúrom őket.

Folytasd.
Előre is köszi.
- - - - - - - - - - -
"A fejlesztők és a Jóisten versenyben vannak. Az előbbiek egyre hülyebiztosabb szerkezeteket csinálnak, a Jóisten meg egyre hülyébb embereket. És hát a Jóisten áll nyerésre." By:nalaca001 valahol máshol

+1

+1

+1, köszi, tényleg jók!

+1 Elég érdekes volt mind a két írás.

+1

Nagyon jó blogod van csak így tovább !
A forráskód honnan jött ? Vagy már ilyen minőségű kódot ad vissza a C# decompiler ?

.NET szóval dnspy-ba simán megnyitod