Nincs benne semmi hardcore dolog valljuk be, sima .NET-es keylogger. De engem érdekelt hogy honnan jött ez az egész, ki lehet mögötte, de azért nézzük meg mit csinál nagy vonalakban.
Létrehoz egy Registry kulcsot (Nvidia driver) hogy ha ujraindítod a gépet akkor újra elinduljon.
Aztán van benne egy rész ahol az van megadva hogy küldje el az adatokat emailben. (logikus ehhez valahogy auth-olni kell szóval itt olvasható a jelszó is az email címhez)
Utánna pedig egy feltöltés a lopott adatokról (Már takedown-olva lett):
Illetve volt egy USBSpread funkció:
Ez után gondoltam megnézem mi van fent ott ahova logol. Volt DIR browsing és elérhető volt direktbe szóval láttam mindent a logokból.
Megnéztem mennyi gép fertőzött illetve kinek milyen adatait lopta el. Meglepődtem hogy még a tanár gépe is meg volt fertőzve nem csak a diákoké, illetve az első fertőzött gép amire koncentráltam hogy kiderüljön honnan indult minden.
Azon láttam a belogolt user nevét illetve hogy mi történt a fertőzés idején. Azt láttam hogy épp az órarendjét töltötte le valaki remote-ba és felfigyeltem a domainre ahonnan ez jött. (A domaint kitakartam mert még él).
Később pedig láttam hogy megnyitotta azt az oldalt ahova a keylogger küldi az adatokat. Innen már tudtam hogy Ő az aki megfertőzte a gépet manuálisan. A domain neve elég beszédes volt így gyorsan kiderült hogy ki Ő. Aztán meglett a malware is hogy hol tárolja: hXXp://agXXXXXs.tk/nvdisp10.exe (Kitakarva mert még él)
Itt hiányzott még az hogy kik a fertőzöttek meg hol vannak. Láttam persze fiatalok többségével de voltak befizetési adatok illetve kifizetések cégeknek. Ez utobbi a tanári gépről mint később kiderült.
A saját oldalán láttam is hogy Copyright és a neve (Nevezzük most Dánielnek). Szóval nem tudtam Dániel hova valósi mert elég népszerű neve van, így fogtam és az órarendjét és a jegyzeteit megnéztem. A jegyzetek logojából derült ki az érintett iskola Egerben van. Szóval így már összeállt minden.
Összegyűjtöttem minden infót ami van (az érintetteket is egyenként) és leadtam a HUN-CERT-nek hogy segítsenek. Persze ilyenkor már megvolt a facebookja Dánielnek tudtam hol lakik stb.
Így egész gyorsan meg is lett oldva a dolog.
Note: durva hogy a mai fiatalok miket csinálnak, de nem értem miért nem jóra használják a tudásukat. Ahhoz képest hogy középiskolás Dániel, szerintem kreatív volt.
Ennél mondjuk egy viccesebb dolog volt hogy a HUN-CERT oldalán ahol reportoltam a dolgot az eléggé out of date Drupal volt... :D De ezt fixálták gyorsan.
- rodneymullen2 blogja
- A hozzászóláshoz be kell jelentkezni
- 2533 megtekintés
Hozzászólások
Es mennyire kicsin mulna, hogy ne lehessen felgorgetni...
Pl. ha nincs dir browsing. Kb. cska az apache-ban default.
Vagy az emailcimre szabaly van beallitva, es rogton forwardolja a
levelet egy masik cimre, amire mar nem tudsz belepni (onnan meg torli).
Gmailen is megoldhato.
Es mi lett a vege a sztorinak? Megiscsak gyerekrol van szo.
---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
- A hozzászóláshoz be kell jelentkezni
Ha nincs meg a domain miatt akkor emailből megvannak a lopott adatok. (ha valaki belép persze) mert akkor belépek és 2 helyre forwardolom nem 1 helyre :)
Nem tudok konkrétumot mi lett a vége, a logok el lettek távolítva, a gépek nem küldtek már adatokat. Remélem nem lett semmi komoly.
- A hozzászóláshoz be kell jelentkezni
gmailben beallitasz alkalmazasjelszot, egyebkent meg 2faktoros azonositast plusz ertesitest ha valaki belepett:))
De a gmail nem eletbiztositas, szerintem kiadjak az adatait a hun-certnek (ip logok).
Facebookon tuti kiderul mi lett a sztori vege. Nem vagytok ismerosok?:)
Innen egyebkent 2 ut van a diak elott, vagy komolyan elmerul a temaban, es rafekszik a "nem hagy nyomot" temara:)), vagy elmegy a kedve az egesztol.
Csak ugye amikor a kornyeken betores tortenik, eloszor a rendorok is a "regi arcokat" nezik meg. Mar ha van hozza kedvuk.
---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
- A hozzászóláshoz be kell jelentkezni
ha 2 faktor auth akkor meg eléggé át kéne írnia a keyloggert :) De persze minden lehetséges. Sok spammer pont ezt csinálja hogy megad egy email addresst és oda gyűjt több különböző phishing oldalról jelszavakat és azokat továbbküldi automatán ahol meg harvesteli DB-be. Ezek a tipikus "rezultboxok". De ugye ebben az esetben $send = x@x.com jelszó nélkül.
Szerintem ha kivitelezett egy ilyet ennyi idősen akkor van annyira okos hogy tanul a dolgokból és jóra fogja használni. :)
- A hozzászóláshoz be kell jelentkezni
Azért írta az alkalmazás jelszót. Gmailbe van ilyen, hogy adott szolgáltatáshoz (imap, smtp, stb) lehet jelszót csinálni ilyenkor ami csak arra jó. jelen esetbe csak smtp-hez, és azzal nem tudsz belépni magába a fiókba.
- A hozzászóláshoz be kell jelentkezni
Köszi a pdf-eket.
Meg így le is teszteltem a vírusírtómat.
Szerk1:
Érdekes a virustotal eredménye is.
- A hozzászóláshoz be kell jelentkezni
Miért a CERT-nek reportoltad és miért nem a rendőrségnek?
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "
- A hozzászóláshoz be kell jelentkezni
Én úgy gondoltam hogy talán ez jobb mint a rendőrségnek. Kitöltesz egy ürlapot és kész. Rendőrségnél meg eltöltesz fél napot és jobb esetben akkor sem értik vagy nem is érdekli őket hogy mi van / mi történt. (egyszer próbáltam már elmagyarázni nekik mikor megtaláltam egy scammert, és hogy mit hogyan csináltam, nem volt sikeres)
Én simán itt szoktam bejelenteni: https://www.cert.hu/incidensek-bejelentese
- A hozzászóláshoz be kell jelentkezni
Igen. Csak ennek így nulla nevelő hatása van. Az info előbb-utóbb visszaér a kispajtásunkhoz, kétségbeesve lelövi a szervert, aztán, mikor kicsit lehiggad folytatja.
A rendőrnek, rendőr nyelven kell beszélni. Őt nem érdekli, hogy keylogger, usbspread, whatever. Nála Btk.$422, $423 megsértése. Érintett személyek száma, érintett intézmény, megszerzett adatok típusa, feltételezett elkövető és ennyi. Bónuszként csatolhatod egy CD-R-n (nem röhög, jogi oka van) a hozzád jutott és összegyűjtött adatokat.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "
- A hozzászóláshoz be kell jelentkezni
lehet igzad van nem tudom. Tényleg nem. Épp most írok mégegy blogbejegyzést. Abban pont erre térek ki :) 20 perc s fent van max.
- A hozzászóláshoz be kell jelentkezni
Felesleges lett volna. A srác még a kódot is nyúlta. ;)
- A hozzászóláshoz be kell jelentkezni
Nekem nagyon negatív tapasztalatom van a rendőrséggel IT vonalon. Mikor még forró nyom is lenne, akkro is szarnak bele, aztán csak hónapokkal később állnak neki vakarozni (gondolom addigra lett valaki aki értette egyáltalán) aztán akkor már semmi nincs.
- A hozzászóláshoz be kell jelentkezni
elég random gmail jelszót választott
- A hozzászóláshoz be kell jelentkezni
jóra = eladható™, piacképes™, innovatív™ villantásokra?
- A hozzászóláshoz be kell jelentkezni
Nem. Inkább terjesszen keyloggert az iskolákban.
- A hozzászóláshoz be kell jelentkezni
Több értelme van, mint egy N+1. csetalkalmazást megírni Androidra.
- A hozzászóláshoz be kell jelentkezni
lock
- A hozzászóláshoz be kell jelentkezni
Nem értelek titeket, fősodratú mérnök urakat, mi ez a nagy lock mánia. Félsz, hogy átszerkesztem és nem mutogathatod a többieknek vagy birkáéknak, hogy micsoda szörnyűségeket™ fogalmaz meg ez a hájbazer?
- A hozzászóláshoz be kell jelentkezni
A lock három dolgot jelent:
1) Hülyeséget mondtál, maradjon meg az utókornak
2) Hülyeséget mondtál, tudj róla
3) Hülyeséget mondtál, tudjanak mások róla.
Egyébként te milyen forrásból tájékozódsz arról hup tagok milyen szakmával rendelkeznek, és milyen munkát végeznek? Mert szereted okádni magadból ezt a mérnökurazást, de ténylegesen ráhányod mindenkire, vagy tudod is, hogy az illető az?
- A hozzászóláshoz be kell jelentkezni
Így már világos, köszönöm.
A fősodratú mérnök úr címek a tanúsított hozzáállás alapján kerülnek kiosztásra.
- A hozzászóláshoz be kell jelentkezni
marmint eddig nem volt vilagos szamodra hogy mindenki egy bolondnak tart?
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
IJ
- A hozzászóláshoz be kell jelentkezni
Bezzeg az én időmben még pornó témájú képernyő kímélőket telepítettünk az infóterem gépeire...
- A hozzászóláshoz be kell jelentkezni
+1
És tényleg :D
- A hozzászóláshoz be kell jelentkezni
A Minecraftosokhoz hasonloan o is eleg kreativ.
Vajon ha a masolas nem sikerult, akkor a text es a text2 kulonbozo marad, a CurrentUser es a LocalMachine kulcsait meg kulonbozoekre allitja be. Azt meg megertenem, hogy akkor beall arra, ami epp fut, de a sikertelen masolas nemletezo exe-jet miert probalja registrybol inditani? Elkuldenel neki egy patch-et? :)
Egyebkent szep kod, de igy tenyleg nagy a lebukas veszelye.
E-mailben kuldott olyan adatot, amit az uploadere nem kezelt le? Vagy arra a reszre mi szuksege volt?
--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald
- A hozzászóláshoz be kell jelentkezni
Szia. Üdv az oldalon, látom új (reg) vagy. Nagyon jó írásokat tolsz, köszi érte, csak így tovább :)
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
+1 Engem is érdekelnek ilyen contentek.
- A hozzászóláshoz be kell jelentkezni
+1, kicsit mondjuk fura hogy valaki rendszeresen posztol szakmai kontentet, kíváncsi vagyok meddig bírja :D
- A hozzászóláshoz be kell jelentkezni
amíg nem kezdi el kiszorítani /trackből a oneplusone meg iphoneakksi topikokat, mert akkor már csak a /modlogban jelenhet meg
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
köszi. jön majd még pár dolog csak van amit.. hogy is mondjam. nem akarom hogy tiltás vagy esetleg baj legyen belőle ha megírom. De tervezek még jópár cikket :)
- A hozzászóláshoz be kell jelentkezni
Helyes. Jöhet jó sok! Tanulságosak a bejegyzéseid.
- A hozzászóláshoz be kell jelentkezni
EGyebkent megkerdezhetem, hogy mivel foglalkozol, hogy ennyi szabadidod van?:)
---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
- A hozzászóláshoz be kell jelentkezni
Eljöttem életem legrosszabb melohelyéről ("kék" bank). Nincs melom jelenleg :)
De amugy amiket publikálok már régebbiek, csak előtúrom őket.
- A hozzászóláshoz be kell jelentkezni
Folytasd.
Előre is köszi.
- - - - - - - - - - -
"A fejlesztők és a Jóisten versenyben vannak. Az előbbiek egyre hülyebiztosabb szerkezeteket csinálnak, a Jóisten meg egyre hülyébb embereket. És hát a Jóisten áll nyerésre." By:nalaca001 valahol máshol
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
+1, köszi, tényleg jók!
- A hozzászóláshoz be kell jelentkezni
+1 Elég érdekes volt mind a két írás.
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Nagyon jó blogod van csak így tovább !
A forráskód honnan jött ? Vagy már ilyen minőségű kódot ad vissza a C# decompiler ?
- A hozzászóláshoz be kell jelentkezni
.NET szóval dnspy-ba simán megnyitod
- A hozzászóláshoz be kell jelentkezni