Mit ne csinálj fiatalon. Malware Suligépeken.

2017 3. negyedében jelentettem ezt a HUN-CERT-nek.
Nem, nem akartam jeleteni mert a következő leírásban egy fiatal diákról lesz szó aki rosszat csinált, amivel nem lenne baj mert mindenki hibázik. Sajnos azonban mások adatait is publikusá tette így nem volt más esélyem mint jelenteni. Ha pedig értesz ezekhez a dolgokhoz kérlek ne írd le kommentben hogy kiről szól a cikk.

Egyik nap belefutottam egy magyar malware mintába, csodálkoztam is mert azért ritkán jut át a kezeimen magyar malware. (később írni fogok még pár új mintáról)
A sample: 628ab51775d21b09a3c7571cc52ced4eba650ad23c3788e497e4693f60ea84b0; Nvdia driver.exe

Nincs benne semmi hardcore dolog valljuk be, sima .NET-es keylogger. De engem érdekelt hogy honnan jött ez az egész, ki lehet mögötte, de azért nézzük meg mit csinál nagy vonalakban.
Létrehoz egy Registry kulcsot (Nvidia driver) hogy ha ujraindítod a gépet akkor újra elinduljon.

Aztán van benne egy rész ahol az van megadva hogy küldje el az adatokat emailben. (logikus ehhez valahogy auth-olni kell szóval itt olvasható a jelszó is az email címhez)

Utánna pedig egy feltöltés a lopott adatokról (Már takedown-olva lett):

Illetve volt egy USBSpread funkció:

Ez után gondoltam megnézem mi van fent ott ahova logol. Volt DIR browsing és elérhető volt direktbe szóval láttam mindent a logokból.

Megnéztem mennyi gép fertőzött illetve kinek milyen adatait lopta el. Meglepődtem hogy még a tanár gépe is meg volt fertőzve nem csak a diákoké, illetve az első fertőzött gép amire koncentráltam hogy kiderüljön honnan indult minden.
Azon láttam a belogolt user nevét illetve hogy mi történt a fertőzés idején. Azt láttam hogy épp az órarendjét töltötte le valaki remote-ba és felfigyeltem a domainre ahonnan ez jött. (A domaint kitakartam mert még él).
Később pedig láttam hogy megnyitotta azt az oldalt ahova a keylogger küldi az adatokat. Innen már tudtam hogy Ő az aki megfertőzte a gépet manuálisan. A domain neve elég beszédes volt így gyorsan kiderült hogy ki Ő. Aztán meglett a malware is hogy hol tárolja: hXXp://agXXXXXs.tk/nvdisp10.exe (Kitakarva mert még él)
Itt hiányzott még az hogy kik a fertőzöttek meg hol vannak. Láttam persze fiatalok többségével de voltak befizetési adatok illetve kifizetések cégeknek. Ez utobbi a tanári gépről mint később kiderült.
A saját oldalán láttam is hogy Copyright és a neve (Nevezzük most Dánielnek). Szóval nem tudtam Dániel hova valósi mert elég népszerű neve van, így fogtam és az órarendjét és a jegyzeteit megnéztem. A jegyzetek logojából derült ki az érintett iskola Egerben van. Szóval így már összeállt minden.

Összegyűjtöttem minden infót ami van (az érintetteket is egyenként) és leadtam a HUN-CERT-nek hogy segítsenek. Persze ilyenkor már megvolt a facebookja Dánielnek tudtam hol lakik stb.
Így egész gyorsan meg is lett oldva a dolog.

Note: durva hogy a mai fiatalok miket csinálnak, de nem értem miért nem jóra használják a tudásukat. Ahhoz képest hogy középiskolás Dániel, szerintem kreatív volt.
Ennél mondjuk egy viccesebb dolog volt hogy a HUN-CERT oldalán ahol reportoltam a dolgot az eléggé out of date Drupal volt... :D De ezt fixálták gyorsan.

( khiraly | 2018. 01. 11., cs – 18:31 )

Es mennyire kicsin mulna, hogy ne lehessen felgorgetni...

Pl. ha nincs dir browsing. Kb. cska az apache-ban default.
Vagy az emailcimre szabaly van beallitva, es rogton forwardolja a
levelet egy masik cimre, amire mar nem tudsz belepni (onnan meg torli).
Gmailen is megoldhato.

Es mi lett a vege a sztorinak? Megiscsak gyerekrol van szo.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Ha nincs meg a domain miatt akkor emailből megvannak a lopott adatok. (ha valaki belép persze) mert akkor belépek és 2 helyre forwardolom nem 1 helyre :)

Nem tudok konkrétumot mi lett a vége, a logok el lettek távolítva, a gépek nem küldtek már adatokat. Remélem nem lett semmi komoly.

gmailben beallitasz alkalmazasjelszot, egyebkent meg 2faktoros azonositast plusz ertesitest ha valaki belepett:))

De a gmail nem eletbiztositas, szerintem kiadjak az adatait a hun-certnek (ip logok).

Facebookon tuti kiderul mi lett a sztori vege. Nem vagytok ismerosok?:)

Innen egyebkent 2 ut van a diak elott, vagy komolyan elmerul a temaban, es rafekszik a "nem hagy nyomot" temara:)), vagy elmegy a kedve az egesztol.

Csak ugye amikor a kornyeken betores tortenik, eloszor a rendorok is a "regi arcokat" nezik meg. Mar ha van hozza kedvuk.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

ha 2 faktor auth akkor meg eléggé át kéne írnia a keyloggert :) De persze minden lehetséges. Sok spammer pont ezt csinálja hogy megad egy email addresst és oda gyűjt több különböző phishing oldalról jelszavakat és azokat továbbküldi automatán ahol meg harvesteli DB-be. Ezek a tipikus "rezultboxok". De ugye ebben az esetben $send = x@x.com jelszó nélkül.
Szerintem ha kivitelezett egy ilyet ennyi idősen akkor van annyira okos hogy tanul a dolgokból és jóra fogja használni. :)

( anubis126 | 2018. 01. 11., cs – 18:53 )

Köszi a pdf-eket.
Meg így le is teszteltem a vírusírtómat.
Szerk1:
Érdekes a virustotal eredménye is.

( Hiena v | 2018. 01. 11., cs – 19:38 )

Miért a CERT-nek reportoltad és miért nem a rendőrségnek?
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Én úgy gondoltam hogy talán ez jobb mint a rendőrségnek. Kitöltesz egy ürlapot és kész. Rendőrségnél meg eltöltesz fél napot és jobb esetben akkor sem értik vagy nem is érdekli őket hogy mi van / mi történt. (egyszer próbáltam már elmagyarázni nekik mikor megtaláltam egy scammert, és hogy mit hogyan csináltam, nem volt sikeres)
Én simán itt szoktam bejelenteni: https://www.cert.hu/incidensek-bejelentese

Igen. Csak ennek így nulla nevelő hatása van. Az info előbb-utóbb visszaér a kispajtásunkhoz, kétségbeesve lelövi a szervert, aztán, mikor kicsit lehiggad folytatja.
A rendőrnek, rendőr nyelven kell beszélni. Őt nem érdekli, hogy keylogger, usbspread, whatever. Nála Btk.$422, $423 megsértése. Érintett személyek száma, érintett intézmény, megszerzett adatok típusa, feltételezett elkövető és ennyi. Bónuszként csatolhatod egy CD-R-n (nem röhög, jogi oka van) a hozzád jutott és összegyűjtött adatokat.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

( mgabor v | 2018. 01. 11., cs – 19:59 )

elég random gmail jelszót választott

( hajbazer v | 2018. 01. 11., cs – 20:04 )

jóra = eladható™, piacképes™, innovatív™ villantásokra?

A lock három dolgot jelent:
1) Hülyeséget mondtál, maradjon meg az utókornak
2) Hülyeséget mondtál, tudj róla
3) Hülyeséget mondtál, tudjanak mások róla.

Egyébként te milyen forrásból tájékozódsz arról hup tagok milyen szakmával rendelkeznek, és milyen munkát végeznek? Mert szereted okádni magadból ezt a mérnökurazást, de ténylegesen ráhányod mindenkire, vagy tudod is, hogy az illető az?

( BlinTux v | 2018. 01. 12., p – 00:57 )

Bezzeg az én időmben még pornó témájú képernyő kímélőket telepítettünk az infóterem gépeire...

( Nyosigomboc v | 2018. 01. 12., p – 02:27 )

A Minecraftosokhoz hasonloan o is eleg kreativ.
Vajon ha a masolas nem sikerult, akkor a text es a text2 kulonbozo marad, a CurrentUser es a LocalMachine kulcsait meg kulonbozoekre allitja be. Azt meg megertenem, hogy akkor beall arra, ami epp fut, de a sikertelen masolas nemletezo exe-jet miert probalja registrybol inditani? Elkuldenel neki egy patch-et? :)

Egyebkent szep kod, de igy tenyleg nagy a lebukas veszelye.
E-mailben kuldott olyan adatot, amit az uploadere nem kezelt le? Vagy arra a reszre mi szuksege volt?

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

( manfreed (nem ellenőrzött) | 2018. 01. 12., p – 09:00 )

Szia. Üdv az oldalon, látom új (reg) vagy. Nagyon jó írásokat tolsz, köszi érte, csak így tovább :)

( zolti v | 2018. 01. 14., v – 12:00 )

Nagyon jó blogod van csak így tovább !
A forráskód honnan jött ? Vagy már ilyen minőségű kódot ad vissza a C# decompiler ?