DEFCON Conference 17.ウイルスに笑いを！ パート2

DEFCON Conference 17.ウイルスに笑いを！ パート1



次に、それをIDAにロードし、インポートされたアドレスのテーブルのすべてが正常に見えることを確認し、クロスリンクに従って目的のファイルへのポインターを設定できます。 したがって、依存する暗号化コードの正確な場所を取得します。







したがって、メモリをダンプするためのいくつかのコマンドで、Corefloodが隠れていた場所を見つけました。 PEヘッダーを分解、取得、挿入することなく挿入し、20秒以内に完全に復元されたアドレステーブルを取得しました。



次の話は「ハニー、お邪魔してすみません-インターネットに刺されます！」 この話は、欠陥のあるIPジェネレータConficker.Bがインターネットの一部のみをスキャンすることを示しています。 ここで再びrand関数に戻ります。 この関数の重要な部分は、緑色の矢印でマークした最後の命令です。これは、7FFFの値でEAXの最終値を実行します。 アセンブリの原理に精通しておらず、この命令で何ができるかわからない場合は、これについての小さなデモがあります。







EAXに含めることができる最大値をこのレジストリに移動し、最後の命令を実行します。 値の上半分を「切り捨て」、その後10進法で32767に変換される7FFFを減算することがわかります。明らかに、Windowsを実行するこの制限が整数に必要なサイズを返さないことに著者は気づきませんでした。 。 値が7FFFを超えないように「カットオフ」し、7Fの1バイトがこの値の7Fより大きくなることはありません。つまり、80などに等しくなることはありません。



さらに「Vicious Method」と呼ばれるスライドの左側に、Conficker.Bコードがあります。 これは、IPアドレスの最初のオクテットを開始するrandへの1つの呼び出しを示しています。これは、randから戻った後にスキャンすることを目的としています。 次のrandシステムコールは、IPアドレスの3番目と4番目のオクテットを開始しますが、上記のため、これらのオクテットのうち2つが7Fより大きくなることはありません。 したがって、Conficker.Bはこのアルゴリズムを使用するため、ほとんどのインターネットはスキャンできません。



スライドの右側には、アセンブラーを示すソースコードの一部があります。 画面上で読むことは困難ですが、この例は公開されており、興味がある場合はオンラインで慣れることができます。







このツールへのリンクは、次のスライドの下部にあり、「悪意のある方法のシミュレーション」と題されています。 また、PRNGでIPアドレスが生成されているが、スキャンされていないこともわかります。







次のスライドでチャートを作成してくれたBrandon Enrightに感謝します。 このグラフは「ヒルベルト曲線」と呼ばれ、画面上で見やすくなるように画像を拡大します。 グラフの青色は、この悪質なアルゴリズムを使用したConficker.Bによるスキャンに使用できないIPアドレスの範囲を示しています。 濃い赤色は、スキャンできるものを示しています。 グラフのほとんどの部分が暗赤色ではなく紫色であることがわかります。また、対応する長方形を大きくするまで、これが発生する理由はわかりません。







この拡大された長方形でさえ、各ブロック/ 16では、濃い赤から紫に変わる多くの青い断片が見えます。 これらは、Conficker.Bがスキャンできないアドレスの部分です。







Conficker.Bが「偉大な心」を生み出したと多くの人が確信しているため、これは非常に興味深いものです。 おそらくそうではありますが、これらの人々はWindows rand（）に存在する制限を認識していませんでした。



マシュー・リチャード：私が言ったように、ウイルスをうまく管理していない人たちに話を戻しましょう。サイバー犯罪では、これは「狼男」ということわざに似ているので、これらの人たちはサークルで尊敬されていません。



みんなを「捕まえた」ハッカーツールNeosploitについて話しましょう。 開発者のモットーは「現金をありがとう、今は実行する時が来た」と言えます。 NeosploitはWeb攻撃を組織化するためのツールキットであるため、サイバー犯罪の人はそれを購入し、サーバー上の人に対して設定、サーバーのハッキング、コードのダウンロードなどを行います。







Neosploitの作成者は、ツールを販売することで十分な投資を行いましたが、個々のパーツを変更、修正、または使用することを許可していません。 このツールキットの3番目のバージョンは2008年4月にリリースされました。独自のエクスプロイトのほとんどはCで記述されているため、これはPHPや何らかのWebアプリケーションではありません。 顧客は一連のCGIエクスプロイトを含むバイナリ配布を受け取りました。



Neosploitには、クライアントがエクスプロイトを分割またはトリミングできないようにする機能があります。 これを行うために、すべてのエクスプロイトはバイナリ形式で提示され、XORを使用して暗号化されました。 作成者は、Neosploitに基づいて独自のエクスプロイトセットをカット、接着、作成できないように作成しました。 40-50-60種類のWeb攻撃があります。これらは、自分のエクスプロイトに挿入された盗難およびコピーされたコードに基づいているため、Neosploitの男たちは、内部からエクスプロイトを暗号化することで少し賢くなったことがわかりました。 スクリーンショットでは、キーneosploit.keyのファイルがあることがわかります。したがって、これは完全にライセンスされたソフトウェアです。







私は彼らからたくさんのお金を稼いだ本当に良い顧客がたくさんいたことは間違いありません。 彼らの最も有名な顧客はTorpigでした。 Mebrootルートキットのことを聞いたことがあると思います。これにより、ボットネットネットワークを作成するためのシステムが侵害されました。 しかし、Neosploitの作成者には他の多くの顧客がいました。 2008年5月に、彼らはツールキットの3番目のバージョンである、新たな改善をリリースしました。 お客様は、エクスプロイトパッケージを前払いして、その後のすべての更新を1000ドルで支払うように求められました。 これについては後で詳しく説明しますが、今のところ、彼らは海賊を本当に心配しており、可能な限り海賊から製品を保護しようとしていることに気付くので、とても楽しかったです。







メディアでさえ、これらのエクスプロイトはどこにでもあると書いています。 したがって、もちろん、コードを逆アセンブルし、Neosploitがどのように機能するかを示します。



4月から7月にこのエクスプロイトセットを集中的に宣伝した後、彼らが最初に行ったおもしろいことは、2008年7月20日からのサポートでした。彼らはウェブサイトに投稿した説明で、次のように述べました：さらに製品をサポートすることはできません。 ご不便をおかけして申し訳ありませんが、ビジネスはビジネスであり、プロジェクトに費やした時間はそれを正当化するものではありませんでした。 ここ数か月で、お客様の要件を満たすために最後まで努力しましたが、いつかサポートが終了するはずです。 私たちは1年半にわたってあなたと一緒にいましたが、これがあなたのビジネスにとって最悪の時期ではなかったことを願っています。 今、私たちはあなたの近くにはいませんが、それでもあなたのビジネスが非常に長い間繁栄することを願っています。」 一般的に、私たちはあなたのお金を受け取りました、あなたは購読料を支払ったので、健康である！



しかし、彼らは単に冗談を言って、2008年8月に完全に新しいバージョン3.1を返してリリースしました。これは主要な顧客に提供し、他のすべての顧客は支払い後に更新を受け取ることを示しています。 この更新には、Adobe PDF、Shockwave Flash、およびFirefox用Quicktimeのいくつかの新しいエクスプロイトが含まれていました。



その後、彼らは再び真剣になり、実際にアップデートのリリースを停止すると発表したため、プリペイドサブスクリプションを作成したすべての人が台無しになりました。



それでは、Neosploitに移りましょう。これは、Web攻撃を整理するための非常にクールなキットです。 開発者は海賊と戦い、他の人のキットにコピーして貼り付けることができるエクスプロイトを盗んだため、各エクスプロイトを取得してCGIファイルに配置し、そこから取り出すのが非常に困難な方法でエンコードしました。 Cエクスプロイトバイナリは、PHPスクリプトとわずかに異なっていました。







Neosploitブログには、「誰でも新しいエクスプロイトを作成できる」というDancho Danchevのフレーズが投稿されましたが、それは非常に困難です。 私はそれがどれほど難しいかを知ることにし、エクスプロイトの1つを分解し始めました。



各エクスプロイトは、3バイトのXORキーを使用して暗号化された形式で保存されました。 着信リクエストごとに、エクスプロイトが解読され、仕事のためにユーザーに提供され、このようなサイクルが絶えず繰り返されました。







そのため、メモリを通過してメモリダンプを削除することは依然として非常に困難であり、すべてのエクスプロイトを取得することができたとしても、これらのバッファは毎回クリアされます。



幸いなことに、これらのエクスプロイトをコピーして必要なプログラムに貼り付けることができれば、答えを見つけることができます。 このために、非常に強力な復号化ツール-IDAスクリプトが使用されます。 これにより、特定のメモリ領域をコメント化またはダンプしたり、エクスプロイトを更新したり、xorやbase64などで複雑な文字列を使用するマルウェアを操作するのに役立ちます。 暗号化されたエクスプロイトのキャプチャされたメモリダンプを逆アセンブルするIDEスクリプトを作成しました。







すべての暗号化されたオブジェクトを通過し、復号化関数へのすべての呼び出しを検索し、暗号化されたオブジェクトをキャプチャし、XORを使用してそれらを復号化し、ダンプを削除します。 これは1つの方法ですが、同じことを行うアプリケーションである独自のスクリプトを作成できると思います。 Neosploitに新しいエクスプロイトを追加する方法を知っている場合は、この方向で何かを行うことができます。もちろん、ダンプを削除するとすぐに、すべてのプレーンテキストが認識され、インストルメンテーションからそれを切り取って再販できます。 エクスプロイトを開発している新しい人たちは、誰かが顧客を気にせずに良いお金を稼いだのでgaveめました。



Notorius BIGの偉大なヒップホップ哲学者Biggie Smallsを聞いたことがある人は、偉大な知恵を含んだ10の亀裂戒め、「The Ten Commandments of Crack」と呼ばれる彼の歌を知っています。 あなたが麻薬の売人であるなら、4つの戒めに従ってください：「あなたが押すあなた自身のドープの上に座らないでください。」 おそらく、私がPeeperに電話し、自分の悪意のあるコードを配布した人は、製品を自分でテストしたため、この歌を聞いたことがないでしょう。



彼の攻撃は次のとおりでした。 彼はメールを送り、さまざまな政府機関になりすまして人々に名前を付けました。「親愛なる、だれかがあなたの会社に対して連邦取引委員会に苦情を申し立てたので、ここをクリックして本質を詳述する文書をダウンロードしてください」 。







その後、ユーザーはリンクをたどってこのドキュメントをダウンロードしようとしましたが、実際には.doc形式のWordドキュメントでした。 ただし、非常に難しい機能が1つありました。 Word文書から実行可能ファイルを単にドラッグアンドドロップして名前を変更する機会がありましたが、ファイルをダウンロードしようとすると、「Microsoft Wordが問題を検出し、ドキュメントをダウンロードできませんでした。 続行するには、ドキュメントアイコンをダブルクリックしてください。」 素晴らしいアイデア！







当然、人々はクリックし、この感染したメッセージを受信するために6回クリックしたため、この男にはたくさんの犠牲者がいました。 私はこのメッセージが好きでした：「彼らは私をだまそうとしました、何とか何とか。」



この男を追跡しているときに次に見つけたのは、ドロップドロップのオープンディレクトリで、受け取った情報をダンプしました。







おそらく、彼はそれらを管理するための独自のツールを持っていなかったか、オープンディレクトリは良いことだと思っていましたが、さまざまな人から受け取った多くの情報を保存する場合、オープンディレクトリは悪いです。 彼が「着陸」サイト用にセットアップするサーバーにはオープンディレクトリがあり、そこに移動して、すべての被害者と各被害者のリストを個別に表示できます。



ある意味、彼は高品質のコードを書いたため、優れた開発者でした。 しかし、その欠点は、コードをライブサーバーにアドレス指定するときに、彼が実際のIPアドレスを使用し、そのようなものを長く使用しないことでした。







実際、彼はウクライナから接触した標準DSLモデムを持っていて、彼のすべてのコードとマルウェアをテストしました。これは、「フォローミー」または「フォローミー」と呼ばれる優れた機能を備えています。 この男は銀行の情報を盗むのに忙しかったのですが、時々被害者を見て彼らが何をしているかを見たいだけだったので、私たちは彼をPeeper、または「オブザーバー」と呼びました。 彼は自分のソフトウェアのシンプルな機能に満足せず、自分自身を監視し始めました。 まるで自分のコンピューターでVNCリモートアクセスウィンドウを開いてループさせ、どんどん小さな画像を取得しているように見えます。 実際、彼は多くの「着陸」サーバーでこれを何度も行いました。実際、それは非常に奇妙なことでした。 これらの「着陸」サーバーを見ると、「ああ、見て、これは彼が自分を観察している、自分を観察している、自分を観察している写真です」と言うことができます。







「私の光、鏡、世界で誰が一番甘いか教えて」



何よりも、彼が自分でやったことが好きでした。 彼はコード開発プロセスでこのフォローミー機能を使用しました。 実際、彼はコードを書いて自分自身を観察し、これらすべてをコマンドアンドコントロールサーバーに送り返しました。 したがって、彼は役員が裏口を突破し、彼を床に横たえ、コンピューターを没収することを可能にしました。 要するに、IPアドレスに関連付けられたソースツリーイメージのように、あなたを取り除くのに役立つものは何もありません。







最後に取り上げるマルウェアは、Internet Explorer 7に精通している人々にとって間違いなく興味深いものです。しかし、心配する必要はありません。Microsoftはすべてが制御されていると言っています。







このため、MicrosoftはInternet Explorer 6で大きな問題を抱えていました。これは、このブラウザーから保存されたパスワードを簡単に盗むことができるためです。 通常、サイトにアクセスし、パスワードを保存するかどうかを尋ねられ、特別なフォームが呼び出され、「はい」と答えると、レジストリに保存されます。 IE 6の問題は、ユーザーとしてログインする場合、CryptUnprotectData（）システムコールを1回実行するだけで、実際には保護されていないこれらのパスワードを復号化できることです。



したがって、ユーザー特権で実行されているマルウェアはこれらのパスワードを自由に読み取り、攻撃者に送信しました。 そのため、IE 7では優れた「パッチ」をインストールしました。パスワードは128ビットキーで暗号化されていました。 本当にクラック可能なソリューションではありません！

もっと深く見ると、サイトで利用可能なハッシュを見ることができます。これについては後で説明します。ユーザー名とパスワードを含むバイナリファイルがあります。 映画ソードフィッシュから別の偉大な哲学者、ジョン・トラボルタを引用したいと思います。 私のお気に入りの文章は、彼がそこに座って説明するときです。「このコードは非常に優れているので、私でも解読できません。」 彼は512ビットの暗号化を念頭に置いていたと思います。彼は、世界最高の暗号作成者であり、なぜ雇われたのか、それさえできないと言います。



だからここにマイクロソフトがやったことです。 パスワードを暗号化し、このパスワードを保存するサイトのMD5ハッシュに基づいて128ビットキーを生成します。 これはかなり合理的だと思われるので、 www.bank.com/login.spにアクセスすると、この行が使用され、すべての文字が小文字になり、大きな文字にエンコードされ、MD5アルゴリズムが使用され、この行がユーザー名のレジストリでパスワードを暗号化するために使用されます。



次に、保存されたパスワードがあるこのサイトにアクセスすると、IEはURLを正規化し、文字列をトランスコードし、レジストリを調べて値が保存されているかどうかを確認します。 詳細には、次のようになります。

• index.datの各URLのレジスタのハッシュを読み取ります。
• URLは小文字に変換されます。
• GETパラメーターが削減されました。
• URLは大きな文字に変換されます。
• URL値のハッシュがレジスタ内のいずれかの値と等しい場合、データはこのURLを使用して復号化されます。

これはかなり理にかなっているように思えますが、考えてみると小さな問題があります。 実際、エントロピーが少なすぎるため、ハッカーはこれに簡単に対処できます。 これは、IE 6のパスワード暗号化ほど複雑ではありません。



ハッキングは非常に簡単です。 パスワードを保存するには、ユーザーがサイトにアクセスする必要があります。このサイトは、index.datまたは「TypedURLS」レジストリキーセクションで簡単に見つけることができます。 米国のみを考慮すると、約15,000の銀行と信用組合のサイトがあり、簡単に見つけることができます。 パスワードを検索するサイトを知っていて、そのようなサイトにはそれぞれログインページがあるため、キーのコレクション全体を簡単に組み立てることができます。 ご覧のとおり、ここでの保護は明らかに不十分です。



もちろん、悪者であれば、パスワードを必要とする多くのサイト（Facebook、Myspace、Twitter、またはログインページがある他のサイト）を知っているので、それらのサイトを簡単に把握できます。 Alexaサービスを使用すると、最も人気のあるサイトのリストを維持し、トラフィックに関する統計を収集できます。 キーは本当に簡単に解読できます。これらの一般的なソースに基づいて「レインボーテーブル」レインボーテーブルのような操作を行うと、パスワードを解読するためのすべてのキーが得られます。



, IE 7 : , .



? , . . , Mozilla Firefox, , . , , , «Remember My password». . Firefox IE 7 , , , , .



, , , .



Laqma. , , . - , , , command and control.







, . , , PHP -, PHP , – .



.



: , , , . , . Laqma, . , , Laqma , . , SSDT, IDA - .

, Volatility, . , Laqma, SSDT , , . SSDT, , SSDT, SSDT.







TOS, win32k, , . SSDT , , TOS win32k.



, , , , drv, .sys, . , . , SSDT . .







SSDT. , BSOD, IDA. IDB, , IDB, « » SSDT.



, , SSD , IDB , , , IDB, .

, !





, . 私たちの記事が好きですか？ ? 注文するか、友人に推薦することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークなアナログのHabrユーザーのために30％の割引： VPS（KVM）E5-2650 v4（6コア）についての真実20ドルまたはサーバーを分割する方法？ ( RAID1 RAID10, 24 40GB DDR4).



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで 6か月の期間を支払う場合は12月まで無料で 、 ここで注文できます 。



Dell R730xd 2 ? 2 Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 $249 ! . クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？