Blog (66)
Komentarze (4.9k)
Recenzje (2)
@bachus[RETRO] Prosiak — ciekawy polski backdoor

[RETRO] Prosiak — ciekawy polski backdoor

16.09.2017 | aktual.: 16.09.2017 21:16

Podczas ostatniego przeglądania pudeł z "przydasiami" zawierającymi elektronikę natrafiłem poza takimi skarbami jak akcelerator 3Dfx VooDoo na dysk Seagate 810MB kupiony w 1996 roku - wtedy to była całkiem konkrenta pojemność:

[Dysk Seagate 810MB]
[Dysk Seagate 810MB]

Napęd ten służył mi jako główny dysk przez blisko dwa lata, aby po tym czasie zostać zastąpionym przez demona pojemności (2.1GB) a sam wylądować w tzw. szufladzie:

- przyjdziesz do mnie z dyskiem? - a jaką masz szufladę - OPTIMUS, czy ADAX? (#gimbynieznaja)

Wracając do tematu. - dysk udało mi się podpiąć przez adaptor IDE<-->USB. Nie spodziewałem się za dużo, gdyż pudło przeżyło i jego zawartość sporo, łącznie ze sporymi przeciążeniami (rzucanie) skończywszy na przechowywaniu w temperaturach różniących się czasem o 50‑60 oC (mrozy, lub rogrzany w lecie strych). Zagrzechotało ramię głowicy, zapowiadało się nieźle - S.M.A.R.T. (system monitorowania i powiadamiania o błędach działania) nie rzucił żadnymi błędami - może głównie przez to, że technologia ta weszła do powszechnego użycia jakieś 8 lat później :‑) Nie zawiodłem się, powiało nostalgią... Kiedyś to były czasy teraz już nie ma czasów!

N05t4lg1a

Na dysku znalazłem głównie kopie bezpieczeństwa rzeczy, które były wtedy dla mnie ważne - część z nich to temat na kilka osobnych wpisów. Konfiguracje, pluginy i wariacje wersji botów ircowych (Eggdrop, VoiD), sterowniki, firmware zwiększające funkcjonalność niektórych urządzeń (np. z napędu x8 robił się x32, czy kamera dostawała opcje znane z wersji o 1200zł droższej), lub dziwne ZINy opisujące jak np. przerobić dyskietkę, aby po jej wsadzeniu do komputera zapalił się komputer. Dodatkowo programy typu Bankrut, mIRC, czy definicje do programu antywirusowego. Postanowiłem jednak skupić się na tym najciekawszym, czyli konie trojańskie z backdoorami :

630369

31337 TCP/UDP ( "Elite")

Ostatnie lata XX wieku (~98) były dość burzliwe i ciekawe dla rozwoju informatyki - pędzący postęp technologiczny (2‑letni komputer był już przestarzały), raczkujący internet, początki użytkowej kompresji obrazu i dźwięku (MP3). Na komputerach gościł już Windows 98 - systemy bazujące na jądrze Unix/Linux w domach były raczej jako ciekawostka - czyli niewiele się zmieniło w ostatnich 20 latach ;‑) Internet był pozyskiwany dzięki wdzwanianiu poprzez modem 33kbit/s - a rachunki od TP S.A. mogły doprowadzić do zawału. Dla lepszego zrozumienia: 33.6kbit/s pozwalało na pobranie w ciągu godziny średnio 6‑7MB (~0.007GB) Dopiero około roku 2000 zaczęto wprowadzać SDI, gdzie na tzw. stałym łączu i gdy nikt jednocześnie nie prowadził rozmowy telefonicznej uzyskiwało się 115kbit/s (jako ciekawostka - jedno z chyba najstabilniejszych łącz TPSA, dużo firm jeszcze do niedawna utrzymywało linię z SDI jako łącze zapasowe). W czasach, gdy nie było za bardzo stron jak "Dobre Programy" a samo pobieranie przez modem trwało wieki, korzystało się ze wszystkiego jak leci. Wtedy też domorośli 'hakerzy' szlifowali swoje techniki psychologiczne nie wiedząc jeszcze, że używają elementów socjotechniki, gdzie głównym miejscem do takich akcji dywersyjnych był IRC. Ot, wystawiało się komunikat, że ma się najnowszą wersję Winamp i można udostępnić via DCC, czyli bezpośrednią komunikacją w ramach klientów IRC z pominięciem serwera.

Prosiak - Teraz Polska

Wśród dziesiątek ogólnie dostępnych backdoorów wypada wymienić NetBusa, AntiMKSa, czy BigBen, jednak w Polsce najbardziej popularny był chyba Prosiak, którego postanowiłem sobie "przypomnieć".

630374
630375

Sam instalator "Prosiaka" przypominał ofierze bardzo popularny wtedy program do odtwarzania muzyki Winamp (o tym za chwilę). Programy takie bazowały na prostej nieszyfrowanej bezpośredniej komunikacji (TCP) - połączenie na zdalny otwarty jawnie port. Na pierwszy rzut oka może dziwić kilka rzeczy: [item]jak taki program dostał się na komputer (nie jest to przecież wirus, tylko koń trojański),[/item]jak możliwe, że nie zatrzymał tego firewall na komputerze, [item]jak możliwe, że ktoś się dostał do sieci domowej bez przekierowywania portów na routerze (NAT),[/item][item]jak możliwe, że nie wykrył tego program antywirusowy.[/item][img=TrojanHorse]

Instalacja samego programu, jak wynika z definicji konia trojańskiego, odbywała się z inicjatywy samego atakowanego - pobrany program. Co do firewalla na komputerze (Windowsie) - wtedy nie do końca były znane takie zagrożenia, dodatkowo mało kto miał zaintalowane dodatkowe oprogramowanie jak np. ZoneAlarm. Ominięcie NATowania (routera w sieci domowej) - nie było najczęściej takiej potrzeby. Ludzie łączyli się głównie z modemów (wdzwanianie), gdzie dostawało się zmienny publiczny adres IP. To samo dotyczyło też połączeń np. z akademików, gdzie studenci dostawali także własne adresy IP. Program antywirusowy - niby była jakaś tam świadomość, że są wirusy i na komputerach gościł Norton Antivirus od Symanteca, ale miał najczęściej bardzo stare definicje (sygnatury), co czyniło go bezużytecznym. Definicje wymagały pobrania z internetu dość "ciężkich" plików (na modemie jak miały po kilkanaście MB mogło to zmienić się w godziny). Dla mnie głównym źródłem definicji AV były płyty dodawanie do gazet - głównie do nieistniejącego już miesięcznika CHIP.

[ Prosiak: katalog programu ]
[ Prosiak: katalog programu ]

Katalog Prosiaka zawiera kilka plików: [item]Client - konsola programu używana przez osobę atakującą,[/item] [item]Konfig - konfiguracja konia trojańskiego (serwera),[/item][item]server.dat - główny plik serwera konia trojańskiego,[/item][item]prosiak.ini, *.lng - plik zapisanej konfiguracje i językowe.[/item]Przyjrzyjmy się więc przygotowaniu takiej paczki z backdoorem - do tego służy załączony konfigurator (konfig):

[ backdoor Prosiak - konfuguracja ]
[ backdoor Prosiak - konfuguracja ]
630381

Pierwsze okno [START] daje możliwość ustawienia: [item]Nazwy pliku instalatora - tak zostanie zapisany plik wynikowy (można go nazwać np. Winamp2.666),[/item][item]Hasło backdoora - najczęściej pozostawiane było domyślne 'prosiak' - po przeskanowaniu fragmentu sieci dawało możliwość podłączenia się pod podrzucone przez kogoś innego kukułcze jajo.[/item]

Kolejna zakładka [SIEĆ] to konfiguracja komunikacji:

630384

[item]Uruchom backdoor- główny port (domyślnie: 44444), którego używa "twardy" (okienkowy) klient,[/item] [item]Uruchom Telnetd- połączenie bezpośrednie przez klienta telnet (operacje z linii komend),[/item] [item]Uruchom HTTPD - połączenie do backdoora za pomocą przeglądarki internetowej (wtedy królował Internet Explorer),[/item][item]Uruchom Proxy - jedna z ciekawszych jak na tamte czasy opcja - w przypadku, gdy nie było możliwości bezpośredniego połączenia (internet dzielony na kilka osób) zestawienie połączenia było możliwe za pośrednictwem serwera proxy.[/item] Zakładka [Powiadomienie] umożliwia zdefiniowanie adresu email na który zostanie wysłana informacja o pomyślnej instalacji backdoora na komputerze ofiary - email taki będzie zawierał także adres IP:

630386

Dalej w [Install Shield] możemy skonfigurować jak będzie zachowywać się koń trojański po uruchomieniu na komputerze docelowym - jest to forma uśpienia czujności ofiary. Zdefiniowanie nazwy instalatora (tutaj Winamp 2.6), oraz czasu po której wystąpi błąd instalacji (mogący sugerować, że po prostu pobrało się uszkodzony plik) dając jednocześnie czas na uruchomienie w tle backdoora:

630388

Pozostałe dwie zakładki ([Inne] i [Instalacja]) to między innymi zdefiniowanie do jakiego pliku na dysku będą logowane wciśnięte klawisze (można później pobrać taki plik), czy pod jakimi nazwami będą przechowywane w katalogach Windowsa pliki backdoora:

630390
630391

Po udanym podrzuceniu pliku instalatora ofiara otrzyma program wydający się zwykłym instalatorem:

630393

Uruchomienie spowoduje pojawienie się symulacji postępu, która po ustalonym czasie (53%) wyświetli błąd:

630395
630396

Atak

Klient programu jest bardzo intuicyjny.

630399

Znając adres IP, hasło i port celu wystarczy go wpisać w odpowiednie pola i nawiązać połączenie. W tym samym oknie znajduje się też prosty skaner, który przeczesując ustalonony zakres sprawdza, czy jest otwarty port 44444. Udane połączenie prezentuje się następująco:

630401

Tutaj zaczyna się właściwa "zabawa" - program pomimo prostoty interfejsu ma imponującą liczbę funkcji - od złośliwości typu zmiany nazwy okien, otwierania stron internetowych, usuwania pulipitu lub przycisku START po operacje na plikach i zmianie konfiguracji backdoora, oraz nawet zatarciu śladów (usunięciu programu z systemu):

630403
630404
630405
630406
630407
630408

Poniżej na filmie znajduje się krótka prezentacja działania tego backdoora. Prawe okno to komputer ofiary, na pulpicie znajduje się już pobrany koń trojański. Lewa strona to pulpit atakującego - jak widać w prezentacji samo skanowanie podsieci w celu wyszukania klientów nie zawsze działa (jest to prawdopodobnie związane z bardzo małą latencją sieci - z lenistwa nie chciało mi się już symulować wolniejszego łącza i większego "pingu"). Wśród "sztuczek" nie wszystkie też działają na każdej wersji Windows 98 (np. "twórca dziur"). Na koniec pokazane połączenie zestawione przez przeglądarkę (IE), konsolę (telnet), oraz proces usunięcia szkodnika. Środowisko testowe: dwie maszyny wirtualne z Windows 98SE: [youtube=https://www.youtube.com/watch?v=DKsLgJ8bUcM]

Uwaga: jeżeli ktoś jest zainteresowany, mogę udostępnić najnowszą eksluzywną wersję Windowsa 11 kodowana nazwa "KidneyStone".

Windows_11.build_v2666.exe ;-)

630412

Wpis i prezentacja (YT) są jest tylko dla celów edukacyjnych, nie ponoszę odpowiedzialności za użycie w złych zamiarach. Przy tworzeniu tego wpisu nie ucierpiał żaden prosiak.

Wybrane dla Ciebie
Komentarze (49)