Атака винлокера на Windows через Linux, NoScript не установлен, Касперский безмолвствует |
|
Здравствуйте, гость ( Вход | Регистрация )
Атака винлокера на Windows через Linux, NoScript не установлен, Касперский безмолвствует |
8.9.2010, 11:23
Сообщение
#1
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Вчера выковыривал винлокера у друга, который подцепил его без выхода в Инет из Windows и без заражённой флэшки.
На его ноуте устроена двойная загрузка из XP SP3 и древней OpenSUSE 10.3. Сетевые адаптеры в венде перекрыты наглухо, и работа с Интернетом идёт исключительно через сусю. Однако у новелла обновления OpenSUSE прекращается через 18 месяцев после выхода версии, так что состав софта зафиксирован на конец 2008 года -- в частности, Firefох версии 2.0.0.21, для которого версии модуля NoScript нет. Отметим это обстоятельство. Вендовых разделов три, /dev/sda1 (C:, не смонтирован в линуксе), /dev/sda5 (D:, смонтирован стандартно как /windows/D) и /dev/sda6 (E:, смонтирован стандартно как /windows/E). Винлокер появился в венде, когда хозяин перезагрузился после достаточно длительной работы в Интернете с Google Maps и сайтами по виду спорта, в котором он работает. Значки проводника не появлялись, на рабочем столе были только фон и форма локера (то есть explorer.exe из строки Shell в реестре был удалён). Запуск диспетчера задач по Ctrl+Alt+Del, как обычно, был заблокирован. При загрузке линукса никаких авторанов на дисках D и E не обнаружено, зато в корне диска D обнаружены два файла vip-porno-NNNNN.exe (N -- цифры), которые были немедленно перемещены в хомовник подальше от венды. Эти же файлы были обнаружены в списке последних скачанных в файрфоксе, однако журнал посещённых страниц и кэш файрфокса оказались аккуратнейшим образом вычищены. Ещё одна перезагрузка в венду. Баннера порноблокировщика нет, проводника тоже, диспетчер задач заблокирован. Отлично, значит, кажется, вся зараза exe-шниками и ограничивалась. Перезагружаюсь с BartBootCD (в данном случае без него ничего не сделать). Краткий взгляд на корень C -- авторанов нет. Запускаю редактор удаленного реестра для PE и через две минуты нахожу строчку D:\vip-porno-NNNNN.exe в ключе Shell в HKCU. Изменяю строку на explorer.exe: пол-дела сделано. Далее, заглядываю в HKCU\Software\Microsoft\Windows\CurrentVersion\Policies и нахожу там параметр, блокирующий диспетчер задач. Удаляю его. Готово. Перезагружаюсь, венда ОК. В принципе, локер практически школотой писан, но из венды-то в Интернет не ходили!!! Никогда!!! И нечем ходить -- интерфейсы отключены!!! Дальше остаётся только строить предположения. Судя по всему, владелец машины зашёл на вредоносный сайт, на котором сработал не заблокированный из-за отсутсвия NoScript яваскриптовский (или другой скриптовый) код, который выполнил следующее: 1. Определил, из какой ОС зашли на сайт, и нашёл доступные вендовые разделы, монтированные на запись. 2. Загрузил два экземпляра экзешника блокировщика в /windows/D, о чём остались сведения в журнале загрузок файрфокса (почему этот журнал не был вычищен -- мне непонятно). 3. Сгенерировал и записал авторан или folder.htt для блокировщика в тот же /windows/D. 4. Вычистил журнал и кэш обозревателя и самоуничтожился. Далее, при загрузке венды отработал авторан или folder.htt, блокировщик прописался в реестр и уничтожил авторан. Это всё не похоже на механизм, который способна написать школота. Или я плохо разбираюсь в школоте. Перезагружаюсь в линукс, шагом марш на www.virustotal.com и проверяю пойманного червяка. ДрВеб срабатывает (ага, Игорю отсылать его уже не надо), нод32 срабатывает. Касперский, авира, аваст, авг, микрософт и практически все остальные молчат. Как в рот воды набрали. Тьфу, shit. Это не начало ли очередной разборки между антивирусописателями? :angry: :angry: :angry: |
|
|
8.9.2010, 11:26
Сообщение
#2
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
опять птиц порнухи пересмотрел ...
зашёл на гугль мапс, а там порнуха и порновирусы .. ппц просто. явно заговор гугля с порновирусниками против пользователей винды. |
|
|
8.9.2010, 11:29
Сообщение
#3
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
опять батя постов не читает...
Или бурзянский мёд с конопляного поля ещё не кончился... |
|
|
8.9.2010, 11:51
Сообщение
#4
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
у нас нет конопляных полей. Тут не афган и даже не Узбекистан.
|
|
|
8.9.2010, 14:04
Сообщение
#5
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Кажется, Орлуша написал сценарий ужастика, который может поспорить с легендарной "потерей партбилета"
P.S. Вывод: в антивирусном смысле, устаревший линь хуже свежей венды. |
|
|
8.9.2010, 14:44
Сообщение
#6
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Одна загрузка с WinPE мне бы понадобилась, а то и загрузка в безопасном режиме.
Но так как наша местная бабушка-Орлуша из принципа должна использовать Линукс, то в статье много раз говорится про линукс. За идею можно и потрахаться с перезагрузками Так же дополню, что работать под администратором пользователям не умеющим блюсти простые правила безопасности нельзя, ССЗБ. Зачем Орлуша нацарапал эту снету текста - не понятно, так редко занимается "починкой" что описанная ситуация ему показалась важной, а труды, которые он приложил к исправлению - геройскими? Цитата Это всё не похоже на механизм, который способна написать школота. Или я плохо разбираюсь в школоте. Это так, ты плохо разбираешься. |
|
|
8.9.2010, 14:51
Сообщение
#7
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
antonn
> Это так, ты плохо разбираешься. просто у птицы ломаются ложные стереотипы о неуязвимости линя. а школота, которая таки получила "СПО" в школы ... уже спела их взломать... сколько прошло с 1го сентября? Неделя? :lol: вот вам и "защищённый линух" :lol: любой шолкьник его ломает от силы за неделю |
|
|
8.9.2010, 14:57
Сообщение
#8
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Журнал мог и юзер почистить заметая следы ;)
|
|
|
8.9.2010, 15:27
Сообщение
#9
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
|
|
|
8.9.2010, 15:34
Сообщение
#10
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Цитата Ну вы у нас не школьник, хотите я вам дам машину с Linux, скажу её IP и порт ssh и дам вам, скажем месяц - взломаете? а ломать обязательно нужно "из вне"? а "ломать" может означать "привести в нерабочее состояние"? |
|
|
8.9.2010, 15:35
Сообщение
#11
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Konwin
Цитата Ну вы у нас не школьник, хотите я вам дам машину с Linux, скажу её IP и порт ssh и дам вам, скажем месяц - взломаете? Я вам даже обещаю, что там не будет последних обновок и далеко не последнее ядро. imho если надо, то в течении недельки к Вам зайдут и поламают... все, включая Линь - это только вопрос необходимости =))) |
|
|
8.9.2010, 15:38
Сообщение
#12
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
а ломать обязательно нужно "из вне"? А всё что не из вне - это не ломать, это выкрутить руки владельцу и выбить пароль..... а "ломать" может означать "привести в нерабочее состояние"? Ну ДДоСить домашнюю машину - это не спортивно, ибо забить канал мне смогут легко, это не интересно. А вот скажем что-нибудь испортить, пробравшись в саму ОС, это уже интересно. |
|
|
8.9.2010, 15:41
Сообщение
#13
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Konwin
можно попросить еще раз перечитать мои вопросы? Уточню, что речь идет о школе, об общественном компьютере, непосредственно на котором работают школьники. Думаю после этого уточнения слово "ломать" может принять несколько иной смысл нежели "хакнуть по сети"? |
|
|
8.9.2010, 15:44
Сообщение
#14
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Konwin можно попросить еще раз перечитать мои вопросы? Уточню, что речь идет о школе, об общественном компьютере, непосредственно на котором работают школьники. Думаю после этого уточнения слово "ломать" может принять несколько иной смысл нежели "хакнуть по сети"? А какой смысл его ломать не из вне? У Linux смена рутового пароля при физическом доступе и отсутствии пароля на загрузчике - штатная и общеизвестная процедура . |
|
|
8.9.2010, 15:48
Сообщение
#15
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Одна загрузка с WinPE мне бы понадобилась, а то и загрузка в безопасном режиме. Забыл сказать -- в безопасном режиме и безопасном режиме с поддержкой командной строки машина уходила в BSOD. Так что номер без PE не прокатывал.Цитата Но так как наша местная бабушка-Орлуша из принципа должна использовать Линукс, то в статье много раз говорится про линукс. За идею можно и потрахаться с перезагрузками Повторю специально для Тоши: локер залетел не через венду.Цитата Так же дополню, что работать под администратором пользователям не умеющим блюсти простые правила безопасности нельзя, ССЗБ. Зачем Орлуша нацарапал эту снету текста - не понятно, так редко занимается "починкой" что описанная ситуация ему показалась важной, а труды, которые он приложил к исправлению - геройскими? Тош, тут на форуме не только тоши, но и чайники, а вытертый локером Shell я видел в первый раз. Однако это не важно. Лечение здесь тривиальное абсолютно (за исключанием необходимости PE), но это тоже не важно.Важно, что вирус залетел через другую ОС через исключительно грамотно написанную скриптовую часть на странице. И важно то, что ИМХО на вымогателей это не похоже: слишком специфична целевая аудитория этого механизма -- использующие двойную загрузку. На PoC -- похоже. Цитата Цитата Это всё не похоже на механизм, который способна написать школота. Или я плохо разбираюсь в школоте. Это так, ты плохо разбираешься.Журнал мог и юзер почистить заметая следы ;) Не в данном случае. Я слишком хорошо знаю этого человека.
|
|
|
8.9.2010, 15:48
Сообщение
#16
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
orlusha Самое важное в Вашей истории - это то, что вирь залез через "безопасный" Линукс - и смог записать себя на диск. Это очень большой камень в огород тех, кто кричит о "неуязвимости" Линуха.
|
|
|
8.9.2010, 15:50
Сообщение
#17
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Konwin
Цитата А какой смысл его ломать не из вне? А какой смысл маленькому ребенку ломать новую машинку? Причем замечу, что ломает он ее ниразу не "по сети", странно да? Я удивляюсь столь узкому кругозору... orlusha Цитата а вытертый локером Shell я видел в первый раз. нуб. Создавай каждый раз новую тему, как что-то увидишь первый раз Цитата вирус залетел через другую ОС через исключительно грамотно написанную скриптовую часть на странице можно увидеть исходник "исключительно грамотно написанную скриптовую часть страницы"? |
|
|
8.9.2010, 15:59
Сообщение
#18
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
orlusha Самое важное в Вашей истории - это то, что вирь залез через "безопасный" Линукс - и смог записать себя на диск. Это очень большой камень в огород тех, кто кричит о "неуязвимости" Линуха. Через файрфокс, причём очень старой версии. С отсутствующим NoScript -- так категорически не рекомендуется работать!!! ИМХО на любой другой ОС скриптовая страница тоже смогла бы записать червя на диск -- антивирус-то не срабатывал....К сожалению, мне не проверить вредоносную страничку на других версиях файрфокса и других обозревателях. Можно ли заразить подобным образом линукс? -- Похоже, что да. Вечером проведу опыт на стенде (естественно, без скриптовой части, которой у меня нет). Ботсеть организовать можно. Однако руткит посадить нельзя. orlusha В третий раз повторяю: тема не ради этого создавалась. Пожалуйста, читай посты внимательно и не хами, если не дочитал (а даже и если дочитал -- всё равно не хами, здесь это неуместно).Цитата а вытертый локером Shell я видел в первый раз. нуб. Создавай каждый раз новую тему, как что-то увидишь первый разЦитата Цитата вирус залетел через другую ОС через исключительно грамотно написанную скриптовую часть на странице можно увидеть исходник "исключительно грамотно написанную скриптовую часть страницы"? |
|
|
8.9.2010, 16:03
Сообщение
#19
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Да ничего вы там не заразите - за рамки доступного пользователю вы выйти не сможете, а атаки на повышение привилегий - высокий полёт доступный единицам программистов в мире..... Тут вся уязвимость сработала на то, что линуксовыми средствами вы не можете организовать контроль доступа на смонтированные виндовые диски, ибо закрытая ФС, и соответственно можете её поломать. Вот и всё, остальное вторично. Версию ОС и отсутствие NoScript выявить легко. Вот найти нужные разделы - это интересно, скрипт как-то вышел на системный шел и смог его выполнить. Дальше - опять же всё просто. Тут можно посоветовать простое решение. Вендовые разделы - только на чтение, а обмен данными - через ext3 линуксовый раздел, который можно читать/писать из виндов с помощью существующих программ и драйверов.
|
|
|
8.9.2010, 16:07
Сообщение
#20
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Цитата Поймаю -- пришлю. Понятно, как это получилось ты не знаешь, но зато с понтом и очень умно сформулировал: "через исключительно грамотно написанную скриптовую часть на странице". Некоторые мои начальники строят такие же витиеватые, наполненные умными словами, фразы без какой либо конкретики, при этом слабо разбираясь в предмете. Ну типа чтобы казаться умными. Отличный показатель такого словоблудия вот эта твоя фраза: Цитата ИМХО на любой другой ОС скриптовая страница тоже смогла бы записать червя на диск -- антивирус-то не срабатывал.... Цитата В третий раз повторяю: тема не ради этого создавалась. Ты в первый раз видишь чтобы из под одной ОС ставилась программа на другую? Или врущих юзеров, отмазывающихся "нет, она сама!!!"? |
|
|
Текстовая версия | Сейчас: 26.9.2024, 18:44 |