Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 19

Temat: deszyfracja keyloggera

  1. #1
    Zarejestrowany
    Jul 2007
    Postów
    120

    Domyślnie deszyfracja keyloggera

    Witam,

    Zastanawiałem się czy to w tym dziale napisać czy w innym - no ale najwyżej zostanie przeniesiony.

    A więc:
    Pewna osoba rozsyła keylogera - tego Ardamax Keylogger - invisible keylogger with remote installation feature

    Ja go dostałem (zainfekowaną instalkę) aby go trochę rozszyfrować.
    Przebadałem na maszynie wirtualnej że oprócz przechwytywania klawiatury robi jeszcze print screeny
    i wysyła co określony czas na mejla.
    Adres mejlowy From oraz To udało mi się odczytać przy pomocy sniffera.
    Jest to polski prowider o2 dot pl - i uwierzytelnianie idzie po SSL.

    Hasło do poczty jest zaszyfrowane w exe - właściwie to cały plik jest zaszyfrowany ale za pomocą TraceHooka, proces monitora, proces explorera i innych narzędzi zobaczyłem co on robi.

    Czy jest jakaś możliwość odczytu tego hasła do poczty? - pewnie jest tylko jak to można zrobić.
    Myślałem żeby podszyć się na maszynie lokalnej pod adres prowidera poczty i przechwycić hasło logowania jednak nie wiem czy taka możliwość istnieje. Pomimo zrzutu pamięci żadnych stringów wartych uwagi nie znalazłem. Sam na potrzeby testów stworzyłem taką instalkę zainfekowaną jednak nie idzie z tego żadnych stringów odczytać.

    Są jakieś pomysły.
    Pozdro

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Wyslij mi gdzies binarke to popatrze jesli czas pozwoli.
    BTW Co ile czasu wysylane sa logi, screeny?
    Ostatnio edytowane przez TQM : 04-01-2011 - 13:14
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Jul 2007
    Postów
    120

    Domyślnie

    Ok adres wysłałem na priv

    Logi wysyłane są w odstępie ok 1 minuty - być może nawet krótszym.

    Po uruchomieniu go nie ma go na liście procesów - dopiero odpowiednie narzędzia informują że jeden proces
    działa w ukryciu. Instaluje się w katalogu C\Windows\System32\[X]
    gdzie X to jakiś numer - chyba losowy

  4. #4
    Zarejestrowany
    Jul 2007
    Postów
    120

    Domyślnie

    Wiem już (przynajmniej tak mi się wydaje) jak mogę osiągnąć cel.

    Zamierzam przekierować ruch z jednej maszyny do drugiej gdzie ta druga będzie przekazywała żądania na zewnątrz.
    Znalazłem taki opis http://nfsec.pl/hakin9/hssl.pdf i dalej trochę poszperałem w necie jednak znowu mała porażka.
    Opiszę co zrobiłem a co mi nie działa.

    Na VirtualBox zainstalowałem WinXP. Zainstalowałem również BT4.
    W BT4 w pliku etter.conf odkomentowałem dwie pozycje

    #if you use iptables
    redir_command_on
    redir_comand_off

    Następnie uruchomiłem prog Ettercap

    ustawiłam Options->set netmask na 255.255.255.0
    następnie wybrałem menu Sniff-> unified sniffing i ustawiłem na eth0

    Dalej Hosts->scan for hosts - załączył skanowanie i znalazł 3 hosty
    dalej Mitm->Arp poisoning ustawiłem sniff remote connections

    I ostatnie polecenie start -> start sniffing

    Właściwie od tego momentu ruch wychodzący z wirtual WinXP powinien przechodzić przez BT4.
    uruchomiłem przeglądarkę na WinXP, trochę połaziłem po necie ale niestety w ettercap nie zostało nic przechwycone.

    Teraz się zastanawiam co zrobiłem nie tak, gdzie błąd popełniłem. Dodam że to co tutaj przedstawiłem obejrzałem na filmie demonstracyjnym tyle że tam był WMware Workstation albo Player.

    Jeszcze tak myślę czy oby sieć na VBox jest dobrze ustawiona - na obydwu maszynach jest ustawienie NAT.

    Są jakieś pomysły?

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Tak... takie ze:
    1. jesli robisz to na wirtualkach to nie potrzebujesz ettercap'a i arp-poisoning, mozna to zrobic recznie nieco inaczej (IMHO prosciej) bo kontrolujesz obie maszyny...
    2. SSLStrip to proxy do HTTP a nie kazdego innego protokolu uzywajacego SSL - zobacz do dokumentacji (przynajmniej ja nie widze opcji aby to przestawic a patrzalem tez do zrodel)
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  6. #6
    Zarejestrowany
    Mar 2011
    Skąd
    Obecnie, jestem przy komputerze
    Postów
    80

    Domyślnie

    Ja proponuję założyć hook na procedury send(), każde ich odwołanie w kodzie, pomocne będzie tutaj IAT, znajdziesz ja w sekcji

    PE tej binarki. Kiedy zlistujesz odwołania do send(), sprawdzaj drugi parametr czyli bufor w którym są dane, tam znajdziesz surowe

    niezaszyfrowane dane(o ile nie korzysta z serwera pośredniczącego), zależy to też od protokołu z którego korzysta z poczty.

    Nawet jeśli malware opiera się na gniazdach surowych, zastaw hook na sendto(). Musisz obsłużyć się w coś do analizy Malware,

    osobiście polecam IDA Pro, choć ma troche kijowy debugger, ale jeśli chodzi o debugowanie, to polecam OllyDbg z całą paczką

    pluginów które zabezpieczają(w pewnym stopniu) przed uwolnieniem się malware z klatki(debuggera). Na ogół są to idiotyczne

    malware napisane w Delphi czy też inne syfy z Borland(sorry za reklame), pisane przez zgubionych ludzi i niestety takie dostaje

    na codzień licząc na coś bardziej egzotycznego.

  7. #7
    Zarejestrowany
    Jul 2007
    Postów
    120

    Domyślnie

    Właściwie to analizowałem go pod debugerem ale nie jest tak łatwo.
    Znalazłem jeszcze jeden sposób deszyfracja SSla SSL - The Wireshark Wiki
    Na razie próbuję na swoim - jeszcze bez efektu myślę że w końcu się uda.

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    sorry, ja na razie nie mam czasu :-/
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9
    Zarejestrowany
    May 2010
    Postów
    184

    Domyślnie

    smtp idzie po ssl czy jak?

  10. #10
    Zarejestrowany
    Jul 2007
    Postów
    120

    Domyślnie

    Wrzuciłem zrzut z wiresharka Grizly.pcap - download - Darmowy hosting plików
    Udało mi się wydobyć tylko adres email.
    Hasło i nazwa uzytkownika jest szyfrowane po rozpoczęciu sesji STARTTLS.
    Aczkolwiek nazwa użytkownika to pierwszy człon adresu email.

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj