Vlákno názorů k článku Rozbor malware od Hacking Teamu: jak se používá? od Heron - V článku mi chybí popis toho, co vlastně...
-
V článku mi chybí popis toho, co vlastně ten agent na počítači oběti prováděl. Víme, jak se do počítače dostal (chybou uživatele), ale nevíme, co tam vlastně dělal a hledal.
Z uniklého KB jsem zjistil pouze tolik, že na linuxu mohli zjistit historii callů skype + historie URLs z prohlížečů. Nevím, jak to ukládá skype, ale prohlížeče mají data v sqlite, takže na seznam urls stačí jeden select.
To má být jako ono? Ne, že by se mi líbilo, že si někdo prohlíží seznam url, na druhou stranu, když už se takto relativně složitě dostali do počítače oběti, tak proč potom spouští jen pitomý select?
Pochopitelně tato informace v KB může být neúplná, zastaralá, nebo jen pro zmatení analýzy uniklých dat, na druhou stranu, když vidím, za kolik peněz se prodávají obyčejné číselníkové programy, tak bych i věřil tomu, že ten agent prostě nic dalšího neumí.
-
Jenda (neregistrovaný)
> V článku mi chybí popis toho, co vlastně ten agent na počítači oběti prováděl. Víme, jak se do počítače dostal (chybou uživatele), ale nevíme, co tam vlastně dělal a hledal.
Nevíme. Podle marketingových materiálů to umí prohledávat a posílat soubory, nahrávat audio, screenshotovat a keylogovat. Ale máš tam admina, takže můžeš dělat _úplně cokoli_.
> Z uniklého KB jsem zjistil pouze tolik, že na linuxu mohli zjistit historii callů skype + historie URLs z prohlížečů.
To si pleteš s Androidem, ne? Tam je to jako appka a bez lokálního exploitu to nemůže nic. Ten linuxový dělal třeba keylogger v Xkách. Ty soubory podle mě uměl taky (proč by taky ne?)
-
"To si pleteš s Androidem, ne?"
KB / Features / Desktop / Linux:
No, tak jsem v KB dohledal všechny RSC 9.x a tam se píše:
* Support for Ubuntu 14.10.
* Password module supports latest Firefox.
* New Offline installation method.
* Improved key logger module (ok, tak tady je to info)
* New module: Money.
* New module: Mic recordings.
* Support for the top5 distributions from DistroWatch.com.
* Support for INJECT-HTML-FLASH infection vector.Ovšem v té KB stránce píší 9.6 toto:
* (Skype) Adressbook
* (Skype) Call List only
* (Skype) Chat
* (Money) Bitcoin, Litecoin, Feathercoin, Namecoin.
* (Messages) Thunderbird Mails
* (Password) Thunderbird, Firefox, Chrome
* (URL) Firefox, Chrome, Opera, WebU sekce MIC a KEYLOG není nic.
Samozřejmě otázkou je, jak jsou ty informace spolehlivé a obnovované. Tu moduly tam mohly být, ale nemusely být funkční (zrovna schovat nahrávání z mic z aplikace běžící jako obyč. uživatel moc nejde) (buď je tam alsa, a to by blokovalo přístup k mic ostatním aplikacím, nebo je tam PA a to by bylo vidět v pavucontrolu).
-
Neviditelný (neregistrovaný)
Pokud by tahle kontrola neběžela na úrovni jádra, byla by tam race condition, navíc seznam klientů PA se dá získat spoustou dalších způsobů, klidně i dotazem přes D-Bus. Zrovna ten modul pro zachytávání mikrofonu pomocí PA mi vůbec přišel dost úsměvný. Co když mi poběží PA pod jiným userem, než ten exploit? Co když na tom systému PA vůbec nebude? I když je fakt, že celý kód toho linuxího sledovače nevypadal jako kdovíjaká raketová věda, spousta z toho se dala poskládat z tutoriálů.
-
rootless rooter (neregistrovaný)
hm. a jak sa vlastne tento 'feature-pack' lisi od meterpreter session [metasploit framework] ?
uplne primitivny payload [veil, alebo binarka, generovana cez msfvenom + shikata-ga-nai encoderom] uspesne 'prepasovana' do ciela [java,flash,html...]
dokaze [okrem ineho] live stream z webcamu,webcam snapshot, keylogging,
ziskat prava na urovni nt authority/system, download/upload dat,
cistit event logy,dump SAM databaze/hashe....
