Можно ли верить своим глазам

Тема в разделе "Подготовительное отделение", создана пользователем fseto, 27 ноя 2014.

  1. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    Несколько дней назад один из наших пользователей прислал образец (SHA1: fbe71968d4c5399c2906b56d9feadf19a35beb97, определяется как TrojanDropper:Win32/Vundo.L). Это троян для фишинга с сайтов vk.com и vkontakte.ru, запросы на которые перенаправляются на 92.38.209.252 необычным способом.

    Обычный метод перенаправления трафика — добавить запись в файл hosts, который находится в папке %SystemRoot%\system32\drivers\etc. Однако, когда мы открываем этот файл на заражённом компьютере, то там нет никаких записей для vk.com и vkontakte.ru:


    [​IMG]

    Но если включить отображение скрытых файлов, то появляется ещё один файл hosts:

    [​IMG]

    Мы видим два файла с одинаковым названием в одной папке. Но ведь одна директория не может содержать двух файлов с одинаковым названием. Если скопировать имена файлов в Notepad, сохранить как текст Unicode и открыть в Hex-редакторе, то появится следующая картина (верхняя строчка для первого файла hosts, нижняя — для второго):

    [​IMG]

    В Unicode (UTF-16) символ 0x006F выглядит так же, как 0x6F в ASCII, где тот соответствует букве «o». Но что такое 0x043E в Unicode? Это можно посмотреть в таблице Unicode, вот её фрагмент.

    [​IMG]

    В таблице 0x043E соответствует кириллическому символу, который выглядит так же, как английское «o». То есть настоящим файлом hosts на самом деле является скрытый файл, именно он используется операционной системой. Если открыть этот файл, то сразу видно отличие от фальшивого, это две строчки внизу на несколько экранов от начала:

    [​IMG]

    Загадка разгадана.

    Это уже не первый раз, когда мы обнаружили использование хакерами кодировки Unicode для вредоносных целей. В августе 2010 года один китайский хакер продемонстрировал приём, как использовать управляющие символы Unicode, чтобы убедить пользователей в безопасности файла. С помощью управляющего символа 0x202E (RLO) можно изменить порядок символов при отображении названия файла в Windows Explorer.

    Например, вот потенциально опасный файл picgpj.exe

    [​IMG]

    Если перед частью названия «gpj.exe» вставить управляющий символ, то порядок символов меняется и имя файла отображается в Проводнике уже иначе:

    [​IMG]

    Хакеры обычно используют картинку в качестве иконки для этого файла. Неосторожный пользователь может принять её за фотографию и открыть двойным щелчком, тем самым запуская программу. Очевидно, этот приём бесполезен для программ с поддержкой Юникода, но пользователи не всегда сами могут распознать опасность.

    Можно ли верить своим глазам? Получается, что не всегда.

    Источник
     
    DuBepCaHT, edde, Drink и 5 другим нравится это.
  2. kmscom
    Оффлайн

    kmscom Пользователь

    Сообщения:
    271
    Симпатии:
    43
    чтобы верить своим глазам, рекомендую отказаться от использования Проводника, а использовать Total Commander, хотя и он не лишен некоторых "неудобств", именно неудобств, а не недостатков.
    Проводник vs. Total Commander
     
  3. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    Мне бы хотелось глянуть лог авз с такой подменой хостс-файла, чувствую что был такой лог, но не помню деталей, кое-что уточнить хотелось бы глядя в лог.
     
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Drongo, это копипаст статьи с другого сайта, при чём статья 2011 года. Так что тот hosts тебе сейчас никто не найдёт. Да и прикол тут не в его содержимом, а в имени. А насчёт такой подмены имени кажется ты даже в своём руководстве писал, в общем ничего нового тут нет.
     
  5. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    Да я посмотреть хотел лог вообще-то, а не содержимое хостс, высветит авз атрибут NationalName хоть где-нибудь с этим хостсом или нет. А вообще было бы неплохо если такого ещё нет, чтоб хостс получи в хмл файле такой атрибут.
     
  6. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.041
    Симпатии:
    4.480
    Саня, на сколько я еще помню, то фейковый хостс авз не видела ;), а вот мвам его хорошо вычисляет.
     
    Последнее редактирование: 28 ноя 2014
  7. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Drongo,
    Создал пустой файл с русской буквой о. Сейчас автологер работает. Как закончит, скажу.
    Или я что-то не так понял?
    --- Объединённое сообщение, 28 ноя 2014, Дата первоначального сообщения: 28 ноя 2014 ---
    Ничего никто не нашел :)
    Только RSIT выдал информацию об изменении папки C:\WINDOWS\system32\drivers\etc
     
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    а он должен его видеть?
    иди учи матчать, вопрос как раз для первого курса.
    --- Объединённое сообщение, 28 ноя 2014 ---
    если нужно будет, то высветит ;). Логи я тебе кидал, ты даже в парсере отдельную эвристику - вставку команд скрипта для исправление делал.
     
  9. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Я так понял, Drongo хотел узнать, засветится ли левый файл hosts. Мне вот тоже стало интересно, засветит ли его AVZ, как файл с подозрительным именем. Больше он его не мог никак засветить в принципе.
    Или я суть самого вопроса не понял?
     
    Drongo нравится это.
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    @ScriptMakeR, Drongo хотел узнать засветится ли файл hosts если в пути к нему будут национальные символы, например русские буквы. Ответ да, засветится даже в HTML.
    А по поводу остального ищите ответы самостоятельно, в том числе и на этом сайте ;).
     
    Drongo нравится это.
  11. petr-ru
    Оффлайн

    petr-ru Пользователь

    Сообщения:
    62
    Симпатии:
    31
    По хостс:
    Надо понимать, что такие уловки предназначены только для человека, который смотрит на это дело в проводнике. Для утилиты (авз) разницы никакой нет - фейкового файла она даже не заметит, реальный хостс (с нормальным именем) лежит на прежнем месте и никто его не трогал - просто сделали его скрытым, а то, что рядом лежит файл, который визуально по имени похож на хостс утилиты не поймут - они отобразят реальное содержимое реального хостса (вместе со всеми хакерскими перенаправлениями). Другое дело, в старых системах можно переназначить через реестр путь до него, но это уже совсем другая история...

    Про переворачивание символов:
    Это мега-баянный прием соц.инженерии в целях скрытия истинного расширения файла, работает в проводнике, фар отобразит это дело корректно (имя переворачивать не будет). В комментариях выше говорят, что и тоталкомандер не будет тупить.
     
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    petr-ru, я всё ждал, что студенты подумают и сами напишут, то что написали вы )))). Надеялся, что ещё мне ссылочку дадут на статью, как исправить путь если его переназначили.
    PS. это разумеется не к вам, я не сомневаюсь, что вы знаете.
     
  13. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Так это-то я и так понимал. Просто надеялся, что в AVZ реализована проверка на маскировку фейкового hоsts под настоящий hosts.
    Я же говорю, что не понял суть вопроса.
    Если произведена замена пути к файлу hosts, то это уже AVZ заметит и надо править
    Код (Text):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    "DataBasePath"
    Ну и нормальный hosts подсовывать.
    Ссылку на статью не дам. Что-то не попалась мне она.
     
    Последнее редактирование: 28 ноя 2014
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    ScriptMakeR, допустим на своём рабочем столе или в папке мои документы создали текстовый файл, назвали его h0sts вписали туда перенаправление каких-то сайтов и больше ничего не делали.
    Это фейковый hosts? AVZ должен его видеть?
    Так что повторю свой вопрос
    --- Объединённое сообщение, 28 ноя 2014 ---
    поиски надо было начинать с FAQ ... там даже оглавление для облегчения поиска есть.
     
  15. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    regist,
    Я его в папку C:\WINDOWS\system32\drivers\etc положил. От реального он только пустотой и одной буквой отличался. Т.е. все как описано в статье, только прятать легальный файл не стал.
    Думал, что есть подобная проверка на маскировку под легаг.
     
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    ScriptMakeR, а для работы программ или для windows имеет значение вы его туда положили или на рабочий стол? Что-нибудь плохое будет даже если вы туда что-то впишите?
    AVZ показывает то что запускается, а если у вас лежит просто тушка которая никаким образом не может сама запустится, то пусть и лежит. Кому она она мешает? Может это вы так свои файлы прячете упрятав в папку windows.
     
  17. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.041
    Симпатии:
    4.480
    Мой ответ был адресован Саше, и я надеюсь что он меня правильно понял.
    Если ты не понял, тогда я сейчас туда смайлик добавлю, так будет понятнее.
     
  18. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Да я прекрасно понимаю, что без перенаправления этот файл никакой угрозы не составляет. Он служит только для отвода живых глаз. И то, если не присматриваться.
    А вот про это я как-то даже и не подумал.
     
  19. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    77
    Симпатии:
    69
    Про разгадку символа интересно, а вот в целом принцип если смотреть через проводник я собственно так и делаю обычно (да да пошёл в пещеру доедать мамонта), всегда нужно чтобы отображались все скрытые файлы, если они не отображаются надо править реестр и только когда их видно смотреть какие бы то не было файлы в том числе Хост...

    А на счёт картинки, хитро очень хитро:Clapping:
     

Поделиться этой страницей