Monthly Archives: December 2014

Kaip nulaužė mano kompiuterį 2

Po vakarykščio kompiuterio nulaužimo dar nemažai privargau, kol sugebėjau savo kompiuteryje nukilinti tą parazituojantį procesą. Jis pasileisdavo keletą threadų ir visada atsistatydavo. Čia man labai padėjo „htop“, kuris moka gražiai parodyti procesų ir threadų medį. Šiaip ne taip aš savo kompiuterį išsivaliau švariai.

htop rodo procesą su visais jo threadais

Šiandien tyrinėjau malware’ą toliau. Paleidau jį iš kito kompo ir tuo pat metu skanavau paketus ieškodamas ko nors įdomaus.

Malwaro kodas iš kart jungėsi prie 3 valdymo serverių per TCP 2821 portą:

DNS resolvinimui naudojo įhardcodintą kinišką DNS serverį 114.114.114.114.

Adresas 174.139.217.145 yra JAV, priklauso kompanijai Krypt Technologies, AS35908. Iš kito tai pačiai kompanijai priklausančio IP 110.34.243.26 prie manęs jungėsi lapkričio 18d, kai nulaužė root’ą. Įtariu, kad ta kompanija arba fiktyvi, arba nulaužta.

Adresas www.wangzongfacai.com išsiresolvino į 23.110.211.178. Šis adresas taip pat yra JAV, priklauso kompanijai Nobis Technology Group, AS15003. Iš pažiūros tai amerikietiška kompanija, bet ARIN įraše nurodytoje registratoriaus informacijoje matyti, kad ji užregistruota iš Kinijos, nurodytas kiniškas miestas ir adresas. ARIN įrašas buvo atnaujintas vos prieš kelias dienas. Įtariu, kad visas 23.110.0.0/16 IP adresų ruožas naudojamas nešvariems darbeliams.

Trečiasis adresas 66.102.253.30 yra taip pat Amerikoje. Tačiau pažiūrėkime, kas jo savininkas? Ogi China Telecom’as. Adresas priskirtas klientui Hotspace Networks, kurio kontaktinis asmuo nurodytas Wei Zhao Zheng.

Taigi, pirštais nerodysim, bet mano kompiuterį nulaužė kinai. Turiu pripažinti, kad jie turi visai neblogą infrastruktūrą savo botneto valdymui.

Visą packet capture’ą su malware’o veikimu galima pamatyti čia: www.cloudshark.org/captures/52a3e0bc05ff

Man asmeniškai įdomiausi yra paketai nuo 18-to iki 80-to. Kas tai? Spoofinti source ip adresai siunčiami į valdymo serverį? Adresai iš pažiūros tarsi randominiai, bet geriau įsižiūrėjęs supratau jų tikslą. Malware’as šaudo į save spoofintais source adresais, norėdamas suprasti, ar pas mane kartais neįjungtas uRPF. (Jei įjungtas, tuomet susiaurėja zombio panaudojimo laukas.) Adresai parinkti tikrai meistriškai: iš pradžių pašaudo iš mano vidinio RFC1918 subneto, paskui iš gretimų RFC1918 subnetų, paskui imituoja klaidą 2-ame IP adreso baite, taip gaudamas globalų adresą, paskui imituoja klaidą 1-ame baite. Gražiai sugalvota, nieko neprikiši.

Kai malwaras sėkmingai susijungė su valdymo serveriu ir gavo instrukcijas, jau kitą akimirką šliūkštelėjo keletą milijonų paketų į 122.228.245.24 tcp 7000 portą. Šiuo adresu yra hostinama tik viena svetainė: sporto portalas www.sport.be.

Pati ataka prasideda nuo 97 paketo. Žinoma, visos atakos nesimato, palikau tik saujelę.

Galutinė išvada: hakerių gaudymas ir tyrinėjimas buvo nepaprastai įdomi veikla. Galėčiau tai daryti savo malonumui netgi nemokamai. :)