Метка «бэкдор»

В процессе лечения сайтов обнаруживается множество разновидностей хакерских шеллов и бэкдоров. Скрипты отличаются функционалом и способом обфускации исходного кода, но у всех есть общая черта — это неявное объявление переменных и функций, а также косвенный вызов функций.

Данный подход популярен среди разработчиков вредоносного кода, так как с одной стороны значительно усложняет анализ исходного кода, а с другой позволяет хранить код в текстовых данных. Например, часть вредоносного кода может загружаться со стороннего сайта, из базы данных, мета-данных jpeg/png/gif или передаваться в запросе к скрипту. Кроме того, часть кода, представленная в виде обычной текстовой строки, может быть легко зашифрована.

Кстати, эти же приемы используются веб-разработчиками и в мирных целях в скриптах проверки лицензионных ключей и регистрации веб-приложений, чтобы затруднить взлом программных продуктов.

Несмотря на все многообразие вредоносного кода, существует не так много вариантов объявления и косвенного вызова функций. Ниже представлены примеры различных техник скрытого вызова кода. Для простоты и наглядности пусть «вредоносный код» представлен вызовом

echo "Test"

который выводит слово «Test» на странице. Естественно, в реальных шеллах и бэкдорах имена переменных и функций, а также исполняемый код не хранятся в открытом виде и в большинстве случаев обфусцированы.

Читать полностью »

Постановка задачи

Клиент обратился с проблемой появления скрытых ссылок на страницах своего интернет-магазина, работающего на Phpshop Enterprise 3.6. Необходимо найти код, вставляющий ссылки, удалить его и установить защиту на сайт, чтобы подобное не повторилось в будущем.

Процесс

Спам-ссылки появлялись в коде страницы в виде скрытого блока

<font style='display:none;'> 
<style> 
ul.c98ee5 { 
padding: 0 !important; 
margin: 0 !important; 
font-size: 12px !important; 
background-color: #F7F7F7 !important; 
border: 1px solid #000000 !important; 
} 
.c98ee5 li { 
list-style: none !important; 
padding: 2px !important; 
text-align: left !important; 
} 
...

</style> 
<ul class="c98ee5"> 
<li> 
<span><a 
href="http://какой-то-сайт/otdelenie-pomoshchi-na-domu/">Врач на дом платно</a></span><br /> 
<span class="text">Материалы о беременности и родах, развитии 
детей и др. Подробно о клинике.</span><br /> 
<span class="host">какой-то-сайт</span>

Читать полностью »

Предыстория

Жил-был один старый-старый сайт. Родители от него отказались, и на втором десятке лет существования он попал к нам. Он представлял из себя джунгли PHP кода, разбросанного по папкам. Все это было написано в разное время, с использованием разных паттернкостылей, в разных кодировках (до 3ёх кодировок в пределах одного файла). MVC тогда, наверное, еще не было известно, да и о шаблонизаторах разработчики не слышали, так что не стоит удивляться внезапному

<? if (cond) { ?>

в HTML разметке. Я провел не один час в увлекательных поисках нужного

<? } ?>

Разработчики не забывали и про бэкапы: в корне можно было найти index.php, index_old.php, index.php.bak. Но несмотря ни на что, это чудо работало. А что работает — не трожь.

Завязка

Эта история началась, когда солнечным декабрьским утром специалист по продвижению с удивлением обнаружил ссылки на чужеродные сайты в футере. Немного покопавшись выяснилось 2 вещи:

  1. это сапа;
  2. заказчик недоумевает.

Читать полностью »

image

На информационном портале devttys0.com некто Craig Heffner – опытный специалист в области реверс-инжиниринга – выложил статью-исследование очередной (уже находили) программной закладки в роутерах D-Link. На этот раз закладка была выявлена в официальной прошивке для DIR-100 revA, но, по его мнению, присутствует в роутерах других серий:

  • DIR-100
  • DI-524
  • DI-524UP
  • DI-604S
  • DI-604UP
  • DI-604+
  • TM-G5240
  • Planex BRL-04UR
  • Planex BRL-04CW

Коротко говоря, если у вашего браузера установлен User-Agent как «xmlset_roodkcableoj28840ybtide», то вы автоматически получаете админский доступ к веб-панели управления роутером без всякой авторизации.
Читать полностью »

Предисловие

Однажды попросил меня друг посмотреть почему у него не получается установить шаблон на CMS Opencart.

Присылает ссылку на сайт, доступы к административной части и хостингу. Захожу, вижу шаблон в директории с темами (/catalog/view/theme/). Немного разобравшись в структуре системы, понимаю, что инструмента для загрузки шаблонов нет, как например, в WordPress. Добавление новой темы происходит загрузкой нужных файлов в определенные папки. А CMS «узнает» о доступных шаблонах сканированием папки с темами.
Читать полностью »

Польский security-эксперт Michał Sajdak из компании Securitum нашел очень интересный бэкдор в роутерах TP-LINK.

Эксплуатация бэкдора довольна проста, и её суть показана на следующей иллюстрации:
Бэкдор в роутерах TP LINK

Читать полностью »

Разработчику ПО для азартных игр грозит тюремный срок в США

8 января 2013 года в окружном суде Нью-Йорка начнутся слушания по делу Роберта Стюарта (Robert Stuart) и его компании Extension Software.

Extension Software более десяти лет занимается разработкой программного обеспечения Action Sportsbook International (“ASI”) для серверов букмекерских контор. На территории США запрещены азартные игры, в том числе ставки на спорт. Следствие установило, что компания Extension Software получила около $2,3 млн доходов от сделок с клиентами, которые вели незаконную деятельность на территории США. Соответственно, программисту хотят вменить пособничество преступникам и отмывание денег.
Читать полностью »

Intro

Порой, когда вы реверсите или атакуете программу, полезно иметь возможность загрузить и выполнить свой код в контексте исследуемого процесса. Крадете ли вы хэши паролей или получаете доступ к удаленному рабочему столу целевой системы, методы внедрения кода и dll-библиотек предоставляют мощные возможности. Мы создадим несколько простых утилит на Питоне, которые позволят вам использовать оба метода. Эти методы должны входить в арсенал каждого разработчика программ, эксплойтов, шелл-кодов и пентестеров. Мы будем использовать внедрение DLL (DLL injection) для запуска всплывающего окна внутри другого процесса. Так же мы будем использовать внедрение кода (code injection), чтобы протестировать шелл-код, разработанный для уничтожения какого-либо процесса основываясь на его PID. Под конец главы мы создадим и скомпилируем Trojan’a (с функционалом backdoor’a) полностью написанного на Python. В большей степени он будет опираться на внедрении кода и использовании некоторых других скрытых тактик, которые должен использовать каждый хороший бэкдор. Давайте начнем с рассмотрения темы создания удаленных потоков, которые являются основой для обоих методов внедрения.Читать полностью »

В программе Uplay от компании Ubisoft вчера была обнаружена серьёзная уязвимость, которая представляет собой бэкдор на компьютеры миллионов пользователей, установивших игры от компании Ubisoft, такие как Assassin's Creed, Beowulf, Heroes of Might and Magic VI, Tom Clancy's Splinter Cell и прочие. Вместе с игрой на их компьютер установилась система Uplay DRM и расширение к браузеру.

Так вот, с помощью специального кода через это расширение можно получить доступ в систему пользователя с любого сайта.

Демо (в качестве примера запускает у вас на компьютере программу «Калькулятор»).
Читать полностью »

Прочёл на сайте журнала «Хакер» две статьи:

Читать полностью »