Интеллигентный торрент-трекер
canvas not supported
Нас вместе: 4 292 534

Бэкдоры в сборках Windows и зомби-сети


 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Флейм
Автор Сообщение
Icant ®
Стаж: 3 года 6 мес.
Сообщений: 5
Ratio: 39,13
0%
Пользуюсь сборками. Волнует вопрос - на сколько вероятно что сборщики могут встраивать бэкдоры в систему, чтобы затем продавать прокси или майнить с зомби-машин? Мне кажется что антивирусу спалить это будет сложновато. Как можно проверить сборку на подобное? Спасибо.
Casper1313
Модератор Программ
Меценат
Стаж: 6 лет 7 мес.
Сообщений: 2717
Ratio: 60,5
Поблагодарили: 51020
40.2%
turkey.gif
Icant
Волков бояться - в лес не ходить.
Не пользуйтесь тогда сборками - в чём проблема-то?
А антивирусы как раз таки майнеры определяют на ура.
Icant ®
Стаж: 3 года 6 мес.
Сообщений: 5
Ratio: 39,13
0%
Casper1313 писал(а): Перейти к сообщению
Icant
Волков бояться - в лес не ходить.
Не пользуйтесь тогда сборками - в чём проблема-то?
А антивирусы как раз таки майнеры определяют на ура.

Так и знал что это будет первый ответ. У меня 3 компа, на 2-х сборки, на основном лицензия. Разницы я не вижу, но я и не увижу пока хозяин зомби-сети не захочет :D . Мне интересно узнать на сколько это вероятно и были ли прецеденты?
md40vip
Стаж: 1 год 3 мес.
Сообщений: 547
Ratio: 26,665
100%
Откуда: Откуда: Откуда: Откуда:
honduras.gif
Цитата:
Мне интересно узнать на сколько это вероятно и были ли прецеденты?

Видел давненько(это годочков 15 назад) уже,на одном хак форуме альтернативу прогрузкам по связкам эксплойтов,когда описывается этот метод.
Комментариев конечно было море кто именно так и делает,среди пионеров школоло приукрасить свои возможности это не редкость.
Но уровень программирования одного из прокоментировавших и видя его "поделки" можно смело утверждать что такие сборки были с очень большой вероятностью.
О том какие, естественно в здравом уме никто из авторов не расскажет.

А проверить легко,ставится на какой-нибудь комп и трафик с компа ставится на мониторинг.
Почему не виртуалки?
Ответ пом более чем очевиден.
Если б я писал подобного типа "программное обеспечение",я б встроил в него модуль проверки а-ля "а не в виртуалке ли я нахожусь и если да - то упсь...облом...тихая самоликвидация".Не то что не думаю,а даже уверен что не я один такой умный и подобный метод "противодействия" используется повсеместно.

Как можно проверить сборку на подобное?
Банально распаковать установочные файлы и произвести сравнение по контрольным суммам содержимого файлов с оригиналом который можно слить с самого сайта производителя.
При этом конечно придется разобраться какие стоят обновы и что они затрагивают.
Как говорится добро пожаловать в мир геморроя которому придется посвятить не один час работы втыкания в монитор даже опытному сборщику сборок.

Цитата:
А антивирусы как раз таки майнеры определяют на ура.

Потому что пишут их даунито, которым сложно разобраться в структуре PE и написать хотя бы мало-мальскую свою распаковочку,а не копипастить уже давно прохаванное антивирусами из паблика.

Используйте 2 системы.
Одну для критичных важных данных - какой-нибудь лайв дистрибутив линукса,и основную систему для всего-чего не жалко.
Icant ®
Стаж: 3 года 6 мес.
Сообщений: 5
Ratio: 39,13
0%
md40vip писал(а): Перейти к сообщению

Видел давненько уже,на одном хак форуме альтернативу прогрузкам по связкам эксплойтов,когда описывается этот метод.
Комментариев конечно было море кто именно так и делает,среди пионеров школоло приукрасить свои возможности это не редкость.
Но уровень программирования одного из прокоментировавших и видя его "поделки" можно смело утверждать что такие сборки были с очень большой вероятностью.
А проверить легко,ставится на какой-нибудь комп и трафик с компа ставится на мониторинг.

Спасибо, поставлю на мониторинг трафика пару сборок, месяца мониторинга каждой я надеюсь хватит =)
md40vip
Стаж: 1 год 3 мес.
Сообщений: 547
Ratio: 26,665
100%
Откуда: Откуда: Откуда: Откуда:
honduras.gif
Цитата:
месяца мониторинга каждой я надеюсь хватит

ой как не факт.
Чистая система с windows переставляется в среднем раз в 6-12 месяцев очень активными пользователями.
Год конечно какой-нибудь лоадер наврятли будет ждать,а месяца 3 вполне разумный срок за который в любое случайное время он активируется.
Так же стоит учесть то,что и этот вариант могла предусмотреть.
Работающий компьютер у которого с клавы ничего не набирается и не двигается мышка -явно с точки зрения вирусописателя объект подозрительный.
Равно как и минимальный трафик при наличае интернета.
Следовало бы дополнить картину - установкой различного типа программ и написание какого-то типа эмулятора человека на каком-нибудь AutoIT.

Это конечно же параноя и скорей всего что-то выявит себя тупым и банальным способом в течении тех же 90-100 суток.
Но если автор лоадера - конкретный параноик и извращенец в плане программирования,надеяться что такие поделки заработают без реальной проверки - на сколько реален комп и им пользуются не стоит.

Как правило пишутся лоадеры которые спустя какое-то время а то и сразу загружают то что нужно.Это как правило при "подхвате" с интернета.
В сборку можно встроить что-то более серьезное с хорошей аналитикой,где определить можно только по сетевой активности.
И следует учесть что на сам подопытный комп снифер ставить - тоже нарушить чистоту эксперимента.
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Флейм Часовой пояс: GMT + 3
Страница 1 из 1