Обзор BetaBot

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
2 952
Оценка реакций
187
Баллы
55
Этот материал собран из 3 анг-статей о бета боте, перевод и компиляция.

Betabot это http-бот со следующим набором функций: Ринг3 руткит, формграббер, боткиллер, собственная проактивная защита и различные обходы антивирусов.
-----------------------------------------------------------------------------------
Banking Bot vs Trojan

Знакомство с формграббером.
Формграббер это часть софта, которая делает инжект в браузер, при инжекте софт патчит код браузера, чтобы поймать POST-данные. Это деталь имеет смысл только для ловли username + password для авторизации на сайтах вроде фейсбука. Формграбер бесполезен при двух-факторной авторизации и при использовании одноразовых паролей, что делает его бесполезным для получения учетных данных с защищённых сайтов, типа банковских.

Знакомство с вебинжектами.
Банковские аккаунты защищены гораздо лучше, я не буду сидеть здесь и перечислять методы защиты, но я приведу один пример: Большинство людей замечают, что для оплаты чего либо со своего аккаунта необходимо предоставлять дополнительную информацию, которую они не используют при авторизации на сайте банка. Короче формграббер мог перехватит имя юзера и пароль, но для реального использования счёта потребуется более подробная информация.
Поскольку дополнительная информация никогда не запрашивается на сайте банка, единственный способ узнать её - спросить у самого пользователя. Вряд ли пользователь выдаст нас свои данные, если мы просто вежливого его попросим, поэтому преступники придумали следующие решение: Вебинжекты. Они являются приложением к формграбберу, которое позволяет малваре модифицировать веб-страницы, а так же воровать с них данные веб-форм. Теперь вирус может добавить в веб-форму дополнительное поле для запроса тайных данных, которые обычно не спрашивают.

Betabot
Читая тред о продаже бота, мы можем увидеть что он имеет только формграбер без вебинжектов. Это сделало бы его совершенно бесполезным для банкинга, успешно выполняя только задачи кражи паролей от фейсбука и твиттера. Многие согласятся, что такой бот не является банковским трояном, а только более продвинутой троянской программой.

Я мог связаться с главным разработчиком и задать ему несколько вопросов:
Я: бетабот является банковским трояном или никогда им не был?
разраб: нет, никогда не был и не будет, от него в этом деле маловато пользы.
Я: формграббер имеет предварительную настройку на конкретные сайты?
разраб: в нем нет никаких пред установок, за них отвечает пользователь.
-----------------------------------------------------------------------------------

В начале марта 2013 "Beta Bot" вышел на рынок с ценой менее чем €500, что достаточно дешево учитывая его функционал. Хотя большинство из них стандарты для подобного софта: ДОС-атаки, удалённые подключения, формграббер и другие компоненты для кражи данных. Одна конкретная функция привлекла наше внимание: "отключение антивирусов", как было сказано в посте о продаже на одном закрытом форуме, далее шёл список из почти 30 программ которые бот мог отключить.

Что он делает?
Во время установки бот ищет по списку известный ей защитный софт. Найдя интересующий его софт бот атакует его, как описано далее в тексте. Делая это он готовит атаку на ав-продукты, убивая процессы, удаляя ключи реестра или просто отключая авто-обновление.
В зависимости от типа защитного софта, бот также пытается обойти файрвол делая инжект в процесс, которому уже разрешен выход в сеть. Например explorer.

User Access Control. Бета-бот пытается получить права администратора используя трюки из социальной инженерии.

Методы повышения прав.
Некоторой малвари для работы достаточно иметь права пользователя, потому что она всё еще имеет доступ к процессам с тем же уровнем прав. Всё же защитные программы обычно выполняется с привилегиями администратора, для получения доступа ко всем ресурсам системы. Так что их процессы защищены от манипуляций со стороны процессов с более низкими правами.
Короче, для отключения ав боту потребуются права, которые он получает следующими двумя трюками:

-Права повышаются через запуск cmd.exe, с аргументов в командной строке, для запуска бота. Короче, юзеру предлагают поднять права системной программе windows, от которой Бот наследует привилегии. Тупой юзер доверяет программам от MS и даёт UAC своё согласие.
Однако многие пользователи могут что-то заподозрить, если окно UAC всплывёт само по себе, поэтому бот использует ещё один трюк:

-Поддельное сообщение, о повреждённой папке в Документах текущего юзера, пугает юзера надписью "Critical Disk Error", мотивируя тем, что данные могут быть безвозвратно утеряны.





Бот предлагает 2 решения проблемы, выбор любого из которых приведёт к UAC запросу.

После получения прав бот атакует защитный софт, как описывалось выше.
Для того чтобы обмануть юзеров по всему миру, бот предусматривает сообщение на более чем 10 языках, типа Немецкий, Английский, Испанский, Французский, Голландский.

Выводы: Малварь часть использует тактику запугивания, чтобы заставить юзера обеспечить доступ к системе. Даже в ситуациях которые кажутся критическими, такие как FakeAv предупреждения о массовом заражении системных файлов, вы должны оставаться спокойными и проверить эту информацию
-----------------------------------------------------------------------------------

Продажами Betabot занимается “Lord Huron”, хотя автором, видимо, является “betamonkey”.
Далее я расскажу пару технических подробностей.

Данные о трояне могут меняться в зависимости от версии. По крайней мере, иногда они отличались в имеющемся у меня семпле и в аналитике.

Расположения тела:
Копирует себя в папку %ProgramFiles%\Common Files\[папка бота].{2227A280-3AEA-1069-A2DE-08002B30309D}\[9 случайных букв].exe

Авторан:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[папка бота]" = "[путь к телу]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[папка бота]" = "[путь к телу]"
HKEY_ALL_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Run\"[папка бота]" = "[путь к телу]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"[папка бота]" = "[путь к телу]"
HKEY_ALL_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"[папка бота]" = "[путь к телу]"

Хешированное АПИ:
Используется алгоритм Adler-32, для строк вида dll_name + "." + function_name.

Скрытый код:
Бот использует несколько слоёв шифрования. Код декриптора конфига сам зашифрован и имеет длину в 550 байт. Код проверяет что два последних поксоренных байта равны 63h, он шифруется RC4 с жёстко зашитым паролем 1E82B25C33.

Структура конифга:
После декрипта конфиг содержит заголовок с уникальным ID владельца бота, пару строк для установки руткита и 16 CnC записей, каждая из которых содержит домен, путь и порт, опции: следует ли использовать SSL, число попыток и ключ для обмена информацией. Ну и контрольная сумма.


...............................
Источник: http://coru.ws/
более полный урл для зареганных там. http://coru.ws/index.php?topic=2386
Автор перевода: Valentin_P (не зареган у нас, к сожалению)
Перепост материала согласован с автором.


[mod][Ar3s:]
Как видим - обзор не закончен. Хотелось бы увидеть больше технической информации. К чему и призываю наших пользователей. Если вам известно более подробная информация по боту - прошу опубликовать. Особенно интересно было бы прочитать про последнюю, актуальную версию 1,7.
[/mod]
 

Ventrue

HDD-drive
Пользователь
Регистрация
05.06.2008
Сообщения
46
Оценка реакций
1
Баллы
15
требует сообщений 50 у вас 41
Для просмотра этого блока Вам необходимо создать не менее 50 сообщений

Очень интерестно, мог бы я как-то прочитать дальше?
 

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
2 952
Оценка реакций
187
Баллы
55
Там не дальше. Там оригинальный урл на закрытом форуме.
"Дальше" в данный момент просто нет у меня...
 

Lagosian

floppy-диск
Пользователь
Регистрация
02.05.2014
Сообщения
1
Оценка реакций
0
Баллы
8
how to become a member on coru.ws?
 

socalow

HDD-drive
Пользователь
Регистрация
25.01.2013
Сообщения
22
Оценка реакций
0
Баллы
8
@Lagosian, wrong place to ask that
 

Oton

floppy-диск
Пользователь
Регистрация
26.04.2015
Сообщения
6
Оценка реакций
0
Баллы
8
good botnet with nice doss
but have problems with holder brousers , betabot kill all brausers and you can not use holder pc and holder can not!)
 

NumPad

CD-диск
Пользователь
Регистрация
28.01.2019
Сообщения
14
Оценка реакций
0
Баллы
1
Топ спасибо
 
Верх