Абсолютная защита

Каждый день появлятся все больше вредоносных программ, нацеленных на кражу паролей и другой приватной информации. Противодействие брони и снаряда идет с переменным успехом, талантливые программисты антивирусных лабораторий создают все более мощные средства обнаружения заразы, в это же время не менее талантливые представители андеграунда придумывают новые способы их обхода. Нет никакой уверенности, что обновление антивирусной базы скачается раньше, чем в системе окажется троян. Однако можно противопоставить им практически абсолютную защиту. Принцип ее основан на том, что все вредоносные программы ищут своих жертв по заранее известным параметрам: прописанные в реестре пути установки, фиксированные имена и расширения файлов с паролями. Ни в одной вредоносной программе не будет использоваться сложный алгоритм эвристики или поиска по содержимому, так как это увеличит размер троянов на порядки и затруднит их незаметное распространение.

Рассмотрим этот метод защиты на примере некоторых популярных программ: интернет-пейджера Miranda IM, файлового менеджера Total Commander и почтового клиента The Bat!. Я пользуюсь именно этими программами, для других вам придется искать решения самостоятельно. В качестве имитации вредоносной программы будет использоваться утилита для восстановления забытых паролей Multi Password Recovery. Программа MPR выбрана не случайно, ее автор в прошлом занимался разработкой самого известного трояна Pinch и в Multi Password Recovery используются те же самые алгоритмы для получения паролей, что и в Pinch. Некоторые антивирусные программы определяют MPR как вирус, но по указанной ссылке гарантированно никакой заразы нет.
Запускаем MPR и видим как на ладони все логины и пароли от почтовых ящиков The Bat!, ваших красивых асечных номерков Miranda и FTP-серверов из Total Commander. Даже не сомневайтесь, это же самое "увидит" и троянская программа.

Начнем с Miranda. Через программу regedit открываем реестр, находим ветку

HKEY_LOCAL_MACHINE\SOFTWARE\Miranda

а в ней ключ Install_Dir, в котором содержится путь установки и, соответственно, место где хранятся файлы профилей с паролями. Удалять его бесполезно, при каждом запуске Miranda создает его заново. Можете проверить, не запуская Miranda удалить этот ключ и запустить MPR. Пароли от Miranda найдены НЕ будут. Но стоит запустить Miranda хотя бы раз, ключ в реестре будет восстановлен и пароли снова будут найдены. Запрещать создавать ключ мы не будем, но зато мы можем его переименовать! Для этого откроем файл miranda32.exe в любом двоичном редакторе, например HIEW или WinHex. Перед любым ковырянием в файлах обязательно делайте резервные копии! Поиском находим строку "Install_Dir" и заменяем ее на любую другую, точно совпадающую по длине, например "Hello_There". Настоятельно рекомендуется использовать только английские буквы. Сохраняем сделанные изменения, удаляем из реестра ключ "Install_Dir", запускаем Miranda. В реестре появился новый ключ "Hello_There". Запускаем MPR и видим, что пароли от ваших красивых шестизнаков теперь в полной безопасности. После установки и обновления версии Miranda не забывайте повторять все указанные выше действия. Если хватает навыков, то можете сделать универсальный Search and Replace патч.
Кроме того, проект Miranda имеет открытый код. Если вы программист, то можете изменить или убрать совсем эту ветку в исходниках, а потом перекомпилировать новый файл, уже полностью безопасный.

Переходим к Total Commander. Логины и пароли от FTP хранятся в файле wcx_ftp.ini, его местоположение определяется настройками, которые в свою очередь также доступны через реестр. Оригинальный файл при запуске проверяет свою целостность и в случае изменения контрольной суммы завершается с ошибкой. Поэтому всякие любители ключей и лицензионные пользователи могут дальше не читать, это вас не касается. Мы же воспользуемся универсальным патчем, который можно найти в архиве по приведенной выше ссылке. Кроме регистрации патч убирает проверку целостности и можно изменять exe-файл как нам угодно. Проверьте, чтобы файл TOTALCMD.EXE был не упакован. В инсталляторе используется паковщик UPX, но с офсайта можно скачать оригинальный неупакованный exe. Уже знакомым способом открываем файл TOTALCMD.EXE в hex-редакторе (про резервную копию не забыли?), находим строку wcx_ftp.ini и заменяем все ее вхождения на любую другую такой же длины, например kiss_me.now, сохраняем изменения. Переименовываем файл wcx_ftp.ini в новый. Для проверки запускаем Total Commander, Ctrl+F. Если все сделано правильно, то наблюдаем все аккаунты на своем месте. Запускаем MPR, в списке программ Total Commander больше не значится. Все, наши FTP в безопасности.

Теперь перейдем к более сложному примеру - почтовому клиенту The Bat!. Найдем и посмотрим в реестре ветку:

HKEY_CURRENT_USER\Software\RIT\The Bat!

Наблюдаем там пути каталогов с базами писем и файлов аккаунтов, в которых хранятся пароли. Прочитать эти файлы и расшифровать хранящиеся в них пароли уже дело техники, что и подтверждает MPR. В этом случае защита выполняется в два шага.
Шаг первый - реестр. Выгружаем через regedit указанную ветку реестра целиком, открываем на редактирование в любом блокнотике. Делаем резервную копию и глобально заменяем строку "\RIT" на другую, равную по длине, например "\HEY". Косая черта должна остаться неизменной. Сохраняем, запускаем и вносим в реестр. Исходную ветку \RIT при помощи того же regedit'а из реестра надо удалить.
Шаг второй - исполняемый файл. Как и в предыдущих двух примерах надо заменить в файле thebat.exe строку \RIT на нашу новую \HEY. Здесь есть две проблемы. Первая проблема заключается в том, что с некоторых пор авторы TheBat! стали накрывать главный исполняемый файл достаточно серьезной навесной защитой. Новичкам снять ее будет сложно. Последняя официально вышедшая неупакованная версия 4.0.0.3, ее можно найти и скачать например на сайте nobat.ru. По указанной в начале статьи ссылке иногда можно скачать более свежую версию с уже снятой защитой. В любом случае, для применения патча файл thebat.exe должен быть неупакованным и иметь размер около 12 мегабайт. Вторая проблема в том, что в исполняемом файле строки хранятся как в обычной ASCII-кодировке, так и в Unicode, и заменять придется оба варианта. С ASCII проблем не возникнет, как и в предыдущих примерах открываем thebat.exe в hex-редакторе. Строка поиска "\RIT\", строка замены "\HEY\", обратите внимание на закрывающую косую черту. Поиск и замена строк в Unicode отличается тем, что символы в Unicode кодируются двумя байтами, а значит искать надо строку "\", 0x00, "R", 0x00, "I", 0x00, "T". Значком "0x00" обозначен ASCII-символ с кодом 0. Соответственно строка для замены формируется тоже с учетом Unicode: "\", 0x00, "H", 0x00, "E", 0x00, "Y". Заметьте, что в этом случае закрывающей косой черты нет. Оба поиска выполняются глобально по всему файлу и заменяются все вхождения.
Если все сделано правильно, то после внесения изменений в реестр и исполняемый файл, TheBat! будет работать как и прежде. А вот контрольная проверка через Multi Password Recovery покажет, что он у вас вообще никогда не был установлен, значит и пароли воровать неоткуда :)

Вот такой универсальный принцип защиты. Да, я знаю, что можно не сохранять пароли и каждый раз вводить их заново. Да, я знаю, что можно пользоваться специальными программами для хранения и автоматической вставки паролей. Да, я знаю, что пароли можно получить другими методами, например терморектальным криптоанализом или социальной инженерией. Но цель этой статьи - показать и научить применять метод защиты с подменой каких-либо критических данных в различных программах.

Комментарии

Добавить комментарий

Для вставки цитаты выделите текст и нажмите сюда

Имя*:

Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.

Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.