#1 1. Juni 2008 Zuletzt von einem Moderator bearbeitet: 14. April 2017 Target Name: Codesoft PW Stealer Target Beschreibung: Dieser Passwort Stealer wurde vor kurzem hier bei Raid-Rush angeboten und es kann sein das genau dieser immernoch in irgendeinem upload bei RR drin ist. Besonderer Anreiz: Als ich ihn gefunden hab war dieser Stealer UD, d.h. er wurde von keinem Antiviren Programm als schädlich erkannt. Mittlerweile wird er von "Panda" als "Suspicious file" erkannt und von "Ikarus" als "Trojan-Spy.Agent.asu", also 2 von 31 Virenscanner erkennen ihn bzw. um genau zu sein nur 1 virenscanner, er ist also immernoch viel zu gut UD. Ein weiterer Anreiz für's reversen ist, dass dieser Passwort Stealer für 60€ verkauft wird. Jeder der jetzt meint er hat 60€ und überlegt den zu kaufen, der sei gewarnt, sowas bei RR anzubieten ist eine schlechte idee http://www.virustotal.com/de/analisis/9b0a0ec67d0a6087b4fca422b60516d0 Aufgaben: 1.) Genaue Verhaltensbeschreibung. (Was macht er? Was kann er?) 2.) Das Logfile das auf den Server geschickt wird wird leicht verschlüsselt, ziel wäre hier die verschlüsselung zu knacken, am besten mit einem beispiel in einer script/programmiersprache. 3.) Die Server Daten werden verschlüsselt in die exe gespeichert, auch hier verschlüsselung knacken mit beispiel zum entschlüsseln Bitte Lösungen im Spoiler tag posten! Download: No File | xup.in Warnung: Der PW Stealer ist immernoch "scharf", d.h. die daten werden immernoch auf den server geschickt. Wer also ausversehen draufklickt sollte auf diesen ftp gehen und sein File mit seinen Passwörtern löschen. Achja eine firewall sollte ihn auch blocken. Spoiler Code: ftp://stealertest:asdasd165@stealertest.st.funpic.de:21 (Ich poste das im spoiler tag, weil es eigentlich zu der 1. aufgabe gehört ) Kleine Hilfe: Spoiler Wenn ihr im code nicht weiterkommt helfen euch vielleicht diese 2 Programme: Process Monitor Wireshark · Go Deep. Viel Spaß dabei EDIT: Nun ist er nichtmehr scharf, d.h. ungefährlich, weil der besitzer das passwort geändert hat... + Multi-Zitat Zitieren
#2 1. Juni 2008 AW: [RCE] Target: PW Stealer THX 4 Info Wollte gerade mal auf den Space connecten. Also mach ich Proxy an, connecte drauf und auf einmal schließt sich FlashFXP direkt wieder. Das ist nicht normal glaube ich^^ Ist der Account vllt dicht? Jedenfalls komme ich nich drauf... und ohne Proxy geh ich da nich drauf^^ greez + Multi-Zitat Zitieren
#4 1. Juni 2008 AW: [RCE] Target: PW Stealer jetzt ist er down^^ Spoiler Code: [R] Connecting to stealertest.st.funpic.de -> DNS=stealertest.st.funpic.de IP=213.202.225.63 PORT=21 [R] Connected to stealertest.st.funpic.de [R] 220 Welcome FTP server ready. [R] USER stealertest [R] 331 Password required for stealertest [R] PASS (hidden) [R] 530 Login incorrect. [R] Connection failed der pw stealer besitzer liest wohl mit, aber umso besser nun ist er nicht mehr gefährlich. + Multi-Zitat Zitieren
#5 1. Juni 2008 AW: [RCE] Target: PW Stealer konnte leider nur aufgabe eins (zum teil?) lösen Spoiler die exe schickt deine logfile beim ausführen an den server. darin sind mehere daten wie zb. passwörter von icq, steam, filezilla die exe schaut in der regestry nach passwörtern hab das durch olly herrausgefunden @nos kannst du hier vielleicht posten oder mir ne pm schicken, ob ich das richtig gelöst habe, oder ein teil der aufgabe erfüllt oder soetwas. + Multi-Zitat Zitieren
#7 1. Juni 2008 AW: [RCE] Target: PW Stealer das ist mir aber viel zu ungenau... er klaut nicht nur passwörter z.b. Was macht er zuerst? Was kann er genau klauen? Wie ist der name von dem fertigen logfile? Da kann man auch schön lernen wo die programme ihre passwörter abspeichern + Multi-Zitat Zitieren
#8 1. Juni 2008 AW: [RCE] Target: PW Stealer okay... Spoiler er kann den key von kaspersky auslesen. er kann die daten von flashfxp auslesen diese sortiert er nach user, password, ip und port er kann filezilla daten lesen er guckt ob ein masterpw gesetzt ist liest sachen von firefox aus : profile, links, cookies, passwörter usw liest das steam passwort aus die productid's er kann bei steam zb mehere user und pw's ausfindig machen und trennt diese durch ein koma liest icq 6 daten ausdabei zeigt er die software, das protokoll, den user und das pw md5 verschlüsselt an legt eine logfile namens 132.log in c:\ an kann noch sachen lesen wie im programm genannt: Remote Desktop Pack, ProtectStore pack, network password pack is in c++ geschrieben hoffe, das is ein wenig ausführlicher + Multi-Zitat Zitieren
#9 1. Juni 2008 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: [RCE] Target: PW Stealer # Naja an sich ist die Idee ja gut, nur bringt das wohl nichts wenn man die Daten selbst ohne Debugger auslesen kann. (hab zwar olly verwendet, weil ich das Programm einfach genial finde, würde aber auch ohne gehen, da der Programmierer dank seiner "ausgeschmückten" logfile einem die ganze Arbeit abnimmt): Spoiler z.b. 0045C614 *********** 0045C624 **************** 0045C634 **************** 0045C644 *..... ********* 0045C654 ****Mail Passwor 0045C664 t Pack********** 0045C674 ***....... ***** 0045C684 **************** 0045C694 **************** 0045C6A4 ******* Gleicher Entrypoint bei mir wie bei Virustotal: entrypointaddress.: 0x414780 Ok, ich geb zu das es riskant ist nur die strings auszulesen und daraus auf die Funktionen des Programms zu schliesen, aber da das Programm nichtmal gepackt war, warum sollte man dem Coder nicht vertrauen Edit: Ich nehm alles zurück, gibt ja noch aufgabe 2 und 3 So zu 3: Spoiler Die Daten werden im call [00414790] (kurz nach dem Entrypoint) verschlüsselt in den Dump geschrieben: [004AC688] Password [004AC6F0] Username [004AC488] URI (Um an diese Daten zu kommen ist es nützlich auf jede InternetConnectA ein Breakpoint zu setzen ) Beim Entschlüsseln (call [00446055]) werden diese Daten kurzeitig in Offset [004B19D8]++ geschrieben, entschlüsselt und anschließend in die Ursprungsoffsets zurückgeschrieben. Hab die Entschlüsselung mal in C# geschrieben, hat etwas gedautert weil die Sprache dafür ja nicht optimal ist, jedoch kann ich die Sprache am besten. Download Programm und Sourcecode Btw: Wie lange hast du für alle Aufgaben gebraucht NOS ? + Multi-Zitat Zitieren
#10 12. Juni 2008 AW: [RCE] Target: PW Stealer oh sorry hab schon lang nichtmehr reingeschaut hab gedacht niemand hat lust das zu lösen... Naja bei den verschlüsselten sachen hatte ich hilfe Der FTP ist übrigens wieder online (pw wieder so wie oben steht), d.h. der stealer ist wieder "scharf". Mittlerweile erkennen ihn 10/32 virenscanner. http://www.virustotal.com/de/analisis/992d541ec5708b5cb4f154dd33e46f68 Zeigt aber mal wieder deutlich welche virenscanner nichts taugen. + Multi-Zitat Zitieren
#11 12. Juni 2008 AW: [RCE] Target: PW Stealer wieso wird da noch bitdefender 7 benutzt? es gibt jetzt 2008 und version 10 gibts sogar als kostenlose version zum runterladen + Multi-Zitat Zitieren
#12 12. Juni 2008 AW: [RCE] Target: PW Stealer weils total wayne is, selbe viren-db überrascht mich garnicht, dass bei gewissen av progs jegliche aktualisierung sinnlos scheint danke für die files, werde mich da auch mal bei gelegenheit ransetzen + Multi-Zitat Zitieren