21 апреля 2015 года на Хабре в блоге журнала «Хакер» появилась публикация «Stealer на C#. Мы уложились в 9кб исполняемого файла». Так ак я давно не следил за журналом, был весьма удивлен таким содержанием статьи. В ней описывался самый обычный стилер (программа, позволяющая получать доступ к файлам на другом компьютере). Но, к сожалению, в статье был описан, наверное, самый худший вариант работы стилера. Вот уже много лет антивирусы сканируют сетевой трафик. И, видимо, автор статьи имел выключенный антивирус, либо антивирус с крайне низким уровнем обеспечиваемой безопасности.
Небольшое исследование ждет вас под катом.
Замечу, что в ходе экспериментов мой антивирус начал подавать сигнал тревоги, только когда был добавлен метод Encrypt, до этого программа могла отправлять файл по FTP куда угодно. С появлением опции отправки по почте имя определяемой «малвари» изменилось на «троян».
Анализ функций брандмауэра самых популярных антивирусов
Dywar рассказал о двух способах получить файл с компьютера жертвы. SMTP и FTP(почта и ftp-сервер соответственно), после небольшого анализа возможностей антивируса были выявлены следующие факты:
Как видно из таблицы, все самые популярные антивирусы по умолчанию или с определенными параметрами позволяют блокировать или уведомлять пользователя о попытке отправить сообщение или установить FTP соединение.
Что делать в такой ситуации?
Если стандартный брандмауэр у пользователя выключен, нам практически ничего не мешает установить TCP соединение с удаленным сервером. Достаточно купить выделенный сервер, самый простой, зайти на MSDN и написать, пусть даже синхронный, сервер, принимающий соединения и сохраняющий файлы. А весь процесс работы у клиента сведется к тому, что нужно прочитать файл, зашифровать и отправить его на сервер.
Поскольку эта статья может так же вызвать большое количество стилеров, которые достаточно тяжело отследить обычному пользователю, я не буду выдавать полностью готовые исходные коды клиента и сервера для приема файлов. Приведу ссылки на MSDN, где полностью описано, как написать свой TCP-сервер (синхронный или асинхронный) и как написать свой клиент для этого.
ссылка на оригинал статьи http://habrahabr.ru/post/256475/
Добавить комментарий