Был опубликован отчет о вирусе, с помощью которого «русские хакеры», по мнению спецслужб США, взломали американские выборы. Вирус (точнее, его уникальная сигнатура) выглядит так:

rule PAS_TOOL_PHP_WEB_KIT
{
meta:
description = "PAS TOOL PHP WEB KIT FOUND"
strings:
$php = "<?php"
$base64decode = /\='base'\.\(\d+\*\d+\)\.'_de'\.'code'/
$strreplace = "(str_replace("
$md5 = ".substr(md5(strrev("
$gzinflate = "gzinflate"
$cookie = "_COOKIE"
$isset = "isset"
condition:
(filesize > 20KB and filesize < 22KB) and
#cookie == 2 and
#isset == 3 and
all of them
}

Я даже не знаю, как прокомментировать этот, безусловно, уникальный и однозначно идентифицируемый как российский код.
Поделиться с друзьями
-->

Комментарии (40)


  1. Error1024
    30.12.2016 01:16
    +20

    Я конечно все понимаю, но Хабр это не Twitter же


  1. samodum
    30.12.2016 01:19
    -4

    Помимо кода существует масса другой информации: куки, ip-адреса, user-agent, время обращения к серверу и прочее… Ею обладают соответствующие структуры в полной мере.
    А здесь мы видим всего лишь код. О чём пост? Указанный документ все прочитали от и до и всё поняли?


    1. freehabr
      30.12.2016 01:22
      +8

      Проблема в том, что в этом документе отсутствуют «куки, ip-адреса, user-agent, время обращения к серверу и прочее». Единственная уникальная информация, которая там есть — это список непонятно откуда полученных никнеймов российских хакеров. Вот они:

      «APT28
      APT29
      Agent.btz
      BlackEnergy V3
      BlackEnergy2 APT
      CakeDuke
      Carberp
      CHOPSTICK
      CloudDuke
      CORESHELL
      CosmicDuke
      COZYBEAR
      COZYCAR
      COZYDUKE
      CrouchingYeti
      DIONIS
      Dragonfly
      Energetic Bear
      EVILTOSS
      Fancy Bear
      GeminiDuke
      GREY CLOUD
      HammerDuke
      HAMMERTOSS
      Havex
      MiniDionis
      MiniDuke
      OLDBAIT
      OnionDuke
      Operation Pawn Storm
      PinchDuke
      Powershell backdoor
      Quedagh
      Sandworm
      SEADADDY
      Seaduke
      SEDKIT
      SEDNIT
      Skipper
      Sofacy
      SOURFACE
      SYNful Knock
      Tiny Baron
      Tsar Team
      twain_64.dll (64-bit X-Agent implant)
      VmUpgradeHelper.exe (X-Tunnel implant)
      Waterbug
      X-Agent»


      1. Agel_Nash
        30.12.2016 01:45
        +12

        Ну все ясно. Опять русский медведь всех подвел

        1. Energetic Bear
        2. Fancy Bear
        3. COZYBEAR

        Вот скажите мне, зачем Bear? Нет чтобы Kangaroo — тогда бы санкции наложили на Австралию.


        1. pda0
          30.12.2016 14:56
          +2

          Там же ещё Tsar Team есть. Это всё доказывает!111


      1. DrPass
        30.12.2016 01:50
        +3

        Ну обвинение же не на основании этого отчета делается. Отчет, это жвачка для массовой публики. И начинка у него соответствующая. А по факту, может быть, действительно была кибератака со стороны клавиатурных войск РФ. Может, не было, а это придуманная сказочка для обоснования санкций. Оба варианта имеют право на существование, какой из них верный, мы не знаем, да и если честно, политические склоки, как реальные, так и выдуманные, уже в печенках сидят.


        1. TheDeadOne
          30.12.2016 07:50
          +10

          «Партия приняла решения на основе сверхсекретных данных» — это путь Северной Кореи. Оплот демократии мог бы и отчитаться перед народом. Мог бы предоставить мировой общественности неоспоримые улики.


        1. Cryvage
          30.12.2016 09:30
          +9

          Обвиняют публично? Значит и доказательства обязаны предоставить публично. Иначе это клевета.
          Ну и вообще, в приличном обществе принято, что бремя доказательства утверждения лежит на высказывающем его. А они упорно хотят от всех, чтобы им поверили на слово. Еще немного, и начнут заявлять что у них секретные документы мироточат.


          1. DrPass
            30.12.2016 11:38
            +5

            Ну и вообще, в приличном обществе принято

            Между политикой и приличным обществом, знаете ли, лежит бездонная пропасть.


      1. Agel_Nash
        30.12.2016 02:01
        +2

        Если по сабжу. То список попахивает генератором ников.
        И если они установили, что SYNful Knock это русский ник, то где тогда громкое разбирательство по делу одноименного бекдора https://habrahabr.ru/company/it-grad/blog/267057/?


      1. riot26
        30.12.2016 03:04
        +7

        надо было собак расставить перед никнеймами :)


      1. qw1
        30.12.2016 09:56
        +11

        В списке ни одного русского ника.
        Где Vodka, Balalaika, Matryoshka?


        1. 14th
          30.12.2016 11:17
          +6

          Kalashnikov еще.


      1. uwayit
        30.12.2016 11:17

        Отсутствие информации != отсутствие документа


      1. Vantela
        30.12.2016 23:42

        Долго всматривался на список ников. Наверно всем дали указание сверху «ничего кирилистичесского».
        Короче обама даже денег нормальному консультанту пожалел — хоть бы парочку кирилистичесских ников.


      1. FancyMalware
        31.12.2016 00:30
        +3

        Это названия малвари и apt-групп, а не никнеймы


    1. sayber
      30.12.2016 01:42
      +1

      куки, ip-адреса, user-agent… все это тлен.
      Если только кул-хацкер взломал сервер с домашнего компьютера.


    1. vmarunin
      30.12.2016 03:52
      +4

      Прочитал.
      Так там полдокумента это перечисление «Имейте и проверяйте бэкапы», «обновляйте операционки» и прочее «мойте руки перед едой».

      Доказательств что это русские вообще нет. Это даётся сразу как аксиома. Ок.
      Но групп было 2 разных и взломы были независимые. Зачем?! Зачем ломать уже сломанную систему? Можно же спалиться.
      Или эти группы не очень то знали друг про друга (что странно для государства)

      В первом случае кто-то скачал неправильный экзешник и заразился, во втором случае кто-то ввёл свой пароль на левом сайте.
      И во втором случае стащили файлы! Зашли на партийный shared drive и утянули. И ещё переписку стянули.
      Зная логин и пароль можно и без вируса стащить файлы и переписку!

      Ну и сигнатура конечно зачётная. Я теряюсь в догадках зачем PHP нужен за пределами Web-сервера. Искать эту сигнатуру на диске или в траффике… Зачем?! Где этот PHP будет исполняться?


    1. madfly
      30.12.2016 11:22
      +10

      Вот, кстати, не могу всё понять, чего они так носятся с временем обращения к серверу? Якобы, совпадает с рабочими часами в России, а потому сразу мерещится спецрота хакеров, сидящих в подвалах Лубянки среди гудящих кулерами мэйнфреймов. Почему не приходит мысль, что ломают не по часам своего рабочего дня, а по часам рабочего дня взламываемого сервера? У нас день, у них ночь — админ и пользователи спят, вероятность случайного обнаружения атаки типа «о-па, а это что за файлик тут появился?» на порядок меньше. Или по времени наибольшей активности ботнета, который используется в качестве вспомогательного инструмента? Не, ну правда, ну неужели в «спецроте» настолько ударенный головой народ сидит, что, с одной стороны, взламывает как орешки сервера со столь важной информацией, а с другой, не способен замести столь явные следы после себя? Мне кажется, три четверти программеров, особенно молодых, будут работать по ночам — просто разреши, даже заставлять не надо. Использовать время обращения к серверу как аргумент — курам на смех.


      1. ximaera
        30.12.2016 23:29
        +2

        Потому что нужно как-то натянуть сову на глобус, а из доказательств — только совпадение с российскими рабочими часами. Значит, будут рабочие часы.


  1. ggrnd0
    30.12.2016 02:38
    +2

    Судя по всему это отпечаток загруженного шелла/модифицированных файлов на веб-морду почтового сервера .


    meta: — служебная информация для анализатора.
    strings: — судя по всему переменные и значения используемые в шелле/модифированных файлах.
    conditions: — используемые там же условия.


    Данный конфиг используется для быстрой проверки файловой системы на наличие следов указанного вредоносного ПО.
    Вероятный претендент на проверяющее ПО (лень разбираться): https://github.com/Yara-Rules/rules


    Сам отчет грамотный.


    На хабре или ГТ публиковали перевод книги KingPin. Может быть интересно


    1. abby
      30.12.2016 02:42
      +3

      Очевидно, это какой-то древний шелл для WordPress, одна из первых ссылок в гугле с полным разбором.
      http://wiki.yobi.be/wiki/Forensics_on_Incident_3


      1. ggrnd0
        30.12.2016 02:46
        -3

        И правда, мой препод по матану так же говорил, решая в уме интеграл перед которым вся группа пасовала XD


    1. an24
      30.12.2016 07:07
      +2

      В отчете так и написано, — Yara Signature


  1. DeLuxis
    30.12.2016 07:04
    +2

    Чтоб не писать велосипед использовали готовый шелл.
    Огромное количество государственных сайтов подвержено уязвимостями.
    Получив доступ к гос-сайту, есть небольшая вероятность оказаться в общей сети с внутренними компьютерами, где уже есть какие-то документы.
    Из внутренней сети, так же можно попасть в сеть другой гос-службы.

    Обычные совершенно схемы, и дырки типичные. Поэтому и советы уровня «мойте руки».


  1. an24
    30.12.2016 07:24
    +3

    Насколько я понял отчет, на странице 5-6 написаны рекомендации по выявлению вмешательств. Там-же выписан Yara signature, которым ФБР предлагает воспользоваться.
    Я еще, конечно, не дочитал. Но пока сам отчет вызывает чувство отвращения. Какая-то смесь шпионского романа и методички для сисадмина начального уровня.


  1. seec
    30.12.2016 10:21
    +2

    документик в стиле быдло-to-быдло…
    быдло руководство не смогло заполучить адекватной информации от специалистов, специалисты видимо постеснялись пачкаться в фальшивках зная что этому руководству сидеть осталось считанные дни и выдали то что есть (по всей видимости практически ничего), а уж сотрудники аппарата постарались сделать умное лицо во всю силу собственного профессионализма…


  1. Alex_T666
    30.12.2016 11:17
    +7

    Это какой-то… позор..?


  1. GreenStore
    30.12.2016 14:32
    +5

    Интересно, а хабраэффект с российских IP на файл https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296.pdf, упомянутый в статье, можно считать а DDoS атакой и доказательством правоты коллег из США?


  1. SabCoopers
    30.12.2016 17:38
    +2

    Как-то обидно должно быть американцам, что на выборы в их стране повлиял человек под ником «Slavik» и «lucky12345»


    1. ximaera
      30.12.2016 23:30
      +1

      … возраста 13 лет…


    1. servekon
      31.12.2016 22:24

      -Славик, чё та очкую влиять на выборы…
      -Да ты успокойся! Всё будет нормально!


  1. enotz
    30.12.2016 18:29
    +1

    yara rule для нахождения популярного веб шелла v3.* by profexer, подробности от автора тут https://rdot.org/forum/showthread.php?t=1567


  1. strij
    01.01.2017 20:30
    -2

    PHP-скрипт обрёл разум и продлил свою жизнь до 31 секунды!


  1. Ctacfs
    01.01.2017 20:30

    У меня только один вопрос.
    Если выборы были сфалисифицированы, не важно кем, хоть жидорептилоидами с нибиру, не важно, какие доказательства, а если это официальная позиция, где, черт возьми, перевыборы?


    1. valemak
      01.01.2017 21:26

      Речь идёт не о том что выборы сфальсифицированы (по поводу формулировки «российские хакеры взломали американские выборы» — это вопросы к автору статьи, а не к самим американским спеслужбам), а про то, что российские хакеры повлияли на результат американских выборов, выудив с помощью емайл-фишинга (с использованием в том числе php-скриптов, сигнатуры одного из которых приводятся в отчёте) и в дальнейшем обнародовав копрометирующую демократов информацию.

      В общем, не утверждается, что выборы сфальсифицированы. Утверждается, что деятельность российских хакеров привела к падению рейтинга демократов и это отразилось на итоге выборов.


  1. divanus
    01.01.2017 20:30

    Это сделал я. Признаюсь, был пьян. Дёрнуло меня.


  1. fivehouse
    01.01.2017 20:55
    -1

    Шикарная по тупизму публикация! Нет! Мы не будем читать исходный отчет полностью. Нет! Мы не будем читать что вообще там сказано по поводу этой конкретной сигнатуры (в хабровской статье это с какого-то перепугу упомянуто как вирус :))) ). Нет! Мы вообще не будем читать отчет. Мы найдем знакомые со школы буквы, припишем им наши фантазии и потом поспорим в тупой манере с нашими же тупыми фантазиями… Шикарная по тупизму публикация!


    1. randomfoto
      02.01.2017 00:27
      -2

      заплатили за статью, статью написали, боты лайкнули, отчет сдали: люди негодуют омерике, одобряют вперде упчк.
      просто игнорируйте ботов и их испражнения.


    1. TheDeadOne
      02.01.2017 08:47
      +2

      Думаю, что мы все с интересом почитали бы правильную статью, с подробным анализом отчёта. Но её почему-то никто не пишет.