rule PAS_TOOL_PHP_WEB_KIT
{
meta:
description = "PAS TOOL PHP WEB KIT FOUND"
strings:
$php = "<?php"
$base64decode = /\='base'\.\(\d+\*\d+\)\.'_de'\.'code'/
$strreplace = "(str_replace("
$md5 = ".substr(md5(strrev("
$gzinflate = "gzinflate"
$cookie = "_COOKIE"
$isset = "isset"
condition:
(filesize > 20KB and filesize < 22KB) and
#cookie == 2 and
#isset == 3 and
all of them
}
Я даже не знаю, как прокомментировать этот, безусловно, уникальный и однозначно идентифицируемый как российский код.
Комментарии (40)
samodum
30.12.2016 01:19-4Помимо кода существует масса другой информации: куки, ip-адреса, user-agent, время обращения к серверу и прочее… Ею обладают соответствующие структуры в полной мере.
А здесь мы видим всего лишь код. О чём пост? Указанный документ все прочитали от и до и всё поняли?freehabr
30.12.2016 01:22+8Проблема в том, что в этом документе отсутствуют «куки, ip-адреса, user-agent, время обращения к серверу и прочее». Единственная уникальная информация, которая там есть — это список непонятно откуда полученных никнеймов российских хакеров. Вот они:
«APT28
APT29
Agent.btz
BlackEnergy V3
BlackEnergy2 APT
CakeDuke
Carberp
CHOPSTICK
CloudDuke
CORESHELL
CosmicDuke
COZYBEAR
COZYCAR
COZYDUKE
CrouchingYeti
DIONIS
Dragonfly
Energetic Bear
EVILTOSS
Fancy Bear
GeminiDuke
GREY CLOUD
HammerDuke
HAMMERTOSS
Havex
MiniDionis
MiniDuke
OLDBAIT
OnionDuke
Operation Pawn Storm
PinchDuke
Powershell backdoor
Quedagh
Sandworm
SEADADDY
Seaduke
SEDKIT
SEDNIT
Skipper
Sofacy
SOURFACE
SYNful Knock
Tiny Baron
Tsar Team
twain_64.dll (64-bit X-Agent implant)
VmUpgradeHelper.exe (X-Tunnel implant)
Waterbug
X-Agent»DrPass
30.12.2016 01:50+3Ну обвинение же не на основании этого отчета делается. Отчет, это жвачка для массовой публики. И начинка у него соответствующая. А по факту, может быть, действительно была кибератака со стороны клавиатурных войск РФ. Может, не было, а это придуманная сказочка для обоснования санкций. Оба варианта имеют право на существование, какой из них верный, мы не знаем, да и если честно, политические склоки, как реальные, так и выдуманные, уже в печенках сидят.
TheDeadOne
30.12.2016 07:50+10«Партия приняла решения на основе сверхсекретных данных» — это путь Северной Кореи. Оплот демократии мог бы и отчитаться перед народом. Мог бы предоставить мировой общественности неоспоримые улики.
Cryvage
30.12.2016 09:30+9Обвиняют публично? Значит и доказательства обязаны предоставить публично. Иначе это клевета.
Ну и вообще, в приличном обществе принято, что бремя доказательства утверждения лежит на высказывающем его. А они упорно хотят от всех, чтобы им поверили на слово. Еще немного, и начнут заявлять что у них секретные документы мироточат.DrPass
30.12.2016 11:38+5Ну и вообще, в приличном обществе принято
Между политикой и приличным обществом, знаете ли, лежит бездонная пропасть.
Agel_Nash
30.12.2016 02:01+2Если по сабжу. То список попахивает генератором ников.
И если они установили, что SYNful Knock это русский ник, то где тогда громкое разбирательство по делу одноименного бекдора https://habrahabr.ru/company/it-grad/blog/267057/?
Vantela
30.12.2016 23:42Долго всматривался на список ников. Наверно всем дали указание сверху «ничего кирилистичесского».
Короче обама даже денег нормальному консультанту пожалел — хоть бы парочку кирилистичесских ников.
sayber
30.12.2016 01:42+1куки, ip-адреса, user-agent… все это тлен.
Если только кул-хацкер взломал сервер с домашнего компьютера.
vmarunin
30.12.2016 03:52+4Прочитал.
Так там полдокумента это перечисление «Имейте и проверяйте бэкапы», «обновляйте операционки» и прочее «мойте руки перед едой».
Доказательств что это русские вообще нет. Это даётся сразу как аксиома. Ок.
Но групп было 2 разных и взломы были независимые. Зачем?! Зачем ломать уже сломанную систему? Можно же спалиться.
Или эти группы не очень то знали друг про друга (что странно для государства)
В первом случае кто-то скачал неправильный экзешник и заразился, во втором случае кто-то ввёл свой пароль на левом сайте.
И во втором случае стащили файлы! Зашли на партийный shared drive и утянули. И ещё переписку стянули.
Зная логин и пароль можно и без вируса стащить файлы и переписку!
Ну и сигнатура конечно зачётная. Я теряюсь в догадках зачем PHP нужен за пределами Web-сервера. Искать эту сигнатуру на диске или в траффике… Зачем?! Где этот PHP будет исполняться?
madfly
30.12.2016 11:22+10Вот, кстати, не могу всё понять, чего они так носятся с временем обращения к серверу? Якобы, совпадает с рабочими часами в России, а потому сразу мерещится спецрота хакеров, сидящих в подвалах Лубянки среди гудящих кулерами мэйнфреймов. Почему не приходит мысль, что ломают не по часам своего рабочего дня, а по часам рабочего дня взламываемого сервера? У нас день, у них ночь — админ и пользователи спят, вероятность случайного обнаружения атаки типа «о-па, а это что за файлик тут появился?» на порядок меньше. Или по времени наибольшей активности ботнета, который используется в качестве вспомогательного инструмента? Не, ну правда, ну неужели в «спецроте» настолько ударенный головой народ сидит, что, с одной стороны, взламывает как орешки сервера со столь важной информацией, а с другой, не способен замести столь явные следы после себя? Мне кажется, три четверти программеров, особенно молодых, будут работать по ночам — просто разреши, даже заставлять не надо. Использовать время обращения к серверу как аргумент — курам на смех.
ximaera
30.12.2016 23:29+2Потому что нужно как-то натянуть сову на глобус, а из доказательств — только совпадение с российскими рабочими часами. Значит, будут рабочие часы.
ggrnd0
30.12.2016 02:38+2Судя по всему это отпечаток загруженного шелла/модифицированных файлов на веб-морду почтового сервера .
meta: — служебная информация для анализатора.
strings: — судя по всему переменные и значения используемые в шелле/модифированных файлах.
conditions: — используемые там же условия.
Данный конфиг используется для быстрой проверки файловой системы на наличие следов указанного вредоносного ПО.
Вероятный претендент на проверяющее ПО (лень разбираться): https://github.com/Yara-Rules/rules
Сам отчет грамотный.
На хабре или ГТ публиковали перевод книги KingPin. Может быть интересно
DeLuxis
30.12.2016 07:04+2Чтоб не писать велосипед использовали готовый шелл.
Огромное количество государственных сайтов подвержено уязвимостями.
Получив доступ к гос-сайту, есть небольшая вероятность оказаться в общей сети с внутренними компьютерами, где уже есть какие-то документы.
Из внутренней сети, так же можно попасть в сеть другой гос-службы.
Обычные совершенно схемы, и дырки типичные. Поэтому и советы уровня «мойте руки».
an24
30.12.2016 07:24+3Насколько я понял отчет, на странице 5-6 написаны рекомендации по выявлению вмешательств. Там-же выписан Yara signature, которым ФБР предлагает воспользоваться.
Я еще, конечно, не дочитал. Но пока сам отчет вызывает чувство отвращения. Какая-то смесь шпионского романа и методички для сисадмина начального уровня.
seec
30.12.2016 10:21+2документик в стиле быдло-to-быдло…
быдло руководство не смогло заполучить адекватной информации от специалистов, специалисты видимо постеснялись пачкаться в фальшивках зная что этому руководству сидеть осталось считанные дни и выдали то что есть (по всей видимости практически ничего), а уж сотрудники аппарата постарались сделать умное лицо во всю силу собственного профессионализма…
GreenStore
30.12.2016 14:32+5Интересно, а хабраэффект с российских IP на файл https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296.pdf, упомянутый в статье, можно считать а DDoS атакой и доказательством правоты коллег из США?
SabCoopers
30.12.2016 17:38+2Как-то обидно должно быть американцам, что на выборы в их стране повлиял человек под ником «Slavik» и «lucky12345»
servekon
31.12.2016 22:24-Славик, чё та очкую влиять на выборы…
-Да ты успокойся! Всё будет нормально!
enotz
30.12.2016 18:29+1yara rule для нахождения популярного веб шелла v3.* by profexer, подробности от автора тут https://rdot.org/forum/showthread.php?t=1567
Ctacfs
01.01.2017 20:30У меня только один вопрос.
Если выборы были сфалисифицированы, не важно кем, хоть жидорептилоидами с нибиру, не важно, какие доказательства, а если это официальная позиция, где, черт возьми, перевыборы?valemak
01.01.2017 21:26Речь идёт не о том что выборы сфальсифицированы (по поводу формулировки «российские хакеры взломали американские выборы» — это вопросы к автору статьи, а не к самим американским спеслужбам), а про то, что российские хакеры повлияли на результат американских выборов, выудив с помощью емайл-фишинга (с использованием в том числе php-скриптов, сигнатуры одного из которых приводятся в отчёте) и в дальнейшем обнародовав копрометирующую демократов информацию.
В общем, не утверждается, что выборы сфальсифицированы. Утверждается, что деятельность российских хакеров привела к падению рейтинга демократов и это отразилось на итоге выборов.
fivehouse
01.01.2017 20:55-1Шикарная по тупизму публикация! Нет! Мы не будем читать исходный отчет полностью. Нет! Мы не будем читать что вообще там сказано по поводу этой конкретной сигнатуры (в хабровской статье это с какого-то перепугу упомянуто как вирус :))) ). Нет! Мы вообще не будем читать отчет. Мы найдем знакомые со школы буквы, припишем им наши фантазии и потом поспорим в тупой манере с нашими же тупыми фантазиями… Шикарная по тупизму публикация!
randomfoto
02.01.2017 00:27-2заплатили за статью, статью написали, боты лайкнули, отчет сдали: люди негодуют омерике, одобряют вперде упчк.
просто игнорируйте ботов и их испражнения.
TheDeadOne
02.01.2017 08:47+2Думаю, что мы все с интересом почитали бы правильную статью, с подробным анализом отчёта. Но её почему-то никто не пишет.
Error1024
Я конечно все понимаю, но Хабр это не Twitter же