Воровство в Сети

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #036, стр. 036-076-3

Вообще, есть еще один метод завладения WM-кошельком. Он практикуется среди богатых, но ламернутых личностей, которые недавно, но успешно постигают кардерские махинации. Создается программа, типа "крякера интернета", но она не крякает интернет, а уводит кошельки WebMoney. Реализовать ее - пара пустяков, проблема в другом - впарить прогу жертве. Это может сделать хороший хакер, имеющий богатый опыт в социальной инженерии.

Исходный код этой небольшой программы ты найдешь во врезке. Полный исходник проекта есть на диске.

Помимо самой службы WebMoney, есть сервис Merchant (http://merchant.webmoney.ru), который нужен для проведения онлайн-операций по переводу денег с одного WM-кошелька на другой. Обычно сервис применяется в различных проектах, например, интернет-магазинах. Если хакер взламывает подобный ресурс, он просто заменяет в исходном коде скрипта ссылку и параметры на свой кошелек WebMoney. При этом клиент будет пересылать деньги на счет злоумышленника. Бесспорно, это скоро будет замечено, но взломщик успеет обогатиться.

Бреши в ослике

RPC-уязвимость далеко не единственная бага в форточках. Рассмотрим еще один пример - ошибка в обработке тега <OBJECT>, позволяющая выполнять произвольный код на машине клиента. Реализовав такую уязвимость, хакеру ничего не стоит залить троян на жертву, да еще и записать в лог его IP-адрес, который впоследствии будет проверен на заражение бэкдором ;).

Для написания эксплоита достаточно создать следующий html-документ:

<object data="/object.html">Привет всем ;)</object>

А в object.html положить скрипт, например на Visual Basic. В нем будет производиться выкачивание трояна по указанному адресу и его последующий запуск. При желании можно пофантазировать с записью бэкдора в реестр (если, конечно, в нем уже не реализована подобная функция), но это исключительно проблемы взломщика.

Для записи IP-адреса в лог-файл надо написать простенький perl-скрипт. Например, такой:

Таблица: Perl-скрипт для записи адреса в лог

#!/usr/bin/perl

print "Content-type: text/html\n\n";

$ip=$ENV{REMOTE_ADDR};

open(LOG,">>ipz.log");

print LOG "$ip\n";

close(LOG);

На этот сценарий делается редирект с главной страницы, либо вызывается SSI-вкладка, к примеру, следующая:

<!--#exec cgi="/path/to/iplog.cgi"-->.

Следует помнить, что для выполнения SSI-вставок, файлу необходимо дать расширение shtml. Что касается файлов для записи (ipz.log), то они должны иметь атрибут 666.

Смысл этого метода заключается в засылке вредоносных программ на компьютер жертвы, используя бреши в операционной системе. Регулярно обновляемый список уязвимостей ты можешь найти на любом портале по безопасности.