Hackeando o hacker

Essa semana verificando alguns sites que trazem listagem de botnets, achei uma Citadel Botnet com uma falha já antigo, pelo menos para mim, essa mesma falha está presente também na Zeus Botnet, sendo possível fazer acessos a todos os arquivos dos computadores infectados sem precisar da senha do painel administrativo da botnet.

roubando_citadel_001

Na imagem acima temos o painel de gerência da Citadel, onde o criminoso coloca seu login e senha para se logar, porém, andando lateralmente pelos diretórios é possível chegar no arquivo de configuração e fazer uma especie de reload e descobrir mais arquivos.

roubando_citadel_002

A Citadel, assim como a Zeus é constituída de vários arquivos e pastas para configuração e funcionamento, e claro, o Builder para criar o executável que vai infectar as máquinas, sabendo disso, podemos andar pela URL até a pasta “install” que é o local onde o banco de dados é configurado, clicando em “Update” todos os arquivos da botnet vão ser atualizados.

roubando_citadel_003

E é justamente nesse ponto que o problema aparece (pelo menos para o criminoso dono da botnet), entre todos os arquivos que aparecem na listagem, aparece também a pasta (folder) “687287925”, que antigamente era a pasta “_reports”, nessa pasta é onde estão todos os registros das atividades das máquinas infectadas, esse nome de pasta vai variar pois ele é gerado de forma randômica.

roubando_citadel_004

roubando_citadel_005

Bingo, cada nome na listagem é uma máquina infectada pela botnet, no momento em que verifiquei essa botnet haviam 153 arquivos, ou seja, 153 computadores infectados.

roubando_citadel_006

É esse arquivo “reports.txt” que a botnet usa em seu painel de gerência para auxiliar o criminoso nas pesquisas de palavras como por exemplo: “visa, mastercard, bank, payment, facebook, password, login” e qualquer outra de interesse do administrador da botnet.

roubando_citadel_007

Na imagem acima podemos ver os dados do “bot”, como IP, ID, o processo falso que o malware está rodando dentro do computador da vítima, que nesse caso é o “taskhost.exe”.

roubando_citadel_009

Também conseguimos ver alguns comandos que são executados pela botnet com o objetivo de tentar desativar o antivírus e o firewall do Windows.

roubando_citadel_011

roubando_citadel_012

roubando_citadel_014

Nas imagens acima temos dados para acessar o e-mail dessa vítima e também os dados para acessar o painel de gerência de um serviço web, que nesse caso é de uma instituição do governo do Paquistão.

Usando esse método, já consegui verificar e acessar diversas botnets do tipo Citadel e Zeus e entre os dados localizados, já vi de todos os tipos, senhas de Yahoo, Gmail, dados de cartão de crédito e dados de bancos também.

Recomendo muito cuidado com esses dados, roubar um ladrão não faz de você um herói, faz de você apenas um outro ladrão. Essa postagem tem como objetivo apenas conhecimento técnico de uma falha de segurança que verifiquei nessas duas botnets (Zeus e Citadel), qualquer uso criminoso é de sua inteira responsabilidade.