Heute werde ich mal zeigen, wie man auf einfachste Weise sogenannte Kiddie-Malware "analysieren" kann. Die Kiddie-Malware findet man meistens unter YouTube-Videos, in denen (vermutlich) Kinder anderen ein Programm vorstellen, mit dem man sich bei seinem beliebten Onlinespiel (z.B. CrossFire) mehr GP-Punkte "hacken" kann. Natürlich funktioniert das Ganze nicht wirklich, denn dazu müsste man durch eine Sicherheitslücke den Gameserver hacken.
Was ist denn Kiddie-Malware?
Den Begriff Kiddie-Malware habe ich selbst definiert und er bedeutet so viel wie dass die Malware von einem Kiddie stammt, welches nicht dazu in der Lage ist, ein richtiges Malware-Programm zu schreiben. Die meiste Kiddie-Malware wird in VB.Net (Visual Basic) zusammengeklickt, weil der Skill für höhere Programmiersprachen nicht ausreicht.
VB.Net ist eine stark objektorientierte Programmiersprache, die das NET-Framework voraussetzt und somit auch nur unter Windows läuft. Das Ziel von Kiddie-Malware sind andere Kiddies, die auf die Masche reinfallen.
Wie funktioniert Kiddie-Malware?
Meistens ist es so, dass es ganz einfache Phishing-Programme sind, die beim Eingeben der Login-Daten für das Multiplayer-Game die Daten über SMTP an die E-Mail-Adresse des Programmierer-Kiddies schicken.
Die GUI wird meistens einfach zusammengeklickt, und so sieht sie dann auch aus. In der GUI kann das Opfer dann z.B. angeben, wie viele GP-Punkte auf seinen Account gehackt werden sollen. Manchmal findet man auch noch eine Liste mit Bonus-Waffen, die man auswählen und auf den Account hacken kann – fingiert natürlich.
Und wie analysiert man das jetzt?
Die ganze Sache mit dem Senden der gefischten Zugangsdaten hat nur einen Haken: Die Kiddies wissen nicht (oder es ist ihnen egal), dass man Visual-Basic-Programme dekompilieren und somit an den Quellcode kommen kann. Somit kommt man dann natürlich auch zu der Stelle im Quellcode, an der die E-Mail über SMTP gesendet wird. Dort findet man dann meistens die Login-Daten zum E-Mail-Account des Kiddies.
Wenn ich solche Malware schreiben würde, würde ich es so machen, dass ich die E-Mail mit den gefischten Logindaten nicht an den eigenen Account schicke, sondern an einen zweiten. Wenn dann jemand das Teil dekompiliert, dann hat er nur Zugriff auf den Senderaccount der E-Mails, von dem die Zugangsdaten im Code stehen. Die gefischten Informationen würden dann aber in einem anderen Postfach liegen, von dem die Zugangsdaten nicht im Quellcode stehen.
Analysieren mit Strings.exe
Das Programm Strings von Mark Russinovich ist ein nettes kleines Konsolentool, das alle enthaltenen Strings von zum Beispiel einer Binärdatei auslesen kann.
Wir packen also erst einmal die Strings.exe und die Hack.exe in ein Verzeichnis und navigieren mit der Konsole dort hin. Dann tippen wir eine kleine Befehlskette in die Konsole und leiten die Ausgabe in eine Textdatei um, damit wir die gefundenen Zeichenketten nicht in der Konsole begutachten müssen. Danach öffnen wir die Textdatei mit der Ausgabe, die im selben Verzeichnis liegt (sofern nicht anders angegeben).
Im Folgenden die Befehlskette, um Zeichenketten aus der Binärdatei Hack.exe auszulesen:
Strings.exe Hack.exe > Output.txtNachdem man die Datei geöffnet hat reicht es eigentlich schon, wenn man nach einem @-Zeichen sucht. Dann kommt man meistens direkt an die Stelle mit der E-Mail-Adresse und dem Passwort für den Senderaccount. Danach kann man (wenn man ganz böse ist) dem Kiddie den Zugang zum Account sperren, indem man den Account einfach übernimmt. Ich schreibe das hier so öffentlich weil ich denke, dass es nicht moralisch verwerflich ist. 😃
Weitere Analysemethoden
Am einfachsten ist es, wenn man die Datei mit Strings.exe behandelt. Allerdings kann man sie natürlich auch richtig dekompilieren. Ich würde ja Dissharp empfehlen, aber in der Free-Version sieht man bestimmte Dinge nicht. Darunter auch nicht die Funktion, die aufgerufen wird, nachdem der Butten geklickt und die E-Mail mit den gefischten Zugangsdaten über SMTP gesendet wird.
Wer eine kostenlose Alternative kennt, darf es mir gerne über die Kommentare mitteilen. Wäre daran sehr interessiert. Ansonsten könnte man mit Wireshark noch die Netzwerkpakete sniffen, sofern die Verbindung nicht verschlüsselt ist. Aber warum so viel Aufwand, wenn es auch so einfach mit Strings geht?
