Получаем доступ к серверам Virus Total

В этой статье речь пойдет о выполнении произвольного кода на серверах популярного антивирусного сканера — Virus Total (https://www.virustotal.com/).

Содержание данной статьи носит чисто ознакомительный характер, мы не в коем случае не призываем вас к каким либо действиям. Администрация сайта не несёт никакой ответственности за совершённые вами действия.



Эксплуатация

Virus Total — далее VT работает примерно так:

  1. Файл загружается на сервер, сервер получает его хэш (чтобы в случае обнаружение угроз, отправить его в антивирусные базы)
  2. Файл ЗАПУСКАЕТСЯ на виртуальной машине VT (на этой стадии они совершили фатальную ошибку)
  3. Какое то время, машина смотрит активность файла(отправка данных из него), параллельно сканируя его всеми возможными антивирусными движками
  4. Процесс убивается, виртуальная машина убивает сессию

Все эти этапы, занимают примерно 30 секунд, за это время, например, повесив цикл с отправкой GET запросов, можно валить мелкие, или даже не очень сайты, т.к файл распределяется по кластеру

История обнаружения

Примерно в октябре 2017 года, мы занимались исследованиями и писали вирус-пустышку, который отправлял системные данные о компьютере на наши сервера. Попутно сканируя файл на обнаружение(на этом самом VT) мы заметили запись на серверах

ID: HPFB1M3T

PC-NAME: John-PC

CPU: Intel(R) Xeon(R) CPU @ 3.20GHz

GPU: Standard VGA Graphics Adapter

RAM: 1023 МБ

IP: 66.102.8.209

Ни у меня, ни у моего сотрудника не было таких комплектующих, а «пустышку» мы никому не кидали, но откуда тогда взялась запись о новом пользователе на наших серверах?

И тут, в голову полезли плохие мысли, узнав где находится этот IP мы все поняли, сердце бешено забилось, мы подумали что это ошибка, и проверили еще раз, данные снова пришли…

Можно ли выполнить код?

Да, т.к данные о процессоре, памяти и т.д получал наш Класс на Java, а данные пришли, код из класса выполнился, но что если бы там был, например цикл отправки GET запросов на какой нибудь сайт? Мы так и не тестировали это, но возможно, мы опишем этот процесс в следующих статьях

Понравилось? Поделись! Еще больше статей по разработке и безопасности на нашем Дзен канале: HellBytes