BlazingPack 1.7.10 - krótka analiza dla zainteresowanych

[quake1337]

Może zacznę od opisu zachowania...

 

Widoczne: Klient gry przy łączeniu z serwerem uruchamia nieznane pliki wykonywalne o losowych nazwach, oraz od czasu do czasu sprawdza listę uruchomionych procesów (tasklist.exe /V)

https://www.youtube.com/watch?v=8iEICcOzwa0

^ Film pokazujący listę procesów-dzieci launchera w trakcie używania paczki a także lokalizację plików .exe które otwiera.

 

Program niby jest czysty (skanowałem kilkoma serwisami w tym Dr.Web, Virustotal etc) ale co jest w środku - nie wiadomo, a mi się nie chce teraz dekompilować ani odpalać IDA

 

 

Sprawdzanie multikont najwyraźniej odbywa się z użyciem Windowsowego narzędzia Windows Management Instrumentation Command-line (WMIC) (C:/Windows/system32/wbem/WMIC.exe) - paczka pobiera od tego programu numer seryjny z biosu twojego komputera - który jest (a przynajmniej powinien być) unikalny.

^ skrin po najechaniu na proces WMIC uruchamiany przez paczkę.

 

Sam "branding" wewnątrz paczki jest irytujący - paczka dopisuje do servers.dat (twoja lista serwerów Multiplayer) wszystkie serwery używające BlazingPacka.. Te zmiany są widoczne również w normalnym, domyślnym kliencie. Obrzydliwe.

 

PACZKA BLAZINGPACK:

Domyślny Minecraft 1.9...

 

Z czasem będę powoli "rozgryzał" klienta i dopiszę dodatkowe informacje (zniechęca mnie poziom obfuskacji, nie mam na to teraz siły stąd pomoc mile widziana)

Celem tego tematu nie jest "obejście" (chociaż wiele osób do tego użyje tych informacji) a "zapoznanie się z zawartością" klienta ponieważ zbyt dużo ludzi uważa że zawiera raty/backdoory i inne tego typu pierdoły i mają słuszne powody, bowiem do teraz nie wiemy co się znajduje w 6MB (!!) pliku exe który jest uruchamiany w trakcie łączenia z serwerami...

Cała paczka opiera się na tzw "security through obscurity" ("bezpieczeństwo poprzez niejasność") - bardzo możliwe że jest bajecznie prosta w swoim koncepcie, tylko poprostu nie wiemy gdzie szukać

 

[Nocny]

co do multikont - zawsze można wysyłać fejkowe dane dot. biosu

[quake1337]

Owszem, można nawet podmienić WMIC i zwracać zawsze jakąś dziwną wartość, program zakłada że wszystkie .exe są nietknięte i ich podmienienie spowoduje że paczka głupieje.. Podobno podmienienie tasklist od razu daje ci mozliwosc uzywania Cheat Engine.... XDDD

[Nocny]

Owszem, można nawet podmienić WMIC i zwracać zawsze jakąś dziwną wartość, program zakłada że wszystkie .exe są nietknięte i ich podmienienie spowoduje że paczka głupieje.. Podobno podmienienie tasklist od razu daje ci mozliwosc uzywania Cheat Engine.... XDDD

 

no dlatego mowie, a ludzie mysla ze to nie wiadomo jakie zabezpieczenie

[quake1337]

Jeśli rozmawiamy już o obchodzeniu to najprzyjemniejszym rozwiązaniem byłoby:

1. Rozgryźć co paczka dokładnie robi

2. Napisać własną wersję która zawsze "mówi" że jesteś czysty, i "dorzucić" do klienta gry w którym masz wszelkiego rodzaju cheaty.. Paczka MCHC już parę razy tak poległa, więc tą też się pewnie da...

 

Owszem, można "uśpić" niektóre moduły i jechać na wpół czysto, ale chyba bardziej satysfakcjonujący byłby własny klient oszukujący serwer że jesteś czysty, prawda? ;D

[Nocny]

Jeśli rozmawiamy już o obchodzeniu to najprzyjemniejszym rozwiązaniem byłoby:

1. Rozgryźć co paczka dokładnie robi

2. Napisać własną wersję która zawsze "mówi" że jesteś czysty, i "dorzucić" do klienta gry w którym masz wszelkiego rodzaju cheaty.. Paczka MCHC już parę razy tak poległa, więc tą też się pewnie da...

 

Owszem, można "uśpić" niektóre moduły i jechać na wpół czysto, ale chyba bardziej satysfakcjonujący byłby własny klient oszukujący serwer że jesteś czysty, prawda? ;D

 

jak juz cos takiego robic, to tylko dla siebie, bo nie chce ułatwiac czitowania na jakimkolwiek serwerze

[bamell]

lecz gdy chcesz zmienić/usunąć tasklist.exe nie ma dostępu

[quake1337]

Jak się umie obsługiwać własny komputer to się da na lajcie

(protip: Start > wpisz cmd > prawym > Uruchom jako Administrator > przejdź do folderu z tasklist (system32 albo poprostu /windows/, nie pamietam juz) > "move tasklist.exe tasklist.exe_")

[bamell]

odmowa dostępu ;/
Albo umie ktoś wstrzyknąć cheat w blazinpacka?
albo jakiś cheat poza minecraft'em

ktoś coś? mogę zapłaćic

[TiREX69]

Ogólnie mogę stwierdzić, że tą paczkę pisał jakiś niedzielny programista (bez obrazy best ).

 

Co prawda z nimi rozmawiałem, ale patrząc jak zabezpieczyli paczkę. I jak odnoszą się do osób, które są zdolne obejść tą paczkę. Stwierdzam, że jest to ich pierwszy większy projekt, który okazał się nie wypałem (wystarczy wpisać w youtube "blazingpack").

Po stronie binarki odbywa się tylko szyfrowanie i jak oni mówią "coś" jeszcze.

Nie jestem pewien, ale najprawdopodobniej paczka korzysta z adresu, do którego jesteśmy aktualnie podłączeni.

 

Nie wiem czy zastraszanie kogoś to najlepszy sposób, aby uchronić paczkę przed cheaterami

[quake1337]

Sam się zacząłem tym bawić. Dokładniej poszedłem łatwiejszą drogą i zacząłem reversować a dokładniej odczytywać zachowanie paczki na podstawie przerobionego bungee którego używa się jako proxy...

Całość paczki niemalże opiera się na "acpackWindows / acpackLinux" i bez tego na serwer nie wejdziesz - jestem ciekaw co to dokładnie robi bo jeszcze nie sprawdzałem własnoręcznie. Windowsowa wersja nie ma symboli, więc ją trudniej mi będzie przejrzeć. Ma ktoś jakieś pomysły co tam się dzieje, czy samemu mam odpalić IDĘ?

 

(@gabixdev daj steama albo jakiś inny komunikator, chętnie porozmawiam jeśli masz czas )

 

@EDIT:

 

Plik wykonywalny wysyła zapytanie GET do strony:

 

Oraz w dziwny sposób (na pierwszy rzut oka wygląda jak RSA) zajeżdża handshake

Zakryłem numery seryjne: Biosu, procesora i dysku. Exe również sprawdza sumę kontrolną paczki. Poza tym, exe nie robi nic.

Żeby zobaczyć dane wejścia/wyjścia do acpackWindows musiałem delikatnie podmienić paczkę, przez co zmieniła się suma kontrolna i co za tym idzie - nie wpusciło na serwer...

 

Nie chcę tu generować dramy ani problemów - twórcy paczki muszą rozumieć że cheaty kontra antycheaty to nieskończony wyścig zbrojny. Traktuję to jako ćwiczenie logiczne i zabawę - paczka jest mierna jak powiedzieli przedmówcy, a podstawowa znajomość narzędzi diagnostycznych (wireshark, process explorer) wystarczy do określenia na jakiej podstawie paczka działa. A to już duża część sukcesu - wiemy co atakować. Teraz wiem że muszę w subrutynach acpackWindows szukać jakiej metody szyfrowania używacie, oraz które fragmenty ciągu szyfrujecie (jeśli nie bezmyślnie całość)

 

@EDIT2:

 

 

 

Do tego chyba dobiorę się z GDB albo z disassemblerem...

 

GDB nienajlepiej radzi sobie z Golang (a przynajmniej nie radził w 2014, widziałem posty z 2015 że jest już lepiej ale to już Twoja działka ;P)

[theWituch]

Jeśli chodzi o zabezpieczenie przed multikontami to sprawa jest prosta gdy użyje się narzędzia które już jest od producenta gry. Zachęcam zajrzeć tutaj http://www.mpcforum.pl/topic/1571207-110survival-grace-of-gods/ do punktu 2 gdzie opisuję system serwera hybrydowego który już sobie stworzyłem a oparty jest (w sumie to jest kopią) serwera autoryzacji Mojangu - Yggdrassil. Nie jest to zabezpieczenie przed wgrywaniem niedozwolonych modów ale pozwala lepiej kontrolować użytkowników.

W sumie to się dziwię, że jeszcze nikt na to nie wpadł żeby pozbyć się rejestracji/logowania na serwerze gry...

[quake1337]

To przecież zwykłe Base64 - do zapisywania danych binarnych jako tekst - np. w e-mailach - to nie żadne RSA

 

Wygoogluj base64 decoder w google - może da radę odczytać

 

Skype: gabixdev

 

-- EDIT

 

Może spróbujmy jakimś debuggerem stworzonym specjalnie dla GoLang...

Na przykład ten - który z tego co czytałem jest oficjalnym debuggerem obok GDB dla Go.

https://github.com/derekparker/delve

Rada dla twórców paczki: Nie można było napisać w C? Przecież to nie jest trudny język i działałby lepiej z Javą...

Wtopa i wstyd, nie wiem dlaczego pomyślałem że to RSA... wstyd mi jak nic.. :/

A pierwszy lepszy base64 decoder przy charsecie UTF8 nie dał mi nic (dosłownie, pole jest puste), a przy innych - kompletny bullshit i nieznane znaki.

[d9k]

Nie znam sie na tym ale temat mnie zaciekawił jak będziecie coś więcej wiedzieć to piszcie

[reeturn]

Mnie zastanawia jedna rzecz:

[Trobol]

Witajcie, wiem że nic nie działo się w tym wątku, ale mam parę informacji o tym co zbiera BlazingPack i jak to szyfruje.

 

W kodzie bimarki acpack<System> "ukryty" jest klucz którym jest szyfrowany string wyjściowy:

.rodata:08344740 aIlluminatiYouV db 'ILLUMINATI, YOU',27h,'VE COME TO TAKE '

Wszystko jest (chyba, nie sprawdzaliśmy) cięte na bajty i szyfrowane SYMETRYCZNIE podanym wyżej kluczem - szyfrowanie to AES.

 

W takim razie - co ukryte jest w tym stringu i co naprawdę zbiera BlazingPack? Na Linuxie poza adresem MAC - nic :P

Na Windowsie oczywiście będą podane numery seryjne BIOS-u, CPU i dysku.

Poza tym znajdują się tu jakieś dziwne stringi - randomShit - ale jak sama nazwa wskazuje - służą po to, aby wymieszać jeszcze bardziej kod :P

{"acpackRunTime":"1472316964477","arch":"386","biosId":"unsupported","cpuId":"unsupported","diskId":"unsupported","hwid":";00:xx:xx:xx:xx:xx;00:xx:xx:xx:xx:xx","jsonDataTimeStamp":1472341605857,"nick":"blazinghaack","os":"linux","packageHash":"ed3e29d0ae7e89fb7f0a0538fabe596d","pid":"14859","randomShit0":"93qdaNmXnacsaI6","randomShit1":"fh..........27a","randomShit2":"4x3..........DC","realhost":"mc.****.pl","regData":"UNSUPPORTEDD","uuid":"blazinghaack"}

Jak widać - aby być bezpiecznym - należy siedzieć na Linuxie :P

 

 

 

Poza tym przez kilka godzin wyszedł update BlazingPacka - oczywiście była cofka i wszyscy jadą na starej XDD

 

Największym chamstwem było wyłączanie komputera po błędnej weryfikacji paczki...

 

 

Pseudokod do grzebania: http://pastebin.com/raw/56CpjQ5b

Największym chamstwem jest dekodowanie paczki.

[Risen.]

Największym chamstwem jest dekodowanie paczki.

 

Dlaczego @Trobol? W pełni zrozumiałe jest, że ludzie chcą wiedzieć z czego korzystają i co dana aplikacja powoduje na ich komputerze.

[Gość]

@Trobol

 

Zamykanie komus komputera mozna juz podciagnac jako "wirus"

 

Wiec jesli ktos to zglosi na jakis skanerskich gownach to watpie ze dlugo pozipie paczka

 

 

@topic

Gratuluje bawienia sie, nie potrzebnie tak gleboko grzebales, szlo ominac cale zabezpieczenie o wiele szybciej

[Trobol]

@Trobol

 

Zamykanie komus komputera mozna juz podciagnac jako "wirus"

 

Wiec jesli ktos to zglosi na jakis skanerskich gownach to watpie ze dlugo pozipie paczka

 

 

@topic

Gratuluje bawienia sie, nie potrzebnie tak gleboko grzebales, szlo ominac cale zabezpieczenie o wiele szybciej

[Gość]

@ Trobol

Tak samo wygladalem jak 2 lata temu sprzedawales moje pluginy profesjonalisto