04.06.2021

ЦИБ ФСБ распространяет файл, определяемый VirusTotal, как троян при обращениях под видом генератора случайных чисел

А ты пытался когда нибудь обратиться в web-приёмную ЦИБ ФСБ? Я вот попытался. Решил написать о существовании наркобарыжьих сайтов на DDoS-Guard.net и посмотреть что будет. Думал, может они не знают об этом. К теме барыжников размещенных на той же площадке, что ресурсы МинОбороны и Центробанка РФ я обязательно вернусь, лишь напомню, что об этом уже писала meduza.io. А пока меня удивило другое.

При входе на ресурс web-приёмной ЦИБ ФСБ отсутствует шифрование SSL и предлагается скачать файл, приложения для “генерации случайного числа для создания защищенного соединения”.

У меня возник вопрос, это как? А умнее там никого не было тексты писать?

Скачав файл, я надеялся увидеть по крайней мере установщик КриптоПРО. Но, увы, увидел другое. Под видом генератора случайных чисел выгружается файл, который не стесняясь отстукиваться на сервер c IP 213.24.76.29 сразу после запуска. А вот что думает VirusTotal:

Вот что думает VirusTotal про “генератор чисел” ФСБ

Дальше я продолжать не стал. Закрыл окно и написал эту статью.

Хорошо задумайся перед тем, как обращаться в ЦИБ ФСБ по любым вопросам или иметь c ними дело, а если ты всё же решил это сделать, лучше используй виртуальную машину. И скафандр. И, желательно, находясь в другой стране.

Похоже, что в ФСБ случайные числа генерируются либо при назначении сумм откатов, либо при назначении тюремных сроков оппозиционерам.

А вот если ты решил написать про наркобарыг, которые хостятся на той же площадке, что и ресурсы Центробанка РФ, помни, что придут не за ними, а за тобой. Или, F0x, как там было?

P.S. То, что выгрузил я, прилагаю. На случай, если чекисты захотят что то поменять после моего сообщения:

client-win2k-i386_key-20210525-100635-00000000_20210603-085736-00000000 Скачать

И главное. По окончании работы, пожалуйста, не забудьте закрыть приложение.

UPD: со времени моего поста (4 июня утром, выгружаемый файл поменялся).

UPD2: Разобрались с поведением файла. А именно, после запуска действительно происходит соединенение с указанным выше сервером, причём после обмена информацией с сервером, помимо того, что бинарь удаляет сам себя никакой подозрительной деятельности выявлено не было.

Слава says:

04.06.2021 at 16:17

IP 213.24.76.29
Название провайдера: Federal Security Service of Russian Federation
Он и должен туда стучать :))) Че параноишь??

Очень злой админ says:

04.06.2021 at 16:58

а формы на сайте, в которой “стучать”, видимо, не достаточно?

Хацкер says:

04.06.2021 at 17:29

Стандартная ложная тревога на эвристиках
https://stackoverflow.com/questions/58010466/bitdefender-detects-my-console-application-as-genvariant-ursu-56053

1. Очень злой админ says:
  
  04.06.2021 at 18:02
  
  Вполне может быть. Но ты глянь на то, что хукает сия дрянь. И вообще, если я хочу настучать на кого то, зачем мне какой то бинарь запускать? Или они боятся, что амеры перехватят секретный донос? И все это под соусом “генератора случайных чисел”..?
  
whoami says:

04.06.2021 at 17:35

Судя по сайту, есть претензия на профессионализм. Судя по “статье” – “Не думаю” (С)…
strings client-win2k-i386_key-20210525-100635-00000000_20210604-125508-00000000.exe

Читаем, думаем…
Странный троян. Видимо в конторе совсем дебилы, раз выкладывают малварь в незапакованном виде, с отдалкой путями и строчками из VCS.
Адрес секретного C&C в конце файла плеинтексом прописан. Видимо, из соображений секретности.
Ales.

NotEbanat says:

04.06.2021 at 18:25

Автор – ебанат.
Просто охуительные заключения, одно лучше другого. Громких слов накидаем, но пруфов не накидаем.
Сейчас бы делать выводы по факту установления соединения с каким-то адресом и false-positive щит-ав, ПОНИМАЮ.

1. Очень злой админ says:
  
  04.06.2021 at 19:22
  
  кидай пруфы
  
2. Очень злой админ says:
  
  04.06.2021 at 19:24
  
  скажу тебе так, я б такую хуйню у себя на компе бы запускать не стал. очень подозрительно. так это с правительственного сайта.
  
3. Очень злой админ says:
  
  04.06.2021 at 19:25
  
  и вообще, зачем это, когда есть SSL. Для тех кто хочет гост – дайте гост. Но нахуя грузить бинарник то?
  
TvoiOtchim says:

06.06.2021 at 06:56

f0x – работал по пробиву, кичился связями нв Лубянке, на деле оказвлся кидалой. тебе ссылку на предъяву на XSS уже давали.
не удивительно что такого ебаната закрыли.
какой смысл за него вписываться – вот что не понятно.

по сабжу. завязывай с бухлом. хуйни понаписал. :/

1. Очень злой админ says:
  
  06.06.2021 at 08:22
  
  и тебе не болеть, лубянский шнырь.
  завязывай с орехом, будет лучше.
  
2. Очень злой админ says:
  
  06.06.2021 at 08:24
  
  подожди ещё пару лет, надо им будет денег, придут и тебя обирать.
  
  1. Очень злой админ says:
    
    06.06.2021 at 08:29
    
    а флинт – тоже кидала? или он кому то не донёс?
    
    1. Очень злой админ says:
      
      18.06.2021 at 00:46
      
      Не знаю насчет донес или нет, но мне не известно о фактах, чтобы флинт кого то кинул…
      
Один says:

08.06.2021 at 07:44

Обычный vpn, только одноразовый. Развели истерику на пустом месте https://krebsonsecurity.com/2021/06/adventures-in-contacting-the-russian-fsb/

1. Очень злой админ says:
  
  11.06.2021 at 14:59
  
  вполне может быть. но для чего такие сложности?
  
anon says:

10.06.2021 at 15:33

Слишком тупо… ПО Гениальней история в которую поверил весь мир(почти весь..) произошла с телегой, там тебе и фейковая борьба и прочие уши которые как не прячь, но они будут торчать… Впрочем как и с Нэвэльным, хероя крель сделал, протесты слиты, участвовавшие в митингах поставлены на карандаш. Я восхищен…