GUI ценой приватности: разбор вредоносного форка Zapret 2 GUI. ANY.RUN.. ANY.RUN. dpi.. ANY.RUN. dpi. malware.. ANY.RUN. dpi. malware. mitm.. ANY.RUN. dpi. malware. mitm. Open source.. ANY.RUN. dpi. malware. mitm. Open source. python.. ANY.RUN. dpi. malware. mitm. Open source. python. trojan.. ANY.RUN. dpi. malware. mitm. Open source. python. trojan. аудит кода.. ANY.RUN. dpi. malware. mitm. Open source. python. trojan. аудит кода. Информационная безопасность.. ANY.RUN. dpi. malware. mitm. Open source. python. trojan. аудит кода. Информационная безопасность. обход блокировок.

Основная страница GitHub

Основная страница GitHub

Замедление YouTube, Discord и других популярных сервисов в РФ спровоцировало настоящий бум инструментов для обхода DPI. Флагманский проект zapret от @bol-van – мощное решение, но его консольный интерфейс пугает рядового пользователя. На этой почве выросли десятки GUI-оболочек «для домохозяек».

Однако за красивым интерфейсом и обещанием «обхода в один клик» может скрываться нечто большее, чем просто прокси-клиент. В этой статье я разберу форк «Zapret 2 GUI» (автор censorliber), который набрал сотни звезд на GitHub, но при детальном анализе оказался полноценным инструментом для шпионажа и компрометации системы.

Добро пожаловать под кат. Разберемся, зачем обычному обходчику блокировок права TrustedInstaller и ваш корневой сертификат.

Предыстория и дисклеймер

Мне 17 лет, я увлекаюсь реверс-инжинирингом и ИБ.К данному исследованию меня подтолкнуло подозрительное поведение утилиты в системе моего близкого человека. Проведя аудит исходного кода на GitHub и динамический анализ бинарных сборок, я обнаружил признаки поведения, характерного для Trojan-Downloader и Spyware.

На мои попытки поднять дискуссию в репозитории проекта авторы ответили агрессией, обвинениями в «ИИ-генерации текста» и признанием в наличии «секретов в приватной части кода». Что ж, пускай за авторов скажет их код.

Технический анализ кода (GitHub)

1. Деструктивные действия: Убийство защиты системы

В файле altmenu/defender_manager.py реализован функционал, который выходит далеко за рамки настройки прокси. Программа планомерно отключает Windows Defender через реестр.

altmenu/defender_manager.py

altmenu/defender_manager.py

Зачем это нужно? Авторы объясняют это «заботой о пользователе», чтобы антивирус не мешал работе. В действительности, полное отключение защиты делает систему уязвимой для любой последующей атаки.

2. Подготовка к MitM: Скрытая установка Root CA

Самый критичный момент – файл startup/certificate_installer.py. Программа скрытно устанавливает сторонний сертификат в «Доверенные корневые центры».

Почему это опасно? Для обхода DPI сертификат не нужен. Он нужен только для расшифровки HTTPS-трафика. Установив свой Root CA, злоумышленник может беспрепятственно читать вашу переписку, воровать Cookie-сессии и пароли.

startup/certificate_installer.py

startup/certificate_installer.py

3. Шпионаж и эксфильтрация данных

Скрипты tgram/tg_log_delta.py и tg_log_full.py каждые 30 минут собирают имя вашего ПК, версию ОС и уникальный UUID, отправляя данные в приватный Telegram-чат администратора через зашифрованные токены ботов.

tgram/tg_log_delta.py

tgram/tg_log_delta.py

Анализ бинарных сборок (EXE)

Если код на GitHub вызывает вопросы, то скомпилированные EXE-файлы, распространяемые через Telegram-канал проекта, вызывают настоящий ужас у безопасников.

  • EXE != GitHub: Авторы признают, что код в репозитории «отстает от реального на 2 месяца». Это классический метод сокрытия вредоносного функционала (payload).

Признание разработчиков в Telegram-канале

Признание разработчиков в Telegram-канале

  • Вердикт песочниц: Отчеты ANY.RUN и Tria.ge однозначны: Malicious (Loader / Spyware). Зафиксированы попытки внедрения кода в память.

Вердикт песочницы ANY.RUN

Вердикт песочницы ANY.RUN

Этическая сторона и лицензия

Проект позиционируется как форк, однако автор грубо нарушил условия лицензии MIT, удалив имя оригинального разработчика ядра (@bol-van) и заменив его на свой ник

Лицензия в репозитории

Лицензия в репозитории

Более того, поверх бесплатного и открытого ядра winws.exe была наслоена система платных «премиум-подписок». Продавать подписки на софт, который попутно ворует ваши данные верх цинизма.

Продажа "Premium"

Продажа “Premium”

Реакция разработчиков

В ходе дискуссии на GitHub (Issue #247) и в Telegram-канале, разработчики не дали ни одного вменяемого технического ответа на вопрос о Root CA. Вместо этого они использовали тактику газлайтинга:

  • «Ты просто зумер с ChatGPT».

  • «Программа для домохозяек, им так удобнее».

  • «У нас приватный репозиторий, там лежат секреты».

Последняя фраза – это приговор. В Open Source проекте, претендующем на доверие, не может быть «секретов» в приватной части.

Приватный репозиторий

Приватный репозиторий

Что делать, если вы это установили?

Если вы запускали Zapret 2 GUI, я настоятельно рекомендую:

  1. Удалить программу и все её компоненты.

  2. Проверить сертификаты: Win + R -> certmgr.msc. Ищите подозрительные записи в «Доверенные корневые центры».

  3. Восстановить Hosts: Убедитесь, что файл C:WindowsSystem32driversetchosts не содержит лишних IP и не открыт на запись для всех (Everyone:F).

  4. Сменить пароли в критически важных сервисах.

Заключение

Бесплатный сыр бывает только в мышеловке с красивым GUI. Берегите свою цифровую личность. Моей целью было и остается предупредить других пользователей и ответь на предвзятые обвинения. Посмотреть с чего все началось можно в этой Discussion

Автор: Kasumicici

Источник

Версия для печати Версия для печати
Rambler's Top100