[Tutorial] Bloqueando ultrasurf em windows e linux (QEMU e WINE)



  • Vida longa e prospera aos senhores!

    Há 2 anos, postei uma possível forma de bloquear o ultrasurf aqui no fórum(https://forum.pfsense.org/index.php?topic=58580.0), tivemos críticas, aceitações e discussões…enfim...não vou lembrar o que cada um falou.
    Recebi vários emails pedindo o método para o bloqueio, porém ainda não estava 100% funcional, respectivamente respondi todos os emails avisando que estava trabalhando em cima disso.Finalmente consegui terminar!.Vou falar um pouco do software.

    Esse software já são de terceiros então editei(decompilei) para só bloquear filtros de janelas, o mesmo também serve monitoração e gravação de teclas entre outras coisas, porém eu desativei essas funções para não trazer tais problemas para quem for usar em empresas, até por que o mesmo serve como um keylogger

    Os testes foram feitos em ambiente windows (xp ao Windows 10 e servers do 2000 ao 2012 e R2 com versões 32 e 64 bits) e Linux emulando com QEMU e WINE, funcionando-os perfeitamente.Upei 2 vídeos da versão windows, na versão linux pedi a outros colegas que o fizessem e os mesmos deram o feedback de que funcionara sem problemas.Segue os vídeos:

    Parte 01: https://youtu.be/vcS4R_HvW8g
    Parte 02: https://youtu.be/-PPIE4XByAA

    Vamos aos pré-requisitos:

    Para Servers

    Windows server família 2k até o 2k12 com DHCP, DNS, ADO e Principalmente GPO
    Noções de GPO
    Usuário criado com permissão administrativa via GPO somente, caso não saiba como fazer segue alguns links:

    http://www.blogdodanilo.com.br/2013/07/definir-administrador-local-via-gpo.html
    https://claudianojs.wordpress.com/2011/11/15/adicionar-grupo-de-administradores-local-via-gpo/
    http://www.wellingtonagapto.org/2012/12/como-dar-direitos-de-adicionar-maquina.html
    https://kimiechik.wordpress.com/2013/04/09/gpo-adicionar-grupo-de-usuarios-como-membro-do-grupo-administradores-locais/

    OBS: NO CASO DE USAR PERMISSÃO ELEVADA NÃO SE TORNA UMA FALHA POR QUE ESSE SERVIÇO É NATIVO DE QUALQUER SERVER WINDOWS, E ALÉM DO MAIS O VÍDEO MOSTRA MAIS UM SOFTWARE QUE TAMBÉM FOI EDITADO PARA QUE SE DE ESSA PERMISSÃO COM O USUÁRIO CRIADO DO AD SENDO DE CALIBRE ELEVADO!
    LEMBRE-SE DE FAZER OS DEVIDOS TESTES SEM SER EM PRODUÇÃO, DEPOIS DE CONFIRMADO AI SIM PODE MANDAR VER..rsrsrs…

    Para estações

    Tarefa agendada ou colocar o software com permissão administrativa no startup da máquina, ou seja, shell:startup (menu executar) do usuário.|
    O programa já vem em 3 classes para ser usadas como server A, B e C, um software para permissão administrativa e caso queiram conferir a integridade de cada programa e classe segue abaixo:

    BMC Classe A - 10.0.0/24 (10.0.0.250 app já fixado)

    MD5 Checksum: 931A83085031649442310B22829AF6B4
    SHA-1 Checksum: DDD93027A795348E5A5456404BFAC136AA1AD636
    SHA-256 Checksum: 70872354F6E9DCAC6F6933633FE695BF479727AB46FA5A1EF0C21A1416E19B6D
    SHA-512 Checksum: 663F4429A04EF42F1C42DD6005B769B75F15E3ED02CDE91BD7E901FE44BF3573DF75B30B95F30F751C13BAD9E60D698DD8DDA4D80576F63009F1E36B3CB6DAA4

    BMC Classe A - 10.0.0/23 (10.0.1.250 app já fixado)

    MD5 Checksum: E9AC7AB3EBC173AE092113C6CDFEA27D
    SHA-1 Checksum: 5FE0375C3449C257B5B4564C655BC49EFAA854A5
    SHA-256 Checksum: 834C4D6735694D1EB2D11236922F1BAB1106FA87E4B59184EFB0DAD4FB5937EE
    SHA-512 Checksum: C43AD7300F6B64EE7372315BE74B8601FE8A261172AF1FB292AA5DABDA0BE926A16FC098EE443CC9526F675E9AD33BCAB12785EADA558DEA780A3D3A6C006E28

    BMC Classe B - 176.16.0/24 (176.16.0.250 app já fixado)

    MD5 Checksum: 2B3C5588624CEF6344C65F52624B9B0F
    SHA-1 Checksum: 3AB60D1F4193F98E14495B20CA3785733ADFC421
    SHA-256 Checksum: 33521ED67AACDF6BF64183C58FAE30C9FAD00B606D0485ECAE4D78268541DCCE
    SHA-512 Checksum: 5EF8413A2C94B78F6404D8B99B18CBB9C5AEA1AA585ECACF04259AD0883ABA988FD9B0B20BD42E6E897A6656D8F9DD3E3FEDB582B17EA65961AC614B4E2A9881

    BMC Classe B - 176.16.0/23 (176.16.1.250 app)

    MD5 Checksum: 3078DFFF3146EC55F955A6F06B2AF65B
    SHA-1 Checksum: 9378771E513775AAC7C5B1391F6D2A6F03185405
    SHA-256 Checksum: 3FA44A2B7D15A17539EF4FBCF53A158BE75D840A5A5EC33A79C99F15FF81BCBA
    SHA-512 Checksum: CF9D35642AAD86AA49C292DE3F9427A31930B7A9771C348703054E656B4DE6D8CF90EE56AE99E700D6C31EDA83B5A9E947BAFB6F9A393C27697760B9119979F3

    BMC Classe C - 192.168.0/24 (192.168.0.250 app já fixado)

    MD5 Checksum: 88BF6D503A4FFCA824C8B0E49BABAE78
    SHA-1 Checksum: 896A361ADB25DEAD6B98E9E47D9E69420975CF42
    SHA-256 Checksum: 66F93BB6DE9CDF1E1A6486894F5CF7283D73A2B32CF3FB9425A708E4E4434B04
    SHA-512 Checksum: D461E1876AA7955F66DE13A491A4A44878759A93D365252803687EB62FD14F4EAA01555DF884A8B5A8654575FE43A4C698E84E3C8A341A9186E2BC2A9C43F53C

    BMC Classe C - 192.168.0/23 (192.168.1.250 app fixado)

    MD5 Checksum: 67D712B52E1BF3422223054C4B4DE9C0
    SHA-1 Checksum: 9BC7EED1A5980FC4F415FC48F3C88078985BD802
    SHA-256 Checksum: 99FF8CC58A70BE4878F1EBB69E746362343D3F72F63F79D8BBE778B8144AE8C9
    SHA-512 Checksum: 318FFD55D7D91C10BC7F95E3A0B6B75E3587352651E89A1C6CFBA44A5035EB7C88782D4ECFC4815CDCBAF01C7C925B822CE5F327C427E6CAEC6F1DE595804DA4

    Steel RunAs - Executar software com permissão de Administrador Local

    MD5 Checksum: BDAF41C613D8533F39047C5CCD14104C
    SHA-1 Checksum: 802F3B5E6020BF8C2B5CEBC1C7543F75AC819FAE
    SHA-256 Checksum: DB5E865C57A4E57E921D96F807EDBDD0FDF8AE8989D8A4042CFDC64D4FCE9E09
    SHA-512 Checksum: 3ECA83DFBD82806C23F4E36286F9B6CD6E084F91DE39AC1B6B0E4BFD41A42F3F6C4B7CD02B4778AFDEDF9F3D0395CD61829303624C4D26A0609AB5B275C86EAD

    Steel RunAs Template

    MD5 Checksum: 619B2B5F25DA438FFF48B677E76C405E
    SHA-1 Checksum: 237E1F77315E58E723A98B1410BA18AC0B685312
    SHA-256 Checksum: 4552C073080DD2E6546CCA7DCF47445DD77C4BCE3CA0B7511F1269A948D2F8A1
    SHA-512 Checksum: B9FA55756403173D13CAE3F370FE9F2FF644FDFE32688EF9E03F0D8C04DAF52AAD669909DAEF14066C89AA84BBA8E2F259E99E4FE36F24DC8BEDAD4B369C47D5

    Marb - Acesso Remoto (BMC - separado)

    MD5 Checksum: 0D7E97BF879910EA0C43FCC999BAC2E8
    SHA-1 Checksum: D3A9B7C4D1AB651979C6A241B277A3B36F0263D7
    SHA-256 Checksum: E3453422EF360063A65D24649D2D13620E25C457493B36015E4CF98932327D19
    SHA-512 Checksum: E32B5A29534FEEDC2DE3F5B21592AABAD9BF1CA8D4894D1A63534A16E1BDACA073DF6B6C62AF3E9D2675AC7D16A35A60661EB6B3DCA52082AF5CAB1277A29342

    Configurações iniciais do programa

    Senha inicial: marimba (pode ser alterada)
    configurações pré estabelecidas por filtro de janela (ultrasurf entre outros)
    Tecla de atalho para configurar o software :Ctrl+Shift esquerdo+F2(mantenha pressionado por 1 segundo)
    Se o usuário for fechar a aplicação pelo gerenciador de processos, automaticamente ela inicia outra
    Servidor de configurações via rede esta apontado para as classes ditas acima (pode alterar se quiser, porém já pensei nas 3 classes e endereços possíveis)
    Modo CARP para acessar remotamente as configurações do PC que o usuário esta usando
    MODO MARB para acessar remotamente a máquina do usuário e monitorar com telas de captura entre outras maneiras.
    OBS: PARA USAR O MODO MARB E CARB, É PRECISO LIBERAR AS PORTAS NO FIREWALL TCP DE ENTRADA 40101 E 40102(REMOTE ACCESS DO SOFTWARE).PARA OS QUE USAM TAIS PRÁTICAS DO FIREWALL ATIVADO POR PADRÃO, O QUE VARIA DE ADMINISTRADOR PARA ADMINISTRADOR EM QUESITO SEGURANÇA.

    Sobre o RunAs

    Também foi editado para que fosse usado sem instalação.Tem um arquivo chamado "Template" que deve ser usado para criar uma permissão elevada.
    Assim que criada, ele gera um CRC para autenticidade, para que funcione corretamente o programa tem que estar no mesmo lugar que a permissão elevada foi criada.Lembrem-se disso!

    Não adicionarei os programas aqui, pois são grandes, quem estiver interessado segue meu email: diego.pinheiro@outlook.com (vulgo marimba também).

    Hoje administro mais de 8 mil máquinas e dessas máquinas 3 mil de uma só empresa e estou usando isso para acalmar os nervos da TI.
    Uso o pfsense, forefront TMG, sonicwall, fortigate para bloquear SSL transparente ou não e sabemos que algumas empresas infelizmente temos problemas com tais bloqueios, então essa é mais uma forma de ajuda.

    Preste atenção no vídeo para ter uma ideia de como pode usá-lo, caso seja de ajuda para você entre em contato comigo!.

    Ufa…é isso!.Espero que tenha ajudado, pois quebrei um pouquinho a cabeça para ajudar a quem precisa...principalmente eu! ;)

    PS.

    Anti-vírus acusa como falso positivo, testado com AVG, Bitdefender, Avast, Panda e cloud, Psafe.



  • Bom dia, onde eu baixo o programa para teste?

    abraços,



  • Coloquie na lista de tutoriais, Obrigado pela contribuição.

    Vale lembrar que a instalação de executáveis nas estações e servers do seu ambiente corporativo ou doméstico é de total responsabilidade do sysadmin.



  • Isso mesmo Marcelo bem lembrado!, porém não tem nada para instalar mas mesmo assim é um ótimo lembrete!
    Digitei tanto coisa que esqueci disso! lucianosaulo, dá uma lidinha no post por que tem meu email, especifique a classe que esta usando na sua rede, não adicionei aqui por que o tamanho do arquivo passa o que é suportado (como havia mencionado no post).



  • atsuma,

    O que vc quer dizer com "Esse software eu editei(decompilei)"?

    Acaso o software original não é seu?

    Você 'descompilou' um software de terceiros?"

    Abraços!
    Jack



  • Isso mesmo jack…ele funciona como um espião também, na forma de editar eu removi essas opções para só usar como filtro de janela.A ativação é minha porém pode ser usado em varias máquinas após a edição e não precisa de instalação é só executar.
    Vai de cada um de como usar...isso é uma ajuda...por isso deixei bem claro! "Quem se interessar".



  • atsuma,

    A única ressalva fica por conta de legalidade… Tipo, o software é de terceiro, você possui licença pra redistribuir ou mesmo mexer nele?!? :(

    Abraços!
    Jack



  • Parabéns pelo iniciativa.
    Mas ainda acho mais prático realizar o boqueio a sites sem domínio no squid, simples e eficaz. São 2 linhas no squid, um alias e uma regra no firewall.



  • Sim sim…o problema é que tem muita empresa que você começa a bloquear o SSL ai fica uma tristeza argumentar...ai a TI sempre tem culpa :-.