Торрент-файл слишком велик для этой файловой системы, что делать
Обновлено: 21.11.2024
Сегодня очень легко обмениваться любым контентом с помощью упрощенных служб обмена файлами, что упрощает получение материалов, защищенных авторским правом, и пиратских копий популярных приложений. Одноранговые сети, такие как BitTorrent, используют децентрализованную структуру, позволяющую пользователям обмениваться файлами с миллионами одноранговых узлов по всему миру. Одноранговые технологии, такие как eDonkey, BitTorrent и Gnutella, позволяют любому подключаться к этим сетям и загружать любые мультимедийные материалы так же просто, как нажать кнопку загрузки.
Использование служб обмена файлами с годами росло в геометрической прогрессии, в то время как риски для пользователей резко возросли.
Торрент
Сегодня BitTorrent является наиболее распространенной технологией для обмена цифровыми материалами, несмотря на любые ограничения, налагаемые законами об авторском праве. Через BitTorrent можно загружать любые типы файлов: фильмы, телепередачи, песни, программы и игры. К сожалению, свобода и простота загрузки желаемого контента могут представлять серьезные риски для неосведомленных пользователей. Они часто заражаются вредоносным кодом, скрытым за торрентом.
Прежде чем приступить к анализу контента, который могут скачивать пользователи, давайте представим лучшие поисковые системы BitTorrent. Каждый, кто хочет загружать медиафайлы из инфраструктуры BitTorrent, должен искать нужный контент с помощью специальных поисковых систем, самой популярной из которых является The Pirate Bay:
Рисунок 1. Пример поисковой системы торрента
The Pirate Bay исторически является самой известной и важной поисковой системой торрентов благодаря своей истории и всем юридическим проблемам, с которыми она столкнулась за последнее десятилетие. На протяжении многих лет сайт был захвачен и вновь открыт много раз из-за юридических споров с частными фирмами и правительством Швеции. Однако The Pirate Bay существует и по сей день.
Рисунок 2. Рейтинг The Pirate Bay по Alexa
Анализируя статистику Alexa, легко определить объем трафика, связанного с веб-сайтом. На сайте более 2,8 миллиона посетителей, из них 2,7 миллиона уникальных посетителей. Каждый пользователь посещает в среднем 5,2 страницы, что свидетельствует о том, что один человек просматривает около пяти торрентов в день. Другими популярными поисковыми системами для торрентов являются 1337x, Rarbg и LimeTorrents.
Категории торрентов
Как было сказано ранее, с помощью сети BitTorrent можно загружать любой тип медиаконтента. Однако для неподготовленных пользователей существует множество опасностей, и попасть в беду довольно легко. Загруженные материалы часто содержат вредоносный код, который может доставлять вредоносное ПО или позволять мошенникам выполнять другие опасные действия.
При поддержке моей группы исследователей из Yoroi/Cybaze ZLab я собираюсь показать, как легко найти вредоносный файл, когда неразумные пользователи ищут последний фильм, копию популярной видеоигры или копия коммерческого программного обеспечения.
Игры
Самая популярная игра прошлого года — Fortnite. Он не был официально выпущен на Android Market и сегодня все еще находится в бета-версии и доступен только для нескольких моделей устройств. Но, несмотря на это ограничение, многие пользователи пытаются найти эту игру на нелегальных каналах, чтобы загрузить ее и играть на своем смартфоне.
Давайте поищем Fortnite в поисковой системе The Pirate Bay:
Рис. 3. Исследование The Pirate Bay в Fortnite
Нажав на выделенный элемент, мы получим следующее описание:
Рис. 4. Описание APK-файла Fortnite для Android
Он представляет собой бета-версию Fortnite, но когда мы вставляем хэш загруженного файла в VirusTotal, мы получаем следующий результат:
Рисунок 5. Результат VirusTotal для Fortnite-bet APK
Без сомнения, это фальшивое приложение, распространяемое через торрент-сеть и содержащее шпионское ПО. При обратном проектировании приложения мы заметили, что приложение запрашивает все разрешения, даже доступ к критически важным, таким как отправка и получение SMS, камера, Bluetooth, установка обоев, управление звонками, удаление других приложений и т. д.
Рис. 6. Разрешения Android для поддельного приложения
Углубившись в анализ, мы декомпилировали приложение и изучили его исходный код. Мы обнаружили подпрограмму, используемую вредоносной программой для установления соединения с ее системой управления и контроля:
Рисунок 7. Установление соединения C2
Вредоносная программа также способна перехватывать входящие сообщения, собирать их и сохранять в своем частном хранилище, которое отправляется на сервер:
Рис. 8. Отправка входящих сообщений
Сколько раз вы скачивали информацию из Интернета? Возможно, для некоторых из вас ответ будет «очень часто». На самом деле скачать фильмы с торрент-сети несложно.
Давайте поищем в Google торрент двух самых ожидаемых фильмов 2019 года: «Мстители: Финал» и «Джокер».
Рис. 9. Результаты для фильма "Мстители"
Рис. 10. Результаты для фильма "Джокер"
Нажав на выделенные результаты, мы перенаправляемся на следующую веб-страницу, где можно скачать торрент:
Рис. 11. Веб-страница загрузки через торрент фильма «Мстители: Финал»
Рисунок 12. Страница загрузки через торрент для «Joker»
Эти две страницы очень похожи. Там есть краткое описание фильма с большой и заметной кнопкой для скачивания торрент-файла. После загрузки фильмов нам предоставляется папка, содержащая фильм и исполняемый файл с пакетом кодеков, который позволяет просматривать фильм:
Рисунок 13. Результат загрузки фильмов
Если мы попытаемся открыть видео без предварительной установки пакета кодеков, появится сообщение об ошибке, информирующее нас о том, что файл поврежден. Таким образом, пользователь чувствует себя обязанным установить пакет кодеков. На самом деле это хорошо известный бот, связанный с ботнетом, уже проанализированным экспертами по безопасности из ESET Researchers.
Рисунок 14. Обнаружение VirusTotal поддельного пакета кодеков
Программное обеспечение
Другой категорией, представляющей интерес для обычных пользователей, является коммерческое программное обеспечение. Многие пользователи ищут их в надежде скачать пиратскую копию. Это самый простой способ установки вредоносных программ, поскольку пользователь должен установить исправление, которое используется для замены платной лицензии, а также устанавливает вредоносное ПО на компьютер.
Nero – самая известная программа для создания программного обеспечения для создания оптических изображений, которая является лидером на рынке. Итак, мы будем искать Неро в Пиратской бухте:
Рисунок 15. Результаты Pirate Bay для Nero
Нажав на выбранный результат, мы попадаем на страницу описания торрента:
Рисунок 16: Описание программного обеспечения Nero Burning ROM
На рис. 16 показано описание торрента. В области, отведенной для деталей программного обеспечения, есть минимальное руководство по его установке. Однако сразу видно, что что-то подозрительно: размер файла совсем небольшой. Итак, после скачивания файла у нас на компьютере появилась следующая папка:
Рисунок 17. Программное обеспечение Nero, загруженное из TPB
Размер файла составляет около 15 МБ, и это немного для такой сложной программы, как Nero. На самом деле установочный файл программного обеспечения составляет около сотен мегабайт или даже порядка гигабайт. Чтобы развеять сомнения в ненадежности программы, мы запустили ее и получили следующее окно:
Рис. 18. Фальшивый экран входа в The Pirate Bay
Очень подозрительно, что установщик Nero запрашивает учетные данные учетной записи Pirate Bay, притворяясь проверкой против ботов. Реальность такова, что это фишинговая программа, разработанная для кражи учетных данных пользователя. Действительно, загрузив файл на платформу VirusTotal, мы имеем следующие результаты:
Рисунок 19. Результаты VirusTotal для программного обеспечения Nero, загруженного из The Pirate Bay
VirusTotal также подтверждает, что это разновидность вредоносного троянского ПО. Настоящая установка Nero запрашивает путь установки, ключ активации ключа и другую законную информацию, а не учетные данные нелегальной службы.
Adobe Photoshop Lightroom
Другой широко используемой программой является Adobe Photoshop. Это программное обеспечение, созданное в 1988 году, стало де-факто отраслевым стандартом для редактирования и постобработки изображений. Фактически, каждый, кто хочет поделиться работой по обработке изображений, использует форматы файлов, определенные Adobe. По этой причине это еще одно привлекательное средство для распространения вредоносных программ, поэтому мы решили поискать Photoshop на LimeTorrents:
Рисунок 20. Результаты поиска Photoshop на LimeTorrents
Мы скачали третий результат. Небольшой размер навел нас на мысль, что в файлах спрятано что-то вредоносное. Это всего лишь индикатор, используемый для быстрой идентификации вредоносных файлов; мы не можем исключить возможность того, что даже файлы большего размера могут скрывать зараженную версию законного программного обеспечения.
Рисунок 21. Загруженные файлы с торрента
Исполняемый файл снова является классическим трояном, как сообщается в отчете VirusTotal. Хорошей новостью является то, что большинство решений для защиты от вредоносных программ, перечисленных в VirusTotal, способны определять файл как вредоносное ПО.
Рисунок 22. Результаты VirusTotal для Adobe Photoshop
Премиум от Malwarebytes
Другим популярным программным обеспечением, загружаемым многими пользователями, является популярный антивирус Malwarebytes. У него есть бесплатная версия, которую можно загрузить на официальном сайте производителя, но она ограничена некоторыми важными функциями, такими как защита в реальном времени. Однако мы нашли взломанную версию Malwarebytes Premium онлайн; он обещает реализовать все функции, включенные в платную версию. Поэтому мы искали его на LimeTorrents, получив огромное количество результатов:
Рисунок 23. Результаты поиска Malwarebytes в LimeTorrents
Мы выбрали первую, соответствующую одной из последних версий Malwarebytes, которая имеет отличный показатель работоспособности из-за большого количества сидов. После его загрузки мы видим ряд файлов, включая исполняемый файл установки, несколько текстовых файлов «README» и генератор ключей, который сможет создать экземпляр действительной лицензии на защиту от вредоносных программ.
Рисунок 24. Загруженные файлы с торрента
Один из файлов, необходимых для взлома программы, «URET NFO v2.2.exe», сразу же привлек наше внимание. Мы загрузили его на VirusTotal и обнаружили, что большинство антивирусных решений определяют его как вредоносное рекламное ПО.
Рисунок 25. Уровень обнаружения рекламного ПО
Рекламное ПО — это надоедливая программа, предназначенная для показа рекламы на компьютере жертвы, изменения и перенаправления поисковых запросов, захвата веб-навигации на рекламные веб-сайты и сбора информации о предпочтениях жертвы, например о типах посещенных веб-сайтов и запросах. искал через поисковик. Вся эта информация необходима для настройки рекламы и, следовательно, для более широкого распространения рекламного ПО.
Анализ торрент-угрозы
Пока мы анализировали сеть Torrent, мы решили проанализировать интересный образец вредоносного ПО, связанного с огромным ботнетом, распространяющимся в дикой природе. Это было названо Сатурботом. Этот вредоносный код был одним из многочисленных типов вредоносных программ, распространяемых через торренты, притворяясь пакетом кодеков, необходимым для отображения видео, только что загруженного жертвами. Его старая версия уже была проанализирована исследователями ESET в 2017 году. Новый вариант вредоносного ПО ведет себя несколько иначе, чем старый.
Основная цель бота — скомпрометировать как можно больше машин. Для этого он использует уязвимые веб-сайты WordPress для распространения в Интернете. Когда сайт скомпрометирован, вредоносное ПО загружает торрент-файл, указывающий на свою копию. Затем он создает новую веб-страницу с заголовком, содержащим трендовые слова (например, популярные названия фильмов, такие как «Мстители 2019 торрент»), и вставляет ссылку для загрузки вредоносного торрент-файла.
Рисунок 26. Пример взломанного веб-сайта WordPress
Когда пользователь нажимает на поддельный пакет кодеков, вредоносное ПО показывает поддельное окно, имитирующее установку программы. Это завершается сообщением об ошибке.
Рис. 27. Окно сообщения об ошибке после фальшивой установки
Неосведомленный пользователь подумает, что возникла проблема с настройкой, и никогда не заподозрит, что произошло что-то вредоносное, в то время как вредоносное ПО продолжает свою работу скрытно.
Все полезные артефакты извлекаются по пути %appdata%Local, создавая новый каталог с именем «Android». Название призвано быть связано с популярной мобильной операционной системой, оставаясь при этом незаметным.
Рис. 28. Артефакты вредоносного ПО
Процесс «capdrv.exe» запускает несколько процессов, чтобы начать фазу полного перебора огромного набора веб-сайтов WordPress, который создается во время выполнения. На самом деле вредоносное ПО объединяет несколько разных подстрок в «gdh» и «gyk» для использования в качестве строк запросов в Google, Bing и Яндексе. Результаты, возвращаемые запросами, анализируются, чтобы извлечь веб-сайты для посещения. Используя большой начальный набор подстрок для объединения, эта стратегия позволяет получить несколько целей.
Рисунок 29. Пример запросов методом подбора
Ниже приведен пример POST-запроса, который вредоносная программа использует для входа на веб-сайт. К счастью, учетные данные неверны, поэтому ответное сообщение содержит строку «неверное имя пользователя или пароль».
Вредоносная программа сохраняется на компьютере жертвы, создавая новый ключ в реестре Windows «HKCUSoftwareMicrosoftCurrentVersionRun11f86284», где имя ключа генерируется случайным образом. В качестве значения ключа задается путь к файловой системе вредоносного ПО. Используя этот трюк, вредоносная программа может запускаться при каждой перезагрузке компьютера, поскольку RegKey «CurrentVersionRun» указывает программы, которые должны запускаться каждый раз, когда пользователь входит в систему.
Рисунок 31. Ключ реестра, установленный вредоносной программой для обеспечения устойчивости
Основная цель Sathurbot (как и любого другого ботнета) — расширить свою сеть, задействовав как можно больше машин и, следовательно, усилив атакующую мощь. Когда сеть достаточно велика, ее можно использовать для выполнения новых вредоносных действий, таких как массированная DDOS-атака против цели, указанной бот-мастером.
На момент написания URL-адрес Command&Control неизвестен, потому что бот сразу начинает с грубой силы. Вероятно, это доказательство встроено в тело вредоносного ПО в зашифрованном виде и появится только после выполнения определенного условия, такого как логическая бомба, основанная на времени.
Насколько легко раздать торрент по сети?
Огромное количество угроз в торрент-ландшафте, несомненно, связано с простотой создания торрент-файла, содержащего вредоносные артефакты. Для этого не обязательно быть хакером или иметь продвинутые навыки. Используя популярный торрент-клиент µTorrent, вредоносный файл можно создать за несколько шагов. Мы можем просто нажать «Создать новый торрент» в верхнем меню, указать путь к исполняемому файлу вредоносного ПО и нажать кнопку «Создать».
Рис. 32. Окно «Создать новый торрент»
Вуаля, мы создали торрент-файл, якобы имеющий отношение к фильму «Мстители», но на самом деле содержащий вредоносное ПО. Приложив больше усилий, мы могли бы использовать некоторые приемы, чтобы замаскировать вредоносный файл, чтобы убедить пользователя нажать на него и запустить цепочку заражения.
Рис. 33. Обман пользователя, заставляющего его нажать
Очевидно, что после создания вредоносного файла следующим шагом будет распространение торрента в Интернете, чтобы заразить как можно больше машин. Нет ничего проще: мы должны зарегистрировать учетную запись на одном из торрент-сайтов, таких как The Pirate Bay, и загрузить наш файл. Мы назвали его, используя модные термины, например, «Мстители», как показано на рисунке выше.
Заключение
К счастью, большинство торрент-сайтов, таких как RARBG, проверяют файлы, загруженные на их платформу, и ищут вредоносные артефакты и другие проблемы с безопасностью, которые могут нанести вред пользователям.К сожалению, это не универсально, и использование торрентов по-прежнему сопряжено с высоким уровнем риска.
Здравствуйте, я использую свой raspberry pi в качестве торрент-клиента, загружая файлы на NAS. Я заметил, что большие файлы mkv (более 4 ГБ) регулярно повреждаются ближе к концу видео (около 1 часа 40 минут). Чтобы сузить проблему до самого пи, я выбрал один конкретный торрент, с которым у меня была проблема, и загрузил тот же торрент с моего компьютера с Windows на NAS, и не было никаких повреждений. Затем я попытался загрузить один и тот же торрент на пи с двумя разными торрент-клиентами (потоп и передача), и у обоих было одинаковое повреждение в одно и то же время в видео. Я запускаю raspbian на пи, поэтому, думаю, следующее, что я попробую, — это другая сборка. У кого-нибудь был подобный опыт?
<р>1. Какая файловая система у места назначения на вашем NAS?Если на диске(ах) хранения используется файловая система FAT32, вы не можете записывать на него файлы размером более 4 ГБ. <р>2. Есть ли шанс, что вы подключитесь к своему NAS через SMB (протокол общего доступа к файлам Windows)?
Некоторые реализации samba содержат ошибки, поэтому попытка скопировать файл >4 ГБ приводит к разного рода проблемам.
Я только что провел тестирование с ISO-образом ~4,3 ГБ через BTSync (синхронизация с моего рабочего стола на RPi — запись записывается на внешний жесткий диск USB, отформатированный в формате ext4), и файл на стороне Raspberry в полном порядке. Хэш совпадает, циклическое монтирование ISO работает, копирование файлов из ISO также работает. Коррупции нет.
NAS представляет собой GoFlex Home емкостью 2 ТБ, файловая система NTFS, и мой pi подключается через SMB. Текущий обходной путь, который у меня есть, — использовать подключенный USB-накопитель емкостью 500 ГБ в качестве папки загрузки по умолчанию в Deluge и настроить Deluge для перемещения завершенных файлов на NAS, что работает нормально. Это наводит меня на мысль, что проблема не в SMB, так как я могу перемещать большие файлы на NAS из pi после их завершения.
Хорошо, в этом случае (поскольку вы можете исключить, что проблема связана с Samba/SMB) есть еще одна вещь, которая приходит на ум.
Настроен ли ваш Deluge на предварительное выделение места для файлов в торренте?
Это прекрасно работает в локально смонтированных файловых системах, но не в сетевых файловых системах. Если установлен параметр "Предварительное выделение пространства", попробуйте отключить его.
В любом случае ваш нынешний «обходной путь» — лучший вариант, с которым вы могли бы работать в любом случае. Загрузка материала в локальную файловую систему и перемещение его в выбранное место назначения после завершения предотвращает всевозможные проблемы, такие как ошибки тайм-аута при записи в смонтированный общий ресурс SMB, если торрент достаточно быстр, чтобы максимально использовать пропускную способность Pi. р>
Например (чтобы представить себе, что я имею в виду под «пропускной способностью»): недавно я выполнил довольно тяжелую работу на Pi (много операций ввода-вывода на / с подключенного через USB жесткого диска, а также большого количества сетевого трафика с /в локальную сеть), из-за чего даже клавиатура (Logitech K360 Wireless) «отставала». это означает, что клавиатура внезапно начала повторять введенные мной символы. Видя, что сетевая карта (Pi rev. B) также подключена к USB. Я могу только представить, какие проблемы могут возникнуть, когда система максимально использует пропускную способность USB (с точки зрения торрента: много трафика, поступающего на высокой скорости из улья, и системе необходимо копировать данные обратно по сети в доля SMB). Хотя Pi — это фантастическое маленькое устройство, у него есть некоторые ограничения, связанные с конструкцией.
Кто-нибудь нашел решение этой проблемы? Или кому-нибудь удалось скачать большие торренты на сетевой ресурс без повреждений? Я использую Transmission и загружаю торренты на NAS и всегда получаю поврежденное видео, если размер файла составляет 4 ГБ или больше. Я отключил предварительное распределение, но проблема осталась.
У меня такая же проблема.
Пытался установить временный каталог на локальный SD, но все равно безуспешно.
Кто-нибудь нашел решение этой проблемы?
Я использую Transmission в качестве торрент-клиента.
Читайте также: