- Сообщения
- 184
- Реакции
- 384
Приветствую всех форумчан Рутора
В этой статье я хочу поделиться моим личным опытом по работе с вредоносами т.к. работаю по этой теме давно. Тема несёт информативный харатер и не кнопка бабло, по крайней мере в первое время, для этого нужно учится.
Отмечу, что любые виды преступной деятельности, включая создание и использование вредоносных программ, являются незаконными. Данный текст представлен исключительно в образовательных целях.
Сегодня я хотел бы обсудить различные виды вредоносных программ, такие как ботнеты, стиллеры, клипперы и другие, на простом и понятном языке. Разберемся, что они делают, зачем используются, как ими управляют, и какие виды существуют, без чрезмерного углубления в детали - если кому-то интересно, то они смогут получить дополнительную информацию.
Перейдем к началу моего знакомства с подобным программным обеспечением.
Впервые я познакомился с ботнетом аж в середине 2013 года. Я помню как сейчас - это был Зевс, один из самых широко распространенных ботнетов того времени. Позже, примерно через полгода, исходный код этого ботнета начал распространяться в интернете, и на его основе было создано огромное количество вредоносных программ, которые выдавались за собственное программное обеспечение. Многие люди, особенно те, кто не разбирался в данной теме, попали в ловушку.
Я познакомился с одним человеком на одном из форумов - у нас завязался разговор, и он предложил мне заняться реализацией логов. Мне было неизвестно, что такое логи, но я решил попробовать и узнать, что это такое и как с ними работать. Это было увлекательно и интересно.
Он прислал мне 1 МБ логов. На тот момент логи были практически недоступны для покупки, а если и были, то это был один текстовый файл. Можно было купить файлы от 100 КБ, но цена составляла примерно 30-50 долларов за 100 КБ. Таким образом, текстовый файл размером в 1 МБ стоил от 300 до 500 долларов. Тем не менее, таких логов было достаточно для длительного исследования. Кроме того, важно было помнить, что это были логи, обработанные на моих собственных инструментах и использованные для автоматической загрузки на серверы - таких необработанных логов на рынке практически не было, но всегда можно было узнать, что именно было скачано.
Мне удалось получить ценные необработанные логи. Я приступил к их анализу и смог заработать около 10 тысяч дол. в чистом виде примерно за неделю. Как договорились, я поделился результатами и отправил еще два гигабайта логов, и результат оказался примерно такой же.
Мы узнали, что для сбора такого материала он использовал Зевс, а также определенные инжекты, которые мгновенно атаковали определенные банки, но автоматическая загрузка у него не была настроена. Он пару-тройку раз сообщал, что больше логов не будет, так как он уже накопил достаточно и не хочет больше заморачиваться.
Я понимал, что нужно что-то предпринять. Необходимо было разобраться с ботнетами - что это такое и без чего я не смогу обойтись.
После долгих переговоров с партнерами, знакомыми и их партнерами я хорошо понял, что такое ботнет и как они работают. После коротких раздумий принял решение поднимать свой ботнет и назвал Цитадель.
Панель была такова
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Прошло уже много времени с тех пор, как я приобрел программу за 20 000 дол, включая инжекты. В то время это был один из лучших софтов на рынке, и чтобы его приобрести, мне пришлось получить множество положительных рекомендаций от авторитетных пользователей, которые дали мне свою гарантию перед продавцом. Тогда никто не продавал ничего неизвестным людям с улицы. Это было давно, и рынок программного обеспечения изменился с тех пор. Давайте вернемся в наше время и проясним то, о чем я только что написал.
Пройдёмся по разновидностям и видам, для кого-то вредоносного, а для кого-то очень, полезного софта. Разберем пока что самые популярные варианты. Дальше я распишу и про другие разновидности.
Первое что вы должны понимать - это то, что любой вредоносный файл либо с чем-то склеен(т.е. вы запускаете файл установки, скажем CS-1.6, а вместе с ним параллельно запускается наш файлик - но вы этого не видите. Либо существует сам по себе в виде скажем exe файла и юзер его запускает по какой-то причине - тут это уже вопросы выдумки, схемы доставки, траффика и т.д.
Лоадер(Loader) - он же лодырь.
Обычно не палится Антивирусами после крипта достаточно долго. Обладает функцией скрытого запуска приложений. Приведу простой пример чтобы вы поняли как он действует: человек запустил этот файл. Ничего не происходит какое-то время. Чел забыл, а через час-два или при следующем включении компьютера(тут как прописать) наш лоадер активируется, скачивает файл нашего вируса или того что нам нужно и запускает его, уже без всякого палева, юзер об этом ничего даже не узнает. Для чего это нужно? Мало весит - менее 100кб как правило, к нему значительно лояльнее относятся антивирусы - шанс что запуск нужного нам софта пройдет удачно намного выше, чем грузить софт напрямую.
Если коротко то существуют 2 вида:
- с отстуком(управляемые)
Данный вид используется для упраления точечной атаки или когда идет работа не на добычу логов, а на отработку определенного материала.
Как работает: в установленое время связывается с определенным сервисом и грузит оттуда команды. Скажем час назад вы прогрузили одного зверя. А через 5 часов вам понадобилось подсунуть другого - вы вписываете команду на скачивание и запуск файла на сервер. Лодырь связывается - получает команду, качает файл - запускает. Если просто - то используется для полной обработки машины различными инструментами.
- без отстука(одноразовые)
Данный вид используется чтобы повысить лояльность антивируса к файлу, который будет скачан и запущен. После запуска нужного файла самоуничтожается - ну в общем удаляется. Используется как правило для массовой прогрузки одного инструмента.
Стиллер(Stiller) - он же стил или стилак.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Существует множество различных видов софтов, которые предназначены для отправки логов в телеграм, работы с веб-панелями или отправки на почту. На рынке можно найти достаточное количество таких программ, но суть их работы в общем одинакова.
Все имеющиеся на рынке логи были получены с помощью стиллеров. Основное предназначение такого софта - кража паролей и файлов с компьютера, на котором он установлен. Чтобы продемонстрировать, как это происходит, можете представить, что он извлекает сохраненные пароли, автозаполнения, и файлы куки из браузеров.
Зачем это нужно? Если у вас есть свежие файлы куки, и человек только что пользовался определенным сайтом, то вы сможете войти в его аккаунт на этом сайте, даже не зная его логин и пароль. Вы уже будете авторизованы. Таким образом, вы можете прочитать его почту или осуществить перевод денег, если это позволяет платежная система. Однако, с использованием только файлов куки вряд ли получится обойти проверку на мошенничество при наличии проверки логина и пароля.
Почти все версии такого софта также содержат функцию граббера файлов, которая позволяет собирать нужные файлы с компьютера жертвы. Например, вы можете указать, что нужно собрать все файлы с рабочего стола с расширениями .txt и .pdf, или файлы из папки с фотографиями с расширением .jpg и .jpeg. Точные настройки зависят от конкретного продукта и вашего выбора.
Скриншотер - делает скриншот того, что происходит на экране в момент ее запуска. Вы можете просто сделать скриншот, посмотреть на него, насладиться и закрыть.
Также некоторые версии имеют функцию одноразового лоадера.
Другая функция, которую стоит отметить, - отложенный запуск. Как и у лоадера, вы можете установить время, через которое программа будет запущена.
Возможна функция самоуничтожения после запуска.
В зависимости от конкретного продукта, у него могут быть какие-то дополнительные функции, фишки или расширения. Лучше всего следить за рынком, поскольку всегда найдется что-то лучше или хуже. При покупке вы получите архив с админ-панелью, инструкцию по установке (хотя это необязательно - продавец предложит установить ее за дополнительную плату, это распространенная практика), а также некриптованный билд в формате .exe - его следует криптовать постоянно, и за это тоже потребуется дополнительная оплата.
На счет цены лучше смотреть самому. Лично мне кажется, что такие программы со всем своим функционалом стоят копейки. Вы можете просто покупать их как игрушки и развлекать друзей.
Закончу о стиллерах, разместив функционал одного из продуктов.
- Сбор данных всех браузеров, основанных на Chromium (пароли, кредитные карты, куки, автозаполнения форм, история просмотров, история загрузок, история поисковых систем), включая данные из Яндекс.Браузера и браузеров с нестандартным расположением данных.
- Сбор всех файлов .dat (рекурсивно) криптовалютных кошельков, а также холодных кошельков: Anoncoin, Bitcoin, BitPay, Coinomi, DashCore, Devcoin, Eidoo, Electrum, Electrum-NMC, Exodus, Feathercoin, Fetch, FLO, Franko, Freicoin, Goldcoin (GLD), Guarda, i0coin, Ixcoin, Jaxx, Litecoin, Luckycoin, Megacoin, Mincoin, Monero, MyCrypto, Novacoin, Peercoin, Primecoin, Quarkcoin, TerracoinCore, Worldcoin, Yacoin, Zetacoin.
- Сбор сессий 2FA-аутентификаторов (Authy).
- Сбор всех сессий в Telegram.
- Сбор всех сессий в Discord.
- Сбор всех сессий в Steam.
- Сбор переписок Jabber-клиентов.
- Сбор всех профилей FileZilla.
- Сбор всех профилей WinSCP.
- Сбор всех профилей TotalCommander.
- Сбор учетных данных из Windows Secure Vault.
- Сбор учетных данных в Internet Explorer и Edge.
- Сбор всех учетных записей в Pidgin.
- Сбор всех учетных записей в Psi и Psi+.
- Сбор сессий VPN-клиентов.
- Сбор сессий и авторизационных данных в OpenVPN.
- Сбор подробной информации о Steam.
- Сбор профилей Wi-Fi.
- Сбор профилей из Credential Manager.
- Сбор системной информации, скриншотов и геолокационных данных (полезно для точечной обработки клиента).
- Граббер файлов.
- Возможность фильтровать CIS-логи (СНГ) и защищаться от повторений.
- Присутствует модуль Loader с гибкими параметрами, позволяющий указывать сразу несколько файлов и запускать их с множеством фильтров.
- Отдельная и удобная страница поиска с возможностью сортировки по множеству критериев, включая куки и пароли, что позволяет автоматизировать поиск нужных данных.
- Возможность изменять тему интерфейса в один клик.
- Просмотр логов без их скачивания (пароли, информация о ПК).
- Автоматическая установка панели.
- Простая и красивая админ-панель с возможностью сортировки логов по пользовательским шаблонам и создания/редактирования/удаления шаблонов.
- Возможность скачивать или удалять все логи прямо из панели (в один клик)!
- Интеллектуальная фильтрация новых логов.
- Геостатистическая информация на главной странице.
- Регулярные обновления на основе пожеланий покупателей. Мы всегда стараемся воплощать то, что хотят наши пользователи.
Вот такой неплохой функционал за сравнительно небольшие деньги.
Далее вкратце затрону о Клиппере, также известный как клип или клипак, ранее использовался в составе ботнетов, но теперь представляет собой отдельное программное обеспечение. Его основная функция заключается в подмене буфера обмена у жертвы. Софт работает со всеми видами реквизитов, включая номера счетов, адреса криптовалютных кошельков, электронные почты, номера телефонов и так далее.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Работа клиппера приведена на примере использования Bitcoin-кошелька. Когда вам необходимо отправить определенную сумму, вам присылают адрес, вы его копируете, вставляете и нажимаете кнопку отправки. Но деньги не доходят до получателя. При проверке реквизитов вы обнаруживаете, что вы отправили деньги на совершенно другой адрес. Проблема заключается в том, что при нажатии кнопки "вставить" в окошке ввода появляется поддельный адрес кошелька, подмененный клиппером.
На этом закончу продолжение следует...Благодарю за внимание
За подробными консультациями по теме пишите в ЛС.
