книги хакеры / журнал хакер / 153_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
ГлазwзлаClick |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
СЕРВЕРНАЯЧАСТЬ
•BackConnectServer(forSOCKS5&FTP).Предназначендля работысботамичерезпротоколыSOCKS5илиFTP,имеется BackConnect-серверподОСGNU/Linux.
•Collector. КоллекторпредставляетсобойдемонподОС GNU/Linux,принимающийжурналыработыотботов. Протокол,использующийсядляотправкилогов,основан наTCPиноситназваниеSausages.Внемиспользуется шифрованиеиLZO-компрессия.Демонпрослушивает определенныйпортнапредметлоговотботовикладетихв MySQL.Такимобразом,дляегоработынасервередолжен бытьустановленGNU/LinuxиMySQL.Кромеэтого,дляего установкинеобходимSSH-доступксерверу.
•RDPBackConnectServer.Серверпредставляетсобой статическисобранныйбинарныйфайлподOSGNU/Linux. Демонскладируетинформациюоподключенныхклиентах вMySQL.
КЛИЕНТСКАЯЧАСТЬ
1.FormgrabberCP(Collector’sGUI).Дляпоискаинформациивбазеколлектораимеетсяинтерфейс,написанныйна языкеPHP,ввидепанелиуправленияформграббера.Панель управленияэтогомодулянепредназначенадлятого,чтобы находитьсянасервере.Этоклиентскоеприложение.
2.Builder.Программа,создающая набазеуказанныхнастроек конечныйexe-файлмалвари. Воттолькочастьизних:
Encryptionkey—ключ,которымшифруетсяconfig.bin. Ключпрописываетсяивбота.
Clearcookieseverystartup—есливключено,тоботпри каждомзапуске(будьтозапускОСилизапускбилдаботапослеобновления)будетудалятьcookiesбраузеровIEиFF.
ЕслибраузерFFужезапущен,тоcookiesнеудалятся,так какFFоткрываетхэндлнафайлбазыcookiescookies.sqlite.
Deletenon-exportablecertificates—вкриптохранилище Windows(этохранилищеииспользуетбраузерIE)существует особыйтипсертификатов—неэкспортируемые.Пользова- тельможетихиспользовать,ноихнельзяэкспортировать, скажем,в*.pfx,иотправитьвколлектор.Вэтомслучаев SpyEyeестьвозможностьудалитьвсесертификатыэтоготипа. Вэтомслучаепользователюничегоособонеостанется,как сноваимпортироватьсертификатвкриптохранилище.Апри импортеботужесниметфлагнеэкспортируемостисертификата,итакойсертификатможнобудетотправитьвколлектор.
Dontsendhttp-reports—ВHTTP-отчетахмногомусора.Та- кимобразом,имеетсмыслотправлятьтолькоHTTPS-отчеты (нуиплюсHTTP-отчетысданнымиBasic-авторизации).
CompressbuildbyUPX—есливключено,тобилдерсожмет билдботаUPX’ом.Еслииспользуемыйкрипторнесжимает исходныйфайл,тоэтаопцияважна.
MakebuildwithoutZLIBsupport—несмотрянаисполь- зованиепротоколаHTTP1.0вFF-инжектахинаотсутствие заголовкаAccept-Encoding,некоторыевеб-серверымогут присылатьсжатыйконтент(напримерgzip,deflate).Вэтом случаеSpyEyeиспользуетбиблиотекуzlib,чтобыраспаковать контентипроинжектитьего.Сэтойвключеннойопциейбилдергенерируетбилдботабезподдержкиzlib’а.Этосэкономит 15–16Kвразмерабилда(еслиизмерятьразницусжатых UPX’омбилдов).Однаковслучае,еслипридетсжатыйконтент
вFF,ботнесможетегоинжектировать.
MakeLITE-config—опцияопределяет,нужноливключать вconfig.binтакиевещи,какwebinjects,screenshotsиплагины (кромеcustomconnector.dll).Деловтом,чтоприсоздании билдаботаconfig.binВСЕГДАвшиваетсявтелобота.Всвою очередь,этовлияетнаразмерисполняемогофайлабота.При использованииэтойопцииботпослеотправкиданныхна контроллерботнетазагрузитконфигурациюизнегосовсем необходимыминструментарием.Такойподходпозволяет
значительносократитьразмербилдабота.
EXEname—имяфайлаботавсистемепользователя(по- слеустановки).
Mutexname—имяmutex’а,которыйиспользуетсядля идентификацииботавсистеме.
Anti-Rapport—этовстроенныймодуль,активнопротиво- действующийантируткитуRapportTrusteer.Вчастности, SpyEyeубиваетпотокиRapport’аиблокируетзаписьотладочныхсообщенийвегобазуотчетов.Крометого,этотмодуль следитзацелостностьюхуковбота.Такимобразом,еслиубота включенэтотмодуль,тониантируткитытипаRapport’а,ни различныетроянытипаZeus’аработатьнебудут.ТотжеRKU, например,несможетснятьхукиботапривключенноммодуле Anti-Rapport.
Screenshots.Вкаталогебилдераимеетсяпапка screenshots.Внеймогутнаходитьсятекстовыефайлысправиламисбораскриншотов.Скриншотыснимаютсяприклике мыши.Приэтомвцентрескриншотанаходитсякурсормыши. Файлправилсодержитстроки,каждаяизкоторыхдолжна содержатьпятьпараметров,разделяемыхпробелами.Формат следующий:
%URL_MASK% %WIDTH% %HEIGHT% %MINIMUM_CLICKS%
%MINIMUM_SECONDS%
ЗдесьURL_MASK—этомаскаURL.Еслиприложениегру- зитпоURLресурс,попадающийподэтумаску,товключается соответствующееправилоотправкискриншотов.Существует однапроблема,связаннаясоскриншотами.Ботудостаточно проблематичноузнать,накакойстраницесовершаетсяклик (например,ввидутогочтовбраузереможетбытьмножество вкладок).Дляэтогосуществуютдвапараметра:минималь-
Работамодуля удаленного рабочегостола
РаботаFTP бэкконнектсервера
ХАКЕР 10/153/2011 |
079 |
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|||
|
F |
|
|
|
|
|
|
|
t |
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
MALWAREm |
||||||
w Click |
|
||||||||||
|
|
||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-xcha |
n |
e |
|
ноеимаксимальноеколичествокликов—чтобытакили
Инжекты иначе(опираясьнаколичествокликовивремя,прошедшее вдействии. смоментазагрузкиHTTP-ресурса,указанноговURL_MASK)
выключатьправилоскриншотов.
Client:Builder:webinjects.Вкаталогебилдераприсутствуетпапкаwebinjects.Внеймогутнаходитьсятекстовые файлысправиламиинжектированияHTTP/HTTPS-ресурсов. Форматинжектовтакойже,какидляZeus’а.Однакоподдерживаютсяневсефлагимаскиset_url.Темнеменееподдерживаемыхфлаговвполнедостаточно,длятогочтобыговоритьо полнойсовместимостисинжектамиZeus’а.Вфайлеправил содержатсяблокисчетырьмятегами:set_url,data_before, data_inject,data_after(нуплюстегdata_endеще,указывающийнаконецтегаспрефиксомdata_):
set_url
Вэтомтегеуказываетсямаска,накоторойсработаетсоответствующееправилоинжектирования.ТакжекакивZeus’е, синтаксическиподдерживаютсятакиевещи,как«*»и«#».
Этоттегможетсодержатьразличныефлаги(поумолчанию используетсяфлагG):
•G—означает,чтоинжектированиебудетпроизводиться толькодляресурсов,которыезапрашиваютсяGETметодом.
•P—означает,чтоинжектированиебудетпроизводиться толькодляресурсов,которыезапрашиваютсяPOSTметодом.
•L—представляетсобойфлагдляперехвата—граббин- гасодержимогомеждутегамиdata_beforeиdata_after включительно.Приэтомсграбленныйконтентбудет обособлятьсясодержимымтегаdata_inject.(Сграбленноесодержимоеможнонайтивпанелиуправления
ОТЛИЧИЯИНЖЕКТОВSPYEYE ОТ НЖЕКТОВZEUS’А
орядокследованиятеговdata_before,data_inject,data_after—дляSpyEye’яон
Пваженидолженбытьименнотакой,адляZeus’аневажен.Zeusпоумолчанию инжектируетCSS-иJS-контент.Однако,чтобыинжектироватьтакойконтентв
SpyEye,обязательнонужносоздатьправилотакимобразом,чтобывтегеset_urlсодержаласьстрока«.css»либо«.js»(взависимостиоттипаконтентадляинжектинга).
ВSpyEyeнекорректнореализованфлагH—вZeus’еониспользуетсядляудаления HTML-кодаизсграбленногоконтентаHTTP-ресурса. ВSpyEyeспецсимвол«#»абсолютно аналогичен«*»(втегеset_url).ХотявZeus’еэтонетакиспецсимвол«#»используетсякак синоним«нольилиодинлюбойсимвол».
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
формграббера,указавкритерийпоискаHookedFunction: “GRABBEDDATA”.—Прим.ред.)
•H—аналогиченфлагуLзаисключениемтого,чтовсгра- бленноесодержимоеневключаетсясодержимоетегов data_beforeиdata_after.
data_before,data_inject,data_after
Существуеттриситуацииприработесэтимитегами:
1.Еслинайденконтентпомаскеdata_beforeисодержимое тегаdata_afterпусто,то...—ботвставитсодержимоетега data_injectПОСЛЕdata_before.
2.Еслинайденконтентпомаскеdata_afterисодержимое тегаdata_beforeпусто,то...—ботвставитсодержимоетега data_injectДОdata_after.
3.Еслинайденконтентпомаскамdata_beforeиdata_after, то...—ботзаменитконтентмеждутегамиdata_beforeи data_afterвключительнонасодержимоетегаdata_inject.
Напрактикебылаобнаруженаследующаяособенность веб-сервераBOAприиспользованииHTTP1.0(именноэту версиюHTTPSpyEyeиспользуетдляинжектированиястраниц вбраузереMozillaFirefox).Нанекоторыхресурсах(*.css,*.js) веб-сервервозвращалсжатыйконтент,приэтомвContent- Encodingнебылоуказано,чтоконтентсжатый.Приводило этоктому,чтобраузерраспознавалконтенттакихресурсов, какInvalidContent,истраницаотображалосьнекорректно. Несмотрянаподобныепроблемывеб-сервера,этоможноис- правитьсредствамиSpyEye,простосоставивпустоеправило (спустымитегамиdata_before,data_injectиdata_after)для инжектированияcss-иjs-ресурсов.
Builder:serial.txt.Билдерпривязываетсякжелезной частикомпьютера,асерийныйномервыдаетразработчик вредоносногоПО.Ачтотыхотел:лицензионнаяпрограмма!
Client:Builder:collectors.txt.Вкаталогебилдерадолжен находитьсяфайлcollectors.txt.Вфайлможнопрописатьсписок,каждаястрокакоторогоимеетследующийформат(такие строкиразделяютсяEnter’ами):
ip:port—этоIP,накоторомустановленSpyEyeCollector иPORT,которыйколлекторслушаетнапредметжурналов работы.ВместоIPможноуказатьдоменноеимя.Коллектор, какправило,используеткакой-нибудьизвестный,«распро- страненный»порт(80или443),ибовнекоторыхлокальных сетяхмаршрутизаторымогутблокироватьотсылкутрафика нанестандартныепорты.Вслучаеневозможностиотправки
данныхчерезпервыйколлекторботбудетпытатьсяотправить данные,используяколлекторы,указанныениже(паузамежду попыткамисоставляет0,1секунды).Еслиботдойдетдоконца спискаиданныеотправитьтакинеудалось,тоонсохранит отчетвспециальномхранилищеибудетпытатьсяотправить данныеприследующейотсылкелогов.
ПЛАГИНЫДЛЯКЛИЕНТА
Дляобеспечениянедостающейвбазовойчастиклиента функцианальностисуществуютплагины.Онитожеуказываютсявбилдере.
Client:Plugins:webfakes.Плагинwebfakesможетисполь- зоватьсядляподменысодержимогоHTTP-иHTTPS-ресурсов безобращениякоригинальномувеб-серверувбраузерахIEи FF.Конфигурационныйфайлплагинасовместимсформатом поддельныхстраниц,используемыхZeus’ом,ивыглядит следующимобразом:
entry "WebFakes"
%URL_MASK% %URL_REDIRECT% %FLAGS% %POST_BLACK_MASK%
%POST_WHITE_MASK% %BLOCK_URL% %WEBFAKE_NAME%
%UNBLOCK_URL%
End
080 |
ХАКЕР 10/153/2011 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
ГлазwзлаClick |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Видконтроллеработнета
СподменойвбраузереFFсвязанодиннюанс.Ввиду особенностейAPIбиблиотекиnspr4,данныеPOST-запроса, поступающиедляанализавплагинподмены,ограничены длинойв4Кб.Тоестьприсоставленииправилподмены используютсятакиепеременныеPOST-запроса,которые входятвпервые4КбHTTP-запроса(включаяразмерHTTP- шапки).Плагиннетребуетвключениясостороныпанели управления.
DDoS.Плагинможетбытьиспользован,чтобыосуще- ствитьDDoS-атакунакакой-нибудьсервер.Конфигурация плагинаимеетследующийвид:
•typetargetporttime.
•typetargetporttime.
•type—типDDoS’а.Поддерживаютсяследующие: slowloris/ssyn/udp.
•target—IPлибохостсервера,накоторыйосуществляется атака.
•port—порт,подвергаемыйDDoS’у(дляUPDDDoSможно указать0,длявыбораслучайногопорта).
•time—время,втечениекоторогобудетпроизводить- сяDDoS(дляUDP/SSYNиспользуютсясекунды,для Slowloris—минуты).
ВконфигурацииплагинаможноуказатьмножествозаданийнаDDoS(плагинпереходитотодногозаданиякдругому постепенно,немногопоточно).ДлятипаDDoS’аSlowlorisне нужнозадаватьпорт(поумолчаниюиспользуется80-ый).
Плагинтребуетвключениясостороныпанелиуправления.
Client:Plugins:ccgrabber.Плагинзанимаетсясбором информацииобанковскихкартах,анализируяPOST-запросы приложений.Длядетектированияномеровбанковскихкарт используетсяLuhnalgorithm.Еслинашелсявалидныйномер карты,товесьPOST-запросотсылаетсявколлектор.Найти сграбленныеCCможночерезсоответствующийинтерфейс поискавпанелиуправленияформграббера.
ffcertgrabber.БазоваякомплектацияSpyEyeзанимаетсяхищениемсертификатовтолькоизкриптохранилища Windows.ОднакоFirefoxиспользуетсобственноехранилище сертификатов.Всвязисэтиместьспециальныйплагиндля хищениясертификатовизFF.Предусмотренподборпаролей пословарювслучае,еслинапрофильустановленмастерпароль.Вконфигурацииплагиналишьоднозначение— минимальноевремяожиданияпередотправкойсертификатоввколлектор(указываетсявсекундах).Сграбленные сертификатыимеютпрефиксFF.
Socks5BackConnect.ПлагинподнимаетSOCKS5-сервер наботеипредоставляетдоступкнемучерезBackConnectсервер.Вглавнойпанелиуправленияимеетсяинтерфейс, позволяющийотображатьсписокдоступныхSocks’ов.
FTPBackConnect.ПлагинподнимаетFTP-сервернаботе ипредоставляетдоступкнемучерезBackConnect-сервер.В главнойпанелиуправленияимеетсяинтерфейс,позволяю- щийотображатьсписокFTP-серверов.
RDPBackConnect.ПлагинподнимаетRDP-сервери прокидываетегодоBackConnect-сервера.Такжеплагинреа- лизуетсозданиесокрытогопользователя,которыйинужен дляудаленногоиспользованияПКпопротоколуRDP.Ещев немпредусмотренапанельуправлениядлязапускалюбого процессаотлюбогопользователявсистеме(чтобыможно былосоздаватьпроцессыотимениоригинальногопользо- вателя).ИещевстроенаPortable-версияTotalCommander’а, загружаемогоизинтернетаизапускаемогопрямоизпамяти (безсохранениянадиск).
ПлагинуненужнаперезагрузкаОСдляработы. Плагинвключаетсячерезглавнуюпанельуправления.
Списокботовможноувидетьвсоответствующемпунктеменю (RDP).ПодключатьсякботамможночерезстандартноеПООС Windows«mstsc.exe»RemoteDesktopConnection.
Минусытекущейверсииплагина:
•нетподдержкиx64-систем;
•плагинунужныправаадминистраторадляработы;
•неподдерживаетсяWin7Starter(именноStarter);
•крометого,естьплагиныдляразработчиковиотладки!
ЗАКЛЮЧЕНИЕ
Послеознакомлениясэтимзверькомиегодокументацией становитсяпонятно,чтопереднами—полноценныйпро- граммныйпродукт,хотьипредназначенныйдлясовершения противозаконныхдействий.Компьютернаяпреступность переходитнановыйуровеньсвоегоразвития.Используемые инструментыисредства,разделениеобязанностей,сра- щиваниесорганизованнымипреступнымигруппами—всё этопугающиетенденции.Ужесуществуютцелыеиндустрии понаписаниювирусов,предоставленияботнетовваренду, продажетрафикадлязараженияиустановкиботов.ФункционалSpyEyeпоражает,аналичиеподобнойтехнической документацииговоритопрофессионализмеегоразработчи- ков—неудивительно,чтомынаблюдаемколоссальныйрост числамошенничествассистемамиДБО.СтоимостьSpyEyeна черномрынкеколеблетсяврайонедесяткатысячдолларов заверсиюсполнымнабороммодулей.Учитываясверхрентабельностьпреступнойдеятельности,которуюможно осуществлятьсегопомощью,этоещенемного. z
Авоттак создаются самиботы
ХАКЕР 10/153/2011 |
081 |
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|||
|
F |
|
|
|
|
|
|
|
t |
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
MALWAREm |
||||||
w Click |
|
||||||||||
|
|
||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-xcha |
n |
e |
|
КАКИСКОЛЬКО ЗАРАБАТЫВАЮТНАШИ КРИМИНАЛЬНЫЕ КОЛЛЕГИ?
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w A.I.Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Совершенноясно,чтона малварномбизнесенекисло навариваютцелыегруппы товарищей.Неяснотолько,в какихименномасштабахони
наваривают,икаквсеэто происходит.Сегоднямыпро- льемсветнакое-какиекри- минальныесхемы,используемыевбизнесе,связанном
смалварью.Разумеется, исключительновобразовательныхцелях:).
Баблона
малвари
вы,времена,когдахакерысоздавалисвоитворения У ивзламывалисайтыилипрограммытолькоради
того,чтобынасолитьразработчикуилидоказать друзьям,чтоонимогутпроникнутьвПентагон,ужепрошли. Конечно,вспоминаянедавниесобытиясAnonymousиLulzSec, атакжечитаяресурсыдефейсеров,можносказать,что«идейные»ещенеперевелись,нопобольшейчастивсякиберкриминальнаяактивность,котораяведетсясейчасвинтернете, направленатольконаодно—зарабатываниеденег.
Началосьвсеэтоназарераспространенияинтернетбанкингаиплатежныхсистем,когдареальныеденьги сталовозможнымперехватитьчерезСетьипотомобналичить.Внашижевременакиберпреступникикрадут буквальновсеи,какиобычныйкриминал,имеютчетко расписанныероли,сферывлияния,иерархиюиструктуру, очемипойдетречьдальше.
082 |
ХАКЕР 10/153/2011 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
Баблонамалвариw Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
ЭВОЛЮЦИЯГРАБЕЖА
Вначале2000-хгг.банкитольконачиналидуматьосвоей онлайновойбезопасности,ахакеры—отом,какмногоденег оттудаможноувести.Несознательныеодиночкинаходили уязвимостивсистемахзащитыфинансовыхонлайн-операций тогоилииногобанка,уводилибазукарточекивыставлялиее напродажувоткрытомвиде.Нанеособо-тозасекреченных форумахможнобылоспокойнопрочитатьименатехнесчастных,укоторыхувелибанковскиереквизиты,иузнатьдругие интимныеподробности.Профессиональныекардерыили простодурачкирадостноскупалитакогородаинформацию, быстренькопечаталинужныйпластик(тоестьлевуюкарточку справильнойинформациейоденьгах)ишлизапасатьсяв ближайшийбанк.Болееумныепластиканепечатали,аза- купалисьвонлайн-магазинах.
Однакохалявуначалибыстроприкрывать:сталопоявлятьсявсебольшеантивирусныхрешений,которыестали попадатьнетолькокюзерам,новибанки.Апоследние, крометого,сталиужесточатьдоступксвоимданным,то естьвзломатьбанксталогораздосложнее.Приэтомполицияначалаобращатьвсебольшевниманиянаподобные криминальныеактивности,чтопривелоктому,что«закуп пополной»наочередномхакерскомфорумемогобернутьсявстречейспредставителямизакона,играющимироль продавцов.Наэтойволнепостепенносталформироваться болееразвитыйрынок,сосвоейспецификойиспециализациейнабанковскихтроянах.
Конечно,никуданеделисьизначальныеподходытипа скимминга,тупоговзломабанкоматовипрочего,новсеэто, посути,грубоинеаккуратно,неговоряужеотом,чтохлопотно,какбыстропонялипарни,которыенашли1001способ увестивсюнужнуюинформациюскомпапользователя.Согласностатистикеот«ЛабораторииКасперского»,которая внимательноизучаетлюбителей«поломать»банки,за2010 г.ееаналитикидобавилиболее60тыс.сигнатурсвердиктом Trojan-Spy.Остальныеданныетыможешьпосмотретьна соответствующемграфике,ноналицототфакт,чтомалвари пишутвсебольшеибольше,ивышеупомянутыйвердикт превалирует.
Отчего?Оттого,чтозлоумышленникипоняли,чтопусть лучшесобираетсявсяинформация,атампосмотрим,какею воспользоваться.Собиратьтолькобанковскиеданныечерез банальныйфишинг,электроннуюкорреспонденциюотбанков включе«мытутрешилиобновиться,подтвердитеданные счета»ипрочиелохотронывкакой-томоментсталонемодно.
Конечно,кучакиберпреступниковпродолжаютэтоделать, ноэффективностьподходанестольвысока.Результативные ударыполучаютсяредко,приэтомумныенегодяиувидели, какможносделатьбольшеилучше.
ОТЛАЖЕННЫЙМЕХАНИЗМ
Такимобразом,вбизнессталипотихонькуприходитьиндивидуумысмозгами,которыебылиготовырулитьденежными потоками,нонеумелиписатьмалварь.Вчастности,подих влияниемрыноксталспециализироваться,поделившисьна различныегруппы,окоторыхмыдальшепоговорим.
Начнемссоздателеймалвари—техлюдей,которые лучшевсехдержатрукунапульсе.Всяихдеятельность напоминаетпроизводственныйцикллюбогопрограммного продукта:изучениерынка,созданиекачественногофункционала,борьбасконкурентами.Те,ктостоитзасозданием эксплоит-паковисуровоймалваритипаSpyEyeиZeus’а, тщательнодокументируютизменения,быстреньковносят коррективывкод,кактолькоихначинаетдетектировать тотилиинойантивирусныйвендор,дажедобавляютвсвою малварьмини-антивирусы,вытираятемсамымнаиболее злостныхконкурентов.Причемделаютониэтонехужезаправскогоантивируса.Такжестоитупомянуть,чтохакерыальтруистывзламываютдорогиетворениясвоихсобратьев
ивыкладываютнафорумыпростотак.ТотжеZeus,SpyEye
ипрочиеизвестныевузкихкругахтулзыможноспокойно скачатьвкрякнутомвиде.
Такчтосоздателямтакихтрояновприходитсябороться ещеистакимвидомнападок,всевремяулучшаясвоитворенияивыдумываяновыесредствазащиты.Наумприходит аналогияскитайцами,которыенещаднокопируютайфоныи
ВКитае,каквидишь, можнохоститьвсе чтоугодно.Ипри этомоченьдешево
Дешевенький ботнет!Никому ненадо?
ГЕНИИ-ПРОГРАММИСТЫИЛИПИШУТ МАЛВАРЬНАЗАКАЗ,ИЛИСОЗДАЮТ ЧТО-ТОКРУТОЕСАМИСНУЛЯ ИНАЧИНАЮТПРОДАВАТЬ
ХАКЕР 10/153/2011 |
083 |
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|||
|
F |
|
|
|
|
|
|
|
t |
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
MALWAREm |
||||||
w Click |
|
||||||||||
|
|
||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-xcha |
n |
e |
|
Каквидишьпо отзывам,крипт действительно помогаетдостичьпоставленныхгнусных целей
СкачатьSpyEye можетлюбой,ктов состояниизабить поисковыйзапросв Google
прочиемодныедевайсы,темсамымподрываябизнесбольших иуспешныхконтор.
Очевидно,чтотакиепрограммерыстоятгораздобольше типичногоаналитикавантивируснойкомпании,причемвпрямомсмысле.Согласнорассказамнехорошихпарней,которые создаютреальныетрояныиэксплоит-паки,ихнедельныйза- работокбольше,чеммесячныйутипичноготоп-менеджерав западнойкомпании.Такиелюдиникогданеперейдутработать внормальнуюкомпаниюдажеруководителямиразработки: развечтотолькопослетого,какстанутмиллионерами.Иестественно,стемчтобынесветитьсявдальнейшем.
Гении-программистыилипишутмалварьназаказ,или создаютчто-токрутоесамиснуляиначинаютпродавать. Делаютониэтопо-прежнемучерезтематическиефорумы, толькопопастьнанихтеперьнемногосложнее.Какправи-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
ло,нужнырекомендацииилиинвайтыотстарожилов.Модераторыфорумовзачастуютакжеиграютрольгарантов, тоестьпосредников,которыеотвечаютзато,что,заказав малварьуВаси,тынепростовыкинешьденьги,аполучишь то,чтообещаетВася.
Отдельныеиндивидуумызанимаютсясозданиемботнетов.ИхможноарендоватьдляDdoS’а,длядальнейшегоразвитияисбораданныхсюзеров,дляпоследующейпродажи, дляорганизациианонимныхпрокси-серверовит.п.
Отдельнозаточенныетоварищизанимаютсяпоиском уязвимостейвовсемився.Этосамаябезопаснаяработа.Ты наверняказнаешьлегитимныересурсы,которыепредлагаюттебеделитьсянайденнымиуязвимостямизабесплатно илизамелкуюденежкурадимираназемле.
Ноневсежетакиеальтруисты,особенноприусловиитого, чтосоздателиэксплоит-паковмогутзаплатитьзанайденную уязвимостьнесколькодесятковтысячбаксов,еслиречьидет об0day-находкевсамойпопулярнойверсииWindows’а.
Наконец,мыдобралисьдотех,кто,собственно,за- казываетвесьбанкет—преступников,которыефильтруют тонныукраденнойинформацииивыставляютеенапродажу вспециализированныхмагазинах(см.соответствующий скриншот).
Этодилеры,которыепредлагаютконечнымпотребите- лям—другимпреступникам,—доступкживымденьгам. Нутоестьпрактическиживым.Получитьдоступктаким магазинамсложно:надобытьвтусовке,регулярнозакупатьсянабольшиесуммы.Правда,ипредоставляемый сервиснавысоте:купитьможновсечтоугодно.Мыуже вскользьупомянулиотом,чтокрадутвсе:номерабанков- скихкартспинамиибанковскиесчета—товар,которым никогонеудивитьикоторыйвсветеактивизациикиберполициидовольнонебезопасендляобналички.Правда,есть возможностьзаказатькарточкуопределенногобанка, определенноготипа,нужнойстраны,чтоврядеслучаев приводитксильномуснижениюградусаопасности(ты, например,слышалокиберполицииЛаоса?).Назаказпро- давецдостанетвсечтоугодно.Ценыдемократичные—10 %отдоступнойналички.
Крометого,можнокупитьлюбыеплатныеаккаунты—на рапидшару,вЖЖ,скайпипрочее.Навиртуальныхполках лежатукраденныелицензиидлясофта,включая,чтосамое смешное,антивирусы(см.скриншот),паролиилогиныкFTPсерверам(будетгдепохоститькомандныйцентрботнета).
Впоследнеевремяпопулярностьнабираетпродажа личности,тоестьукраденныхданныхопаспортах,прописке,
Новыйпаспорт,даещесбесплатнойдоставкой?!Винететакогодобрахватает
084 |
ХАКЕР 10/153/2011 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Exp—штукадовольноизвестнаяидовольнолегкодоступная
местежительства,номерахстраховокипрочее.Тынеповеришь,ноогромноечислотупыхюзеровсканируютпаспорт, кредитки,пенсионноестрахование,ИННипрочиедокументы
иоставляютэтисканынавинте.Апотомреальныепреступники,получивсканы,выкачанныетемжеZeus’ом,радостно делаютсэтогохозяйстваклоны,конечноже,сфоткойзаказчика.Длярядастранихможнодажезарегитьвбазеполиции! ТакчтостатьгражданиномАмерики(нуилипокрайнеймере въехатьтуданаПМЖ)можнозакакие-то1000долларов.
Приэтомпонятно,какудобновсеэтоврамкахмасштабнойоперации:некийВасяподименемДжонаСмитавъезжаетвстрану,уводитмиллионбаксовсовзломанногосчета, накоторыйэтиденьгиперевелисдругогосчета,испокойно уезжаетдомой.Полицияприезжаеткнивчемнеповинному лошкуСмиту,паспорткоторогоукралииаккаунткоторого былвзломан,иначинаетставитьеговоченьнеудобноеположение.ПриэтомнайтиконцыВасипрактическинереально.
Вобщем,кактыужепонял,всеудобноипоролям.Еслиты негодяйитебехочетсяиспытатьсудьбу,тыможешьвыбрать ещеипрофессиюмула,исамкупитьворованныхкарточек,
ипойтисниматьналичкуиликупитьнаних100айфонови заказатьихсебедомой.Безмулов,собственно,никуда,втом случаееслипреступникхочетполучитьреальныеденьги. Длятогочтобытебесталопонятно,каквсеэтивинтики образуютотлаженныймеханизм,давайрассмотримпутьк легкимденьгамотначаладоконца,так,какеслибынекий злоумышленникрешилнепринужденнообогатиться,вос-
пользовавшисьсвободойиблагамиинтернета.
HOWTONOTTODO
Сразуоговоримся,чтовсерасписаноприблизительно,сопределеннымидопущениямииврамкахузкогосценария.Знатоки дела(анаснавернякаполистываютитакие)могутпоспоритьи найтикучунеточностей,ноповторюсь:главныйсмысл—дать понять,каквседовольнолегкоиприбыльно.
Дляначалакиберпреступникивыбираютжертву:или одну,илиоченьмного.Отэтогозависит,каконисобираются обогащаться:быстрозаодинразилипостепеннозасчет большогочислаюзеров.Какследствие,меняетсяитипатаки: таргетированнаяиликовровоебомбометание.Вслучаетаргетированнойатакиинформациясобирается,какправило,с социальныхсетей,примассовомподходеэтонестольважно. Дальшенадорешитьтехническиемоменты,тоестькак будетдобытаинформацияотнезадачливогоюзера.Дляначалаберетсятакназываемыйпуленепробиваемыйхостинг. Винтернетенатематическихфорумахпредложенийхоть отбавляй.Дляпонимания:хостерувсеравно,чтовытамхранитенасерверах,приэтомоннебудетсдаватьвасполиции.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
Баблонамалвариw Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Чтобыунегосамогонебылопроблемсзаконом,серверы размещаютсявстранахстеплым,приятнымклиматом, большимколичествомдикихобезьянизаконами,которые неприветствуютвторжениеиностранныхспецслужбна сувереннуютерриториюстраныиплохоописывают,чтоже такоекибепреступность,кражаденежекипрочихприятных вещейчерезинтернет.Стоитлиговорить,чтополициятаких стран,какправило,неособоговоритпо-английскиинеосо- бопользуетсяэлектроннойпочтой.
Пуленепробиваемый(абузоустойчивый)хостинг—са- маядорогаявещьвтипичномкриминальноммероприятии. Всреднемонобойдетсяв500американскихдоллароввмесяц.Можнодороже,можнодешевле.Вцеломнауспешный сборинформации,растянутыйвовремени,надозакладыватьнесколькотысячдолларов.
Далеевслучаемассовойатаки(аониболеераспространенывцеляхнаживыипринежеланиипотомдолгосидеть втюрьме)беретсякакой-нибудьсвеженькийэксплоит-пак (онже«краймвар-пак»),которыйставитсянаэтотсамыйхо- стинг.Можнодажесразукупитьвсеготовое,предустановленное.Неттолькопейлоада,тоестьмалвари,спомощью которойиутекутданные.Эксплоит-паки,кстати,можно достатьдажебесплатно.Ноеслитыхочешь,чтобывних былисвежиеуязвимости,аэтодовольночастозалогуспеха, топридетсязаплатить.Около1300–1500баксов.
Вкиберпреступникисовсемдебиловнеберут,такчто очевидно,чтозлоумышленникпонимает,чтонакомпе жертвыстоиткакой-нибудьантивирус.Поэтому,разра- батываямалварьикриптуяужеимеющуюся,коварный гаденышдолженпрогнатьрезультатчерезантивирусный мультисканер.Найтитакоедобровинтернетевразличных реализацияхнесоставляеттруда:этоможетбытьоблачное решение,можетбытьлокальныйсофт,можнозаплатитьза этоденег,аможновоспользоватьсяужезаранееукраден- ным(Напомним,чтототжевирустотал—ресурс,данные скоторогоутекаютвантивирусныекомпании,поэтому приватнуюмалварьнанемнетестят.—Прим.ред.).Если хочетсягарантий,тообычноплатятоколо500баксов.
Чтобынаписатьилизакриптоватьуникальнуюмалварь,придетсявыложитьещебаксов800.Зато,какэтони печальнодляпроизводителейантивирусов,ниодиниз нихее,скореевсего,непоймаетвтечениекакминимум
Хочешьподелиться найденнымэксплоитом?Этолишь одинизвариантов, гдеможнооставить информацию
ХАКЕР 10/153/2011 |
085 |
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|||
|
F |
|
|
|
|
|
|
|
t |
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
MALWAREm |
||||||
w Click |
|
||||||||||
|
|
||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-xcha |
n |
e |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
|
|
|
|
Муловищутвтомбанке,аккаунтыкоторогочистят. |
||
МАЛВАРЬНАПИСАНА,ХОСТИНГ |
Илимогутпопроситьоткрытьаккаунт.Приэтоммулпо- |
||||||
лучает10–15%отснимаемойсуммы.Чтоонделаетпотом? |
|||||||
ЕСТЬ,ОСТАЕТСЯВОПРОС |
Отправляетденежкилюбойплатежнойсистемойтипа |
||||||
WesternUnionСашеКузнецову(это,какнистранно,самые |
|||||||
РАСПРОСТРАНЕНИЯ |
распространенныеимяифамилиядляРоссии)изсвоей |
||||||
гнилойАмерикивкакую-нибудьразвивающуюсястрану |
|||||||
|
|
|
|
|
типаРоссии.ИскатьпотомСашу—занятиебесполезное, |
||
|
|
|
|
|
неговоряужеотом,чтоСашаможеткупитьлевыйпаспортв |
||
|
|
|
пары дней, а этого достаточно, чтобы выкачать с жертв |
переходеиполучитьвсенанего. |
|||
|
|
|
все самое интересное. |
ЧтонашнезаконопослушныйСашокимеетнавыходе?Все |
|||
|
|
|
Итак,малварьнаписана,хостинг,кудапланируется |
зависитотегожадности.Еслиутебяхорошосарифметикой, |
|||
|
|
|
собиратьданныеокредиткахибанковскихсчетах,есть, |
тыужепосчитал,чтоначальныевложенияобойдутсяминимум |
|||
|
|
|
остаетсявопросраспространения.Нетпроблем!Арендуем |
в6000–7000долларов.Допустим,ботнетокучил1000юзеров, |
|||
|
|
|
ботнет.Ценызависятоттого,известенлионужепроизводи- |
хотявреальностиих,конечно,будетбольше.Тежеамерикан- |
|||
|
|
|
телямантивирусныхрешенийилинет,какиетыполучишь |
цыхотьпарутысячзеленыхнакарточке,даимеют.Умножаем |
|||
|
|
|
наднимправа,сколькомашингарантировановонлайнеи |
юзеровнаденьги,отнимаем10–15%намулов,получаемпусть |
|||
|
|
|
прочее.Ориентировкадляначала—всего200баксов,но |
даже500000долларовчистоганом.Покрывает7000?Мне |
|||
|
|
|
это,конечно,минимум. |
кажется,вполне.Приэтом,повторимся,нестоитзабывать, |
|||
|
|
|
Есликиберпреступникособоумный,топослепокупки |
чтокиберпреступнику,которыйрешилвсеэтопровернуть,не |
|||
|
|
|
ботнетаонегомодифицирует—криптуетпротоколпереда- |
надобытьникодером,ниадмином,вообщененадообладать |
|||
|
|
|
чиданных,меняетчто-тоеще.Такимобразомонобезопасит |
какими-тореальнымитехническимизнаниями. |
|||
|
|
|
себяоткидаловасостороныпродавцаботнета.Этобудет |
|
|
||
|
|
|
МАСШТАБТРАГЕДИИ |
|
|||
|
|
|
стоитьещенесколькосотенбаксовуужеприкормленных |
|
|||
|
|
|
программистов.Ботнетувязываетсясэксплоит-паком, |
Какрезультат—неудивительно,почемуСМИповсемумиру, |
|||
|
|
|
ипонеслась:данныеначинаютвалитьсянапреступный |
авАмерикевчастности,оченьрегулярнорапортуютомного- |
|||
|
|
|
сервер.Возникаетсамыйглавныйвопрос:какобналичить |
миллионныхубыткахсосторонычастныхпользователей |
|||
|
|
|
деньги?Очевидно,чтопереводнавзломанныесчетаничего |
икомпаний.ОднатолькостарушкаАнглияотрапортовала, |
|||
|
|
|
недает:этовсеэлементарнопрослеживается.Поэтомупре- |
чтоущерботкиберпреступностивстранеоцениваетсяв27 |
|||
|
|
|
ступникипредпочитаютсниматьденьгичерезмулов.Ихс |
млрдфунтоввгод.Почемутакпроисходит?Пробуютмногие, |
|||
|
|
|
самогоначаларазбойногоплананачинаютискатьпоинету, |
аловятневсех.Законыбольшинствастраннаходятсяв |
|||
|
|
|
какправило,подвидомрекламки:«Хочешь1000баксов |
такомсостоянии,чтопонимосудитьпреступникаможноили |
|||
|
|
|
вчас?Тыкайвбаннер!».Навернякатывиделкучутаких |
условно,иливсегонапарулет.Приэтомниктонетребует |
|||
|
|
|
баннероввинтернете,причемзачастуюнавполнесебе |
вернутьвсехукраденныхденег,потомучтониктонезнает, |
|||
|
|
|
респектабельныхсайтах. |
сколькоихвообщебылоукрадено.Моральноиэтически |
|||
|
|
|
Кто-тоизденежныхосликовпонимает,чтоделает,кто- |
совершитьпреступлениевинтернетепроще:тыневидишь |
|||
|
|
|
то—нет.Ведьеслипреступникиподходяткделусумом, |
жертвувлицо,приэтоммногиехакерылюбятигратьроль |
|||
|
|
|
онисоставляюттрудовойдоговор,покоторомуработник |
РобинГудов—наказывать,скажем,богатыхамерикосовна |
|||
|
|
|
простодолженсниматьденьгивбанках.Когдапотоммула |
жадностьипринципиально,например,неатаковатьжителей |
|||
|
|
|
ловят—аловятихпочтивсегда,—темогутуйтивнесознанку |
роднойстраны(Хм…аяслышал,чтоэтопотому,чтовродной |
|||
|
|
|
иговорить:«Нупозвольте,яжеработал!Яинезнал,чтоэто |
странезаэтоиногдаотрезаютпальцы. —Прим.ред.). |
|||
|
|
|
незаконно!Вотуменядоговор!Чтовыговорите?Деньгиво- |
Нехватаетимировойкиберполиции—есливпоследние |
|||
|
|
|
ровали?!Вотсволочи!Яготовпомочьвам,ребята!Ясвами! |
годыонахотьгде-тосталапоявляться,тонадвзаимодей- |
|||
|
|
|
Накажемзлодеев,тольковотяонихничегонезнаю,все |
ствиемподразделенийповсемумирумеждусобойещера- |
|||
|
|
|
общениебылопоэлектроннойпочте».Такаяситуацияочень |
ботатьиработать.Приэтомчастьвопросовнебудетрешена |
|||
|
|
|
типична,например,вЛатинскойАмерике.Тамвообщелюдей |
никогдаиз-заобщеполитическихпрепятствий:какизвестно |
|||
|
|
|
|||||
Любойбанкнавыбор |
принятопослепервогоразапрощать:нунехотелчеловек |
изхорошегофильма«Послепрочтениясжечь»,уСШАнет |
|||||
плохого,беспопутал.Чтоже,сразувтюрьмусажать?! |
экстрадициисВенесуэлой.z |
||||||
ивсевколичестве |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
086 |
ХАКЕР 10/153/2011 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Сплоит-пак
ЧТОЭТОТАКОЕ?
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Сплоит-пакислужатдлямассового зараженияпосетитетейсайтов черезуязвимостивбраузерах.Набор
эксплоитовBlackHoleотрусскогопарня Paunchпоявилсячутьбольшегоданазад иужеуспелнаделатьмногошума.
1Сплоит-пакведетподробнуюстати- стикуработы:учитываютсяобщаяпосещаемость,количествозаражений, эффективностьотдельныхэксплоитов иструктуратрафика.
2Всеблокисданнымипредставляютсобойнастраиваемыевиджеты,которые можно подключать/отключать,а такжеменятьихместорасположение.
3BlackHoleвосновномиспользует распространенныеипубличнодоступныесплоиты.Приэтомонидают внушительныйпроцентпробива.
4Важнойфункциейявляетсяизощренный скриптдлянаправления трафика(TDS),которыйиспользуется длянаправленияпользователейк определеннымнагрузкам.
5Выборнагрузокосновываетсянатаких критериях,какОС,версиябраузера, странапроисхождения,реферервебсайтаидажевремязахода.
ВотличиеотконкурентовBlackHole 6 имеетсистемулицензий.Одингодиспользованиястоит$1500,алицензия наполгодаиквартал—$1000и$700.
7ВмаеBlackHoleExploitKitверсии1.0.2 утеквпаблик,линкдляеезагрузки опубликовалресурсthehackernews. com. Этопроизошлочерез2недели послепубликациисорцовZeuS.
8Заиспользованиесплоитпакапо назначениюможнополучитьдо7лет лишениясвободы,согласностатье 273УКРФ.
ХАКЕР 10/153/2011 |
087 |
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|||
|
F |
|
|
|
|
|
|
|
t |
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
СЦЕНАm |
||||||
w Click |
|
||||||||||
|
|
||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-xcha |
n |
e |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
ДмитрийЛарин
088 |
ХАКЕР 10/153/2011 |