книги хакеры / журнал хакер / 153_Optimized

СЕРВЕРНАЯЧАСТЬ

•BackConnectServer(forSOCKS5&FTP).Предназначендля работысботамичерезпротоколыSOCKS5илиFTP,имеется BackConnect-серверподОСGNU/Linux.

•Collector. КоллекторпредставляетсобойдемонподОС GNU/Linux,принимающийжурналыработыотботов. Протокол,использующийсядляотправкилогов,основан наTCPиноситназваниеSausages.Внемиспользуется шифрованиеиLZO-компрессия.Демонпрослушивает определенныйпортнапредметлоговотботовикладетихв MySQL.Такимобразом,дляегоработынасервередолжен бытьустановленGNU/LinuxиMySQL.Кромеэтого,дляего установкинеобходимSSH-доступксерверу.

•RDPBackConnectServer.Серверпредставляетсобой статическисобранныйбинарныйфайлподOSGNU/Linux. Демонскладируетинформациюоподключенныхклиентах вMySQL.

КЛИЕНТСКАЯЧАСТЬ

1.FormgrabberCP(Collector’sGUI).Дляпоискаинформациивбазеколлектораимеетсяинтерфейс,написанныйна языкеPHP,ввидепанелиуправленияформграббера.Панель управленияэтогомодулянепредназначенадлятого,чтобы находитьсянасервере.Этоклиентскоеприложение.

2.Builder.Программа,создающая набазеуказанныхнастроек конечныйexe-файлмалвари. Воттолькочастьизних:

Encryptionkey—ключ,которымшифруетсяconfig.bin. Ключпрописываетсяивбота.

Clearcookieseverystartup—есливключено,тоботпри каждомзапуске(будьтозапускОСилизапускбилдаботапослеобновления)будетудалятьcookiesбраузеровIEиFF.

ЕслибраузерFFужезапущен,тоcookiesнеудалятся,так какFFоткрываетхэндлнафайлбазыcookiescookies.sqlite.

Deletenon-exportablecertificates—вкриптохранилище Windows(этохранилищеииспользуетбраузерIE)существует особыйтипсертификатов—неэкспортируемые.Пользова- тельможетихиспользовать,ноихнельзяэкспортировать, скажем,в*.pfx,иотправитьвколлектор.Вэтомслучаев SpyEyeестьвозможностьудалитьвсесертификатыэтоготипа. Вэтомслучаепользователюничегоособонеостанется,как сноваимпортироватьсертификатвкриптохранилище.Апри импортеботужесниметфлагнеэкспортируемостисертификата,итакойсертификатможнобудетотправитьвколлектор.

Dontsendhttp-reports—ВHTTP-отчетахмногомусора.Та- кимобразом,имеетсмыслотправлятьтолькоHTTPS-отчеты (нуиплюсHTTP-отчетысданнымиBasic-авторизации).

CompressbuildbyUPX—есливключено,тобилдерсожмет билдботаUPX’ом.Еслииспользуемыйкрипторнесжимает исходныйфайл,тоэтаопцияважна.

MakebuildwithoutZLIBsupport—несмотрянаисполь- зованиепротоколаHTTP1.0вFF-инжектахинаотсутствие заголовкаAccept-Encoding,некоторыевеб-серверымогут присылатьсжатыйконтент(напримерgzip,deflate).Вэтом случаеSpyEyeиспользуетбиблиотекуzlib,чтобыраспаковать контентипроинжектитьего.Сэтойвключеннойопциейбилдергенерируетбилдботабезподдержкиzlib’а.Этосэкономит 15–16Kвразмерабилда(еслиизмерятьразницусжатых UPX’омбилдов).Однаковслучае,еслипридетсжатыйконтент

вFF,ботнесможетегоинжектировать.

MakeLITE-config—опцияопределяет,нужноливключать вconfig.binтакиевещи,какwebinjects,screenshotsиплагины (кромеcustomconnector.dll).Деловтом,чтоприсоздании билдаботаconfig.binВСЕГДАвшиваетсявтелобота.Всвою очередь,этовлияетнаразмерисполняемогофайлабота.При использованииэтойопцииботпослеотправкиданныхна контроллерботнетазагрузитконфигурациюизнегосовсем необходимыминструментарием.Такойподходпозволяет

значительносократитьразмербилдабота.

EXEname—имяфайлаботавсистемепользователя(по- слеустановки).

Mutexname—имяmutex’а,которыйиспользуетсядля идентификацииботавсистеме.

Anti-Rapport—этовстроенныймодуль,активнопротиво- действующийантируткитуRapportTrusteer.Вчастности, SpyEyeубиваетпотокиRapport’аиблокируетзаписьотладочныхсообщенийвегобазуотчетов.Крометого,этотмодуль следитзацелостностьюхуковбота.Такимобразом,еслиубота включенэтотмодуль,тониантируткитытипаRapport’а,ни различныетроянытипаZeus’аработатьнебудут.ТотжеRKU, например,несможетснятьхукиботапривключенноммодуле Anti-Rapport.

Screenshots.Вкаталогебилдераимеетсяпапка screenshots.Внеймогутнаходитьсятекстовыефайлысправиламисбораскриншотов.Скриншотыснимаютсяприклике мыши.Приэтомвцентрескриншотанаходитсякурсормыши. Файлправилсодержитстроки,каждаяизкоторыхдолжна содержатьпятьпараметров,разделяемыхпробелами.Формат следующий:

%URL_MASK% %WIDTH% %HEIGHT% %MINIMUM_CLICKS%

%MINIMUM_SECONDS%

ЗдесьURL_MASK—этомаскаURL.Еслиприложениегру- зитпоURLресурс,попадающийподэтумаску,товключается соответствующееправилоотправкискриншотов.Существует однапроблема,связаннаясоскриншотами.Ботудостаточно проблематичноузнать,накакойстраницесовершаетсяклик (например,ввидутогочтовбраузереможетбытьмножество вкладок).Дляэтогосуществуютдвапараметра:минималь-

Работамодуля удаленного рабочегостола

РаботаFTP бэкконнектсервера

ноеимаксимальноеколичествокликов—чтобытакили

Инжекты иначе(опираясьнаколичествокликовивремя,прошедшее вдействии. смоментазагрузкиHTTP-ресурса,указанноговURL_MASK)

выключатьправилоскриншотов.

Client:Builder:webinjects.Вкаталогебилдераприсутствуетпапкаwebinjects.Внеймогутнаходитьсятекстовые файлысправиламиинжектированияHTTP/HTTPS-ресурсов. Форматинжектовтакойже,какидляZeus’а.Однакоподдерживаютсяневсефлагимаскиset_url.Темнеменееподдерживаемыхфлаговвполнедостаточно,длятогочтобыговоритьо полнойсовместимостисинжектамиZeus’а.Вфайлеправил содержатсяблокисчетырьмятегами:set_url,data_before, data_inject,data_after(нуплюстегdata_endеще,указывающийнаконецтегаспрефиксомdata_):

set_url

Вэтомтегеуказываетсямаска,накоторойсработаетсоответствующееправилоинжектирования.ТакжекакивZeus’е, синтаксическиподдерживаютсятакиевещи,как«*»и«#».

Этоттегможетсодержатьразличныефлаги(поумолчанию используетсяфлагG):

•G—означает,чтоинжектированиебудетпроизводиться толькодляресурсов,которыезапрашиваютсяGETметодом.

•P—означает,чтоинжектированиебудетпроизводиться толькодляресурсов,которыезапрашиваютсяPOSTметодом.

•L—представляетсобойфлагдляперехвата—граббин- гасодержимогомеждутегамиdata_beforeиdata_after включительно.Приэтомсграбленныйконтентбудет обособлятьсясодержимымтегаdata_inject.(Сграбленноесодержимоеможнонайтивпанелиуправления

ОТЛИЧИЯИНЖЕКТОВSPYEYE ОТ НЖЕКТОВZEUS’А

орядокследованиятеговdata_before,data_inject,data_after—дляSpyEye’яон

Пваженидолженбытьименнотакой,адляZeus’аневажен.Zeusпоумолчанию инжектируетCSS-иJS-контент.Однако,чтобыинжектироватьтакойконтентв

SpyEye,обязательнонужносоздатьправилотакимобразом,чтобывтегеset_urlсодержаласьстрока«.css»либо«.js»(взависимостиоттипаконтентадляинжектинга).

ВSpyEyeнекорректнореализованфлагH—вZeus’еониспользуетсядляудаления HTML-кодаизсграбленногоконтентаHTTP-ресурса. ВSpyEyeспецсимвол«#»абсолютно аналогичен«*»(втегеset_url).ХотявZeus’еэтонетакиспецсимвол«#»используетсякак синоним«нольилиодинлюбойсимвол».

формграббера,указавкритерийпоискаHookedFunction: “GRABBEDDATA”.—Прим.ред.)

•H—аналогиченфлагуLзаисключениемтого,чтовсгра- бленноесодержимоеневключаетсясодержимоетегов data_beforeиdata_after.

data_before,data_inject,data_after

Существуеттриситуацииприработесэтимитегами:

1.Еслинайденконтентпомаскеdata_beforeисодержимое тегаdata_afterпусто,то...—ботвставитсодержимоетега data_injectПОСЛЕdata_before.

2.Еслинайденконтентпомаскеdata_afterисодержимое тегаdata_beforeпусто,то...—ботвставитсодержимоетега data_injectДОdata_after.

3.Еслинайденконтентпомаскамdata_beforeиdata_after, то...—ботзаменитконтентмеждутегамиdata_beforeи data_afterвключительнонасодержимоетегаdata_inject.

Напрактикебылаобнаруженаследующаяособенность веб-сервераBOAприиспользованииHTTP1.0(именноэту версиюHTTPSpyEyeиспользуетдляинжектированиястраниц вбраузереMozillaFirefox).Нанекоторыхресурсах(*.css,*.js) веб-сервервозвращалсжатыйконтент,приэтомвContent- Encodingнебылоуказано,чтоконтентсжатый.Приводило этоктому,чтобраузерраспознавалконтенттакихресурсов, какInvalidContent,истраницаотображалосьнекорректно. Несмотрянаподобныепроблемывеб-сервера,этоможноис- правитьсредствамиSpyEye,простосоставивпустоеправило (спустымитегамиdata_before,data_injectиdata_after)для инжектированияcss-иjs-ресурсов.

Builder:serial.txt.Билдерпривязываетсякжелезной частикомпьютера,асерийныйномервыдаетразработчик вредоносногоПО.Ачтотыхотел:лицензионнаяпрограмма!

Client:Builder:collectors.txt.Вкаталогебилдерадолжен находитьсяфайлcollectors.txt.Вфайлможнопрописатьсписок,каждаястрокакоторогоимеетследующийформат(такие строкиразделяютсяEnter’ами):

ip:port—этоIP,накоторомустановленSpyEyeCollector иPORT,которыйколлекторслушаетнапредметжурналов работы.ВместоIPможноуказатьдоменноеимя.Коллектор, какправило,используеткакой-нибудьизвестный,«распро- страненный»порт(80или443),ибовнекоторыхлокальных сетяхмаршрутизаторымогутблокироватьотсылкутрафика нанестандартныепорты.Вслучаеневозможностиотправки

данныхчерезпервыйколлекторботбудетпытатьсяотправить данные,используяколлекторы,указанныениже(паузамежду попыткамисоставляет0,1секунды).Еслиботдойдетдоконца спискаиданныеотправитьтакинеудалось,тоонсохранит отчетвспециальномхранилищеибудетпытатьсяотправить данныеприследующейотсылкелогов.

ПЛАГИНЫДЛЯКЛИЕНТА

Дляобеспечениянедостающейвбазовойчастиклиента функцианальностисуществуютплагины.Онитожеуказываютсявбилдере.

Client:Plugins:webfakes.Плагинwebfakesможетисполь- зоватьсядляподменысодержимогоHTTP-иHTTPS-ресурсов безобращениякоригинальномувеб-серверувбраузерахIEи FF.Конфигурационныйфайлплагинасовместимсформатом поддельныхстраниц,используемыхZeus’ом,ивыглядит следующимобразом:

entry "WebFakes"

%URL_MASK% %URL_REDIRECT% %FLAGS% %POST_BLACK_MASK%

%POST_WHITE_MASK% %BLOCK_URL% %WEBFAKE_NAME%

%UNBLOCK_URL%

End

Видконтроллеработнета

СподменойвбраузереFFсвязанодиннюанс.Ввиду особенностейAPIбиблиотекиnspr4,данныеPOST-запроса, поступающиедляанализавплагинподмены,ограничены длинойв4Кб.Тоестьприсоставленииправилподмены используютсятакиепеременныеPOST-запроса,которые входятвпервые4КбHTTP-запроса(включаяразмерHTTP- шапки).Плагиннетребуетвключениясостороныпанели управления.

DDoS.Плагинможетбытьиспользован,чтобыосуще- ствитьDDoS-атакунакакой-нибудьсервер.Конфигурация плагинаимеетследующийвид:

•typetargetporttime.

•typetargetporttime.

•type—типDDoS’а.Поддерживаютсяследующие: slowloris/ssyn/udp.

•target—IPлибохостсервера,накоторыйосуществляется атака.

•port—порт,подвергаемыйDDoS’у(дляUPDDDoSможно указать0,длявыбораслучайногопорта).

•time—время,втечениекоторогобудетпроизводить- сяDDoS(дляUDP/SSYNиспользуютсясекунды,для Slowloris—минуты).

ВконфигурацииплагинаможноуказатьмножествозаданийнаDDoS(плагинпереходитотодногозаданиякдругому постепенно,немногопоточно).ДлятипаDDoS’аSlowlorisне нужнозадаватьпорт(поумолчаниюиспользуется80-ый).

Плагинтребуетвключениясостороныпанелиуправления.

Client:Plugins:ccgrabber.Плагинзанимаетсясбором информацииобанковскихкартах,анализируяPOST-запросы приложений.Длядетектированияномеровбанковскихкарт используетсяLuhnalgorithm.Еслинашелсявалидныйномер карты,товесьPOST-запросотсылаетсявколлектор.Найти сграбленныеCCможночерезсоответствующийинтерфейс поискавпанелиуправленияформграббера.

ffcertgrabber.БазоваякомплектацияSpyEyeзанимаетсяхищениемсертификатовтолькоизкриптохранилища Windows.ОднакоFirefoxиспользуетсобственноехранилище сертификатов.Всвязисэтиместьспециальныйплагиндля хищениясертификатовизFF.Предусмотренподборпаролей пословарювслучае,еслинапрофильустановленмастерпароль.Вконфигурацииплагиналишьоднозначение— минимальноевремяожиданияпередотправкойсертификатоввколлектор(указываетсявсекундах).Сграбленные сертификатыимеютпрефиксFF.

Socks5BackConnect.ПлагинподнимаетSOCKS5-сервер наботеипредоставляетдоступкнемучерезBackConnectсервер.Вглавнойпанелиуправленияимеетсяинтерфейс, позволяющийотображатьсписокдоступныхSocks’ов.

FTPBackConnect.ПлагинподнимаетFTP-сервернаботе ипредоставляетдоступкнемучерезBackConnect-сервер.В главнойпанелиуправленияимеетсяинтерфейс,позволяю- щийотображатьсписокFTP-серверов.

RDPBackConnect.ПлагинподнимаетRDP-сервери прокидываетегодоBackConnect-сервера.Такжеплагинреа- лизуетсозданиесокрытогопользователя,которыйинужен дляудаленногоиспользованияПКпопротоколуRDP.Ещев немпредусмотренапанельуправлениядлязапускалюбого процессаотлюбогопользователявсистеме(чтобыможно былосоздаватьпроцессыотимениоригинальногопользо- вателя).ИещевстроенаPortable-версияTotalCommander’а, загружаемогоизинтернетаизапускаемогопрямоизпамяти (безсохранениянадиск).

ПлагинуненужнаперезагрузкаОСдляработы. Плагинвключаетсячерезглавнуюпанельуправления.

Списокботовможноувидетьвсоответствующемпунктеменю (RDP).ПодключатьсякботамможночерезстандартноеПООС Windows«mstsc.exe»RemoteDesktopConnection.

Минусытекущейверсииплагина:

•нетподдержкиx64-систем;

•плагинунужныправаадминистраторадляработы;

•неподдерживаетсяWin7Starter(именноStarter);

•крометого,естьплагиныдляразработчиковиотладки!

ЗАКЛЮЧЕНИЕ

Послеознакомлениясэтимзверькомиегодокументацией становитсяпонятно,чтопереднами—полноценныйпро- граммныйпродукт,хотьипредназначенныйдлясовершения противозаконныхдействий.Компьютернаяпреступность переходитнановыйуровеньсвоегоразвития.Используемые инструментыисредства,разделениеобязанностей,сра- щиваниесорганизованнымипреступнымигруппами—всё этопугающиетенденции.Ужесуществуютцелыеиндустрии понаписаниювирусов,предоставленияботнетовваренду, продажетрафикадлязараженияиустановкиботов.ФункционалSpyEyeпоражает,аналичиеподобнойтехнической документацииговоритопрофессионализмеегоразработчи- ков—неудивительно,чтомынаблюдаемколоссальныйрост числамошенничествассистемамиДБО.СтоимостьSpyEyeна черномрынкеколеблетсяврайонедесяткатысячдолларов заверсиюсполнымнабороммодулей.Учитываясверхрентабельностьпреступнойдеятельности,которуюможно осуществлятьсегопомощью,этоещенемного. z

Авоттак создаются самиботы

КАКИСКОЛЬКО ЗАРАБАТЫВАЮТНАШИ КРИМИНАЛЬНЫЕ КОЛЛЕГИ?

Совершенноясно,чтона малварномбизнесенекисло навариваютцелыегруппы товарищей.Неяснотолько,в какихименномасштабахони

наваривают,икаквсеэто происходит.Сегоднямыпро- льемсветнакое-какиекри- минальныесхемы,используемыевбизнесе,связанном

смалварью.Разумеется, исключительновобразовательныхцелях:).

ЭВОЛЮЦИЯГРАБЕЖА

Вначале2000-хгг.банкитольконачиналидуматьосвоей онлайновойбезопасности,ахакеры—отом,какмногоденег оттудаможноувести.Несознательныеодиночкинаходили уязвимостивсистемахзащитыфинансовыхонлайн-операций тогоилииногобанка,уводилибазукарточекивыставлялиее напродажувоткрытомвиде.Нанеособо-тозасекреченных форумахможнобылоспокойнопрочитатьименатехнесчастных,укоторыхувелибанковскиереквизиты,иузнатьдругие интимныеподробности.Профессиональныекардерыили простодурачкирадостноскупалитакогородаинформацию, быстренькопечаталинужныйпластик(тоестьлевуюкарточку справильнойинформациейоденьгах)ишлизапасатьсяв ближайшийбанк.Болееумныепластиканепечатали,аза- купалисьвонлайн-магазинах.

Однакохалявуначалибыстроприкрывать:сталопоявлятьсявсебольшеантивирусныхрешений,которыестали попадатьнетолькокюзерам,новибанки.Апоследние, крометого,сталиужесточатьдоступксвоимданным,то естьвзломатьбанксталогораздосложнее.Приэтомполицияначалаобращатьвсебольшевниманиянаподобные криминальныеактивности,чтопривелоктому,что«закуп пополной»наочередномхакерскомфорумемогобернутьсявстречейспредставителямизакона,играющимироль продавцов.Наэтойволнепостепенносталформироваться болееразвитыйрынок,сосвоейспецификойиспециализациейнабанковскихтроянах.

Конечно,никуданеделисьизначальныеподходытипа скимминга,тупоговзломабанкоматовипрочего,новсеэто, посути,грубоинеаккуратно,неговоряужеотом,чтохлопотно,какбыстропонялипарни,которыенашли1001способ увестивсюнужнуюинформациюскомпапользователя.Согласностатистикеот«ЛабораторииКасперского»,которая внимательноизучаетлюбителей«поломать»банки,за2010 г.ееаналитикидобавилиболее60тыс.сигнатурсвердиктом Trojan-Spy.Остальныеданныетыможешьпосмотретьна соответствующемграфике,ноналицототфакт,чтомалвари пишутвсебольшеибольше,ивышеупомянутыйвердикт превалирует.

Отчего?Оттого,чтозлоумышленникипоняли,чтопусть лучшесобираетсявсяинформация,атампосмотрим,какею воспользоваться.Собиратьтолькобанковскиеданныечерез банальныйфишинг,электроннуюкорреспонденциюотбанков включе«мытутрешилиобновиться,подтвердитеданные счета»ипрочиелохотронывкакой-томоментсталонемодно.

Конечно,кучакиберпреступниковпродолжаютэтоделать, ноэффективностьподходанестольвысока.Результативные ударыполучаютсяредко,приэтомумныенегодяиувидели, какможносделатьбольшеилучше.

ОТЛАЖЕННЫЙМЕХАНИЗМ

Такимобразом,вбизнессталипотихонькуприходитьиндивидуумысмозгами,которыебылиготовырулитьденежными потоками,нонеумелиписатьмалварь.Вчастности,подих влияниемрыноксталспециализироваться,поделившисьна различныегруппы,окоторыхмыдальшепоговорим.

Начнемссоздателеймалвари—техлюдей,которые лучшевсехдержатрукунапульсе.Всяихдеятельность напоминаетпроизводственныйцикллюбогопрограммного продукта:изучениерынка,созданиекачественногофункционала,борьбасконкурентами.Те,ктостоитзасозданием эксплоит-паковисуровоймалваритипаSpyEyeиZeus’а, тщательнодокументируютизменения,быстреньковносят коррективывкод,кактолькоихначинаетдетектировать тотилиинойантивирусныйвендор,дажедобавляютвсвою малварьмини-антивирусы,вытираятемсамымнаиболее злостныхконкурентов.Причемделаютониэтонехужезаправскогоантивируса.Такжестоитупомянуть,чтохакерыальтруистывзламываютдорогиетворениясвоихсобратьев

ивыкладываютнафорумыпростотак.ТотжеZeus,SpyEye

ипрочиеизвестныевузкихкругахтулзыможноспокойно скачатьвкрякнутомвиде.

Такчтосоздателямтакихтрояновприходитсябороться ещеистакимвидомнападок,всевремяулучшаясвоитворенияивыдумываяновыесредствазащиты.Наумприходит аналогияскитайцами,которыенещаднокопируютайфоныи

ВКитае,каквидишь, можнохоститьвсе чтоугодно.Ипри этомоченьдешево

Дешевенький ботнет!Никому ненадо?

ло,нужнырекомендацииилиинвайтыотстарожилов.Модераторыфорумовзачастуютакжеиграютрольгарантов, тоестьпосредников,которыеотвечаютзато,что,заказав малварьуВаси,тынепростовыкинешьденьги,аполучишь то,чтообещаетВася.

Отдельныеиндивидуумызанимаютсясозданиемботнетов.ИхможноарендоватьдляDdoS’а,длядальнейшегоразвитияисбораданныхсюзеров,дляпоследующейпродажи, дляорганизациианонимныхпрокси-серверовит.п.

Отдельнозаточенныетоварищизанимаютсяпоиском уязвимостейвовсемився.Этосамаябезопаснаяработа.Ты наверняказнаешьлегитимныересурсы,которыепредлагаюттебеделитьсянайденнымиуязвимостямизабесплатно илизамелкуюденежкурадимираназемле.

Ноневсежетакиеальтруисты,особенноприусловиитого, чтосоздателиэксплоит-паковмогутзаплатитьзанайденную уязвимостьнесколькодесятковтысячбаксов,еслиречьидет об0day-находкевсамойпопулярнойверсииWindows’а.

Наконец,мыдобралисьдотех,кто,собственно,за- казываетвесьбанкет—преступников,которыефильтруют тонныукраденнойинформацииивыставляютеенапродажу вспециализированныхмагазинах(см.соответствующий скриншот).

Этодилеры,которыепредлагаютконечнымпотребите- лям—другимпреступникам,—доступкживымденьгам. Нутоестьпрактическиживым.Получитьдоступктаким магазинамсложно:надобытьвтусовке,регулярнозакупатьсянабольшиесуммы.Правда,ипредоставляемый сервиснавысоте:купитьможновсечтоугодно.Мыуже вскользьупомянулиотом,чтокрадутвсе:номерабанков- скихкартспинамиибанковскиесчета—товар,которым никогонеудивитьикоторыйвсветеактивизациикиберполициидовольнонебезопасендляобналички.Правда,есть возможностьзаказатькарточкуопределенногобанка, определенноготипа,нужнойстраны,чтоврядеслучаев приводитксильномуснижениюградусаопасности(ты, например,слышалокиберполицииЛаоса?).Назаказпро- давецдостанетвсечтоугодно.Ценыдемократичные—10 %отдоступнойналички.

Крометого,можнокупитьлюбыеплатныеаккаунты—на рапидшару,вЖЖ,скайпипрочее.Навиртуальныхполках лежатукраденныелицензиидлясофта,включая,чтосамое смешное,антивирусы(см.скриншот),паролиилогиныкFTPсерверам(будетгдепохоститькомандныйцентрботнета).

Впоследнеевремяпопулярностьнабираетпродажа личности,тоестьукраденныхданныхопаспортах,прописке,

Exp—штукадовольноизвестнаяидовольнолегкодоступная

местежительства,номерахстраховокипрочее.Тынеповеришь,ноогромноечислотупыхюзеровсканируютпаспорт, кредитки,пенсионноестрахование,ИННипрочиедокументы

иоставляютэтисканынавинте.Апотомреальныепреступники,получивсканы,выкачанныетемжеZeus’ом,радостно делаютсэтогохозяйстваклоны,конечноже,сфоткойзаказчика.Длярядастранихможнодажезарегитьвбазеполиции! ТакчтостатьгражданиномАмерики(нуилипокрайнеймере въехатьтуданаПМЖ)можнозакакие-то1000долларов.

Приэтомпонятно,какудобновсеэтоврамкахмасштабнойоперации:некийВасяподименемДжонаСмитавъезжаетвстрану,уводитмиллионбаксовсовзломанногосчета, накоторыйэтиденьгиперевелисдругогосчета,испокойно уезжаетдомой.Полицияприезжаеткнивчемнеповинному лошкуСмиту,паспорткоторогоукралииаккаунткоторого былвзломан,иначинаетставитьеговоченьнеудобноеположение.ПриэтомнайтиконцыВасипрактическинереально.

Вобщем,кактыужепонял,всеудобноипоролям.Еслиты негодяйитебехочетсяиспытатьсудьбу,тыможешьвыбрать ещеипрофессиюмула,исамкупитьворованныхкарточек,

ипойтисниматьналичкуиликупитьнаних100айфонови заказатьихсебедомой.Безмулов,собственно,никуда,втом случаееслипреступникхочетполучитьреальныеденьги. Длятогочтобытебесталопонятно,каквсеэтивинтики образуютотлаженныймеханизм,давайрассмотримпутьк легкимденьгамотначаладоконца,так,какеслибынекий злоумышленникрешилнепринужденнообогатиться,вос-

пользовавшисьсвободойиблагамиинтернета.

HOWTONOTTODO

Сразуоговоримся,чтовсерасписаноприблизительно,сопределеннымидопущениямииврамкахузкогосценария.Знатоки дела(анаснавернякаполистываютитакие)могутпоспоритьи найтикучунеточностей,ноповторюсь:главныйсмысл—дать понять,каквседовольнолегкоиприбыльно.

Дляначалакиберпреступникивыбираютжертву:или одну,илиоченьмного.Отэтогозависит,каконисобираются обогащаться:быстрозаодинразилипостепеннозасчет большогочислаюзеров.Какследствие,меняетсяитипатаки: таргетированнаяиликовровоебомбометание.Вслучаетаргетированнойатакиинформациясобирается,какправило,с социальныхсетей,примассовомподходеэтонестольважно. Дальшенадорешитьтехническиемоменты,тоестькак будетдобытаинформацияотнезадачливогоюзера.Дляначалаберетсятакназываемыйпуленепробиваемыйхостинг. Винтернетенатематическихфорумахпредложенийхоть отбавляй.Дляпонимания:хостерувсеравно,чтовытамхранитенасерверах,приэтомоннебудетсдаватьвасполиции.

Сплоит-пак

ЧТОЭТОТАКОЕ?

Сплоит-пакислужатдлямассового зараженияпосетитетейсайтов черезуязвимостивбраузерах.Набор

эксплоитовBlackHoleотрусскогопарня Paunchпоявилсячутьбольшегоданазад иужеуспелнаделатьмногошума.

1Сплоит-пакведетподробнуюстати- стикуработы:учитываютсяобщаяпосещаемость,количествозаражений, эффективностьотдельныхэксплоитов иструктуратрафика.

2Всеблокисданнымипредставляютсобойнастраиваемыевиджеты,которые можно подключать/отключать,а такжеменятьихместорасположение.

3BlackHoleвосновномиспользует распространенныеипубличнодоступныесплоиты.Приэтомонидают внушительныйпроцентпробива.

4Важнойфункциейявляетсяизощренный скриптдлянаправления трафика(TDS),которыйиспользуется длянаправленияпользователейк определеннымнагрузкам.

5Выборнагрузокосновываетсянатаких критериях,какОС,версиябраузера, странапроисхождения,реферервебсайтаидажевремязахода.

ВотличиеотконкурентовBlackHole 6 имеетсистемулицензий.Одингодиспользованиястоит$1500,алицензия наполгодаиквартал—$1000и$700.

7ВмаеBlackHoleExploitKitверсии1.0.2 утеквпаблик,линкдляеезагрузки опубликовалресурсthehackernews. com. Этопроизошлочерез2недели послепубликациисорцовZeuS.

8Заиспользованиесплоитпакапо назначениюможнополучитьдо7лет лишениясвободы,согласностатье 273УКРФ.