Атака на владельцев вредоносного ПО: деанонимизация, угнал данные, как блокировать сервера

Будучи по совместимости вирусным аналитиком, раньше я любил находить в сети вредоносные программы, ревёрсить их и атаковать владельцев. Примеры атак:

1. Жалоба на VDS/HOST владельца и его закрытие (abuse)
2. Деанонимизация, слив данных, угрозы
3. Открытие уголовного дела (при наличии достаточной информации)

Сегодня мы будем развлекаться над стервятниками в мире IT. Я покажу, как самостоятельно находить, ревёрсить и атаковать вредоносное ПО в сети, какие инструменты использовать, и где их искать.

Поле битвы

Для начала, нам нужно найти вредоносное ПО. Охота - самое интересное в этом занятии для меня. Есть простые и сложные пути. Простой путь - используйте сервисы анализа вредоносной активности, такие как HybridAnalysis, AnyRun, MalwareBazaar, VirusTotal и прочие.

Сложный путь же заключается в самостоятельном поиске скрытого вредоносного ПО на так называемых полях "пролива трафика". Это могут быть YouTube видео по всяким "взломам игр", различные крякнутые программы, и даже торренты.

Разберём преимущества каждого из способов.

Преимущества автоматизированного поиска:

1. Вы не тратите много времени на поиск экземпляров
2. Вы не тратите время на изучение экземпляров и вынесение вердикта (вредоносный\безопасный), сервисы уже вынесли вердикт
3. Вы не тратите время на получение данных

Недостатки:

1. Меньше гибкости в получении персональных данных владельца. Например, если бы поле битвы было во ВКонтакте или группе Телеграм - Вы бы знали профиль владельца, его друзей, а от этих данных смогли бы его деанонимизировать
2. Нет обратной связи с владельцем вредоносной программы и нет такого энтузиазма и чувства хищника, как если бы Вы искали экземпляры вручную

Преимущества ручного способа:

1. Больше персональных данных о владельце и видимость всего поля битвы. Например, если Вы найдёте экземпляр под видео на YouTube, то скорее всего там будет группа ВКонтакте, а там скорее всего будет профиль владельца группы, по таким цепочкам, имея знания в нетсталкинга, Вы сможете собрать огромную цепь данных для деанонимизации владельца вредоноса
2. Обратная связь с владельцем. Например, если у Вас есть его ВКонтакте, Вы можете сделать вид жертвы, и попросить его скинуть программу "для взлома игры", после чего получить прямые доказательства распространения вредоносного ПО
3. Чувство хищника. Владелец вредоносной программы думает, что сейчас украдёт Ваши данные, но жертва здесь - он!

К недостаткам сюда можно отнести все преимущества автоматизированного поиска.

Типы вредоносных программ и основные профили для нападения

Естественно, прежде чем нападать, мы должны изучить цель. Лёгкими целями для нападения являются такие вредоносные программы, как:

1. Remote Adminisration Tool (RAT) или RMS
2. Stealer
3. Trojan

Всё потому, что данные типы вредоносных программ завязаны на обратной связи с владельцем. Например, внутри RAT обязательно будет лежать IP-адрес сервера, через которого владелец будет получать контроль. Имея IP-адрес сервера, Вы можете:

1. Проанализировать его на уязвимости и взломать
2. Послать жалобу и заблокировать (abuse)
3. Деанонимизировать, если это прямой белый IP-адрес владельца

Как видите, имея один только IP-адрес, уже выстраивается огромная цепочка. Всё это - искусство нетсталкинга.

Естественно, стоит делить вредоносные программы не только на типы, но и на сами реализации. Если RAT реализуется обязательно через сервер, то вот со Stealer всё не так просто...

Отправка данных в целом - тоже как искусство, Stealer может отправлять на почту, может заливать на ImGur или Pastebin, может отправлять на общую панель, может отправлять на личный сервер, может отправлять во ВКонтакте, может отправлять в Телеграм, и ещё куча-куча способов, в том числе отправка на IRC сервера.

Все эти способы нам подходят, но атака будет зависеть от каждого способа.

Например, если Stealer использует общую панель, то единственным вариантом тут - либо взлом панели, либо жалоба (abuse). Поскольку панель никак напрямую не связана с владельцем вредоносного ПО, на панели сидят ещё куча таких же владельцев, и держит её разработчик вредоносной программы, поэтому деанонимизировать так легко не получится. Однако блокировка панели это уже немалый шаг. Например, недавно были заблокированы сервера популярного вредоносного ПО - LummaC2, это принесло им немало хлопот. Забавно, что я месяца 3 назад проводил на них атаки, после чего со мной на связь вышел владелец данного проекта, и сказал, что для них это ни на что не влияет, мол они просто запустят новый домен. Как бы не так! Проект закрыт.

Хуже, если Stealer будет использовать посторонние сервисы для передачи данных, вроде Pastebin или ImGur, однако таких я ещё, к счастью, не встречал. Все они завязаны на сервисах, которые имеют прямую либо косвенную связь с владельцем вредоносной программы (или её разработчиком).

Итак, теперь когда Вы узнали про основные профили для нападения и типы атак, я начну подготовительную работу. Я буду использовать автоматизированный поиск для охоты в данной статье, хотя ручной мне нравится больше. Дело в том, что у меня цель написать эту статью за один день, и всё нужно делать очень быстро, у меня нет времени заниматься выслеживанием, но каждому я советую попробовать построить из себя жертву и найти в каких-либо чатах цель с помощью ручного поиска. Просто зайдите в чат "хацкеров", и попросите у них всякие программы или скрипты, обязательно найдётся какой-то неумеха, который захочет Вам закинуть RAT, тут-то Вы его и придушите.

Что-ж, для автоматизированного поиска нам недостаточно будет знать типы вредоносных программ, нужно знать конкретные теги свеженьких вредоносов. Один из таких - StormKitty, это Stealer который использует отправку данных с помощью Телеграм BOT API. А как мы знаем, данное API требует открытую передачу токена бота. Поэтому имея один только экземпляр программы, мы можем сразу:

1. Деанонимизировать профиль владельца
2. Угнать бота (заблокировать)
3. Слить все данные, которые своровал "стервятник"

Уже негусто! Что-ж, приступим, это будет легко...

Обрушил шторм на владельца StormKitty

AnyRun - отличное средство для поиска экземпляров, его я заметил ещё года 3 назад и успел зарегистрировать там аккаунт. Сейчас, насколько я знаю, аккаунты там платные. Повезло.

Итак, я захожу на AnyRun, и используя вкладку "Public Reports", пишу в поиск "StormKitty", выствляя фильтры. Беру самый последний свеженький экземпляр, который прямо сейчас в обороте по сети:

На самом деле - это не StormKitty, а видоизменённая его версия под названием WorldWind. Но нам это никак не мешает, заметьте мой ещё один тег на скриншоте - это "telegram", это сильно упрощает поиск. Буквально на месте мы угнали токен бота, но что дальше?

А дальше я достаю одну прекрасную утилиту, которую я получил очень давно, данная утилита специально предназначена для угона ботов подобных Stealer, использующих для передачи данных Телеграм.

Я вбиваю в него токен бота, и получаю всю необходимую мне информацию:

Видим профиль владельца бота, и сразу же пытаемся пробить его по социальным сетям. Нередко пользователи ставят одинаковый ник на все свои социальные сети, этот был не исключением, я нашёл его потенциальный Pinterest:

Что-ж, Брэндон Брайан...

Далее, по желанию, я могу выкачать с него все сообщения (то есть, угнанные данные), либо продолжить в другом направлении.

Дело в том, что обычно владельцы таких вредоносных программ достаточно глупые, и часто для тестирования работы первым запуском делают запуск на своём компьютере, тем самым сливая свои данные, пусть и самому себе. Но теперь - эти данные не только у него, но и у меня...

Сначала предупрежу, что данных на самом деле много, и нужно фильтровать их. Прежде всего, по размеру. А потом - по скриншотам.

Каждый Stealer отсылает скриншот экрана перед передачей данных, это одна из его функций. Немного покопавшись в слитых данных и погоревав о пользователях, чьи данные попали в руки этого злодея, я нашёл и данные самого злодея:

Господа, на данном скриншоте мы наблюдаем смешную картину. Злодей заразил сам себя, и что-то делает со своими данными. При этом, мы видим все его переписки, и там очень много всего интересного. Индийские девушки, похоже наш друг помешан на девушках...

В его данных была слита сессия Телеграм, кукки от всяких аккаунтов, также граббер прихватил много интересных файлов с его ПК, а что было дальше... Занавес.

Гром на VDS подконтрольные вредоносным ПО

Что-ж, с Телеграмом и другими социальным сетями всё понятно, а вот что делать с VDS и хостингами, которые находятся под контролем вредоносных программ?

Правильно! Как я уже упоминал ранее, это жалобы! Но и тут всё не так просто. Есть отказоустойчивые хостинги, которым абсолютно плевать на то, что у них висит какой-то ботнет на их VDS, и хоть пиши им или не пиши - поможет только суд, они будут игнорировать. А есть нормальные хостинги, которые сразу же ставят ультиматум владельцу, и если тот не предоставит доказательства в течение определённого срока - его сервер будет навсегда забанен, а профиль заблокирован.

К счастью, многие неопытные владельцы вредоносных программ ставят свои проекты на законопослушные хостинги. Один из таких - PublicDomainRegistry:

В определении информации о домене нам поможет утилита whois. А для автоматизации всей рутины с написанием правильного текста, я написал небольшой скрипт, который автоматически рассылает следующий текст:

В качестве доказательств Вы можете предоставить скриншоты, либо ссылку на вкладку "relations" VirusTotal, либо ссылку на другой сервис, где будет чётко видно домен или IP-адрес обжалуемого домена.

Начнём с момента, когда мы на руках уже имеем экземпляр. Ход действий следующий:

1. Достать IP-адреса используемых серверов (можно использовать автоматизированные сервисы)
2. Использовать whois для получения e-mail адреса abuse-сервиса (это сервис, куда отсылаются жалобы)
3. Отослать жалобу на abuse-сервис и дождаться ответа

Как правило, ответ приходит в течение 3-х дней, после чего владельцу сервера ставится ультиматум на предоставление опровержений или указания персональных данных для связи и урегулирования ситуаций. Естественно, владельцы вредоносных программ ничего не предоставляют, вследствие чего их сервер падает, а с ним умирает и весь трафик. Для начинающих "стервятников" это большой удар, поскольку они тратят много денег на трафик, и это может не окупиться.

Подводим итоги

Эта статья может многих поставить на правильный путь и вызвать интерес к анализу вредоносного ПО. По моему мнению, анализ вредоносного ПО намного интереснее обычного ревёрс-инжиниринга, поскольку эта задача описания функционала и его противодействию, а не нудной распаковки, расжатия, девиртуализации, деобфускации и прочих вещей.

Никогда не занимайтесь разработкой и распространением вредоносного ПО, это может привести к последствиям как со стороны правоохранительных органов, так и абсолютно случайных людей, которые просто оказались случайно на пути, и совсем не против побаловаться с Вашими данными.