Hacking
January 9, 2022

Добро пожаловать в Вирусологию!

Фактически, я покажу, что такое молоток. А дальше вам решать, будете вы этим молотком забивать гвозди или разобьёте кому-нибудь голову.

Всем салют, дорогие друзья! На связи Golden - глава Hacker Place

Сегодняшняя статья целиком и полностью посвящена Вирусологии. Я познакомлю вас с основными видами вирусов. Также я расскажу о том, что не всё вредоносное программное обеспечение является вредоносным, возможно, это просто товар двойного назначения.

Фактически, я покажу, что такое молоток. А дальше вам решать, будете ли вы этим молотком забивать гвозди или разобьёте кому-нибудь голову.

Для того, чтобы защититься от любого вредоносного обеспечения вам необходимо понимать что вы делаете, ведь самый лучший антивирус - это вы. Никакая программа вас не спасёт от этого. Чуть ниже я вам расскажу, как можно обойти абсолютно любой антивирус, в этом нет ничего сложного. Поэтому пользуйтесь мозгами. Без разницы какое у вас устройство, просто думайте.

Итак, переходим непосредственно к вирусологии

Конечно, назвать мою статью вирусологией довольно помпезно и сложно, намного лучше бы эта тема звучала, как "знакомство с миром вредоносного программного обеспечения".

Что такое вредоносное программное обеспечение и для чего оно применяется?

Если мы возьмём, 80-е и 90-е годы, то тогда существовало лишь понятие вирус, это единственное, что знали люди. В те года вирусы просто приводили электронно-вычислительные машины в негодность. Был такой очень хороший вирус, он назывался Чернобыль. Попадая на компьютер жертвы, он делал так, что от винчестера можно было очень долгое время прикуривать, точно также, как и от материнской платы. В общем, такого плана программное обеспечение существовало и применялось именно для того, чтобы выводить из строя электронно вычислительную технику.

Однако, сегодня разнообразие различного вредоносного программного обеспечения намного шире, и нет такого человека, который каждый день при сёрфинге в интернете не сталкивался бы с этим, прямо или косвенно, абсолютно по разному. Если кто-нибудь из вас пользовался рутрекером, то я могу вас поздравить, потому, что примерно 90% всех, кто пользовался любым торрент трекером подвергался атакам заражения.

Почему я заострил внимание на торрентах?
Ответ прост: это один из лучших методов распространения вредоносов.

Давайте разберём, какие виды вредоносного программного обеспечения существуют сейчас. Во-первых, это вирусы, которые выводят из строя компьютеры - самые обычные, простые и классические. В основном они используются либо ради шутки, либо для достижения какой-то конкретной цели, например, вывести из строя компанию конкурента или уничтожить какой-то технологический узел. Такие вирусы существуют абсолютно для любого оборудования.

Что такое вообще вирус? Это программный код, который может выполнять различные действия которые в него вложил создатель. Соответственно, любой программный интерфейс - компьютер, планшет, мобильный телефон, кофеварка с выходом в интернет или банкомат (его вообще можно сравнить с компьютером потому что на 80% банкоматов установлен Windows), и любое другое устройство в котором используются какие-либо языки программирования можно заразить вирусом и заставить это устройство выполнять необходимые нам вещи.

Если мы возьмём самые простые вирусы и их задачи, то это может быть удаление операционной системы, либо форматирование жёсткого диска, удаление системных файлов, запись в автозагрузку (даже такое бывает), самый простой вирус который делает так, что при загрузке устройства будет выполняться переполнение буфера, то есть это сразу же уничтожение системы. Ещё есть вирусы которые изменяют вольтаж. Воздействуя на настройки BIOS'а можно изменить вольтаж таким образом, что напряжение на определённые части компьютера вырастет многократно, его составные части просто напросто сгорят и выйдут из строя. Но вирусы данного типа уже отходят на задний план.

Почему?
Все дело в том, что с них не получить особой материальной выгоды

А с чего можно получить выгоду? Тут мы плавно переходим к винлокерам:

Многие слышали, видели и сталкивались с тем, что при загрузке операционной системы у вас появлялось какое-либо окно, которое сообщало, что ваш компьютер был заблокирован по каким-либо причинам. В основном это причины чисто психологического характера, что бы незнающий человек не обратится к кому-нибудь. В основном это просмотр порнографии в каких-либо извращённых формах. Если человек в этом дуб дубом, ничего не понимает, то скорее всего вспомнит, что где-нибудь, когда-нибудь он какую-нибудь порнуху смотрел и куда-нибудь зайти он мог. Соответственно коллегам, сотрудникам правоохранительных органов он постесняется сказать, что он посещал подобные сайты. Этот чисто психологический приём до сих пор применяется к таким доверчивым людям, но постепенно число их уменьшается, количество продвинутых пользователей растёт. Поэтому и сами винлокеры также постепенно отходят на задний план. По-сути, винлокер выполняет лишь функцию блокировки операционной системы с целью ограничения действий пользователя с последующим вымоганием средств для разблокировки, что фактически делает его простейшим инструментом для вымогательства.

Подведём небольшой итог для винлокеров:

1. Блокируют операционную систему

2. Вымогают деньги за разблокировку.

Как с ними бороться?

Большинство из них отключается в безопасном режиме, либо в режиме командной строки. Грузимся в безопасном режиме и просто удаляем его из автозагрузки, а так же удаляем сам вирусный файл.

Данная угроза не является серьезной, но винлокеры стали основой намного более серьёзной атаки, более сложного программного обеспечения. Это вредоносное программное обеспечение называется криптор.

Может быть кому-то из вас "повезло" увидеть подобную картинку в живую на своём компьютере:

Что выполняют крипторы и что это такое?

Прошу не путать данные крипторы с крипторами о которых мы будем говорить далее - с помощью которых можно спрятать вредоносное программное обеспечение, у них просто название одинаковое.

Крипторы предназначены для того, чтобы зашифровать файлы пользователя. Если винлокер требовал деньги просто за то, чтобы получить доступ к операционной системе, а файлы оставались на месте и не подвергались никакому риску, то в данном случае шифруются полностью все или определённая часть файлов, в зависимости от того, как распорядился его создатель. Зашифровав все файлы криптор просит денег. Можно купить приватный ключ и расшифровать систему:

Картинка само-собой старая, ведь 0,066 BTC на данный момент это $3000, никто такую сумму для массового распространения ставить не будет. В основном ставится сумма от 100 до 500 долларов, чтобы среднестатистический человек смог заплатить.

Если у человека имеются какие-либо важные рабочие документы на своём ПК и вдруг они стали зашифрованы, то конечно же он будет вынужден эти файлы выкупить.

Даже если мы не берём коммерцию, а возьмём файловый архив из несколько тысяч фотографии семейного отдыха за прошедшие 5-6 лет, и они все в единственном экземпляре хранились на ПК, а тут этот криптор пришёл и их зашифровал, то люди заплатят деньги. Если судить по статистике из моего личного опыта, то платят 20% людей, каждый пятый.

Данный вид вредоносного программного обеспечения является одним из наиболее перспективных на сегодняшний день.

Почему? Потому что даже ФБР, спецслужбы самой могущественной страны в мире, рекомендуют платить вымогателям за расшифровку, соответственно данный вредонос можно считать одним из наисперспективнейших среди всех.

К тому же, потратив 3-4 месяца на освоение курсов программирования и ещё месяц, чтобы полазить по поисковикам, поизучать техническую сторону вопроса и понять, как всё устроено, какой-нибудь школьник из Кислодрыщинска может себе сделать такой криптор и за пару месяцев заработать несколько миллионов рублей.

Если от винлокеров избавиться проще простого, то в случае, если на ваш компьютер попал хороший криптор и вы хотите сохранить свои файлы - вам придётся заплатить выкуп.


Трояны

Далее у нас идут трояны. Это программное обеспечение, которое может получить полный доступ к устройству и предоставить нам полное управление компьютером жертвы. Также можно воровать и подменять данные. Давайте рассмотрим более детально.

Трояны делятся на четыре основных вида, на самом деле их там больше десятка, но мы рассмотрим четыре самых основных:

  1. Ратники или крысы (инструмент удалённого администрирования - remote administration tool, сокращённо RAT).
  2. Стиллеры (воры фактически).
  3. Кейлогеры (инструмент для записи нажатых клавиш).
  4. Клиперы (подменяет адреса кошельков).

Ратники. Remote administration tool.

Данное программное обеспечение позволяет получить полный доступ к устройству. Для того, чтобы было более понятно, что это такое, я сейчас познакомлю вас с ратником. Данное программное обеспечение носит двойное назначение, даже если вы покупаете ратник, то не факт что вы его будете использовать в вредоносных целях. Ведь фактически все утилиты удалённого администрирования, а это тот же Team Viewer, RAdmin - являются ратниками. Но главное отличие ратников, продающихся на форумах в том, что они позволяют скрыть самого себя от жертвы, причем и их можно использовать вполне легально. Ведь согласитесь, если данное программное обеспечение будет применяться на какой-нибудь из фирм, где руководитель хочет следить за деятельностью своих сотрудников, он будет нарушать закон? Конечно же нет. Но, а если же человек будет это программное обеспечение распространять по интернету для заражения пользователей, то тогда это уже можно расценить, как злой умысел. Поэтому, я бы отнес данный вид программного обеспечения именно к товарам двойного назначения.

Что позволяет делать ратник?

  • Удалить сам ратник.
  • Выключить компьютер.
  • Отключить интернет.
  • Использовать заражённую машину, как дедик или прокси сервер.
  • Написать хозяину ПК сообщение.
  • Вести логи всех нажатых клавиш.
  • Подгружать другие вирусы.
  • Скачать любой файл с компьютера.
  • Открыть вебсайт.
  • Посмотреть вебкамеру и включить запись.
  • Послушать микрофон и включить запись.
  • Наблюдать за рабочим столом жертвы в реальном времени, а также при желании записывать её рабочий стол на видео.
  • Открыть терминал.
  • Своровать все пароли, которые хранятся на ПК.
  • Использовать данную машину в качестве части ботнета (в т.ч. для DDoS атак)
  • Полный доступ к абсолютно всем файлам.

И многое другое, зависит от разработчика. Я описал возможности стандартного, классического ратника.

К слову, новость для тех, у кого стоит Windows или MacOS, - у вас уже вшит ратник от компаний производителей. Это подаётся под видом технической поддержки, якобы, у вас что-то сломается и и бравых работник технической поддержки сможет к вам подключиться в любое время и помочь.

Где взять ратник?

Как правило, все ратники, написанные кодерами из СНГ, не заслуживают никакого вообще внимания (из тех, что я юзал). Это кривые, косые уродцы и кодят их очень больные люди. Безусловно, есть и хорошие разработки, но стоимость их начинается от 1000$, поэтому не все смогут себе это позволить.

Давайте теперь представим, что мы хотим заражать устройства в корыстных целях. У нас в кармане есть 100$, что мы можем сделать? Любой человек зайдя в даркнет или даже на форума в клирнете, сможет найти всё, что ему необходимо.

Хочу отметить, что в каждом втором ратнике, который встречается в СНГ, есть функция криптора, не путайте теперь с тем криптором, который шифрует файлы на ПК. Так вот, Ратник в обязательном порядке необходимо криптовать. После этого у вас будет всё будет готово и вы сможете заразить большое количество компьютеров.

Почему?
Потому, что среднестатистические пользователи в основном надеются лишь на антивирус.

Для этого нам и нужен был криптор. Давайте рассмотрим его более детально. Дело в том, что вредоносное программное обеспечение после создания билда (.exe файла) очень часто палится антивирусами.

Почему оно палится антивирусами?

Потому что антивирусы работают на двух основах:
1. Поведенческий анализ.
2. Структурный (сигнатурный) анализ.

Что такое структурный анализ? Есть определённые антивирусные базы, которые обновляются каждый день. Что это значит? Дело в том, что антивирусы анализируют структуру, то есть внутреннее составляющее программного обеспечения и определяют несёт ли оно какой-то вредоносный характер или нет.

Если говорить сильно упрощая, то это что-то типо реверс инженеринга, они рассматривают программу изнутри. Для того, чтобы защититься от такого метода анализа вирусов антивирусами нам и нужны крипторы. Они запутывают код программы, не нарушая при этом её функционал.

Объясню по простому: вы умеете читать на русском языке и когда видите слово "вирус", то понимаете что оно означает, но если слово "вирус" перевести на китайский язык, то вы не поймёте, что там написано. Немного неточный пример, но ясна. Именно поэтому мы, хакеры, используем крипторы. В рунете найти криптор который будет фудом - FUD, то есть Fully UnDetectable:

FUD означает, что 0 антивирусов увидели наш вирус после проверки.

довольно таки сложно, и если найти его, то максимальный срок жизни у него будет всего 1-2 дня максимум. Зато на западных порталах найти криптор который держится неделю и месяц не составит особого труда. Есть так же трояны уже со встроенным криптором. Фактически такое программное обеспечение может жить на компьютере пользователя и пол года и год, пока разработчик не прекратит его поддержку. Так же не забывайте, что криптор - это товар двойного назначения. Вы можете зашифровать им вредоносное программное обеспечение, но вы также можете зашифровать какую-то вашу полезную программу, чтобы никто не смог, в том числе конкуренты, провести реверс инженеринг и украсть ваши разработки.

Стиллер

Далее у нас идёт стиллер. Опишу его очень кратко. Основная его задача - вытащить куки и все введённые вами пароли из браузеров.

В общем, взял любой школьник 100 долларов, снял себе VDSку, купил стиллер и превратился в "хакера".

Клиппер

Клипер позволяет заменять у людей платёжные данные на свои. Представьте себе, вы сделали рассылку этого клипера на 100 тысяч компьютеров, из 100 тысяч, пусть 25 тысяч его скачало. И вот фактически 25 тысяч устройств вы контролируете постоянно, из этих устройств идут какие-либо платежи. Хотя бы 5 тысяч людей делают платежи, а их данные клипер подменяет в автоматическом режиме. Например, человек переводит деньги со своего киви кошелька на другой, вставляет номер +79001002030 и отправляет деньги, но они уходят не туда, а на ваш киви кошелёк, который прописан в панели клипера. Тоже самое происходит с криптовалютными и другими кошельками.

Сетевой червь

То, что сейчас вы видите на картинке выше, ярко иллюстрирует собой работу данного червяка. Что такое сетевой червь? Это программное обеспечение которое настроено на самораспространение. При попадании в локальную сеть оно распространяется на все находящиеся там устройства. Это одно из немногочисленных явлений в рунете, встречается довольно редко и ещё реже пользователи, которые заражаются червяком знают, что это действительно червяк. Механику его я рассматривать не буду, она скучна. Половина заснёт, а половина не поймёт, о чём я пишу. Просто запомните, что есть такое вредоносное программное обеспечение, которое позволяет хакеру произвести заражение полностью всей локальной сети. Если в ваш компьютер нельзя проникнуть из вне, то в него можно проникнуть изнутри, и одно заражённое устройство заразит все остальные устройства которые находятся в вашей сети.

Защита

Теперь я бы хотел углубиться в момент защиты от всего этого. Принято считать, что от вредоносного программного обеспечения вас защитит антивирус. Как я уже говорил, антивирусы работают на двух основных постулатах: поведенческий и структурный анализ.

Структурный анализ можно обойти с использованием криптора. Поведенческий анализ можно обойти правильным написанием функций. Соответственно, антивирус, как таковой, ничем вам помочь не может, вообще ничем.

Что же может вам помочь? Мы не будем рассматривать сейчас песочницы и виртуалки, это тема для отдельной статьи. В основном, если брать вредоносное программное обеспечение, то вам бы замечательным образом помог Linux.

Почему? Потому, что большинство вредоносного программного обеспечения написано для Windows. Не потому, что его проще написать, а потому что 90% всех людей в мире используют Windows. Соответственно, экономически выгодно писать вирусы именно под данную ОС, так как больше людей можно заразить. Поэтому найти рабочий вирус под Linux в 10 раз меньше

Что вам может помочь ещё больше? Вам может Firewall:

Итого

Антивирусы помочь вам не могут, как и браузеры. Фаерволы помочь вам могут, причем очень хорошо. Что вам ещё может помочь? Как вы можете обезопасить сами себя и проверить свой компьютер на наличие вредносного программного обеспечения?

Вы можете провести анализ сетевой активности. Это поможет понять, какие именно программы пытаются выйти в сеть и с чем соединиться. Есть такая замечательная программа для этого, называется GlassWire, заодно увидите куда ломится ваш Windows каждые несколько секунд и куда сливает всю информацию. Вы сможете посмотреть, какое программное обеспечение запущено, куда оно непосредственно хочет зайти, где оно находится и какой тип трафика сейчас на вашем ПК используется.

Да кстати, вот старая статья, но она полностью актуальная. Вы сможете лично убедиться в том, что ваша операционная система Windows соединяется с серверами Microsoft 4000 раз за 1 день: https://xakep.ru/2016/02/12/windows-10-watching-you

На этом я заканчиваю сегодняшнюю статью. Спасибо за внимание!

👉Да, хочу!ᅠ