October 19, 2020

Безопасность администратора ботнета

В третьей части мы разберём безопасность администратора ботнета, если не читали предыдущие статьи, то советую сначала ознакомиться с ними.


Безопасность администратора

И так это одна из главных статей данного интенсива, которую нужно хорошо знать.

Поиском администраторов ботнетов занимаются не только спецслужбы стран, но и корпорации фирм, у которых есть возможности и специальные отделы. Каждый инцидент заражения компьютеров, детально мониторится и отслеживается, на разных уровнях.

На первом уровне стоят десятки тысяч ханипотов.
Задача Honeypot - подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого - привлечь внимание взломщиков.

Сюда входят виртуальные машины антивирусных компаний, и ряд машин разных стран.

По итогу, при заражении 1 тыс шт машин 0.5-2% ханипоты.

При попадании вашего закриптованого зверя на сервер-ловушку, он анализирует его поведение и присваивает категорию файлу(вирус, троян, эксплойт и т. д).

После этого направляет в хранилище, дает уникальный номер и находит аналог поведения, для определения с какого кода он был сложен. Допустим это zeus, на базе которого создали большое количество новых вирусов.

И так, при компиляции любого файла, в исходник всегда зашивается инфа создателя, там сотня ID кодов которые могут определить устройство с которого было все создано. Это касается не только компиляции, но и jpg rar zip doc и т. д. Все файлы которые имеют exif.

EXIF - стандарт, позволяющий добавлять к изображениям и прочим медиафайлам дополнительную информацию (метаданные), комментирующую этот файл, описывающий условия и способы его получения, авторство и т.п. получил широкое распространение в связи с появлением цифровых фотокамер. Информация, записанная в этом формате, может использоваться как пользователем, так и различными устройствами, например, принтером.
Стандарт EXIF является чрезвычайно гибким (например, позволяет сохранить полученные с приёмника GPS координаты места съёмки) и допускает широкое развитие - как правило, фотоаппараты добавляют к файлу информацию, специфичную только для данной конкретной камеры. Правильно интерпретировать такую информацию могут только программы от изготовителя фотоаппарата.

Вот тут программы которые работают с exif -> (кликабельно)

В итоге при получения достаточного количества данных с вашего зверька или с спам рассылки оперативникам не нужно блокировать домены или сервер, им достаточно найти вас используя свои каналы мониторинга сети и найти именно ваш отпечаток среди миллиона сетей. Как показывает практика, на данный момент это используется очень активно. Первое, что проверяют- это первое обращение к домену ботнета, создание домена, покупка и т. д.
Далее поднимаются системы глобального поиска по ID, файлообменники (типа меги), хранилища, мобильный трафик, логи и еще десяток запросов, и это все на автоматическом режиме, минимум работы оператора.

При нахождении администратора ботнета начинается детальный сбор данных на физического человека, который допустим сидит в РУ, никто не торопится его сразу же принимать т.к. у каждого государства свои законы и это просто очень долгий процесс. Все банально просто, они заносят его в свои списки, на который ставят уже более серьезный анализатор его сети, ( а сюда входит, мобильный трафик, телефонный разговоры(в любой стране), роутера, работа реал, виртуал, знакомые, родные и т.д. С того момента все собирается в несколько раз сильнее.

Когда материала будет предостаточно, человека заносят в черные списки разных союзных государств, при пересечении границ вас принимают и депортируют. Далее шьют папки томов, и садят на достаточно долгий срок.

Так что данная тематика безопасности на начальном этапе работы очень важна, и к ней нужно подойти ответственно.

В данной статье все тонкости безопасности не вложить, так как затянется это на месяцы времени и сотни книг.

Я лишь могу вам посоветовать найти людей, кто за короткие сроки даст вам самую необходимую консультацию и настройку ваших систем. Самим постигать эту тему уйдет уйма времени и денег, куча ненужной информации.

Мы разберем сейчас пару моментов, которые будут базовыми по настройке вашей работы.

1) Для работы понадобится исключительно новый ноутбук(отключаем, вайфай плату, камеру, микрофон, динамики, блютуз модуль, тачпад, сенсоры отпечатков, в некоторых есть gps). Ноутбук сенсорный не подходит, также любое яблоко нельзя.

2) Вся техника Apple должна быть продана, телефоны, ноутбуки, планшеты, боксы, и т.д. Постарайтесь избавиться от этой техники и заменить всем своим родным - конечно это бывает трудно, но все же.

3) Для плотной работы вам нужно создать или купить реальный легальный бизнес, на который вы будете ходить как на работу, минимизируйте ваше время, наймите администратора который будет выполнять всю работу в вашем реальном бизнесе. Без реального бизнеса со временем могут возникнуть вопросы к вам, откуда вы получаете доход. Так что этот пункт имеет свои плюсы в будущем. Не важно чем будем заниматься, то ли продажа бумаги, ларек с сигаретами, брачное агентство, направлений много.

4) Все ваши родные близкие, друзья, бабушка, дедушка, сестра, брат, теща не должны знать чем вы занимаетесь, в 80% они же вас и сольют. Умейте правильно формировать круг общения и не в коем случае по пьяному не трепаться.

5) Все ваши btc заработаные в сети отмывайте не жалея проценты на конвертации.
btc+monero1+monero2+btc
Найдите карту, на которую можете выводить чистые btc, а еще лучше менять у менял на нал используя своих людей.

6) Используйте только usb девайсы(вайфай, модемы и т.д.).

7) Пользуйтесь усилителями вайфай usb + ломайте сети вайфай или используйте модемы с симками на левых людей, ни в коем случае не юзайте домашний или мобильный интернет. Если и пользовались, то лучше продайте технику всю какая имела с вами контакт.

8) Живите проще, не нужно показывать что вы переживаете за работу или чего-то боитесь. Вы честно зарабатываете деньги, у вас есть свой маленький реальный бизнес, вам нечего бояться. Обычно если приходят правоохранительные органы, в большой вероятности, что вы где-то проболтались и вас пришли тупо пробивать и раскручивать. Имейте много знакомых, возьмите пару десяток визиток толковых адвокатов, выпишите телефоны доверия.


Плавно перейдем в практическую часть:

И так у нас есть новый ноутбук, свой рабочий кабинет, интернет.

Подготовим наш основной ноутбук.
Ставим ОС Debian или Ubuntu, забудьте вашу любимую Windows 10, на основе- это враг номер один, не буду углубляться в системы логирования сетей, могу одно сказать, что тотально ID ваших пакетов отправляется на сотни серверов, а это один из механизмов вашей идентификации.

Конечно базовая Ubuntu или Debian так же имеет свои минусы, есть и сервисы которые также отправляют данные, но это все удаляется без особого труда.

Вам нужно время для понятия всех тонкостей работы осей, а значит и нужен тот человек, который вам даст именно ту важную настройку или информацию.

Да 95% всех зевак которые сразу же лезут в эту тему не имея базовых знаний анонимности в итоге теряют больше времени в местах отдаленных.

Конечно если вы проработали в данной тематики годы без каких либо защит, то вероятно вы уже на контроле. Выход один, или полная тотальная смена личности в интернете, или уход в белый бизнес.

И так, вы поставили базовую ОС линукс, теперь вам нужно поставить несколько вируталок(тех же линукс), фаервол, на котором вы сможете мониторить весь трафик поступающий на ваши виртуальные сети.

Используйте связки тор сетей, впн, даблвпн, ssh и т. д., также желательно обзавестись персональным сервером или убунту с GUI RDP или windows.

Конечно все нужно криптовать, все диски систему, все удаленно выполняется без особых проблем, главное закрыть сервисы и удалить логирование.

Используйте ваш удаленный сервер как ваш ноутбук, не палите его, поднимайте там такие же связки и используйте как первую линию вашей защиты. Делайте бэкапы только в крипто-контейнерах минимум 40-80 символов. По возможности храните в облаках ( только контейнера).

На вашем рабочем ноутбуке не должно быть никакой противозаконной информации, все хранится только удаленно.

Все ваши кошельки по возможности тоже храните удаленно, используйте только тор сеть работы с кошельками, никаких приложений на телефонах, гаджетах, никаких впн, тем более на мобильных.

Для апп используйте отдельно телефон, который работает только через вайфай, а еще лучше попросите в сервисе выпаять gps, камеру, микрофон, и модуль gsm. Никаких сенсоров отпечатков. Ищите бюджетные китайские смартфоны, которые не жалко раз в три месяца менять.

Минимизируйте технику, чем меньше гаджетов тем спокойнее жить.

Если есть возможность, вытяни с рабочего ноутбука SSD и загружайся с криптованной флешки, ее проще уничтожить, чем весь ноутбук, работайте без батареи, просто отключите вашу батарею и работайте напрямую с сети, так проще обесточить его, если для этого вынуждает ситуация.

Если есть знакомый токарь, закажите незаметный шредер, который будет похож на небольшое мусорное ведро, с мощным движком и валами, при включении он за 5 секунд перелопатить несколько ноутбуков, флешки и т. д. ( это не очень дорого стоит, но вещь эта незаменима). Кстати, недавно этот девайс спас одному человеку жизнь.

Найдите человека в вк в СНГ кто занимается ремонтом ноутбуков, поищите все на данную личность, вплоть до паспортных данных, используйте его данные для некоторых регистраций, это усложнит поиск вас как личности.


В заключении:

Не стоит экономить на вашей анонимности, постоянно меняйте свои сервера, vpn и т.д.
Будьте умнее, просчитывайте ходы наперед, минимизируйте круг знакомых в сети, меняйте ваши виртуальные личности по возможности.


На этом сегодня всё, в следующей статье начнём разбирать уязвимости.


🌌Dark Warehouse - Склад интересных вещиц.

🕸Shadow Shop - Магазин цифровых товаров.

💎RefPay - Бот для пассивного дохода.

💬Lamers Chat - Свободный чат. Общение на любые темы.