@counter

Где брать логи и как с ними работать. Криптологи

2023-12-11T10:06:12.420Z

Данная статья будет полезна тем, кто только начинает осваивать работу с логами. Сегодня мы поговорим про импорт данных в браузер, обработку
файлов криптокошельков и прочие интересные плюшки.

Автор данной статьи не несет никакой ответственности за ваши действия - материал только для ознакомления :).

Где взять логи? Покупка собственного софта и получение трафика требует буквально огромных вложений с вашей стороны, поэтому, если вы новичок, то советую просто купить логи.
Купить можно тут: @HQLOGBOT (КЛИК).

В самом логе видим:

Обычно все папки с говорящим названием, запутаться сложно. В файле информации можно найти полезные сведения о системе такие как: ip, страна, город, имя пользователя, версия и разрядность Windows и прочее.

Браузеры

Для импорта куков нужен определенный браузер или плагины импорта куков к нему. Самый бичевый вариант - Mozilla 53 + плагин CookieIE, самый мажорный - LinkenSphere.
Мозиллу с плагином можно скачть тут: https://www.sendspace.com/file/11ckff (пароль 12345)

Чтобы обойти простейший антифрод и скрыть свой ip можно и нужно использовать приватные прокси.

Алгоритм:
1) Чистим куки и историю в браузере (Options - Privacy - remove individual cookies)
2) Подключаем прокси той страны и того города, откуда лог (Options - Advanced - Network - Settings)
3) Жмем в браузере F10 - Tools - Import Cookies и импортируем файл с куками
4) Работаем

Файлы криптокошельков

1) wallet.dat
Для чека таких файлов нужно скачивать клиент (Bitcoin-qt и прочие) и докачивать весь блокчейн (гигабайты записей). Самый простой способ - дать такой файл на обработку (на некоторых форумах есть люди, занимающиеся этим).

Если файл от кошелька Bitcoin-qt, то баланс можно проверить простым способом: открываем файл текстовиком и ищем в нем слово "name" (без кавычек). Если после слова есть кошелек, проверяем его баланс в блокчейне (https://www.blockchain.com/).

2) Кошелек Exodus

Скачать можно тут: https://www.exodus.io
Все что нужно сделать - заменить файлы в папке %AppData%\Roaming\Exodus\exodus.wallet\ на файлы из лога и запустить клиент.
[*]3) Кошелек Electrum
[*]
Скачать можно тут: https://electrum.org/#download
Открываем клиентом файл из лога, подбираем пароль (пароли браузеров и текстовки с рабочего стола вам в помощь).

Steam

Если на аккаунте не включена 2fa, то можно зайти в аккаунт стим без подтверждения по почте.

Алгоритм:
1) Завершаем все процессы Steam
2) В папке установки стим заменяем ssfn* файлы
3) В папке config заменфем файлы config.vdf и loginusers.vdf
4) Запускаем стим

Telegram

Заменяем файлы в папке %AppData%\Roaming\tdata\ на файлы со стиллера и запускаем телеграм.

Discord

Скачиваем раширение для Chrome: https://www.sendspace.com/file/8qnu05 (12345)
Переходим в chrome://extensions, включаем режим разработчика, в выпадающем окне жмем Загрузить распакованное, выбираем папку с извлеченным плагином.
После этого переходим на сайт дискорда, через плагин заменяем токен и читаем переписки.

Также существует софт для экспорта чатов: https://github.com/Tyrrrz/DiscordChatExporter
Вставляем токен, выбираем чат, экспортируем, читаем.

FileZilla

Просто открываем файл в текстовике и смотрим данные от хоста. Пароль закодирован в base64, раскодировать можно тут: base64decode.org

На этом все, берегите себя и своих близких.

Как отрабатывать логи Redline, Raccoon, Aurora. Что такое логи и как с ними работать?

2023-12-11T10:00:06.382Z

Как верно обрабатывать лог? Где их брать? Какие риски? - подобные этим вопросы могут, да и скорее всего уже мучали тех, кто впервые пытался заняться чем-либо в этой сфере.

Может казаться, что это что-то непостижимое и глубоко секретное, но это не так и эта статья здесь как раз для того, чтобы доказать обратное.

Итак, давайте начнём с получения лога. Самый быстрый и доступный вариант на данный момент - элементарная покупка. Купить логи можно тут: @HQLOGBOT (tyk)

После осуществления покупки перед нашими глазами появится, собственно говоря, сам архив, содержащий в себе всё необходимое:

Отлично! Распакуем и глянем что внутри:

Содержимое архива

Давайте быстро, кратко и понятно разберём, что именно находится в архиве:

Частые папки

Следующие папки скорее всего будут присутствовать в логе, если пользователь удовлетворяет условиям их создания (Если нет Стима или Дискорда - соответствующих папок также не будет. Но будьте осторожны! В обрутную сторону это не работает. Т.е. отсутствие папки не всегда означает отсутствие сервиса, но отсутствие сервиса всегда означает отсутствие папки).

Autofills

Что же такое AutoFills? Обратимся к прямому переведу и получим “автоматическое заполнение”, что довольно точно передаёт суть содержимого папки.

Каждый из нас, скорее всего, хоть раз в браузере сталкивался со следующим окном:

Предложение браузера об автозаполнении

Именно такие данные папка и хранит. К примеру в данном случае, Яндекс запомнил значение "Вилкин" для поля "surname" (скорее всего), а потому сразу же их мне предлагает.

Пример содержимого папки

Как видно на скриншоте - название файла репрезентует браузер-источник автозаполнений, коим в нашем случае является хром.

Внутри же нас скорее всего встретит текстовый файл такого формата:

Пример текстового файла

В каждом поле, как уже был приведён пример, можно увидеть название поля, в которое выполняется автозамена, а также и само заполняемое значение под названиями "Name" и "Value" соответственно.

Для пущей понятности:

Name - название поля автозамены.
Value - значение, на которое производится замена.

Если бы вы меня взломали, то увидели следующую картину (по приведённому выше примеру):

Name - "surname"
Value - "Вилкин"

Данная папка вполне полезна - повествует нам многое о пользователе, значениях, которые могут по итогу оказаться чем-то важным и играющим роль во время работы с логом. К примеру, адрес, почтовый код, номер телефона, имя или любая другая полезная штука. По этим же значениям можно определить основную почту пользователя или название основного аккаунта - обо всём нам расскажет частота использования.

Cookies

Ах, куки, как много в этом слове...

Впрочем же, именно они будут составлять огромную часть работы с логом, а потому важно детально их разобрать и понять, что они значат.

Если говорить сухо:

Куки (кукисы, cookie) – это файлы с информацией, полученной при посещении веб-ресурса. Информация хранится на жестком диске вашего компьютера, а в ней отображаются ваши предпочтения, наиболее часто посещаемые тематики, логины и пароли.

А если говорить проще, то куки можно считать сохранённым куском сессии пользователя. Таким образом, если у нас нет от почты пароля и логина, то мы всё равно, что удивительно, можем зайти по этому самому куску! Тоже самое можно провернуть с любым сервисом, сохраняющим куки.

Логично, что, если в конце сессии пользователь вышел из своего аккаунта и в таком формате было создано куки - мы уже таким же образом не сможем войти. Вход по куки можно также считать продолжением сессии предыдущего пользователя, а соответственно если таковая окончилась на выходе из аккаунта, то тут уже ничего не попишешь.

Иногда папка может отсутствовать. Это происходит в случае, если компьютер жертвы не даёт сторонним программам вытаскивать данную информацию.

Таким же образом, как и в папке AutoFills, названия файлов обозначают браузер, из которого взят куки. Кроме того, уже в отличие от предшествующей папки - после информации о браузере можно увидеть “Default Network” или же “Profile X” (На месте X любая цифра). Это означает профиль браузера. Если это стандартный пользователь\профиль - стоит “Default Network”, иначе, что обычно распространено в семьях для удобства её членов, “Profile”.

Пример содержимого папки

Содержимое файлов для нас не играет особой роли сейчас - на данном этапе с ними мало, что можно сделать. Но как только мы перейдём непосредственно к работе это изменится.

Можно лишь посмотреть на дату создания файлов - если она достаточно старая, то наши куки, что вполне возможно, уже мертвы. Т.е. войти по ним на почту или аккаунт уже не получится.

Discord

Тут находится токен дискорда - это уникальный ключ учетной записи, состоящий из ряда цифр и букв. По нему можно войти в аккаунт дискорд следующим образом:

Вручную:

Открываем основную страницу дискорда в браузере:

Открываем меню разработчика (F12) и переходим в раздел Console:

Затем вставляем следующий код:

function login(token) {
 setInterval(() => {
  document.body.appendChild(document.createElement`iframe`)
         .contentWindow.localStorage.token = `"${token}"`;
 }, 50);
 setTimeout(() => {
  location.reload();
 }, 2500);
}
login('ваш токен')

где на месте слов ваш токен должен, соответственно, быть ваш токен:

Нажимаем кнопку Enter, ждём немного... И вместо кнопки "Вход", у нас что-то новенькое! Нажимаем и наслаждаемся!

Более автоматизированный:
Для начала установим следующий плагин - https://chrome.google.com/webstore/detail/discord-token-login/ealjoeebhfijfimofmecjcjcigmadcai

Затем входим в него, вставляем наш токен:

Нажимаем Login и готово!

Для отработки не самая важная штука, но, впрочем, занятная в плане информации которую можно получить из переписок пользователя.

Steam

В папке стим единственное, что можно разглядеть с первого раза, так это куча, как может показаться, ненужного мусора. На самом же деле данная папка - супер-удобная штука.

Давайте начнём с первого и самого интересного. Именно это нечто поможет нам понять, что у нас за пользователь на руках даже без входа в его почту. Что же за нечто, спросите вы? Файлик “loginusers.vdf”!

А вот и он!

Откроем его через текстовый редактор и увидим кучу не совсем понятной нам информации... Что именно нас тут интересует, так это следующие цифры в файле:

Внимательный пользователь также может заметить другое интересные параметры, соответствующие аккаунту пользователя и его предпочтениям, но пока сфокусируемся на цифрах. Вставляем в следующую ссылку наши цифры - steamcommunity.com/profiles/цифры/ (вместо слова цифры наше значение).

Перейдём:

Поздравляю, мы вышли на профиль нашей жертвы! Можем увидеть её уровень, кол-во предметов в инвентаре, достижения, игры (если не закрыты) и в целом собрать общую информацию перед тем, как начинать непосредственную работу.

Раз уж заговорили про использование файлов из этой папочки, то доведём дело до конца! Давайте разберёмся со Steam Guard! Да, возможно, эта часть статьи понадобится вам лишь позже, но лучше расставить все точки над “и” сейчас.

Для начала выйдем из стима:

И перейдём по следующему пути: C:\Program Files (x86)\Steam\config

Видим знакомый файл "config.vdf", который нам следует заменить эквивалентом из лога.
Заменяем:

Теперь полностью удаляем содержимое следующих папок:

C:\Program Files (x86)\Steam\appcache
C:\Program Files (x86)\Steam\userdata

Возвращаемся в C:\Program Files (x86)\Steam\ и там ищем свой файл ssfn:

И снова заменяем нашими ssfn из лога и удаляем оригинальный:

Теперь просто заходим в Steam через Big Picture и нет у нас никакого Steam Guard (пароль всё ещё необходимо подбирать).

Редкие папки

Эти папки, вполне возможно, не будут присутствовать в логе, но могут стать приятным дополнением!

FileGrabber

Вновь, обратимся к прямому переводу! "Перехватчик файлов" довольно точно описывает содержимое папки. В ней хранятся папки и файлы с компьютера жертвы, которые стиллер (сама вредоносная программа, передающая информацию) смог ухватить.

Не удивляйтесь вложенным папкам друг в друге - всё расположено также, как и в пк пользователя. Т.е. если в папке X лежала папка Y, то в логе это их свойство сохранится.

Содержимое папки в моём случае:

Содержимое папки TooLongDir:

И интересное содержимое текстового файла:

))))

Содержимое папки Users:

Содержимое папки User:

Очередное занятное ветвление! В папке Desktop было чисто, а соответственно сразу же перейдём к самому интересному:

Таким образом мы пришли от порно игр до информации об играх и лаунчерах пользователя! Лучше и не придумаешь) Впрочем, обычно в папке Documents и Desktop обычно и лежит основная и важная нам информация почти гарантированно.
На своём примере я показал как работать с данной, безусловно, полезной и, порой, забавной папкой.

Wallets

Хранит в себе информацию о десктопных и электронных кошельках пользователя. Т.к. в моём логе её нет, возьму пример с другого:

Содержимое - папки одноимённых кошельков и соответствующая информация о них.

На данном этапе мы с этим ничего не можем сделать, но если данная папка у вас таки есть, то можно сказать, что вам, вполне возможно, сильно повезло, ибо с помощью имеющейся информации зачастую можно оформить вывод или что-то подобное. Все дальнейшие действия уже прямая часть отработки лога, чему нужна уже отдельная статья.

FTP

В этой папке хранятся файлы из файловых менеджеров по типу FileZilla, TotalCommander, а также информация о серверах входа пользователя. Наличие чего-либо в данной папке указывает на наличие у жертвы сервера, дедика (удалённого компьютера\сервера, работающего 24\7) или сайта.

Пример содержимого:

В нашем случае жертва вполне возможно владелец указанного сайта или проживает по указанному адресу. Впрочем, даже данная информация зачастую может быть полезным при работе, означать ip жертвы или позволить войти куда-либо.

CreditCards

Содержит в себе, что логично, информацию о кредитных картах пользователя:

ФИО владельца
Тип карты
Номер карты
Срок годности

Но где же самый важный параметр? Где же CVC\CVV? Обычно, увы, браузер их не сохраняет с ассоциируемой картой, а соответственно мы не можем их вытащить из этого файла.

Пример содержимого:

Сразу же простой вывод, который можно впоследствии подтвердить - карты, а соответственно и большая часть покупок скорее всего зарегистрированы на 5 профиль, куда и надо будет смотреть при отработке.

Пример самого файла:

Но логичный вопрос: "Зачем мне вся эта информация без CVC\CVV кода?".

Многие сайты могут потребовать такую инфу для восстановления чего-либо. Кроме того, отсюда же можно узнать имя жертвы.
CVC\CVV код иногда можно найти в папке AutoFills. Также, можно попытаться найти необходимую информацию из облачного хранилища, почты, каких-либо других данных пользователя.

Что делать в случае нахождения заветного кода - уже тема для отдельной статьи)

В целом удобная и полезная папка.

Telegram

Тут давайте коротко и по делу.

В папке - файлы сессии жертвы в Телеграмме. Если хотим в неё войти - просто переносим файлы из папки в нашу папку телеги на пк, заменяя предыдущие. Кроме того, можно воспользоваться и Telegram X для сохранения при этом вашей личной прошлой сессии.

В сессию может не пустить если изначальный пользователь поменял данные или запретил вход через сессию без пароля. В таком случае его можно попытаться подобрать, пользуясь папкой Passwords, о которой будет написано далее.

Из переписок и диалогов можно многое выяснить о пользователе или получить приватную информацию.