Одним из самых эффективных и популярных методов получения конфиденциальной информации является протроянивание пользователей. И хоть большинство людей считают этот прием банальным и детским, при использовании эффективного приватного софта даже самый бездарный сетевой отморозок может легко упереть все твои пароли и электронные деньги. Чтобы показать тебе опасность современных троянов, Master-lame-master нашел одного такого сетевого негодяя, который поведал о своих занятиях сетевыми грабежами. Читай, и не попадайся!
Хакерский арсенал
Однажды по счастливой случайности мне удалось достать приватный эксплойт к уязвимости COM Objects Instantiation для Internet Explorer (www.securitylab.ru/poc/222225.php). В отличие от показательных публичных релизов, этот сплоит действительно делал свое дело - фабриковал свирепый HTML-документ, после просмотра которого ослик послушно скачивал и запускал произвольный файл из инета. Что касается меня, то я давно занимаюсь различными махинациями и могу без труда впарить ссылку ушастому ламеру, чтобы посмотреть, какую инфу он хранит на своем компьютере. Но в данный момент мне хотелось чего-то большего, чем просто ламерский контент. Мой хороший знакомый, с которым мы вместе работаем, подогнал мне несколько e-mail-баз суммарным числом в 500000 русских почтовых адресов. По его словам, все эти базы он увел через взломанные форумы, на которых таился баг в нашумевшем модуле PHP-RPC. Глядя на все вышеописанное добро, ко мне пришла дельная мысль - проспамить на все эти адреса какую-нибудь левую ссылку, ведущую к HTML-документу моего нового троянца. Решение было классным, и я решил заняться этим темным дельцем. Однако прежде, чем приступать к наступлению, нужно было тщательно продумать механизм впаривания левой ссылки.
Рекламировать виагру и средство для увеличения половых органов мне не хотелось - уж очень все это банально и недейственно. Ссылки на «секретные базы данных» также были изначально провальным вариантом, ведь каждому пользователю в день приходит по сотне троянцев, разосланных именно таким способом. Нужно было найти новый прием, который еще мало обкатан или не обкатан вообще. И я его нашел. Как-то раз я получил в свой ящик письмо с адреса [email protected], в котором говорилось, что кто-то прислал мне поздравительную открытку. В теле письма находились две ссылки - одна, ведущая на скрипт получения открытки с ее номером, а вторая - на главную страницу сайта. Не знаю почему, но я решил кликнуть по второй - и был прав. Введя код открытки, я получил сообщение о том, что такого кода не существует. Этот факт заставил меня усомниться в политкорректности входящего письма. Посмотрев исходник HTML, я понял, что ссылка на получения посткарты подделана и ведет в неизвестное направление. Данный приемчик я взял на заметку, а чтобы у пользователей не было выбора, я решил просто убрать ссылку на главную страницу из письма.
И вот наступил долгожданный момент. Настроив DarkMailer на виндовом дедике и подвязав к нему файл с проксиками, я нажал на Start. В течение определенного времени программа трудилась над рассылкой сообщений, и вот ей это удалось. С огромным нетерпением я стал дожидаться результата своей работы.
Сделаю небольшое лирическое отступление и расскажу о трояне, который скрывался за сфабрикованным документом. Эксплойт успешно транспортировал файл 1.exe на компьютер жертвы. Под этим именем находился продвинутый формграббер, который умел грабить все вбитые формы за определенный период, а также забирать с компьютера пароли, WM-ключи, сертификаты и прочие полезные вещи. Данный трой жил на зараженной машине ровно два дня, а затем сам себя уничтожал, перед смертью посылая заветные логи на мой e-mail. Таким образом, мне нужно было подождать всего двое суток, чтобы увидеть первые результаты атаки.
Разбор полётов
Как и ожидалось, в течение двух-трех дней моя почта была завалена всяческими логами. Их, конечно, было не полмиллиона, но 200-300 машин мне точно удалось заразить. В журналах формграббера находилось много всякой ерунды - логи каких-то чатов, аккаунты на порносайты и, разумеется, пароли на почтовые ящики и FTP-сайты. Особенно мне запомнились два человека, которых мне удалось раздеть до нитки (ну и урод же ты! - прим. ред.). Об этих типах я расскажу тебе в красочных подробностях.
Просто Андрей
На третий день на почту упал лог о компьютере с именем Andrew. Судя по всему, его хозяин проживал в столице, так как машина имела московский айпишник. Лог занимал всего пару килобайт, но информация была довольно ценной - троянец успешно утащил kwm-ключ, три пароля на WWW-ресурсы, а также WM-идентификатор клиента. Я был полностью готов к операции «похищение WMZ».
Первым делом мне пришлось привести в исходный вид kwm-ключик. Он засылался в BASE64-кодировке, которую нужно было перевести в бинарный вид. Для этого я воспользовался online-декодером, который доступен на странице www.motobit.com/util/base64-decoder-encoder.asp. Введя в форму зашифрованный текст, я выбрал тип Encode и назвал файл 1.kwm. По завершению операции, на моем HDD находился рабочий ключик WebMoney. Далее я запустил VPN-соединение и WM-keeper. В последнем ввел WMID, полученный троянцем, и пароль. Что касается пассворда, то я был уверен в его правильности, так как все отснифанные пароли были одинаковыми (keyboard - правда, хороший пароль? Переварив первичные данные, кипер попросил указать файл ключей. «Всегда пожалуйста!», - сказал я, и скормил программе свеженький 1.kwm. Через полминуты WM-кипер сообщил, что вход удался, но, к несчастью, затребовал активацию. Я пока отложил этот этап, решив посмотреть, стоит ли игра свеч. Оказалось, что стоит, - на Z-кошельке находилось $1520. Кроме того, на рублевом счете было достаточно средств, чтобы сходить в элитный ресторан. В общем, слюнки у меня потекли сразу после того, как я визуально оценил баланс.
Но, к сожалению, это все было read-only. Чтобы перевести баблос, нужно было ввести код активации. А для этого надо было иметь доступ к почте. Благодаря троянцу я получил логин и пароль к ящику на mail.ru, куда и направил свой браузер. Однако моя радость была недолгой - на Mail.ru мне сообщили, что аккаунт был зверски удален и предложили мне его восстановить. Я согласился и заново переслал код активации, но безуспешно. Тогда мне в голову пришла идея посмотреть детали аккаунта. И там я увидел совершенно другой e-mail, ведущий в домен третьего уровня *.net.ru (в интересах моего приятеля реальные адреса не разглашаются). Зайдя туда по WWW, я во второй раз разочаровался - домена не существовало. Первые мысли были не самыми оптимистичными, но все же я попробовал выполнить команду host domain.net.ru на моем linux-сервере. Результат показал, что домен существует, но частично. A-записи для хоста не существовало, но MX-рекорд был. И вел на живой айпишник, где были запущены как POP, так и SMTP-сервис. Законнектившись на 110 порт, я попробовал авторизоваться в виде user/pass. Обломался. Попробовал еще раз, но в виде user@domain/pass. Вуаля! Сервер ответил, что для меня есть 10 новых сообщений, два из которых содержали коды активации.
Осталось вывести все финансы на мой кошелек. Делать это напрямую не очень хотелось - у владельца имелся персональный аттестат, поэтому он мог подать иск в арбитраж для дальнейших разбирательств. Я решил сделать немного по-другому. А именно, воспользовался услугами online-обменника, переведя все средства на bitcoin, похищенный мной у одного амера пару лет назад. Затем перевел эти бабки уже через другой обменник к себе на кошелек. Надо сказать, что у меня имеются несколько идентификаторов, которые я регулярно меняю после каждой подобной транзакции. А рублевые финансы я оставил законному владельцу - я не жадный, пусть с горя пробухает их в элитном ресторане.
Карточный магнат Владимир
Этот лог выделялся сразу. Сплошь и рядом виднелись формы одного московского ресурса. Как оказалось, посвященного продаже PIN-кодов карт. Таких магазинов много: пользователь платит через Webmoney или другой системы и получает взамен PIN-код. Лог с именем «Владимир» показал, что обладатель компьютера принимает непосредственное участие в жизни интернет-магазина. Замаскировавшись, я зашел в админку магазина и обнаружил там различные сценарии администрирования. К моему сожалению, поживиться там было просто нечем. Базы PIN-кодов были недоступны, можно было разве что сделать дефейс, добавить новую карточку или изменить курс доллара. Этот расклад меня нисколько не устраивал, поэтому я стал детально анализировать логи. И мне встретился еще один замечательный ресурс под названием www.mts.ru. Как оказалось, Вовчик активно пользовался сервисом ISSA (Интернет Система Сервис Абонента), которая позволяла удаленно управлять лицевым счетом пользователя. Незамедлительно направив туда свой браузер, я успешно залогинился в системе. На счету у Владимира было 4 тысячи рублей, что еще раз доказывало принадлежность к интернет-магазину. Первое, что мне захотелось сделать - отправить детализацию звонков на почтовый ящик с целью ее изучения. Учитывая тормознутость МТС, деталька дошла до меня только через полчаса. Вовчик звонил на 3-4 номера, один из которых был самым распространенным. Как оказалось, этот мобильный принадлежал хозяину магазина Alex'у, его данные, включая этот телефон, были выложены в разделе «Контакты». В моей голове медленно созревал план захвата, который мог позволить разжиться несколькими телефонными карточками.
2. Формграббер или, собственно, троян, который высылает все полезные сведения на хакерский почтовый адрес. Покупается на тех же форумах, либо пишется самостоятельно. Но учти, что сигнатура у подобной штуковины должна быть уникальная и постоянно меняться, чтобы антивирусы не опознавали заразу.
3. Средство рассылки по E-mail или ICQ. Про ICQ-спам уже писали, поэтому софт у тебя наверняка имеется. Что касается e-mail спама, то могу от чистого сердца подарить тебе элитную программу DarkMailer.
4. VPN и безопасные проксики. Где их найти, ты уже знаешь. А если не знаешь - перерывай прошлые выпуски Х.
5. Мозги и прямые руки. Это тебе понадобится при дальнейшем разводе людей или анализе логфайлов троянца.
Что помогло мне при взломе?
Я подсмотрел и заюзал чужой нестандартный способ почтовой рассылки, в результате который на левые открытки повелись несколько сотен человек.
Возможности формграббера позволили мне завладеть чужим WMID'ом. Все потому, что он умел выдирать KWM-ключики, а также пионерить пароли от e-mail-ящиков.
Умение красиво общаться с незнакомцами, а также акцесс в систему ISSA помогли мне поживиться несколькими карточками MTS.
Всего через неделю после моей рассылки на postcard.ru вывесили объявление о возможных вирусных атаках по E-mail. Увидеть его можно на главной странице.
INFO
Небольшое прим. ред. Мягко сказать, я не одобряю действия этого человека, я считаю, что это похабно - спереть полторы тысячи долларов у какого-то молодого сетевого бизнесмена при помощи чужого сплоита и чужого граббера. Это воровство, которое так же гнусно, как и любое разбойное нападение. Хотя всем нам за свои дела достанется.
WARNING
Текст статьи приводится «as is», так как нам его прислал этот человек. Как на него реагировать - решать только тебе, всю ответственность за свои поступки несешь только ты сам.
Хакерский арсенал
Однажды по счастливой случайности мне удалось достать приватный эксплойт к уязвимости COM Objects Instantiation для Internet Explorer (www.securitylab.ru/poc/222225.php). В отличие от показательных публичных релизов, этот сплоит действительно делал свое дело - фабриковал свирепый HTML-документ, после просмотра которого ослик послушно скачивал и запускал произвольный файл из инета. Что касается меня, то я давно занимаюсь различными махинациями и могу без труда впарить ссылку ушастому ламеру, чтобы посмотреть, какую инфу он хранит на своем компьютере. Но в данный момент мне хотелось чего-то большего, чем просто ламерский контент. Мой хороший знакомый, с которым мы вместе работаем, подогнал мне несколько e-mail-баз суммарным числом в 500000 русских почтовых адресов. По его словам, все эти базы он увел через взломанные форумы, на которых таился баг в нашумевшем модуле PHP-RPC. Глядя на все вышеописанное добро, ко мне пришла дельная мысль - проспамить на все эти адреса какую-нибудь левую ссылку, ведущую к HTML-документу моего нового троянца. Решение было классным, и я решил заняться этим темным дельцем. Однако прежде, чем приступать к наступлению, нужно было тщательно продумать механизм впаривания левой ссылки.
Рекламировать виагру и средство для увеличения половых органов мне не хотелось - уж очень все это банально и недейственно. Ссылки на «секретные базы данных» также были изначально провальным вариантом, ведь каждому пользователю в день приходит по сотне троянцев, разосланных именно таким способом. Нужно было найти новый прием, который еще мало обкатан или не обкатан вообще. И я его нашел. Как-то раз я получил в свой ящик письмо с адреса [email protected], в котором говорилось, что кто-то прислал мне поздравительную открытку. В теле письма находились две ссылки - одна, ведущая на скрипт получения открытки с ее номером, а вторая - на главную страницу сайта. Не знаю почему, но я решил кликнуть по второй - и был прав. Введя код открытки, я получил сообщение о том, что такого кода не существует. Этот факт заставил меня усомниться в политкорректности входящего письма. Посмотрев исходник HTML, я понял, что ссылка на получения посткарты подделана и ведет в неизвестное направление. Данный приемчик я взял на заметку, а чтобы у пользователей не было выбора, я решил просто убрать ссылку на главную страницу из письма.
И вот наступил долгожданный момент. Настроив DarkMailer на виндовом дедике и подвязав к нему файл с проксиками, я нажал на Start. В течение определенного времени программа трудилась над рассылкой сообщений, и вот ей это удалось. С огромным нетерпением я стал дожидаться результата своей работы.
Сделаю небольшое лирическое отступление и расскажу о трояне, который скрывался за сфабрикованным документом. Эксплойт успешно транспортировал файл 1.exe на компьютер жертвы. Под этим именем находился продвинутый формграббер, который умел грабить все вбитые формы за определенный период, а также забирать с компьютера пароли, WM-ключи, сертификаты и прочие полезные вещи. Данный трой жил на зараженной машине ровно два дня, а затем сам себя уничтожал, перед смертью посылая заветные логи на мой e-mail. Таким образом, мне нужно было подождать всего двое суток, чтобы увидеть первые результаты атаки.
Разбор полётов
Как и ожидалось, в течение двух-трех дней моя почта была завалена всяческими логами. Их, конечно, было не полмиллиона, но 200-300 машин мне точно удалось заразить. В журналах формграббера находилось много всякой ерунды - логи каких-то чатов, аккаунты на порносайты и, разумеется, пароли на почтовые ящики и FTP-сайты. Особенно мне запомнились два человека, которых мне удалось раздеть до нитки (ну и урод же ты! - прим. ред.). Об этих типах я расскажу тебе в красочных подробностях.
Просто Андрей
На третий день на почту упал лог о компьютере с именем Andrew. Судя по всему, его хозяин проживал в столице, так как машина имела московский айпишник. Лог занимал всего пару килобайт, но информация была довольно ценной - троянец успешно утащил kwm-ключ, три пароля на WWW-ресурсы, а также WM-идентификатор клиента. Я был полностью готов к операции «похищение WMZ».
Первым делом мне пришлось привести в исходный вид kwm-ключик. Он засылался в BASE64-кодировке, которую нужно было перевести в бинарный вид. Для этого я воспользовался online-декодером, который доступен на странице www.motobit.com/util/base64-decoder-encoder.asp. Введя в форму зашифрованный текст, я выбрал тип Encode и назвал файл 1.kwm. По завершению операции, на моем HDD находился рабочий ключик WebMoney. Далее я запустил VPN-соединение и WM-keeper. В последнем ввел WMID, полученный троянцем, и пароль. Что касается пассворда, то я был уверен в его правильности, так как все отснифанные пароли были одинаковыми (keyboard - правда, хороший пароль? Переварив первичные данные, кипер попросил указать файл ключей. «Всегда пожалуйста!», - сказал я, и скормил программе свеженький 1.kwm. Через полминуты WM-кипер сообщил, что вход удался, но, к несчастью, затребовал активацию. Я пока отложил этот этап, решив посмотреть, стоит ли игра свеч. Оказалось, что стоит, - на Z-кошельке находилось $1520. Кроме того, на рублевом счете было достаточно средств, чтобы сходить в элитный ресторан. В общем, слюнки у меня потекли сразу после того, как я визуально оценил баланс.
Но, к сожалению, это все было read-only. Чтобы перевести баблос, нужно было ввести код активации. А для этого надо было иметь доступ к почте. Благодаря троянцу я получил логин и пароль к ящику на mail.ru, куда и направил свой браузер. Однако моя радость была недолгой - на Mail.ru мне сообщили, что аккаунт был зверски удален и предложили мне его восстановить. Я согласился и заново переслал код активации, но безуспешно. Тогда мне в голову пришла идея посмотреть детали аккаунта. И там я увидел совершенно другой e-mail, ведущий в домен третьего уровня *.net.ru (в интересах моего приятеля реальные адреса не разглашаются). Зайдя туда по WWW, я во второй раз разочаровался - домена не существовало. Первые мысли были не самыми оптимистичными, но все же я попробовал выполнить команду host domain.net.ru на моем linux-сервере. Результат показал, что домен существует, но частично. A-записи для хоста не существовало, но MX-рекорд был. И вел на живой айпишник, где были запущены как POP, так и SMTP-сервис. Законнектившись на 110 порт, я попробовал авторизоваться в виде user/pass. Обломался. Попробовал еще раз, но в виде user@domain/pass. Вуаля! Сервер ответил, что для меня есть 10 новых сообщений, два из которых содержали коды активации.
Осталось вывести все финансы на мой кошелек. Делать это напрямую не очень хотелось - у владельца имелся персональный аттестат, поэтому он мог подать иск в арбитраж для дальнейших разбирательств. Я решил сделать немного по-другому. А именно, воспользовался услугами online-обменника, переведя все средства на bitcoin, похищенный мной у одного амера пару лет назад. Затем перевел эти бабки уже через другой обменник к себе на кошелек. Надо сказать, что у меня имеются несколько идентификаторов, которые я регулярно меняю после каждой подобной транзакции. А рублевые финансы я оставил законному владельцу - я не жадный, пусть с горя пробухает их в элитном ресторане.
Карточный магнат Владимир
Этот лог выделялся сразу. Сплошь и рядом виднелись формы одного московского ресурса. Как оказалось, посвященного продаже PIN-кодов карт. Таких магазинов много: пользователь платит через Webmoney или другой системы и получает взамен PIN-код. Лог с именем «Владимир» показал, что обладатель компьютера принимает непосредственное участие в жизни интернет-магазина. Замаскировавшись, я зашел в админку магазина и обнаружил там различные сценарии администрирования. К моему сожалению, поживиться там было просто нечем. Базы PIN-кодов были недоступны, можно было разве что сделать дефейс, добавить новую карточку или изменить курс доллара. Этот расклад меня нисколько не устраивал, поэтому я стал детально анализировать логи. И мне встретился еще один замечательный ресурс под названием www.mts.ru. Как оказалось, Вовчик активно пользовался сервисом ISSA (Интернет Система Сервис Абонента), которая позволяла удаленно управлять лицевым счетом пользователя. Незамедлительно направив туда свой браузер, я успешно залогинился в системе. На счету у Владимира было 4 тысячи рублей, что еще раз доказывало принадлежность к интернет-магазину. Первое, что мне захотелось сделать - отправить детализацию звонков на почтовый ящик с целью ее изучения. Учитывая тормознутость МТС, деталька дошла до меня только через полчаса. Вовчик звонил на 3-4 номера, один из которых был самым распространенным. Как оказалось, этот мобильный принадлежал хозяину магазина Alex'у, его данные, включая этот телефон, были выложены в разделе «Контакты». В моей голове медленно созревал план захвата, который мог позволить разжиться несколькими телефонными карточками.
2. Формграббер или, собственно, троян, который высылает все полезные сведения на хакерский почтовый адрес. Покупается на тех же форумах, либо пишется самостоятельно. Но учти, что сигнатура у подобной штуковины должна быть уникальная и постоянно меняться, чтобы антивирусы не опознавали заразу.
3. Средство рассылки по E-mail или ICQ. Про ICQ-спам уже писали, поэтому софт у тебя наверняка имеется. Что касается e-mail спама, то могу от чистого сердца подарить тебе элитную программу DarkMailer.
4. VPN и безопасные проксики. Где их найти, ты уже знаешь. А если не знаешь - перерывай прошлые выпуски Х.
5. Мозги и прямые руки. Это тебе понадобится при дальнейшем разводе людей или анализе логфайлов троянца.
Что помогло мне при взломе?
Я подсмотрел и заюзал чужой нестандартный способ почтовой рассылки, в результате который на левые открытки повелись несколько сотен человек.
Возможности формграббера позволили мне завладеть чужим WMID'ом. Все потому, что он умел выдирать KWM-ключики, а также пионерить пароли от e-mail-ящиков.
Умение красиво общаться с незнакомцами, а также акцесс в систему ISSA помогли мне поживиться несколькими карточками MTS.
Всего через неделю после моей рассылки на postcard.ru вывесили объявление о возможных вирусных атаках по E-mail. Увидеть его можно на главной странице.
INFO
Небольшое прим. ред. Мягко сказать, я не одобряю действия этого человека, я считаю, что это похабно - спереть полторы тысячи долларов у какого-то молодого сетевого бизнесмена при помощи чужого сплоита и чужого граббера. Это воровство, которое так же гнусно, как и любое разбойное нападение. Хотя всем нам за свои дела достанется.
WARNING
Текст статьи приводится «as is», так как нам его прислал этот человек. Как на него реагировать - решать только тебе, всю ответственность за свои поступки несешь только ты сам.
