Professor
Professional
- Messages
- 654
- Reaction score
- 645
- Points
- 93
ЗАЩИТА ОТ ХАКЕРОВ.
Содержание:
Приятного чтения!
Ботнет (Botnet) – названия, самые известные, для чего используют
Павлович:
Ботнеты. Сколько ботнетов на рынке сейчас? Потому что я помню, ботнеты и в мое время 15-20 лет назад были крупные. Там «Морепоза» была испанская, 12,7 миллионов компов было. Какие ботнеты сейчас, и самое крупное их название, и для чего они используются?
Хакер:
До крупных ботнетов я не могу сказать, именно по количеству пользователей, которые заражены. Я могу сказать по ботнетам, которые есть на рынке, которые продаются и которые люди повсеместно используют. Это «Смоук», «Лоудер» скобковый ботнет, есть еще Амадей и всякие менее известные Триумф, Лоудер есть, Диамонд Фокс ботнет, ну и все наверное из таких самых известных.
Они кстати бывают модульные в большинстве своем. Модульные это когда ты к основному ботнету можешь добавить какой-либо дополнительный модуль. Модуль стиллера или кей-логгера, или DOS-модуль. Спам. Спам я не встречал, по-моему, нигде в ботнетах.
Павлович:
Ну, как выглядит схема, то есть, ботнет, получается, ботнет я могу создать под себя, да, то есть, я заражу там миллион компов, допустим, и у меня будет вот миллион машин под управлением, я могу с них, на них могу майнить, майнить крипту, допустим, я могу через них рассылать спам, я могу их использовать как прокси-сервера, если мне диапазон IP нужен, я могу с них устроить DOS-атаку. Что еще я упустил в этом списке?
Хакер:
Ты можешь загружать на них какие-либо свои файлы, можешь продавать установки другим людям.
Павлович:
То есть вот этот комп, который у меня есть, я его могу продать другим людям?
Хакер:
Да, ты можешь, ты не то чтобы, скорее, не продать, а ты загрузишь на этот компьютер какой-либо файл, который тебе дадут. Так работают недобросовестные селлеры установок. Допустим, ты можешь заразить тысячу компов, и потом на эти тысячу компов 20 раз пролить тысячу установок.
Получится, что ты один и тот же траф в 20 рук пустил, получил сверхприбыль, а люди отрабатывают то, что уже было отработано давно.
Павлович:
Ну, если он для разных нужд, то, в принципе, противоречия не вижу.
Хакер:
А ты не знаешь, есть ли противоречия между тем, кому ты продаешь. Поэтому не очень хорошо получается.
Павлович:
Что ещё можно как использовать и сколько это всё стоит и где это ищут? И как монетизируют вообще?
Хакер:
Да, способов монетизации много, начиная от того, что я сейчас озвучил, это продажа установок. Если у тебя достаточное количество ботов и есть хороший какой-то DOS-модуль, который написан не на обум, а прям человек заморочился, строил разные методы, то ты можешь Организовывать DOS-атаки, принимать заказы на какие-либо сервера, сайты и класть их.
Можешь загрузить майнер, контролировать его, майнить криптовалюту, получать доход.
Почему майнят только крипту Monero (Монеро)?
Павлович:
Почему, кстати, вопрос сразу, почему майнят в основном Монеро?
Хакер:
А вот тут на самом деле есть небольшая проблема, я не знаю, с чем она связана. Может быть кодеры майнеров не связаны с майнингом, они услышали один раз, что майнят Монеро, и они все поголовно берут XMRigMiner, пишут под него лоудер, который его запускает, и майнят только на нем. Хотя на компьютерах есть еще видеокарты, на видеокарте майнить Монеро это в реалиях 2020 года будет сумасшедшим, потому что профита на Монеро с GPU практически нет.
Монеро специализировано на майнинге на КПУ. На процессоре. На процессоре, да.
Почему кодеры не могут написать такой же лоудер под другую крипту, например, под эфир, который сейчас взлетел до небес, и на КПУ майнить Монеро, а под ГПУ скачивать какой-то другой майнер, который приспособлен лучше к этому.
Павлович:
Под видеокарты.
Хакер:
Да, от разных видеокарт разный профит на разных монетах. По-хорошему, кодеры должны изучить рынок видеокарт, узнать на каком оборудовании лучше майнить какую монету и предоставлять хороший продукт на рынок, который будет майнить процессором Monero, потому что это один из вариантов более-менее адекватных.
Есть еще всякие монетки типа локи, воф нера, они тоже на крипто найте, на алгоритме крипто найт, на котором монера стоит, но доходность у них чуть ниже, поэтому на гпу обычно майнят монера.
Павлович:
Ну то есть ты просто за большую эффективность на процессоре майним монету, которая заточена под майнинг через процессоры, на видеокарту, видеокартой майним там другую монет.
Хакер:
Да, потому что на GPU-майнить Monero, она дает меньше, чем процессор, в десятки раз.
Для чего сдают в аренду ботнеты?
Павлович:
С этим понятно. Еще тогда варианты использования ботнета, помимо майнинга и DOS-атак?
Хакер:
Да так в голову больше ничего и не приходит. Основные какие-то способы монетизации ботнетов озвучили.
Павлович:
Так а для чего владельцу ботнета, вот он собрал, заразил там миллион или 10 миллионов компов, для чего ему сдавать их в аренду вообще посторонним людям каким-то. Не проще ли там самому устраивать эти DDoS-атаки, самому майнинг на них запустить? Или у него просто фантазии бедные, он не может уже дополнительно каких-то способов их монетизации придумать?
Хакер:
Ты смело можешь поставить на все эти зараженные компьютеры и майнинг, можешь поставить свой клипер какой-то, который будет удалять клиперы конкурентов, которые будут отслеживать буфер обмена, если что, рубить этот процесс. И ты просто берешь и нон-стопом штампуешь деньги на своем ботнете, который ты смог поднять. Каждый день... Тебе намного проще каждый день продавать там 20 тысяч установок, чем искать каких-то покупателей на DOS-атаку.
Но это больше отнимет времени. Так, ты просто принял заказ, поставил таск в этом ботнете, что тебе надо поставить на такие-то такие-то компы, допустим на x32 или 64 битные, столько-то установок.
Плагин с кешбэк- сервисом, на миллион компьютеров, цена
Павлович:
А вот если такое, допустим, вот только сейчас экзотическая мысль такая созрела, если я завтра захочу на миллион компов поставить в браузер хром, вот плагин от моего кэшбэк-сервиса, например. К примеру, во сколько мне это обойдется?
Хакер:
Ну, давай такую цифру в 500 тысяч долларов.
Павлович:
То есть, в полдоллара за ком, да?
Хакер:
Ну, если это какой-то более-менее хороший….
Павлович:
Это не вредовостный софт вообще?
Хакер:
Нет, смотри, просто в трафике всякие Индия, Индонезия и прочие tier-3 страны, они ценятся не очень хорошо. Если тебе нужны более-менее платежеспособные клиенты ЮСА, Канада, ДЕ, ФР, то тебе придется платить побольше, чем за Индию.
Павлович:
И не важно, что я ставлю, вредоносную программу или легальную совершенно. Да. Короче, полдоллара и меньше, допустим. Полдоллара это ты взял за богатые страны, да?
Хакер:
Ну смотри, за ЮСА вообще берут около одного доллара и больше. В целом, если брать такой микс из тир-один и тир-два стран, получится в районе 0.5-0.6 долларов за установку.
Почему бы не сделать свой ботнет?
Павлович:
Я понял. Почему тогда мне самому не сделать свой ботнет, допустим? Как я, если завтра захочу его делать, как мне правильнее всего действовать?
Хакер:
Скорее всего, проблема будет заключаться для человека в том, что тебе надо купить продукт, Тебе надо его закриптовать, тебе надо поставить его на хороший абузоустойчивый сервер, чтобы тебе его сразу не забанили, а найти такое будет достаточно тяжело, потому что они все якобы абузоустойчивые, но в случае каких-либо серьезных обуз они отлетают.
Павлович:
Да первые жалобы, они абузоустойчивые.
Хакер:
Да-да-да, поэтому это проблема. Теперь придется потратить время, пока ты все это найдешь, пока пройдешь все тесты, какой крипто лучше стучит, что отрабатывает, что нет, и ты потратишь какие-то деньги на установки. Время это равно деньги. Ты можешь бесплатный трафик где-то мутить на том же Ютубе, или спам проводить по мыльникам, или Дискорд, Телеграм, но это все время.
За это время ты мог потратить какую-то сумму, чтобы сразу получить установки.
Павлович:
Просто эти компы, если я на эти буду арендовать, они уже выданы на все возможные варианты использования, по сути.
Хакер:
Ну, скорее всего, да. Есть, скорее всего, какие-то добросовестные селлеры, которые продают трафик не в 10 рук, а исключительно в одну. Но ты это никак не проверишь. Чтобы, не знаю, не тратить... Точнее, деньги тратить ты будешь по-любому, неважно, что ты собираешься покупать. Но есть некоторые продукты, которые требуют хорошего обслушивания.
Или какие-то, которые его вообще не требуют. Если у тебя есть в твоем, так скажем, наборе-малваре Майнер, Стиллер и Клиппер, три таких костяка их назовем, то для Клиппера обслушивания никого не надо, практически, кроме крипта. Он работает сам по себе, он не делает никаких запросов в интернет, никаких админок у него тоже нет.
Павлович:
Но его трудно отследить, поэтому его не нужно каждый день переделывать образно, да? Да.
Хакер:
Он просто есть. Ты его криптуешь раз в день или чуть чаще, если у тебя много установок, чтобы его не начали полететь антивирусы, больше ничего не требуется. Если у тебя есть майнер и стиллер, то для стиллера тебе требуется чуть больше обслуживания, это регулярное выкачивания логов с панельки, потому что кто знает, вдруг или кодер, который написал продукт, готовый под ключ, который ты купил, заскамится, и ты потеряешь логи.
А если это твой собственный, который ты единоразовым платежом купил, то его могут забанить. Забанят хостинг, забанят панельку, и ты лишишься всех своих логов. Тебе поэтому надо регулярно выкачивать все содержимое. Все, что он украл. Да. Для майнера особого обслушивания не надо, он просто тоже, по сути, майнит на пул.
Единственное, что для майнера есть такая утилита, называется XMRigProxy. Используется она для того, чтобы тебя не забанил пул за слишком огромное количество машин. Если у тебя тысяча машин сразу куда-то стучится, это видит пул и думает, то ли ты устроил ДОС-атаку на них, то ли ты используешь ботнет, и тебя банят.
А XMRigProxy, она принимает на себя всех твоих воркеров, эту программу ты ставишь на сервер, она принимает на себя всех твоих тысяч, десять тысяч воркеров и от своего лица единственного отправляет на пул.
Павлович:
На один IP-запрос.
Хакер:
Да. Тут надо контролировать количество машин. Допустим, на одном сервере у тебя не может быть 100 тысяч майнеров, потому что Винда, Линукс имеют ограничение на количество включений. В целом, наверное, в обслуживании этого костяка больше нет каких-либо действий.
Павлович:
Ну и эти криптеры, да, или как ты говоришь, которыми нужно видоизменять постоянно твой софт, чтобы его не палили антивирусы.
Хакер:
Да на самом деле это не такая большая проблема. Но есть известный протектор, протектор-криптор, называется Temida.
Павлович:
Temida?
Хакер:
Temida. Она может принимать в себя команды из консоли. Ты можешь достаточно просто написать какой-то свой автокриптер, который будет каждый час, допустим, запускаться. Тамида будет получать из консоли твой файл, который ты ей передал, и закриптованный файл куда-либо класть, куда ты укажешь.
В таком нон-стоп режиме, да? Да, это можно поставить в TaskShelder каждое час выполнение задачи. У тебя каждый час будет стартовать консолька, будет передавать, точнее не консолька, батник скорее. Передавать в Temida твой файл, а Temida будет его протектить, и потом ты также этим батником можешь свой файлик или запаковать в SimZip, в архив, поставить пароль и загрузить куда-то на Google Диск, откуда пользователи будут качать, или на свой какой-нибудь сервер Apache, или по FTP передать.
С криптом не такая большая проблема, главное посидеть пару дней со всякими тестами, какие настройки-то миды будут давать минимальный детект, и дальше ты можешь месяц, грубо говоря, не заниматься криптом, потому что у тебя будет все настроено.
Самые богатые хакеры
Павлович:
А кто из этих вот групп разных там, кто занимается майнингом, ботнетами, чем еще у нас, ransomware и прочими штуками, да, кто из них самый богатый?
Хакер:
Да, самые богатые, по сути, скорее всего, владельцы ransomware, а из обычных людей, ну, тоже, скорее всего, они, потому что выплаты у хороших таких траферов, они на уровне. Если Ravel просят 100 000 долларов в неделю делать, то, грубо говоря, на майнере 100 тысяч долларов в неделю, ты маловероятно что сможешь сделать.
Павлович:
То тебе полмира нужно своими майнерами заразить, да?
Хакер:
Чтобы получать. Да даже меньше будет профита с майнера, чем вот эти выплаты ренсомеров.
Павлович:
А самые такие известные большие группы вот этих вымогателей, они в СНГ, в мировом масштабе или все-таки где-то за рубежом?
Хакер:
Насколько мне известно, самая известная партнерская программы, это Ravel, которые, я не помню, какой они Ransomware взяли за основу, они перекупили чьи-то сурсы, доработали их. Исходники. Исходники, да. Было, кстати, объявление, было объявление от Ravel, что им надо написать морфер для своих каких-то модулей.
Морфер – это….
Павлович:
Который видоизменяет.
Хакер:
Ну да, грубо говоря, автоматически какое-то. И за это они платили 250 тысяч долларов за услугу. И Revel нашли кодера, который это сделает, перечислили деньги гаранту, а гарант завёл деньги на биржу, и ему лохнули 250 тысяч долларов.
Я нигде не встречал каких-то сумм больше, чем принесли Revel на русскоязычном борде, Поэтому думаю, что можно смело сказать, что основные группы базируются у нас, это русскоязычные.
Как остановить хакеров?
Павлович:
А как правоохранителям, допустим, перекрыть поток вот этого вредоносного кода, да, программ-вымогателей? Или зависит ли это больше от пользователей, либо от спецслужб, там, всех стран вместе взятых?
Хакер:
Мне кажется, это вообще не зависит ни от пользователей, не от спецслужб, это зависит от Майкрософта, потому что все рансомверы удаляют теневые копии и бэкапы в автоматическом полностью режиме своего компьютера. Так а как он удалит?
Павлович:
Если у меня...
Хакер:
Не, у тебя может, ну если у тебя Windows, на котором они все работают, у тебя автоматически винда делает резервные копии, которым ты в случае проблем должен будешь восстановиться. Но эти рансомеры, они удаляют все резервные копии, которые тебе делала Винда, и восстановиться тебе нельзя.
Чтобы ransomware перестал существовать, это должно или какое-то количество лет пройти, чтобы Microsoft запретил удаление этих копий, или кто-то должен дать хороший, ну или более выгодный источник монетизации всех этих данных.
Основные методы заражения
Павлович:
Основной метод, как человек получает на свой комп вот этот ransomware и последующую блокировку всех своих файлов?
Хакер:
Ну, это или Brute, или социальная инженерия. Находится, допустим, нам надо заразить какую-либо компанию. Мы изучаем сотрудников, которые в ней работают, находим какое-то, допустим, самое слабое звено, и начинаем на него давить, давить, давить, получать какую-то информацию от него, ну и впоследствии заставить запустить файлик, после чего получается доступ к сети.
Это не сразу ransomware надо закидывать, надо закидывать какой-то botnet, hvnc, чтобы у тебя была возможность как-то продолжать двигаться, какая-то постэксплуатация распространяется в основном, наверное, я сказал, брутом или выбирается какой-то таргет и ведется по нему работа.
Павлович:
Так, а вот этот массовый я вижу у себя в чатах, постоянно арабы спамят в Телеграме АПК-файлы и прочие всякие файлы. То есть может спам по мессенджерам, по почте?
Хакер:
Это какой-то массовый спам идёт. Поскольку это АПКшки, это какие-то андроид-приложения, андроид-приложения, это андроид-ботнеты. Их не так много на рынке. По крайней мере на русскоязычном. Наверное, на забугорных их ещё есть несколько каких-то видов.
Но делая вывод из того, что даже англоговорящие люди покупают у нас на рынке продукты, то у них на рынке их не так много.
Где хакеры находят софт для взломов?
Павлович:
А где находится все это в сети, вот это вот все добро хакерское, о котором ты говоришь, то есть я не буду искать и вам не советую, но где вот люди хакеры подобные тебе находят всю эту готовую продукцию, что эти партнёрки, эти локеры, шмокеры и прочие крипты?
Хакер:
Да есть где-то сколько, 5 форумов? Хакерские Да, есть совсем школьные, это ЛолСтим, чуть получше, нет На уровне с ЛолСтимом есть ещё Дарквеб, Блэкбис Это школьники, которые обычно работают по скаму на Авито, Юла и иногда там проскальзывают какие-то объявления о продаже стилера за 200 рублей и майнера за 100.
Продукты полностью несерьезные, скорее всего, просто скопированы где-то с гитхаба и просто создан билдер, и они продают билдеры.
Павлович:
Античат еще такой формой.
Хакер:
Античат это более известный, это скорее выше уровнем, чем BHW. WWH – это такой какой-то то ли кардерский, то ли хакерский форум, скамы на авито там поменьше, хотя он тоже есть. После ВХФ идёт эксплойт, эксплойт-ин, есть ещё торгдомен, не припомню, XSS или DamageLab, ух, тоже хорошие.
Это одно и то же. Нет, это два разных форума, но у XSS, если я не ошибаюсь, сейчас руководит человек, который раньше руководил эксплойтом. Эксплойт был продан другому человеку, и человек решил возродить после продажи DamageLab и античат. На этих, в принципе, трех форумах можно базироваться и черпать какую-либо информацию.
Почему форумы не забанены Роскомнадзором (РКН)?
Павлович:
Почему они до сих пор не забанены Роскомнадзором? Некоторые заходишь по прямому домену.
Хакер:
XSS.is, по-моему, блокировался русским надзором, они сделали резервный домен .az, но не знаю, на какие формы вообще заходить с обычного интернета, тем более со своей машины, без VPN-а, просто забудьте. Скачиваете тор, как минимум просто с тора и с включенным vpn заходите на обычный домен находите там onion домен и теперь только через onion домен заходите, больше никак
потому что есть люди на том же лол стиме и бхф, которые они могут и логи чекать со своего айпи, они и на форум заходят со своего айпи, а это все логируется По крайней мере, на Эксплойте, кажется, есть логи за последние 60 дней. Они доступны юзерам, они могут посмотреть, с каких устройств они заходили. А всякие лолстимы, дарквебы, блэкбизы, они логируют на год или больше.
А для чего они ведут логи? Логи? Ну, можно, наверное, сказать, что так они вычисляют мультиаккаунты. Кидал всяких. Но это не очень хорошая практика, потому что все твои юзеры, которые недальновидные, они находятся под угрозой. Потому что если твои сервера изымут... Рано или поздно изымут. Скорее всего, рано или поздно придут ко всем.
Если их изымут, то у них будут проблемы. Возможно, администраторы так себя какую-то часть неответственности чего снимают. Допустим, приходит к тебе МВД и говорит, что надо найти вот этого человека, он у тебя на форуме находится. Ты берёшь, открываешь логи, смотришь все входы, предоставляешь, и тем самым… Получаешь индульгенцию.
Павлович:
На дальнейшую работу.
Хакер:
Да, у тебя есть шанс пожить, пока ты им нужен. Когда ты перестанешь быть нужным, то тебя тоже возьмут. Проще слить кого-то, чем иметь проблемы.
Владельцы форумов кого-то «сливают»?
Павлович:
То есть, возможно на уровне подозрений, что владельцы форумов ещё кого-то и сливают, да?
Хакер:
Вполне. Да тем более не только владельцы, доступ к этим логам есть у всяких модераторов и таких не очень смышлённых людей, которым также смело могут заявиться органы, и они без проблем сольют, да и сами потом сядут.
Павлович:
Ну и у дата-центра, естественно, есть, где ты арендуешь свой сервак.
Хакер:
Да. Да, допрехов. Я думаю, если приходят к тебе, и ты не сливаешь то, что они просят, то тебя просто потом с сервера изымут. А их отдадут без проблем, потому что не дата-центру не нужны такие проблемы, да и тебе особо это не надо.
Где «хостятся» хакерские форумы?
Павлович:
А где хостятся тогда такие форумы в основном? Как они подбирают хостинг? Ну, они же предполагают, что кто-то к ним придет, может хостер недобросовестно попасться, могут спецслужбы прийти, а могут просто конкуренты и им нужен хостинг соответствующий всем этим трем параметрам. Где они ищут такие хостинги?
Хакер:
В паблике, я думаю, такой информации нельзя будет найти. Ну, даже если ты там какие-то догадки построишь, напишешь хостеру, спросишь, там ли стоит этот сайт, хостер тебя пошлет, не озвучит. Это, вероятнее всего, не белые хостеры, это какие-то более-менее люди в теме, которые где-то имеют свои сервера и предоставляют удобного рода услугу.
По сути, свой мини-дата-центр. Да.
Что делать с найденными «логами»?
Павлович:
Хорошо, я допустим все это наладил, там стиллер какой-то, впарил его там тысячи лохов или миллион, да, просто на миллион компьютеров его закинул, и у меня теперь логи собираются, Фейсбука, там не знаю, понятно, что если я украду их кукисы и пароли от криптокошелька, я там все это выведу с Киви и с прочего, там тоже все повывожу откуда смогу, но остальное всякое прочее, Фейсбуком например не занимаюсь или там логи, не знаю чего там, гугл рекламы, я к примеру
сам не отливаю, я могу быть арбитражником, но что еще.
Хакер:
Делать со всем добром этим? Ну, во-первых, с Киви лучше никогда не выводить деньги и со всяких других СНГ платёжек, потому что это 100% все данные будут слиты органам при первом же запросе. В основном логи или продаются кому-либо, или отдаются под процент. Конечно, ты на криптозапросы, скорее всего, отработаешь весь твой трафик, Менее такие, менее профитные, скажем, с крипты ты можешь увезти там 10-100 тысяч долларов, а с Фейсбука, скорее всего, нет.
Поэтому Фейсбук, чтобы не тратить время, не чекать ничего, можно отдать действительно арбитражникам, да и Гугл покупают арбитражники у гугла, Гугл адс, у Фейсбука, Фейсбук
от 4-5 долларов за 1-2 страны, 3-3 подешевле.
Павлович:
Это получается за комплект вот этих логов с одного компьютера я получу 4-5 долларов?
Хакер:
Да, если ты продаешь этот один лог какому-то человеку, который будет трогать Фейсбук, то получишь 4-5. Но если ты уверен в этом человеке, что он работает только по Фейсбуку, ты можешь собрать какую-то свою мини-команду, кому ты будешь отдавать свои логи. Допустим, взял человека, который отрабатывает Фейсбук, взял человека, который отрабатывает Палку, кто-то может отрабатывать Майкрософт, выбивать Егифты, кто-то там игры чекает и все прочее.
И ты берешь эти логи, в каком-то порядке раздаешь, это тебе больше всего приносит денег. Их сначала отдал под палку, с палки тебе заплатили процент, потом ты передаёшь фейсбукеру, фейсеру.
Павлович:
То есть украл информацию там с чужого компа и просто даёшь её разным группам своим прикормленным, да? Эти крадут с этого лога, они увидели, что тут крипту ты сам украл, эти украли пейпал с него, эти украли с фейсбука весь баланс, слили, эти в конце концов продали его в Фейсбуке инстаграм-аккаунт за пару долларов.
Хакер:
Да, ты смело можешь продавать, или продавать за какой-то определенный процент, нет, не процент, за какую-то сумму. Facebook 5, Google 2, PayPal тоже 5, 7, 10, в зависимости от страны. Можешь договориться с кем-нибудь по работе под процент. Грубо говоря, 50 на 50, 60 на 40.
И просто ты скидываешь логи, человек их отрабатывает, предоставляет тебе какой-либо отчет о проделанной работе и выплачивает то, что удалось с этого получить ему.
YouTube во вредоносных целях
Павлович:
Украсть, скажем прямо. Как в этой схеме задействована Ютуб? Мы на Ютубе, да? Как вообще можно использовать Ютуб с такими вредоносными целями?
Хакер:
Во-первых, YouTube, ты можешь, ну, после заражения стиллером получаешь аккаунт к Гуглу, а у Гугла у тебя, собственно, появляется доступ к YouTube, ты можешь или залить какой-то свой ролик, ну, изучить.
Павлович:
Если ты получил доступ к чужому каналу нормальному какому-то, да?
Хакер:
Да. Только сейчас YouTube, Google крутит гайки, и ты не можешь просто взять, зайти и залить какой-то ролик. Он попросит тебя с телефона QR-код читать или WIFI вести, даже если у тебя нет, он заставит тебя зайти в настройки и включить. Поэтому тебе надо сначала этот аккаунт перепривязать на себя. Ты берешь, заходишь в Google, вносишь в спам-фильтры сообщения от Google, от YouTube, от всего, что только можно, чтобы они сразу падали в корзину, чтобы тебе на телефон не пришло уведомление.
Дальше перепривязывается почта дополнительная, перепривязывается номер мобильного телефона, просто меняется пароль, все чистится, после чего ты сможешь, ну, полноценно, так скажем, какое-то время, пока его не восстановили, если его смогут восстановить, пользоваться YouTube каналом.
Ты можешь как загрузить оттуда свой ролик, изучить канал. Допустим, если он игровой тематики, то загружаешь туда чит или крякнутую версию игры и скидываешь ссылку в описании или в комментарии на скачивание. Если канал какой-то больше технический, там всякие программы, это то же самое с программами.
Павлович:
То есть мы посредством чужого канала распространяем свой вирус и там дальше, да?
Хакер:
Обязательно. Ты можешь распространять вирусы через эти угнанные каналы, можешь пробовать магнетизировать их по-другому. Недавно была тема по криптоскаму, так скажем, запускались фейковые трансляции, зацикленные, где какие-либо известные в криптомире личности дают какое-то интервью. Это размещалось в одной части экрана, наверху слева.
Справа был, допустим, какой-то микротекст. Чуть снижешь их фотографии, кто интервью берет, кто дает. И в самой нижней правой части экрана был текст, что отправьте на этот кошелек один биткоин, получите два назад. Только для этого еще требуется накрутить зрителей на трансляцию, чтобы твой стрим был не где-то в топ-30, а он был повыше.
Это давало больше трастовости, накрутить лайки, дизлайки. Для этого тоже используются аккаунты Ютуба. Они загружаются в софт, который ты заказал или смог где-то купить. И с них, собственно, ведется просмотр этой трансляции, которая толкается, и ты еще получаешь деньги, если кто-то отправляет.
Павлович:
То есть просто накрутка, получается, зрителей на твой интернет-стрим, ютуб-стрим.
Хакер:
Да, ты используешь угнанные аккаунты, чтобы накрутить стрим и какой-то самый крутой, допустим, канал, у которого это миллионы просмотров, миллионы подписчиков, ты с него мог запустить стрим по крипте, не знаю, по любой программе, которая там может трафик тебе принести и толкаешь его вверх, но с криптой это звучит более солидно, потому что ты получишь больше денег. Чем заражений.
А тут, знаешь, еще есть. Ты можешь рекламить лендинг, типа свой, который траф несет. Можешь какую-то партнерку там. Есть еще всякие эксплойт-киты, которые при входе человека на сайт без его ведома скачают и запустят файл. Это тоже трафик тебе принесет.
И с Гугла ты можешь шлить на зараженный лендинг такой, у тебя доля трафика будет приносить еще трафик, так скажем, бесконечно он будет у тебя.
Чужой аккаунт на контент для взрослых
Павлович:
То есть с угнанных аккаунтов Facebook и Google рекламы ты сливаешь либо на свою какую-то страничку, где стоит exploit pack, и таким образом заражаешь еще больше компьютеров-пользователей?
Хакер:
Да, только exploit pack эти работают на интернет-эксплореров. Google Chrome, Mozilla, Opera, они защищены от этого. Раньше какие-то, возможно, были RCE и прочие, которые позволяли и в хроме так делать, но сейчас, возможно, есть какие-то 0day способы, но о них неизвестно, а если известно, то их никто не продает, потому что выгодно самому использовать.
А интернет-эксплорер давно не обновляется, ничего с ним не происходит, потому что вышел Microsoft Edge.
Павлович:
Но у некоторых еще стоит интернет-эксплорер, да?
Хакер:
Да, у какого-то процента людей стоит интернет-эксплорер, и можно таким способом гнать трафик.
Павлович:
Ну, с чужих аккаунтов Facebook и Google рекламы можно слить на партнерку там, не знаю, там Viagra, какой-нибудь женерик Viagra продают или на порно-трафик, то есть, где вам платят за каждый абонемент. То есть, ну, не проблема, да? Если есть у тебя уже чужой аккаунт рекламы, то сарбетражить его на что угодно можно там очень быстро.
Хакер:
Да, их в основном покупают всякие арбитражники в больших количествах, раскачивают, прогревают его и сливают трав. Или на партнерки, которые что-то продают есть какие-то смарт-линки, которые сами анализируют юзера и предлагают ему то, что больше всего, скорее всего, может понравиться и открывает, собственно, такая страничка.
Как защититься от вирусов?
Павлович:
Но смарт-линки есть в партнерках, например, там секс-знакомство типа, они открывают там с нужной тебе стороны, анализируют, то есть... Да-да-да. А как рядовому вообще обычному юзеру, типа меня, да, защититься а так все это и вирус на этом нечисти.
Хакер:
Мне кажется, в первую очередь необходимо не скачивать взломанные программы с интернета.
Павлович:
Ну, то есть ты имеешь в виду на торрентах искать Microsoft Office и Photoshop или что?
Хакер:
Не стоит. Лучше прибегнуть к Google таблицам или к каким-то Google документам. Если тебе нужен офис, Google предоставляет отличный сервис. Если ты не можешь позволить себе это купить, то ищешь какие-то аналоги, которые полностью белые, не надо искать никакие кей-гены и скачивать взломанные версии. Или покупаешь, или ищешь бесплатный адекватный аналог.
Павлович:
Я когда кейген, любой, вот недавно там, ассистенту моему нужно было Microsoft Office поставить, ну и он скачал на трекере генератор этих серийных номеров для офиса, для Microsoft Office, я его на VirusTotal закинул, он мне там 35 всяких вирусов показал.
Хакер:
Ну да, во-вторых если вы все-таки решили скачать какой-либо крякнутый софт, кейген закинуть его необходимо на VirusTotal посмотреть на детекты которые там пишутся потому что наверняка там будут всякие HackTool. HackBox, кейгены это такие нормальные детекты для этого софта, потому что он очевидно что-то такое несет в себе.
Но стоит обращать внимание на детекты, которые помечаются, как майнер, стиллер, ген-32 всякие.
Павлович:
То есть ты имеешь в виду, что когда мы сам кейген, вот этот генератор серийных номеров, закинем на вирус тотал, из-за его чуть-чуть такой природы он там же обходит эти защиты офиса, то есть он сам в любом случае, даже если не будет совершать посторонних вирусов, вирус Тотал его определит как вредоносную программу, да?
Хакер:
Да, какое-то количество детектов у него будет. Но стоит опасаться склейки этого кейгена с малварью. Тогда количество детектов будет или зашкаливающим, если человек не следит за криптом, а если следит, оно будет низким. На это тоже верить нельзя, поэтому необходим хороший антивирус на компьютере, чтобы ты запустил его. Даже если ты там поверил, есть всякие антивирусы с фейерволом, они тебе подскажут, что, куда этот софт делает запрос.
Допустим, софт после запуска начинает какие-то пакеты там слать на непонятный ресурс. Тут что-то не так. Или закидывает софт этот на виртуальную машину, в идеале смотреть трафик, снифать его вайршарком.
Павлович:
Но это рядовой пользователь этого делать не будет вряд ли.
Хакер:
Будет, ну хотя бы виртуальную машину поставить, запустить этот софт там, если он открылся, если он свою функцию исполняет, то окей, можно всё-таки запустить его на основной машине.
Павлович:
Ну а ещё какие методы?
Хакер:
Ещё, если... Я не уверен, что нас слушают и смотрят люди, которые не имеют русской, украинской и других СНГ раскладок, ставить их бесполезно, потому что они у нас уже есть, этому и защитились бы и от тех, кто не работает по СНГ.
Павлович:
У таких более-менее там совестливых хакеров, да?
Хакер:
Да, всякие китайцы уже приучились добавлять русскую раскладку, чтобы их не заражали. Второе, необходимо отказаться от сохранения паролей в своих браузерах, печать кипас, ластпас и прочие продукты, который служит как менеджер паролей. Ставишь на него свой отдельный пароль, который знаешь только ты, желательно хороший, чтобы его, не знаю, кто-нибудь не пришел и не захотел получить твой доступ.
Добавляешь туда все свои важные ссылки на ресурсы и логины пароля. Тогда ты предохранишься от того, что твои данные попадут не в те руки.
Сомнительные сайты
Павлович:
То есть мы, получается, не скачиваем всякий взломанный софт, всякие кейгены и прочее, используем либо бесплатные аналоги, либо платим за лицензионный образ на Майкрософт-офис. Затем мы добавляем клавиатуру, раскладку русского языка и клавиатуры к себе на комп, типа, что если нас будут ломать русские совестливые хакеры или пытаться заразить нас этим криптолокерам, зашифровать наши файлы и вымогать бабло, они увидят, что там есть русская раскладка и их вирус автоматом не сработает.
А третье, ты говоришь, это не посещать всякие сомнительные сайты. Может еще?
Хакер:
Не стоит посещать сомнительные сайты с интернет-эксплорера. Стоит использовать какой-то более-менее адекватный браузер, Google Chrome, Mozilla, Opera, установить туда Adblock или какой-либо его аналог, чтобы потенциальные нежелательные ресурсы у тебя не открывались.
Павлович:
Ну и не сохранять пароли в браузере, да, не ставить там сохранить, а использовать какой-то менеджер паролей типа keypass, lastpass и прочее, который защищен отдельным паролем, и все свои пассворды копировать оттуда, да?
Хакер:
Да, это основное и, пожалуй, чуть ли не главное правило. Если вы опасаетесь стиллеров, ну, этого стоит опасаться, потому что что только не могут сделать люди, получив доступ к аккаунту Gmail, к вашему банковскому счету.
Двухфакторная аутентификация и другие методы защиты
Павлович:
Ну, я бы добавил туда еще, поставьте везде двухфакторную аутентификацию, вот как у меня на YouTube-канал, у меня стоит, то есть мне постоянно на телефон приходят всякие подтверждения, должен то же самое действие, что на компе делаю, подтвердить с телефона. Ну и на банкинг тоже, соответственно.
Хакер:
Ну совсем. Если, допустим, с Ютубом, даже если у тебя двухфакторная аутентификация, авторизация установлена на вход в аккаунт с Google, то если твои пароли, куки были свежими на момент, когда вирус отработал, и человек также оперативно там в течение, не знаю, недели, двух, трех на него будет заходить, то его пустят автоматически к тебе на аккаунт. Возможно, он не сможет, я сказал, удалить там ролики твои или загрузить новый, потому что его выбьют оттуда, но прочитать реплику почта открывается в 99 процентов случаев.
Ты можешь изучить человека, что он кому отправляет. Также, если у вас андроид-смартфон, скорее всего, ваши фотографии загружаются в Гугл фото, можно отрыть гугл фото, проскроллить, там могут всякие быть фотографии банковских карт, контакты все.
Да, там есть и контактный лист твой, который сохранен на телефоне, поэтому не спасет, скорее всего.
Павлович:
Ну еще установите антивирус, хотя от ЗРД какой-нибудь от уязвимости такой очень редкой, пока неизвестной, он тоже не спасет.
Хакер:
Ну я не думаю, что это грозит рядовым пользователям.
Павлович:
А вообще, лучше тогда купите Mac, потому что Mac не так распространены, как Windows-компы, и их просто ломают гораздо реже, да?
Хакер:
Да.
Не боишься сесть в тюрьму?
Павлович:
И последний вопрос. Присесть, не боишься?
Хакер:
Браслеты надеть? Нет. Почему? Ну, у меня адекватно построена цепочка безопасности, и я не переживаю, что российские спецслужбы смогут что-либо с этим сделать.
Павлович:
Кто работает по Ру - к тому приходят по утру! Спасибо!
Содержание:
- Ботнет (Botnet) – названия, самые известные, для чего используют
- Почему майнят только крипту Monero (Монеро)?
- Для чего сдают в аренду ботнеты?
- Плагин с кешбэк- сервисом, на миллион компьютеров, цена
- Почему бы не сделать свой ботнет?
- Самые богатые хакеры
- Как остановить хакеров?
- Основные методы заражения
- Где хакеры находят софт для взломов?
- Почему форумы не забанены Роскомнадзором (РКН)?
- Владельцы форумов кого-то «сливают»?
- Где «хостятся» хакерские форумы?
- Что делать с найденными «логами»?
- YouTube во вредоносных целях
- Чужой аккаунт на контент для взрослых
- Как защититься от вирусов?
- Сомнительные сайты
- Двухфакторная аутентификация и другие методы защиты
- Не боишься сесть в тюрьму?
Приятного чтения!
Ботнет (Botnet) – названия, самые известные, для чего используют
Павлович:
Ботнеты. Сколько ботнетов на рынке сейчас? Потому что я помню, ботнеты и в мое время 15-20 лет назад были крупные. Там «Морепоза» была испанская, 12,7 миллионов компов было. Какие ботнеты сейчас, и самое крупное их название, и для чего они используются?
Хакер:
До крупных ботнетов я не могу сказать, именно по количеству пользователей, которые заражены. Я могу сказать по ботнетам, которые есть на рынке, которые продаются и которые люди повсеместно используют. Это «Смоук», «Лоудер» скобковый ботнет, есть еще Амадей и всякие менее известные Триумф, Лоудер есть, Диамонд Фокс ботнет, ну и все наверное из таких самых известных.
Они кстати бывают модульные в большинстве своем. Модульные это когда ты к основному ботнету можешь добавить какой-либо дополнительный модуль. Модуль стиллера или кей-логгера, или DOS-модуль. Спам. Спам я не встречал, по-моему, нигде в ботнетах.
Павлович:
Ну, как выглядит схема, то есть, ботнет, получается, ботнет я могу создать под себя, да, то есть, я заражу там миллион компов, допустим, и у меня будет вот миллион машин под управлением, я могу с них, на них могу майнить, майнить крипту, допустим, я могу через них рассылать спам, я могу их использовать как прокси-сервера, если мне диапазон IP нужен, я могу с них устроить DOS-атаку. Что еще я упустил в этом списке?
Хакер:
Ты можешь загружать на них какие-либо свои файлы, можешь продавать установки другим людям.
Павлович:
То есть вот этот комп, который у меня есть, я его могу продать другим людям?
Хакер:
Да, ты можешь, ты не то чтобы, скорее, не продать, а ты загрузишь на этот компьютер какой-либо файл, который тебе дадут. Так работают недобросовестные селлеры установок. Допустим, ты можешь заразить тысячу компов, и потом на эти тысячу компов 20 раз пролить тысячу установок.
Получится, что ты один и тот же траф в 20 рук пустил, получил сверхприбыль, а люди отрабатывают то, что уже было отработано давно.
Павлович:
Ну, если он для разных нужд, то, в принципе, противоречия не вижу.
Хакер:
А ты не знаешь, есть ли противоречия между тем, кому ты продаешь. Поэтому не очень хорошо получается.
Павлович:
Что ещё можно как использовать и сколько это всё стоит и где это ищут? И как монетизируют вообще?
Хакер:
Да, способов монетизации много, начиная от того, что я сейчас озвучил, это продажа установок. Если у тебя достаточное количество ботов и есть хороший какой-то DOS-модуль, который написан не на обум, а прям человек заморочился, строил разные методы, то ты можешь Организовывать DOS-атаки, принимать заказы на какие-либо сервера, сайты и класть их.
Можешь загрузить майнер, контролировать его, майнить криптовалюту, получать доход.
Почему майнят только крипту Monero (Монеро)?
Павлович:
Почему, кстати, вопрос сразу, почему майнят в основном Монеро?
Хакер:
А вот тут на самом деле есть небольшая проблема, я не знаю, с чем она связана. Может быть кодеры майнеров не связаны с майнингом, они услышали один раз, что майнят Монеро, и они все поголовно берут XMRigMiner, пишут под него лоудер, который его запускает, и майнят только на нем. Хотя на компьютерах есть еще видеокарты, на видеокарте майнить Монеро это в реалиях 2020 года будет сумасшедшим, потому что профита на Монеро с GPU практически нет.
Монеро специализировано на майнинге на КПУ. На процессоре. На процессоре, да.
Почему кодеры не могут написать такой же лоудер под другую крипту, например, под эфир, который сейчас взлетел до небес, и на КПУ майнить Монеро, а под ГПУ скачивать какой-то другой майнер, который приспособлен лучше к этому.
Павлович:
Под видеокарты.
Хакер:
Да, от разных видеокарт разный профит на разных монетах. По-хорошему, кодеры должны изучить рынок видеокарт, узнать на каком оборудовании лучше майнить какую монету и предоставлять хороший продукт на рынок, который будет майнить процессором Monero, потому что это один из вариантов более-менее адекватных.
Есть еще всякие монетки типа локи, воф нера, они тоже на крипто найте, на алгоритме крипто найт, на котором монера стоит, но доходность у них чуть ниже, поэтому на гпу обычно майнят монера.
Павлович:
Ну то есть ты просто за большую эффективность на процессоре майним монету, которая заточена под майнинг через процессоры, на видеокарту, видеокартой майним там другую монет.
Хакер:
Да, потому что на GPU-майнить Monero, она дает меньше, чем процессор, в десятки раз.
Для чего сдают в аренду ботнеты?
Павлович:
С этим понятно. Еще тогда варианты использования ботнета, помимо майнинга и DOS-атак?
Хакер:
Да так в голову больше ничего и не приходит. Основные какие-то способы монетизации ботнетов озвучили.
Павлович:
Так а для чего владельцу ботнета, вот он собрал, заразил там миллион или 10 миллионов компов, для чего ему сдавать их в аренду вообще посторонним людям каким-то. Не проще ли там самому устраивать эти DDoS-атаки, самому майнинг на них запустить? Или у него просто фантазии бедные, он не может уже дополнительно каких-то способов их монетизации придумать?
Хакер:
Ты смело можешь поставить на все эти зараженные компьютеры и майнинг, можешь поставить свой клипер какой-то, который будет удалять клиперы конкурентов, которые будут отслеживать буфер обмена, если что, рубить этот процесс. И ты просто берешь и нон-стопом штампуешь деньги на своем ботнете, который ты смог поднять. Каждый день... Тебе намного проще каждый день продавать там 20 тысяч установок, чем искать каких-то покупателей на DOS-атаку.
Но это больше отнимет времени. Так, ты просто принял заказ, поставил таск в этом ботнете, что тебе надо поставить на такие-то такие-то компы, допустим на x32 или 64 битные, столько-то установок.
Плагин с кешбэк- сервисом, на миллион компьютеров, цена
Павлович:
А вот если такое, допустим, вот только сейчас экзотическая мысль такая созрела, если я завтра захочу на миллион компов поставить в браузер хром, вот плагин от моего кэшбэк-сервиса, например. К примеру, во сколько мне это обойдется?
Хакер:
Ну, давай такую цифру в 500 тысяч долларов.
Павлович:
То есть, в полдоллара за ком, да?
Хакер:
Ну, если это какой-то более-менее хороший….
Павлович:
Это не вредовостный софт вообще?
Хакер:
Нет, смотри, просто в трафике всякие Индия, Индонезия и прочие tier-3 страны, они ценятся не очень хорошо. Если тебе нужны более-менее платежеспособные клиенты ЮСА, Канада, ДЕ, ФР, то тебе придется платить побольше, чем за Индию.
Павлович:
И не важно, что я ставлю, вредоносную программу или легальную совершенно. Да. Короче, полдоллара и меньше, допустим. Полдоллара это ты взял за богатые страны, да?
Хакер:
Ну смотри, за ЮСА вообще берут около одного доллара и больше. В целом, если брать такой микс из тир-один и тир-два стран, получится в районе 0.5-0.6 долларов за установку.
Почему бы не сделать свой ботнет?
Павлович:
Я понял. Почему тогда мне самому не сделать свой ботнет, допустим? Как я, если завтра захочу его делать, как мне правильнее всего действовать?
Хакер:
Скорее всего, проблема будет заключаться для человека в том, что тебе надо купить продукт, Тебе надо его закриптовать, тебе надо поставить его на хороший абузоустойчивый сервер, чтобы тебе его сразу не забанили, а найти такое будет достаточно тяжело, потому что они все якобы абузоустойчивые, но в случае каких-либо серьезных обуз они отлетают.
Павлович:
Да первые жалобы, они абузоустойчивые.
Хакер:
Да-да-да, поэтому это проблема. Теперь придется потратить время, пока ты все это найдешь, пока пройдешь все тесты, какой крипто лучше стучит, что отрабатывает, что нет, и ты потратишь какие-то деньги на установки. Время это равно деньги. Ты можешь бесплатный трафик где-то мутить на том же Ютубе, или спам проводить по мыльникам, или Дискорд, Телеграм, но это все время.
За это время ты мог потратить какую-то сумму, чтобы сразу получить установки.
Павлович:
Просто эти компы, если я на эти буду арендовать, они уже выданы на все возможные варианты использования, по сути.
Хакер:
Ну, скорее всего, да. Есть, скорее всего, какие-то добросовестные селлеры, которые продают трафик не в 10 рук, а исключительно в одну. Но ты это никак не проверишь. Чтобы, не знаю, не тратить... Точнее, деньги тратить ты будешь по-любому, неважно, что ты собираешься покупать. Но есть некоторые продукты, которые требуют хорошего обслушивания.
Или какие-то, которые его вообще не требуют. Если у тебя есть в твоем, так скажем, наборе-малваре Майнер, Стиллер и Клиппер, три таких костяка их назовем, то для Клиппера обслушивания никого не надо, практически, кроме крипта. Он работает сам по себе, он не делает никаких запросов в интернет, никаких админок у него тоже нет.
Павлович:
Но его трудно отследить, поэтому его не нужно каждый день переделывать образно, да? Да.
Хакер:
Он просто есть. Ты его криптуешь раз в день или чуть чаще, если у тебя много установок, чтобы его не начали полететь антивирусы, больше ничего не требуется. Если у тебя есть майнер и стиллер, то для стиллера тебе требуется чуть больше обслуживания, это регулярное выкачивания логов с панельки, потому что кто знает, вдруг или кодер, который написал продукт, готовый под ключ, который ты купил, заскамится, и ты потеряешь логи.
А если это твой собственный, который ты единоразовым платежом купил, то его могут забанить. Забанят хостинг, забанят панельку, и ты лишишься всех своих логов. Тебе поэтому надо регулярно выкачивать все содержимое. Все, что он украл. Да. Для майнера особого обслушивания не надо, он просто тоже, по сути, майнит на пул.
Единственное, что для майнера есть такая утилита, называется XMRigProxy. Используется она для того, чтобы тебя не забанил пул за слишком огромное количество машин. Если у тебя тысяча машин сразу куда-то стучится, это видит пул и думает, то ли ты устроил ДОС-атаку на них, то ли ты используешь ботнет, и тебя банят.
А XMRigProxy, она принимает на себя всех твоих воркеров, эту программу ты ставишь на сервер, она принимает на себя всех твоих тысяч, десять тысяч воркеров и от своего лица единственного отправляет на пул.
Павлович:
На один IP-запрос.
Хакер:
Да. Тут надо контролировать количество машин. Допустим, на одном сервере у тебя не может быть 100 тысяч майнеров, потому что Винда, Линукс имеют ограничение на количество включений. В целом, наверное, в обслуживании этого костяка больше нет каких-либо действий.
Павлович:
Ну и эти криптеры, да, или как ты говоришь, которыми нужно видоизменять постоянно твой софт, чтобы его не палили антивирусы.
Хакер:
Да на самом деле это не такая большая проблема. Но есть известный протектор, протектор-криптор, называется Temida.
Павлович:
Temida?
Хакер:
Temida. Она может принимать в себя команды из консоли. Ты можешь достаточно просто написать какой-то свой автокриптер, который будет каждый час, допустим, запускаться. Тамида будет получать из консоли твой файл, который ты ей передал, и закриптованный файл куда-либо класть, куда ты укажешь.
В таком нон-стоп режиме, да? Да, это можно поставить в TaskShelder каждое час выполнение задачи. У тебя каждый час будет стартовать консолька, будет передавать, точнее не консолька, батник скорее. Передавать в Temida твой файл, а Temida будет его протектить, и потом ты также этим батником можешь свой файлик или запаковать в SimZip, в архив, поставить пароль и загрузить куда-то на Google Диск, откуда пользователи будут качать, или на свой какой-нибудь сервер Apache, или по FTP передать.
С криптом не такая большая проблема, главное посидеть пару дней со всякими тестами, какие настройки-то миды будут давать минимальный детект, и дальше ты можешь месяц, грубо говоря, не заниматься криптом, потому что у тебя будет все настроено.
Самые богатые хакеры
Павлович:
А кто из этих вот групп разных там, кто занимается майнингом, ботнетами, чем еще у нас, ransomware и прочими штуками, да, кто из них самый богатый?
Хакер:
Да, самые богатые, по сути, скорее всего, владельцы ransomware, а из обычных людей, ну, тоже, скорее всего, они, потому что выплаты у хороших таких траферов, они на уровне. Если Ravel просят 100 000 долларов в неделю делать, то, грубо говоря, на майнере 100 тысяч долларов в неделю, ты маловероятно что сможешь сделать.
Павлович:
То тебе полмира нужно своими майнерами заразить, да?
Хакер:
Чтобы получать. Да даже меньше будет профита с майнера, чем вот эти выплаты ренсомеров.
Павлович:
А самые такие известные большие группы вот этих вымогателей, они в СНГ, в мировом масштабе или все-таки где-то за рубежом?
Хакер:
Насколько мне известно, самая известная партнерская программы, это Ravel, которые, я не помню, какой они Ransomware взяли за основу, они перекупили чьи-то сурсы, доработали их. Исходники. Исходники, да. Было, кстати, объявление, было объявление от Ravel, что им надо написать морфер для своих каких-то модулей.
Морфер – это….
Павлович:
Который видоизменяет.
Хакер:
Ну да, грубо говоря, автоматически какое-то. И за это они платили 250 тысяч долларов за услугу. И Revel нашли кодера, который это сделает, перечислили деньги гаранту, а гарант завёл деньги на биржу, и ему лохнули 250 тысяч долларов.
Я нигде не встречал каких-то сумм больше, чем принесли Revel на русскоязычном борде, Поэтому думаю, что можно смело сказать, что основные группы базируются у нас, это русскоязычные.
Как остановить хакеров?
Павлович:
А как правоохранителям, допустим, перекрыть поток вот этого вредоносного кода, да, программ-вымогателей? Или зависит ли это больше от пользователей, либо от спецслужб, там, всех стран вместе взятых?
Хакер:
Мне кажется, это вообще не зависит ни от пользователей, не от спецслужб, это зависит от Майкрософта, потому что все рансомверы удаляют теневые копии и бэкапы в автоматическом полностью режиме своего компьютера. Так а как он удалит?
Павлович:
Если у меня...
Хакер:
Не, у тебя может, ну если у тебя Windows, на котором они все работают, у тебя автоматически винда делает резервные копии, которым ты в случае проблем должен будешь восстановиться. Но эти рансомеры, они удаляют все резервные копии, которые тебе делала Винда, и восстановиться тебе нельзя.
Чтобы ransomware перестал существовать, это должно или какое-то количество лет пройти, чтобы Microsoft запретил удаление этих копий, или кто-то должен дать хороший, ну или более выгодный источник монетизации всех этих данных.
Основные методы заражения
Павлович:
Основной метод, как человек получает на свой комп вот этот ransomware и последующую блокировку всех своих файлов?
Хакер:
Ну, это или Brute, или социальная инженерия. Находится, допустим, нам надо заразить какую-либо компанию. Мы изучаем сотрудников, которые в ней работают, находим какое-то, допустим, самое слабое звено, и начинаем на него давить, давить, давить, получать какую-то информацию от него, ну и впоследствии заставить запустить файлик, после чего получается доступ к сети.
Это не сразу ransomware надо закидывать, надо закидывать какой-то botnet, hvnc, чтобы у тебя была возможность как-то продолжать двигаться, какая-то постэксплуатация распространяется в основном, наверное, я сказал, брутом или выбирается какой-то таргет и ведется по нему работа.
Павлович:
Так, а вот этот массовый я вижу у себя в чатах, постоянно арабы спамят в Телеграме АПК-файлы и прочие всякие файлы. То есть может спам по мессенджерам, по почте?
Хакер:
Это какой-то массовый спам идёт. Поскольку это АПКшки, это какие-то андроид-приложения, андроид-приложения, это андроид-ботнеты. Их не так много на рынке. По крайней мере на русскоязычном. Наверное, на забугорных их ещё есть несколько каких-то видов.
Но делая вывод из того, что даже англоговорящие люди покупают у нас на рынке продукты, то у них на рынке их не так много.
Где хакеры находят софт для взломов?
Павлович:
А где находится все это в сети, вот это вот все добро хакерское, о котором ты говоришь, то есть я не буду искать и вам не советую, но где вот люди хакеры подобные тебе находят всю эту готовую продукцию, что эти партнёрки, эти локеры, шмокеры и прочие крипты?
Хакер:
Да есть где-то сколько, 5 форумов? Хакерские Да, есть совсем школьные, это ЛолСтим, чуть получше, нет На уровне с ЛолСтимом есть ещё Дарквеб, Блэкбис Это школьники, которые обычно работают по скаму на Авито, Юла и иногда там проскальзывают какие-то объявления о продаже стилера за 200 рублей и майнера за 100.
Продукты полностью несерьезные, скорее всего, просто скопированы где-то с гитхаба и просто создан билдер, и они продают билдеры.
Павлович:
Античат еще такой формой.
Хакер:
Античат это более известный, это скорее выше уровнем, чем BHW. WWH – это такой какой-то то ли кардерский, то ли хакерский форум, скамы на авито там поменьше, хотя он тоже есть. После ВХФ идёт эксплойт, эксплойт-ин, есть ещё торгдомен, не припомню, XSS или DamageLab, ух, тоже хорошие.
Это одно и то же. Нет, это два разных форума, но у XSS, если я не ошибаюсь, сейчас руководит человек, который раньше руководил эксплойтом. Эксплойт был продан другому человеку, и человек решил возродить после продажи DamageLab и античат. На этих, в принципе, трех форумах можно базироваться и черпать какую-либо информацию.
Почему форумы не забанены Роскомнадзором (РКН)?
Павлович:
Почему они до сих пор не забанены Роскомнадзором? Некоторые заходишь по прямому домену.
Хакер:
XSS.is, по-моему, блокировался русским надзором, они сделали резервный домен .az, но не знаю, на какие формы вообще заходить с обычного интернета, тем более со своей машины, без VPN-а, просто забудьте. Скачиваете тор, как минимум просто с тора и с включенным vpn заходите на обычный домен находите там onion домен и теперь только через onion домен заходите, больше никак
потому что есть люди на том же лол стиме и бхф, которые они могут и логи чекать со своего айпи, они и на форум заходят со своего айпи, а это все логируется По крайней мере, на Эксплойте, кажется, есть логи за последние 60 дней. Они доступны юзерам, они могут посмотреть, с каких устройств они заходили. А всякие лолстимы, дарквебы, блэкбизы, они логируют на год или больше.
А для чего они ведут логи? Логи? Ну, можно, наверное, сказать, что так они вычисляют мультиаккаунты. Кидал всяких. Но это не очень хорошая практика, потому что все твои юзеры, которые недальновидные, они находятся под угрозой. Потому что если твои сервера изымут... Рано или поздно изымут. Скорее всего, рано или поздно придут ко всем.
Если их изымут, то у них будут проблемы. Возможно, администраторы так себя какую-то часть неответственности чего снимают. Допустим, приходит к тебе МВД и говорит, что надо найти вот этого человека, он у тебя на форуме находится. Ты берёшь, открываешь логи, смотришь все входы, предоставляешь, и тем самым… Получаешь индульгенцию.
Павлович:
На дальнейшую работу.
Хакер:
Да, у тебя есть шанс пожить, пока ты им нужен. Когда ты перестанешь быть нужным, то тебя тоже возьмут. Проще слить кого-то, чем иметь проблемы.
Владельцы форумов кого-то «сливают»?
Павлович:
То есть, возможно на уровне подозрений, что владельцы форумов ещё кого-то и сливают, да?
Хакер:
Вполне. Да тем более не только владельцы, доступ к этим логам есть у всяких модераторов и таких не очень смышлённых людей, которым также смело могут заявиться органы, и они без проблем сольют, да и сами потом сядут.
Павлович:
Ну и у дата-центра, естественно, есть, где ты арендуешь свой сервак.
Хакер:
Да. Да, допрехов. Я думаю, если приходят к тебе, и ты не сливаешь то, что они просят, то тебя просто потом с сервера изымут. А их отдадут без проблем, потому что не дата-центру не нужны такие проблемы, да и тебе особо это не надо.
Где «хостятся» хакерские форумы?
Павлович:
А где хостятся тогда такие форумы в основном? Как они подбирают хостинг? Ну, они же предполагают, что кто-то к ним придет, может хостер недобросовестно попасться, могут спецслужбы прийти, а могут просто конкуренты и им нужен хостинг соответствующий всем этим трем параметрам. Где они ищут такие хостинги?
Хакер:
В паблике, я думаю, такой информации нельзя будет найти. Ну, даже если ты там какие-то догадки построишь, напишешь хостеру, спросишь, там ли стоит этот сайт, хостер тебя пошлет, не озвучит. Это, вероятнее всего, не белые хостеры, это какие-то более-менее люди в теме, которые где-то имеют свои сервера и предоставляют удобного рода услугу.
По сути, свой мини-дата-центр. Да.
Что делать с найденными «логами»?
Павлович:
Хорошо, я допустим все это наладил, там стиллер какой-то, впарил его там тысячи лохов или миллион, да, просто на миллион компьютеров его закинул, и у меня теперь логи собираются, Фейсбука, там не знаю, понятно, что если я украду их кукисы и пароли от криптокошелька, я там все это выведу с Киви и с прочего, там тоже все повывожу откуда смогу, но остальное всякое прочее, Фейсбуком например не занимаюсь или там логи, не знаю чего там, гугл рекламы, я к примеру
сам не отливаю, я могу быть арбитражником, но что еще.
Хакер:
Делать со всем добром этим? Ну, во-первых, с Киви лучше никогда не выводить деньги и со всяких других СНГ платёжек, потому что это 100% все данные будут слиты органам при первом же запросе. В основном логи или продаются кому-либо, или отдаются под процент. Конечно, ты на криптозапросы, скорее всего, отработаешь весь твой трафик, Менее такие, менее профитные, скажем, с крипты ты можешь увезти там 10-100 тысяч долларов, а с Фейсбука, скорее всего, нет.
Поэтому Фейсбук, чтобы не тратить время, не чекать ничего, можно отдать действительно арбитражникам, да и Гугл покупают арбитражники у гугла, Гугл адс, у Фейсбука, Фейсбук
от 4-5 долларов за 1-2 страны, 3-3 подешевле.
Павлович:
Это получается за комплект вот этих логов с одного компьютера я получу 4-5 долларов?
Хакер:
Да, если ты продаешь этот один лог какому-то человеку, который будет трогать Фейсбук, то получишь 4-5. Но если ты уверен в этом человеке, что он работает только по Фейсбуку, ты можешь собрать какую-то свою мини-команду, кому ты будешь отдавать свои логи. Допустим, взял человека, который отрабатывает Фейсбук, взял человека, который отрабатывает Палку, кто-то может отрабатывать Майкрософт, выбивать Егифты, кто-то там игры чекает и все прочее.
И ты берешь эти логи, в каком-то порядке раздаешь, это тебе больше всего приносит денег. Их сначала отдал под палку, с палки тебе заплатили процент, потом ты передаёшь фейсбукеру, фейсеру.
Павлович:
То есть украл информацию там с чужого компа и просто даёшь её разным группам своим прикормленным, да? Эти крадут с этого лога, они увидели, что тут крипту ты сам украл, эти украли пейпал с него, эти украли с фейсбука весь баланс, слили, эти в конце концов продали его в Фейсбуке инстаграм-аккаунт за пару долларов.
Хакер:
Да, ты смело можешь продавать, или продавать за какой-то определенный процент, нет, не процент, за какую-то сумму. Facebook 5, Google 2, PayPal тоже 5, 7, 10, в зависимости от страны. Можешь договориться с кем-нибудь по работе под процент. Грубо говоря, 50 на 50, 60 на 40.
И просто ты скидываешь логи, человек их отрабатывает, предоставляет тебе какой-либо отчет о проделанной работе и выплачивает то, что удалось с этого получить ему.
YouTube во вредоносных целях
Павлович:
Украсть, скажем прямо. Как в этой схеме задействована Ютуб? Мы на Ютубе, да? Как вообще можно использовать Ютуб с такими вредоносными целями?
Хакер:
Во-первых, YouTube, ты можешь, ну, после заражения стиллером получаешь аккаунт к Гуглу, а у Гугла у тебя, собственно, появляется доступ к YouTube, ты можешь или залить какой-то свой ролик, ну, изучить.
Павлович:
Если ты получил доступ к чужому каналу нормальному какому-то, да?
Хакер:
Да. Только сейчас YouTube, Google крутит гайки, и ты не можешь просто взять, зайти и залить какой-то ролик. Он попросит тебя с телефона QR-код читать или WIFI вести, даже если у тебя нет, он заставит тебя зайти в настройки и включить. Поэтому тебе надо сначала этот аккаунт перепривязать на себя. Ты берешь, заходишь в Google, вносишь в спам-фильтры сообщения от Google, от YouTube, от всего, что только можно, чтобы они сразу падали в корзину, чтобы тебе на телефон не пришло уведомление.
Дальше перепривязывается почта дополнительная, перепривязывается номер мобильного телефона, просто меняется пароль, все чистится, после чего ты сможешь, ну, полноценно, так скажем, какое-то время, пока его не восстановили, если его смогут восстановить, пользоваться YouTube каналом.
Ты можешь как загрузить оттуда свой ролик, изучить канал. Допустим, если он игровой тематики, то загружаешь туда чит или крякнутую версию игры и скидываешь ссылку в описании или в комментарии на скачивание. Если канал какой-то больше технический, там всякие программы, это то же самое с программами.
Павлович:
То есть мы посредством чужого канала распространяем свой вирус и там дальше, да?
Хакер:
Обязательно. Ты можешь распространять вирусы через эти угнанные каналы, можешь пробовать магнетизировать их по-другому. Недавно была тема по криптоскаму, так скажем, запускались фейковые трансляции, зацикленные, где какие-либо известные в криптомире личности дают какое-то интервью. Это размещалось в одной части экрана, наверху слева.
Справа был, допустим, какой-то микротекст. Чуть снижешь их фотографии, кто интервью берет, кто дает. И в самой нижней правой части экрана был текст, что отправьте на этот кошелек один биткоин, получите два назад. Только для этого еще требуется накрутить зрителей на трансляцию, чтобы твой стрим был не где-то в топ-30, а он был повыше.
Это давало больше трастовости, накрутить лайки, дизлайки. Для этого тоже используются аккаунты Ютуба. Они загружаются в софт, который ты заказал или смог где-то купить. И с них, собственно, ведется просмотр этой трансляции, которая толкается, и ты еще получаешь деньги, если кто-то отправляет.
Павлович:
То есть просто накрутка, получается, зрителей на твой интернет-стрим, ютуб-стрим.
Хакер:
Да, ты используешь угнанные аккаунты, чтобы накрутить стрим и какой-то самый крутой, допустим, канал, у которого это миллионы просмотров, миллионы подписчиков, ты с него мог запустить стрим по крипте, не знаю, по любой программе, которая там может трафик тебе принести и толкаешь его вверх, но с криптой это звучит более солидно, потому что ты получишь больше денег. Чем заражений.
А тут, знаешь, еще есть. Ты можешь рекламить лендинг, типа свой, который траф несет. Можешь какую-то партнерку там. Есть еще всякие эксплойт-киты, которые при входе человека на сайт без его ведома скачают и запустят файл. Это тоже трафик тебе принесет.
И с Гугла ты можешь шлить на зараженный лендинг такой, у тебя доля трафика будет приносить еще трафик, так скажем, бесконечно он будет у тебя.
Чужой аккаунт на контент для взрослых
Павлович:
То есть с угнанных аккаунтов Facebook и Google рекламы ты сливаешь либо на свою какую-то страничку, где стоит exploit pack, и таким образом заражаешь еще больше компьютеров-пользователей?
Хакер:
Да, только exploit pack эти работают на интернет-эксплореров. Google Chrome, Mozilla, Opera, они защищены от этого. Раньше какие-то, возможно, были RCE и прочие, которые позволяли и в хроме так делать, но сейчас, возможно, есть какие-то 0day способы, но о них неизвестно, а если известно, то их никто не продает, потому что выгодно самому использовать.
А интернет-эксплорер давно не обновляется, ничего с ним не происходит, потому что вышел Microsoft Edge.
Павлович:
Но у некоторых еще стоит интернет-эксплорер, да?
Хакер:
Да, у какого-то процента людей стоит интернет-эксплорер, и можно таким способом гнать трафик.
Павлович:
Ну, с чужих аккаунтов Facebook и Google рекламы можно слить на партнерку там, не знаю, там Viagra, какой-нибудь женерик Viagra продают или на порно-трафик, то есть, где вам платят за каждый абонемент. То есть, ну, не проблема, да? Если есть у тебя уже чужой аккаунт рекламы, то сарбетражить его на что угодно можно там очень быстро.
Хакер:
Да, их в основном покупают всякие арбитражники в больших количествах, раскачивают, прогревают его и сливают трав. Или на партнерки, которые что-то продают есть какие-то смарт-линки, которые сами анализируют юзера и предлагают ему то, что больше всего, скорее всего, может понравиться и открывает, собственно, такая страничка.
Как защититься от вирусов?
Павлович:
Но смарт-линки есть в партнерках, например, там секс-знакомство типа, они открывают там с нужной тебе стороны, анализируют, то есть... Да-да-да. А как рядовому вообще обычному юзеру, типа меня, да, защититься а так все это и вирус на этом нечисти.
Хакер:
Мне кажется, в первую очередь необходимо не скачивать взломанные программы с интернета.
Павлович:
Ну, то есть ты имеешь в виду на торрентах искать Microsoft Office и Photoshop или что?
Хакер:
Не стоит. Лучше прибегнуть к Google таблицам или к каким-то Google документам. Если тебе нужен офис, Google предоставляет отличный сервис. Если ты не можешь позволить себе это купить, то ищешь какие-то аналоги, которые полностью белые, не надо искать никакие кей-гены и скачивать взломанные версии. Или покупаешь, или ищешь бесплатный адекватный аналог.
Павлович:
Я когда кейген, любой, вот недавно там, ассистенту моему нужно было Microsoft Office поставить, ну и он скачал на трекере генератор этих серийных номеров для офиса, для Microsoft Office, я его на VirusTotal закинул, он мне там 35 всяких вирусов показал.
Хакер:
Ну да, во-вторых если вы все-таки решили скачать какой-либо крякнутый софт, кейген закинуть его необходимо на VirusTotal посмотреть на детекты которые там пишутся потому что наверняка там будут всякие HackTool. HackBox, кейгены это такие нормальные детекты для этого софта, потому что он очевидно что-то такое несет в себе.
Но стоит обращать внимание на детекты, которые помечаются, как майнер, стиллер, ген-32 всякие.
Павлович:
То есть ты имеешь в виду, что когда мы сам кейген, вот этот генератор серийных номеров, закинем на вирус тотал, из-за его чуть-чуть такой природы он там же обходит эти защиты офиса, то есть он сам в любом случае, даже если не будет совершать посторонних вирусов, вирус Тотал его определит как вредоносную программу, да?
Хакер:
Да, какое-то количество детектов у него будет. Но стоит опасаться склейки этого кейгена с малварью. Тогда количество детектов будет или зашкаливающим, если человек не следит за криптом, а если следит, оно будет низким. На это тоже верить нельзя, поэтому необходим хороший антивирус на компьютере, чтобы ты запустил его. Даже если ты там поверил, есть всякие антивирусы с фейерволом, они тебе подскажут, что, куда этот софт делает запрос.
Допустим, софт после запуска начинает какие-то пакеты там слать на непонятный ресурс. Тут что-то не так. Или закидывает софт этот на виртуальную машину, в идеале смотреть трафик, снифать его вайршарком.
Павлович:
Но это рядовой пользователь этого делать не будет вряд ли.
Хакер:
Будет, ну хотя бы виртуальную машину поставить, запустить этот софт там, если он открылся, если он свою функцию исполняет, то окей, можно всё-таки запустить его на основной машине.
Павлович:
Ну а ещё какие методы?
Хакер:
Ещё, если... Я не уверен, что нас слушают и смотрят люди, которые не имеют русской, украинской и других СНГ раскладок, ставить их бесполезно, потому что они у нас уже есть, этому и защитились бы и от тех, кто не работает по СНГ.
Павлович:
У таких более-менее там совестливых хакеров, да?
Хакер:
Да, всякие китайцы уже приучились добавлять русскую раскладку, чтобы их не заражали. Второе, необходимо отказаться от сохранения паролей в своих браузерах, печать кипас, ластпас и прочие продукты, который служит как менеджер паролей. Ставишь на него свой отдельный пароль, который знаешь только ты, желательно хороший, чтобы его, не знаю, кто-нибудь не пришел и не захотел получить твой доступ.
Добавляешь туда все свои важные ссылки на ресурсы и логины пароля. Тогда ты предохранишься от того, что твои данные попадут не в те руки.
Сомнительные сайты
Павлович:
То есть мы, получается, не скачиваем всякий взломанный софт, всякие кейгены и прочее, используем либо бесплатные аналоги, либо платим за лицензионный образ на Майкрософт-офис. Затем мы добавляем клавиатуру, раскладку русского языка и клавиатуры к себе на комп, типа, что если нас будут ломать русские совестливые хакеры или пытаться заразить нас этим криптолокерам, зашифровать наши файлы и вымогать бабло, они увидят, что там есть русская раскладка и их вирус автоматом не сработает.
А третье, ты говоришь, это не посещать всякие сомнительные сайты. Может еще?
Хакер:
Не стоит посещать сомнительные сайты с интернет-эксплорера. Стоит использовать какой-то более-менее адекватный браузер, Google Chrome, Mozilla, Opera, установить туда Adblock или какой-либо его аналог, чтобы потенциальные нежелательные ресурсы у тебя не открывались.
Павлович:
Ну и не сохранять пароли в браузере, да, не ставить там сохранить, а использовать какой-то менеджер паролей типа keypass, lastpass и прочее, который защищен отдельным паролем, и все свои пассворды копировать оттуда, да?
Хакер:
Да, это основное и, пожалуй, чуть ли не главное правило. Если вы опасаетесь стиллеров, ну, этого стоит опасаться, потому что что только не могут сделать люди, получив доступ к аккаунту Gmail, к вашему банковскому счету.
Двухфакторная аутентификация и другие методы защиты
Павлович:
Ну, я бы добавил туда еще, поставьте везде двухфакторную аутентификацию, вот как у меня на YouTube-канал, у меня стоит, то есть мне постоянно на телефон приходят всякие подтверждения, должен то же самое действие, что на компе делаю, подтвердить с телефона. Ну и на банкинг тоже, соответственно.
Хакер:
Ну совсем. Если, допустим, с Ютубом, даже если у тебя двухфакторная аутентификация, авторизация установлена на вход в аккаунт с Google, то если твои пароли, куки были свежими на момент, когда вирус отработал, и человек также оперативно там в течение, не знаю, недели, двух, трех на него будет заходить, то его пустят автоматически к тебе на аккаунт. Возможно, он не сможет, я сказал, удалить там ролики твои или загрузить новый, потому что его выбьют оттуда, но прочитать реплику почта открывается в 99 процентов случаев.
Ты можешь изучить человека, что он кому отправляет. Также, если у вас андроид-смартфон, скорее всего, ваши фотографии загружаются в Гугл фото, можно отрыть гугл фото, проскроллить, там могут всякие быть фотографии банковских карт, контакты все.
Да, там есть и контактный лист твой, который сохранен на телефоне, поэтому не спасет, скорее всего.
Павлович:
Ну еще установите антивирус, хотя от ЗРД какой-нибудь от уязвимости такой очень редкой, пока неизвестной, он тоже не спасет.
Хакер:
Ну я не думаю, что это грозит рядовым пользователям.
Павлович:
А вообще, лучше тогда купите Mac, потому что Mac не так распространены, как Windows-компы, и их просто ломают гораздо реже, да?
Хакер:
Да.
Не боишься сесть в тюрьму?
Павлович:
И последний вопрос. Присесть, не боишься?
Хакер:
Браслеты надеть? Нет. Почему? Ну, у меня адекватно построена цепочка безопасности, и я не переживаю, что российские спецслужбы смогут что-либо с этим сделать.
Павлович:
Кто работает по Ру - к тому приходят по утру! Спасибо!
