- Сообщения
- 3.374
- Реакции
- 8.495
- Продажи
- 7
- Кешбек
- 0.66$
А теперь осмелюсь приступить к статье на такую тонкую тему, как вторжение в чужие корпоративные сети с последующей монетизацией оного, как путём перехвата дистанционного управления счетами, так и другими способами. Тема эта, без преувеличения, является Священным Граалем даркнета и всяческого рода кулхацкеров. Ну посудите сами, сколько чужих карточек(“картона”) надо “вбить”, чтобы получить более-менее существенную сумму, как-то влияющую на твоё благосостояние и уровень жизни, чтобы не просто попить пива разок-другой, а купить себе пинжак с карманАми, хромовые сапоги со скрипом и модный картуз крутой Мустанг Кобра-Шелби и с шиком и буксами 20-дюймовых колёс катать на нём тёлок по главному проспекту города? Сколько сенильных старушек развести на коды подтверждения? Сколько наивных школьников околпачить в “телеге”? А тут одним нажатием кнопки(именно так и кажется со стороны) можно присвоить миллионы и миллионы, как, например, было в случае с хищением из центрального банка Бангладеш, и никогда не быть обнаруженным и отданным под суд.
Сразу предупреждаю: в силу деликатности темы, эта статья больше будет состоять из вопросов, намёков и недосказанностей(sapienti sat), чем из развёрнутых ответов, хотя ответы автору и известны.
Для начала, нужно понимать цель проникновения в чужую корпоративную сеть. Вот что ты, приятель, проникнув туда, хочешь там сделать? Речь идёт не о взломе чужого сервера с использованием имеющихся уязвимостей для хищения хранящихся на нём номеров кредиток/чего-либо ещё, не о дефейсе чьего-то сайта с изображением голой задницы(своего биткойн-кошелька) на главной странице, как это бывает в 99% кулхацкерских взломов, а именно о продолжительной скрытной нудной шпионской работе на компьютерах каких-нибудь условных секретаря Анечки, менеджера по продажам Леночки и Татьяны Павловны из бухгалтерии(вот-вот, стало уже погорячее!) К тому же, как это сделать? Ведь все они сидят за NAT-сервером, и просто так в лоб к ним из интернета не залезешь!
Допустим, цель более-менее ясна. Как следует из полученной от кого-либо наколки/собранной информации, речь идёт о неком холдинге “Рога и Копыта”, состоящего из ООО “Рожки и Копытца”, ЗАО “Роги и Копыты” и бивиайского оффшора “Rogg and Copytt Enterprises LTD”. Суммарные оборотные средства порядка миллионов 40 в месяц рублём и 500 тыс. долларов, например. Счета ООО и ЗАО открыты в Замоскворецком отделении Попандос-Банка, счёт оффшора в Eastern Asia Laundry Investment Bank, что расположен на острове Лабуан в Малайзии. Арендуют офис фигуранты в башне “Вавилон”, что находится в “Москва-Сити”, известны также номера телефонов конторы. Задача – перехват дистанционного управления счетами(нетбанкинг, банк-клиент) с последующим выводом средств; параллельной, но не основной задачей также может являться сбор компромата на хозяев и/или сотрудников с целью последующего рэкета, это, так сказать, побочный промысел, подобно добыче кобальта и никеля при разработке железного рудника.
Для осуществления столь далеко идущих задач нам прийдётся обзавестись неким специализированным программным обеспечением. Во-первых, нам понадобится троян удалённого доступа под Windows 7/10(Linux и FreeBSD для таких контор редко встречающаяся экзотика, даже для серверной части), работающий в командной строке и состоящий из клиентской и серверной частей, кстати, довольно хитрый вопрос, какая из частей – клиент или сервер – должна стоять на машине жертвы и какая на машине злоумышленника. Во времена модемов и скорости интернета 56К был такой троян - “Смерть ламера” под 98-ую и 2000-ую винду, там клиент подключался к серверной части, находящейся на компьютере жертвы, по определённому порту, 32408 или что-то такое в этом роде, так там и кулхацкер, и жертва сидели на dial-up’е во внешней сети с настоящими RIPN’овскими IP, а не на каких-нибудь 192.168.1.120 или 10.0.0.8, кстати, там можно было потрясти или перевернуть на время экран ламера, поиграть с ним в чат, что-то вроде “THE MATRIX HAS YOU”, тогда как раз только что вышла на экраны “Матрица”
Троян этот должен уметь выходить из-под NAT и Proxy-серверов и связываться со своим хозяином, давая ему управление компьютером жертвы и возможность загрузки-выгрузки файлов. Также нам обязательно потребуются кей-логгер для отлова логинов и паролей, сканер, работающий из командной строки, архиватор, также под командную строку, некоторые другие утилиты, позволяющие запускать и останавливать процессы на компьютере, делать скриншоты, образы дисков, возможно, другие утилиты по обстоятельствам.
Существенным является понимание того, каким путём инсталлировать троян на целевой компьютер, как прописать в реестре, чтобы он запускался каждый раз вновь при запуске операционной системы и висел в процессах(или запускался в фоновом режиме как сервис и не был виден в процессах). Очень важно, чтобы троян был невидим для основных антивирусов, как и другие программы из нашего набора; тут следует отметить, что антивирусы палят трояны и тулкиты в основном по сигнатурам кода либо по бихейвористской модели путём эмуляции проверяемой программы на предмет совершаемых ей при запуске действий. При этом мы должны не быть замечены сисадмином конторы и самой ТП – пользователем компа, чтобы у неё не было никаких визуальных признаков либо ощущения слежки.
Но вот мы укоренились на одном из компьютеров целевой конторы(чаще всего, по практике, это оказывается компьютер секретаря, хотя бывают варианты).Теперь наша задача – обследовать сетку и вычислить компьютеры бухгалтерии(ну ведь не из гаража поди управляют у них финансами!) Также нас будут интересовать внутренние сервера с установленными на них программами общего пользования(1С, Консультант, Гарант, сетевые установки банк-клиентов), а также компьютеры руководства. Следующий этап - оперируя с компа секретутки, например, затроянить до кучи компьютеры бухгалтерии и организовать раздельное управление троянами(их там может быть от 2-х до 10-и штук, по практике), чтобы ты понимал, в какой момент ты находишься в гостях у Танечки, а в какой у Марьи Алексевны Тут есть кое-какое “ноу хау”.
Далее, интересные нам компьютеры оснащаем кей-логгерами и анализируем логи нажатий клавиш(обязательно с указанием, что в какое окно и в какой момент времени вводилось); ведутся они без нашего участия сами собой и мы анализируем активность пользователя в среднем раз в день, сгружая их к себе: что делал каждый конкретный работник на протяжении рабочего дня(порой это бывает весьма нудно, но прийдётся). Продравшись сквозь личную переписку всех этих ТП в мылах и вконтактиках(от регулярного чтения этой херни собачьей порой можно свихнуться самому), а также из анализа документов, установленных на машине программ и виндусового реестра, мы обнаруживаем пользование бухгалтерским софтом, в частности, нетбанкингом и банк-клиентами рублёвых организаций и, если повезёт, оффшоров. Банк-клиенты могут быть “тонкими”(работающими через броузер, обычно с помощью “банковского” плагина) и “толстыми”, в виде отдельной программы, устанавливаемой из дистрибутива. В последние лет 10-12 есть тенденция по отходу от “толстых” и переходу на “тонкие” клиенты; оффшоры на моей памяти уже давно не пользовались “толстыми” клиентами и работали через броузер. Как прикрутить всё это, несанкционированно взятое с чужого компа, к своему компу – отдельная песня, порой настоящий, как говорится, “танец с бубнами” и “мудовые рыдания”. Основные российские поставщики банковского софта – Инист, Бифит, BSS и иже с ними, – периодически предпринимают что-либо, чтобы осложнить жизнь злоумышленнику, от ключей на съёмном диске(по старым добрым временам, на дискете в 3,5 инча) до токенов с неизвлекаемыми ключами и даже диджипассов, но ход, скажем так, всё равно есть
Далее, допустим, нам удалось спиздить яйца из-под наседки, то есть из под толстозадой клуши-бухгалтерши, и провести трансакцию по выводу контролируемых ею средств на заранее заготовленный счёт рублёвый или тоже оффшорный(а с него – ещё дальше по цепочке). Тут потребуется некая операция прикрытия, порой довольно изощрённая, призванная на время помешать жертве заметить нашу трансакцию и осуществить быстрый регресс/отмену/блокировку спизженных денег. Решать всё могут буквально считанные минуты. Если удалось вывести деньги со второго звена, хозяину вернуть их будет уже значительно труднее, хотя в последние лет 5-7 появился немалый риск блокировки трансакции самим банком в рамках ФЗ-115, впрочем, есть способы сведения такого риска к минимуму, хоть и не к нулю.
Очень важен также момент вывода денег, он практически решает всё. Для этого прийдётся досконально изучать распорядок и уклад, бытующий в конторе, как если бы ты сам сидел за соседним столом и попивал чай вместе с ними Научиться мыслить, как они, предвидеть их действия.
В случае с ЦБ Бангладеш в 2016г. всё было проведено в пятницу утром, а дежурный сотрудник, заметивший странную неполадку с потерей связи с системой SWIFT, отнёсся к этому благодушно, ибо спешил на пятничный намаз! Атиур Рахман, управляющий ЦБ, рвал потом в бешенстве волосы на своей лысеющей голове(к хищению он был непричастен, судя по всему); ему потом пришлось тем не менее подать в отставку… А так и не пойманные никогда и никем крадуны вывели 81 лимон грина на Филиппины и в Шри Ланку, а потом ещё куда-то, и попивали потом на радостях пинаколаду
Ах да, я забыл, есть ещё такая тема, как вымогательство! Чтобы пассажир заплатил, например, за молчание, потребуется обладать чем-то экзистенциальным, угрожающим его существованию и благополучной жизни, чем-то наподобие “Кощеевой иглы”, иначе вам не заплатят; к тому же, прийдётся детально изучать его образ жизни и психологию и научиться мыслить как он; есть ещё такой путь, как уничтожение информации с шифрованием файлов и предложением вернуть за выкуп, но ИМХО это дело кислое, хотя и стало модным в последние годы. Также применялась кое-кем так называемая схема Азулея(по имени её изобретателя), состоящая во внедрении в документооборот жертвы фиктивных счетов путём подмены реквизитов получателя в счетах и договорах с последующей оплатой сей шняги ничего не подозревающей жертвой, это делалось в случае шибко секьюрных и неприступных банк-клиентов в качестве “атаки сбоку”, а по-моему, ещё и до эпохи банк-клиентов, в эру факсимильных аппаратов и гор бумаги; в рунете про неё информации почти нет, надо искать на французском языке.
Разумеется, в этой статье я рассказал далеко не всё, а информацию выложил несколько лукаво, каюсь, более “для затравки”. Мы живём ещё не при коммунизме, когда, как нам обещали, всё будет бесплатно, и навряд ли на свете найдётся сумасшедший альтруист, который бесплатно будет детально консультировать на эти темы. Как шутил один всем известный форумчанин, “с Вас полбитка за ответ!” Не, ну конечно не обязательно полбитка разве что издам когда-нибудь книгу, что-нибудь вроде Фленовской “ВЭБ-сервер глазами хакера” Хотя по нынешним временам в России такое хуй издадут
Так что если кому-то потребуется более развёрнутая консультация с выкладками, как и что делать, или если появится какой-то интерес к какой-то определённой конторе, можете обращаться в личку/джаббер, только сначала определитесь с конкретикой.
Сразу предупреждаю: в силу деликатности темы, эта статья больше будет состоять из вопросов, намёков и недосказанностей(sapienti sat), чем из развёрнутых ответов, хотя ответы автору и известны.
Для начала, нужно понимать цель проникновения в чужую корпоративную сеть. Вот что ты, приятель, проникнув туда, хочешь там сделать? Речь идёт не о взломе чужого сервера с использованием имеющихся уязвимостей для хищения хранящихся на нём номеров кредиток/чего-либо ещё, не о дефейсе чьего-то сайта с изображением голой задницы(своего биткойн-кошелька) на главной странице, как это бывает в 99% кулхацкерских взломов, а именно о продолжительной скрытной нудной шпионской работе на компьютерах каких-нибудь условных секретаря Анечки, менеджера по продажам Леночки и Татьяны Павловны из бухгалтерии(вот-вот, стало уже погорячее!) К тому же, как это сделать? Ведь все они сидят за NAT-сервером, и просто так в лоб к ним из интернета не залезешь!
Допустим, цель более-менее ясна. Как следует из полученной от кого-либо наколки/собранной информации, речь идёт о неком холдинге “Рога и Копыта”, состоящего из ООО “Рожки и Копытца”, ЗАО “Роги и Копыты” и бивиайского оффшора “Rogg and Copytt Enterprises LTD”. Суммарные оборотные средства порядка миллионов 40 в месяц рублём и 500 тыс. долларов, например. Счета ООО и ЗАО открыты в Замоскворецком отделении Попандос-Банка, счёт оффшора в Eastern Asia Laundry Investment Bank, что расположен на острове Лабуан в Малайзии. Арендуют офис фигуранты в башне “Вавилон”, что находится в “Москва-Сити”, известны также номера телефонов конторы. Задача – перехват дистанционного управления счетами(нетбанкинг, банк-клиент) с последующим выводом средств; параллельной, но не основной задачей также может являться сбор компромата на хозяев и/или сотрудников с целью последующего рэкета, это, так сказать, побочный промысел, подобно добыче кобальта и никеля при разработке железного рудника.
Для осуществления столь далеко идущих задач нам прийдётся обзавестись неким специализированным программным обеспечением. Во-первых, нам понадобится троян удалённого доступа под Windows 7/10(Linux и FreeBSD для таких контор редко встречающаяся экзотика, даже для серверной части), работающий в командной строке и состоящий из клиентской и серверной частей, кстати, довольно хитрый вопрос, какая из частей – клиент или сервер – должна стоять на машине жертвы и какая на машине злоумышленника. Во времена модемов и скорости интернета 56К был такой троян - “Смерть ламера” под 98-ую и 2000-ую винду, там клиент подключался к серверной части, находящейся на компьютере жертвы, по определённому порту, 32408 или что-то такое в этом роде, так там и кулхацкер, и жертва сидели на dial-up’е во внешней сети с настоящими RIPN’овскими IP, а не на каких-нибудь 192.168.1.120 или 10.0.0.8, кстати, там можно было потрясти или перевернуть на время экран ламера, поиграть с ним в чат, что-то вроде “THE MATRIX HAS YOU”, тогда как раз только что вышла на экраны “Матрица”
Троян этот должен уметь выходить из-под NAT и Proxy-серверов и связываться со своим хозяином, давая ему управление компьютером жертвы и возможность загрузки-выгрузки файлов. Также нам обязательно потребуются кей-логгер для отлова логинов и паролей, сканер, работающий из командной строки, архиватор, также под командную строку, некоторые другие утилиты, позволяющие запускать и останавливать процессы на компьютере, делать скриншоты, образы дисков, возможно, другие утилиты по обстоятельствам.
Существенным является понимание того, каким путём инсталлировать троян на целевой компьютер, как прописать в реестре, чтобы он запускался каждый раз вновь при запуске операционной системы и висел в процессах(или запускался в фоновом режиме как сервис и не был виден в процессах). Очень важно, чтобы троян был невидим для основных антивирусов, как и другие программы из нашего набора; тут следует отметить, что антивирусы палят трояны и тулкиты в основном по сигнатурам кода либо по бихейвористской модели путём эмуляции проверяемой программы на предмет совершаемых ей при запуске действий. При этом мы должны не быть замечены сисадмином конторы и самой ТП – пользователем компа, чтобы у неё не было никаких визуальных признаков либо ощущения слежки.
Но вот мы укоренились на одном из компьютеров целевой конторы(чаще всего, по практике, это оказывается компьютер секретаря, хотя бывают варианты).Теперь наша задача – обследовать сетку и вычислить компьютеры бухгалтерии(ну ведь не из гаража поди управляют у них финансами!) Также нас будут интересовать внутренние сервера с установленными на них программами общего пользования(1С, Консультант, Гарант, сетевые установки банк-клиентов), а также компьютеры руководства. Следующий этап - оперируя с компа секретутки, например, затроянить до кучи компьютеры бухгалтерии и организовать раздельное управление троянами(их там может быть от 2-х до 10-и штук, по практике), чтобы ты понимал, в какой момент ты находишься в гостях у Танечки, а в какой у Марьи Алексевны
Тут есть кое-какое “ноу хау”.Далее, интересные нам компьютеры оснащаем кей-логгерами и анализируем логи нажатий клавиш(обязательно с указанием, что в какое окно и в какой момент времени вводилось); ведутся они без нашего участия сами собой и мы анализируем активность пользователя в среднем раз в день, сгружая их к себе: что делал каждый конкретный работник на протяжении рабочего дня(порой это бывает весьма нудно, но прийдётся). Продравшись сквозь личную переписку всех этих ТП в мылах и вконтактиках(от регулярного чтения этой херни собачьей порой можно свихнуться самому), а также из анализа документов, установленных на машине программ и виндусового реестра, мы обнаруживаем пользование бухгалтерским софтом, в частности, нетбанкингом и банк-клиентами рублёвых организаций и, если повезёт, оффшоров. Банк-клиенты могут быть “тонкими”(работающими через броузер, обычно с помощью “банковского” плагина) и “толстыми”, в виде отдельной программы, устанавливаемой из дистрибутива. В последние лет 10-12 есть тенденция по отходу от “толстых” и переходу на “тонкие” клиенты; оффшоры на моей памяти уже давно не пользовались “толстыми” клиентами и работали через броузер. Как прикрутить всё это, несанкционированно взятое с чужого компа, к своему компу – отдельная песня, порой настоящий, как говорится, “танец с бубнами” и “мудовые рыдания”. Основные российские поставщики банковского софта – Инист, Бифит, BSS и иже с ними, – периодически предпринимают что-либо, чтобы осложнить жизнь злоумышленнику, от ключей на съёмном диске(по старым добрым временам, на дискете в 3,5 инча) до токенов с неизвлекаемыми ключами и даже диджипассов, но ход, скажем так, всё равно есть
Далее, допустим, нам удалось спиздить яйца из-под наседки, то есть из под толстозадой клуши-бухгалтерши, и провести трансакцию по выводу контролируемых ею средств на заранее заготовленный счёт рублёвый или тоже оффшорный(а с него – ещё дальше по цепочке). Тут потребуется некая операция прикрытия, порой довольно изощрённая, призванная на время помешать жертве заметить нашу трансакцию и осуществить быстрый регресс/отмену/блокировку спизженных денег. Решать всё могут буквально считанные минуты. Если удалось вывести деньги со второго звена, хозяину вернуть их будет уже значительно труднее, хотя в последние лет 5-7 появился немалый риск блокировки трансакции самим банком в рамках ФЗ-115, впрочем, есть способы сведения такого риска к минимуму, хоть и не к нулю.
Очень важен также момент вывода денег, он практически решает всё. Для этого прийдётся досконально изучать распорядок и уклад, бытующий в конторе, как если бы ты сам сидел за соседним столом и попивал чай вместе с ними
Научиться мыслить, как они, предвидеть их действия.В случае с ЦБ Бангладеш в 2016г. всё было проведено в пятницу утром, а дежурный сотрудник, заметивший странную неполадку с потерей связи с системой SWIFT, отнёсся к этому благодушно, ибо спешил на пятничный намаз! Атиур Рахман, управляющий ЦБ, рвал потом в бешенстве волосы на своей лысеющей голове(к хищению он был непричастен, судя по всему); ему потом пришлось тем не менее подать в отставку… А так и не пойманные никогда и никем крадуны вывели 81 лимон грина на Филиппины и в Шри Ланку, а потом ещё куда-то, и попивали потом на радостях пинаколаду
Ах да, я забыл, есть ещё такая тема, как вымогательство! Чтобы пассажир заплатил, например, за молчание, потребуется обладать чем-то экзистенциальным, угрожающим его существованию и благополучной жизни, чем-то наподобие “Кощеевой иглы”, иначе вам не заплатят; к тому же, прийдётся детально изучать его образ жизни и психологию и научиться мыслить как он; есть ещё такой путь, как уничтожение информации с шифрованием файлов и предложением вернуть за выкуп, но ИМХО это дело кислое, хотя и стало модным в последние годы. Также применялась кое-кем так называемая схема Азулея(по имени её изобретателя), состоящая во внедрении в документооборот жертвы фиктивных счетов путём подмены реквизитов получателя в счетах и договорах с последующей оплатой сей шняги ничего не подозревающей жертвой, это делалось в случае шибко секьюрных и неприступных банк-клиентов в качестве “атаки сбоку”, а по-моему, ещё и до эпохи банк-клиентов, в эру факсимильных аппаратов и гор бумаги; в рунете про неё информации почти нет, надо искать на французском языке.
Разумеется, в этой статье я рассказал далеко не всё, а информацию выложил несколько лукаво, каюсь, более “для затравки”. Мы живём ещё не при коммунизме, когда, как нам обещали, всё будет бесплатно, и навряд ли на свете найдётся сумасшедший альтруист, который бесплатно будет детально консультировать на эти темы. Как шутил один всем известный форумчанин, “с Вас полбитка за ответ!” Не, ну конечно не обязательно полбитка
разве что издам когда-нибудь книгу, что-нибудь вроде Фленовской “ВЭБ-сервер глазами хакера” Хотя по нынешним временам в России такое хуй издадут Так что если кому-то потребуется более развёрнутая консультация с выкладками, как и что делать, или если появится какой-то интерес к какой-то определённой конторе, можете обращаться в личку/джаббер, только сначала определитесь с конкретикой.
