Перейти к публикации
  • Integra
    Integra

    Как вычисляют вирусописателей?

    Кто-то верит в домовых и полтергейст, кто-то — в снежного человека, кто-то — в то, что разработчик малвари и прочего нелегального софта может гарантировать собственную анонимность, просто накрыв бинарник упаковщиком или обфусцировав код. Отдельные индивидуумы убеждены, будто их деятельностью никогда не заинтересуются компетентные органы, если созданные ими программы не наносят прямого материального ущерба, не распространяются на территории России или пострадавшие не напишут в полицию толстую пачку заявлений.

    Факты же упрямо демонстрируют нам совершенно иную картину. Деанон авторов малвари стал уже настолько привычным делом, что подобные инциденты в последнее время никого не удивляют. Ну, спалили еще одного кодера, эка невидаль. Кое-кто и вовсе бравирует собственной неуязвимостью и безнаказанностью: дескать, вот он я, пусть попробуют поймать, да только кому я нужен? Нужен, мил человек, и еще как.

     

    Да кому ты нужен?

    Начнем с того, что обе присутствующие на российском рынке отечественные антивирусные компании очень тесно взаимодействуют с правоохранительными органами, чего совершенно не скрывают. Хотя бы по той простой причине, что они вынуждены регулярно получать у суровых организаций с названиями из трех букв лицензии и сертификаты на разработку средств защиты конфиденциальной информации, на работу с криптографией, на защиту персональных данных и далее со всеми остановками.

     

    Кроме того, все они имеют лицензии на проведение технических экспертиз и исследований с использованием методов форензики, причем регулярно используют эти лицензии по назначению — в том числе в интересах государства. Наконец, ходят упорные слухи, что многие работающие на рынке информационной безопасности фирмы в обязательном порядке отправляют куда надо регулярные отчеты о текущей вирусной и киберкриминальной обстановке. Если в такой отчет, помимо сухой статистики, можно включить конкретные сведения о разоблаченном вирмейкере, упустят ли аналитики такую возможность? Ответ, в общем-то, очевиден.

    pechkinn.jpg#26164148
     

    Но есть и хорошая новость, юзернейм. Если однажды утром ты проснулся знаменитым, потому что твое имя внезапно попало в новостные ленты антивирусных компаний, это означает одно из двух. Либо ты уже сидишь в тесном зарешеченном помещении в ожидании суда, либо представители закона не проявили к твоей персоне заслуженного внимания.

    Существует такое понятие, как тайна следствия, разглашать которую нельзя ни под каким соусом. Если в отношении некоего абстрактного кодера Васи органы правопорядка проводят какие-либо мероприятия, об этом вряд ли расскажут в интернетах до тех пор, пока кодеру Васе не будет предъявлено обвинение или он не предстанет перед судом. Только вот радоваться, обнаружив себя, любимого, в новостях, тоже глупо: это однозначно свидетельствует о том, что ты уже на карандаше, а о твоем творчестве оперативно сообщили куда следует.

     

     

    Это он, это он, ваш тотальный деанон!

    Абсолютно во всех известных широкой общественности случаях деанона причину случившегося следует искать в зеркале. Вирмейкеры порой палятся на таких мелочах, которые со стороны выглядят сущей нелепицей. Ну казалось бы, зачем хранить на серваке, где поднята админка ботнета, личные файлы? Зачем сбрасывать стату по работе другого ботнета эсэмэсками на номер мобильного телефона с левой симкой, если этот номер ранее неоднократно светился в объявлениях по продаже компьютерных потрошков с указанием города и даже, ты не поверишь, ближайшей станции метро?

    Складывается впечатление, что подобные глупости совершают исключительно кодеры, которых природа наделила одной-единственной извилиной, да и та анатомически расположена где-то в районе непосредственного контакта организма со стулом. Однако наступить на грабли может буквально каждый. Особенно если он не выработал полезной привычки внимательно смотреть себе под ноги.

     

     

    В каждой строчке только точки

    Как известно, отлаживание — это мучительный процесс избавления программы от лажи. Для облегчения этого самого процесса некоторые компиляторы добавляют в бинарник специальные отладочные строки. В них порой содержится полный путь к папке, где хранились исходники проекта, причем этот путь иногда включает имя пользователя винды, например C:\Users\Vasya Pupkin\Desktop\Super_Virus\ProjectVirus1.ВБП.

    В процессе реверсинга вся эта радость неизбежно вылезает наружу. Одно дело, если имя учетки придумали те же самые ребята, которые сочиняют непроизносимые названия для товаров в магазине IKEA. Но зачастую строка включает настоящее имя и даже — страшно подумать — фамилию незадачливого вирмейкера. Благодаря этому обстоятельству вычислить его становится намного проще, хотя результат не гарантирован: мало ли на нашей планете обитает однофамильцев?

    Даже если вместо имени пользователя в обнаруженной исследователями строчке значится ник, это все равно даст важную зацепку. Большинство людей, не страдающих паранойей, использует один и тот же ник на различных ресурсах. Это их и подводит. Любой желающий очень быстро отыщет посты интересующего его персонажа на форумах, его страничку на гитхабе и профайл в твиттере. Понять, что все эти «цифровые следы» оставило одно и то же лицо, несложно: одинаковый аватар, схожая подпись, один и тот же текст, размещенный на разных площадках… Дальше потянется ниточка, которая куда-нибудь да приведет.

    Вывод прост: раз уж ты взялся за написание программы, которую кто-то, вероятно, захочет исследовать, нужно соблюдать правила элементарной гигиены и внимательно следить за тем, чтобы в код не попало ничего лишнего.

     

     

    Вот тебе мыло душистое и полотенце пушистое

    Еще одно распространенное природное явление — хранение адресов электронной почты в виде незашифрованных символьных значений. Характерные строки — это первое, на что обращает внимание в дизассемблированном коде реверс-инженер. Притом некоторые индивидуумы полагают, будто достаточно поксорить строчку, чтобы надежно спрятать свой адрес на мейл.ру от посторонних глаз. Нет, друзья, недостаточно.

    Если в коде внезапно обнаруживается мыло, оно тут же вбивается в гуголь. Дальше возможны варианты. По адресу электропочты через несколько последовательных шагов может отыскаться и учетка в телеграме, и страничка пользователя в социальных сетях, и факт его регистрации на форумах вместе со всеми сообщениями. А может не нагуглиться ничего. Второй вариант случается, если предусмотрительный юзернейм не использует один и тот же ящик для технических целей и личной переписки.

     

     

    Не стучите, открыто!

    Еще веселее, когда какой-нибудь непризнанный гений прописывает прямо в коде логин и пароль, например от админки бота или от облачного хранилища, куда трой заливает утянутые с компьютера пользователя файлы. Совсем хорошо, если один и тот же пароль используется везде, где только можно — и для авторизации в админке, и на почтовом сервере, и в социальных сетях.

    code.jpg#26164148
     

    В этой связи невольно вспоминается один недавний случай, когда некий анонимус решил проверить трояна-стилера на собственном компьютере. Стилер, что характерно, отработал на пять баллов. В результате в облако, логин и пароль от которого хранились в открытом виде в самом трое, с компа нашего естествоиспытателя было выгружено все исподнее, наглядно продемонстрировав исследователям его неприкрытую жоизнь и богатый внутренний мир. По возможности избегай этого, юзернейм.

     

     

    Ваш домен выключен или находится вне зоны обслуживания

    Кое-кто очень любит забивать прямо в код адреса управляющих серверов, даже несмотря на то, что прогрессивное человечество давным-давно придумало DGA — алгоритмы динамической генерации доменных имен. Примеры таких решений можно без особого труда найти в этих ваших интернетах.

    И дело не в том, что DGA повышает живучесть троя (накрылся один управляющий сервак — софтина автоматически подключается к следующему), и даже не в том, что сервер, если его адрес известен, можно сбрутить, засинкхолить или заDDoSить. Вычислить можно и сгенерированный адрес, вдумчиво покурив алгоритм, но тут вступают в действия иные механизмы защиты — верификация подписи сервера, шифрование при передаче данных и прочие.

    url.jpg#26164148
     

    Даже если сломать админку у исследователя не получилось, очень много полезной информации можно добыть, воспользовавшись службой whois. И скрытие имени держателя домена помогает далеко не всегда. А еще можно поискать другие сайты на том же IP-адресе, посмотреть, что на них находится, и попробовать зайти оттуда. В принципе, многие слышали термин CloudFlare, но вот разбираться, что это такое, всем обычно лень.

    Некоторые гуманоиды и вовсе поднимают админки у публичных хостеров либо на площадках, где крутятся другие их проекты или сайты работодателя. Комментировать такое я, пожалуй, не стану: глумиться над подобным грешно, а плакать уже сил нет.

     

     

    И смех и грех

    Гордыня — это смертный грех. А грешников, как утверждают религиозные деятели, ждет неминуемое наказание. Далеко не все вирмейкеры готовы оставаться в тени и тихонечко стричь бабло, им хочется славы, почета и уважения, внимания публики и бурных оваций. В результате кое-кто начинает записывать видосы о компиляции и обфускации троев и выкладывать скринкасты на ютубе. Позабыв при этом закрыть в браузере вкладочки со своей страничкой «Вконтакте» и окошки проводника, где на HD-разрешении можно разглядеть очень много интересного.

    vidos.jpg#26164148
     

    Другой персонаж компрометирующих роликов не снимал, зато выкладывал в интернет крайне интересные статьи о методах обхода UAC, написании сплоитов, повышении привилегий в системе и прочих вирмейкерских трюках. С конкретными примерами, конечно. Вычислили его очень просто: по этому самому коду, вернее по характерным именам переменных, комментам, манере реализации некоторых функций — в общем, сравнив выложенные в паблик исходники и кодес из IDA Pro. Отпираться оказалось бессмысленно — код он размещал в личном блоге за собственной подписью. Фаталити.

     

     

    Вместо послесловия

    Методов идентификации авторов малвари существует великое множество, я упомянул только о самых очевидных из них. Выводы тоже вполне очевидны: в кабинет к следователю вирмейкеров приводит собственная некомпетентность и распнаплевательское отношение к элементарным вопросам безопасности. Впрочем, это, возможно, и неплохо: помнится, один похожий на Льва Толстого дядька что-то писал про естественный отбор. Который, по его мнению, в целом способствует повышению выживаемости вида.




  • Скиммеры для банкоматов

    Всем привет! Наша команда осуществляет производство и продажу скиммеров для банкоматов Поддерживаемые банкоматы: NCR, Wincor, Diebold Все компоненты делаются вручную при помощи 3D принтера MakerBot с погрешностью 0.05 mm ПО полностью собственного производства. Пайка и сборка происходит в нашем цеху. Характеристики устройств: Время работы: до 50 часов +-2 часа. Электронная составляющая  (кишки\начинка) на выбор FLASH (msrv009\010) или AUDIO (custom\edic a16)

    ProSkimmerMafia
    ProSkimmerMafia
    Скиммеры 177

    Приму залив на Альфу

    Разово. Карты виза и мастер кард. Лимит до 500 000р. Денег на предоплату нету!!! Пишите в пм.

    filla
    filla
    Заливы на банковские карты 2

    Посылка с DARKNET | Техника

    Добро пожаловать! В нашем магазине для вас представлены: Любая техника за 40% от цены Amazon.com и Ebay.com Apple    Samsung    Sony    NVidia    Huawei    Xiaomi и т. п. IPhone | MacBook | IPad IPhone 11  Pro  Max  64гб - 550$ | 256гб - 660$ | 512гб - 750$ IPhone 11  Pro           64гб - 440$ | 256гб - 500$ | 512гб - 600$ IPhone XS max           64гб - 400$ | 256гб - 450$ | 512гб - 500$ IPhone XS                   64гб - 380$ | 256гб - 420$ | 512гб - 450

    NFS
    NFS
    Прочие товары и услуги 59

    Карты с балансом / Карты под обнал / Обнал карт

    Предлагаю работу по обналу карт. Если вас интересует такой вид заработка то читайте внимательно чтоб не было вопросов на которые уже есть ответы!!! Наша команда опытных кардеров ищет людей для обнала пластиковых карт американских банков. [Мы предлагаем работать на нас и получать до 5000 $ в месяц] Работа не сложная, все что от вас требуется так это получать партии пластиковых карт и обналичивать их в банкоматах. Работаем исключительно с американским пластиком что сводит риски дан

    DebitCredit
    DebitCredit
    Продажа карт 34

    Военный билет легально

    Готов предоставить услугу получения Военного билета в Москве (не обязательно быть прописанным в МСК,человек может быть откуда угодно,мы сделаем бесплатнопрописку и прикрепим человека к Московскому военкомату)   По долгу службы имею доступ к картотеке московского военкомата. Отсюда есть возможность следать военный билет (по состоянию здоровья) без посредников и абсолютно легально. Я лично буду оформлять ваши документы, следовательно на руки вы получите оригиналы.   Порядок д

    GunPower
    GunPower
    Купить Военный билет 34

    Схема офлайн. Заработок от 200К в месяц

    Продаю схему заработка в 1 город максимум 2-3 руки. Данный материал позволит вам почувствовать себя хозяином собственного дела в вашем городе. Поскольку тема авторская, то полностью исключено, что в вашем городе практикуется данный бизнес. Если ваш город не занят, вы просто покупаете и начинаете зарабатывать уже через 3-4 дня первый 30-50тр. Абсолютно не прикладывая не каких усилий, без вложений накоплений, ничем абсолютно не рискуя. Чтобы начать зарабатывать нужно только умение общаться с люд

    Мажорный Сет
    Мажорный Сет
    Схемы заработка 14
  • Магазин строительных материалов

    Какой плиточный клей лучше? Перед тем как отправиться за плиточным клеем, следует определить, где именно будет производиться укладка облицовочного материала – снаружи или внутри дома. Также необходимо знать размер плитки: обычная или крупноразмерная. Все это непосредственно отразиться на результатах выбора. Как и какой выбрать плиточный клей. Для укладки керамики можно использовать самые простые составы. Исключении составляют случаи, когда проводится облицовка гибких поверхностей, таких ка

    SvetaKen
    SvetaKen
    Легальный бизнес 4

    Купить паспорт гражданина РФ с проводкой по базе

    Где купить паспорт РФ?   Купить паспорт гражданина РФ – это не так страшно, как кажется. На самом деле ситуации бывают разные. Иногда документ, подтверждающий личность, нужен временно. Вы можете уже 5 лет проживать в стране, работать и приносить всяческие блага, а бездушная бюрократическая машина кормит «завтраками» и не делает ничего, чтобы превратить человека в гражданина страны. А ведь наличие паспорта существенно облегчает жизнь. Так, Вы сможете: ·        голосовать;

    Integra
    Integra
    Юридический раздел 3

    Машинный слух. Как работает идентификация человека по голосу

    Ты, возможно, уже сталкивался с идентификацией по голосу. Она используется в банках для идентификации по телефону, для подтверждения личности на пунктах контроля и в бытовых голосовых ассистентах, которые могут узнавать хозяина. Знаешь ли ты, как это работает? Я решил разобраться в подробностях и сделать свою реализацию. Характеристики голоса В первую очередь голос определяется его высотой. Высота — это основная частота звука, вокруг которой строятся все движения голосовых связок. Эту

    ChekTime
    ChekTime
    Биллинги, веб дизайн

    Чем занимается «белый хакер», как им стать и сколько можно заработать

    Рассказ Link — хакера из Санкт-Петербурга, который нашёл уязвимость в PayPal и получил от компании около $70 тысяч в знак благодарности.   Меня всегда интересовала информатика, и мне всегда хотелось что-то «сломать», но при этом так, чтобы никто не пострадал, а защита и качество сервисов улучшились.  Я искал разные приложения и сайты и спрашивал у создателей, можно ли проверить их разработки на прочность. Чаще всего мне отказывали. Скорее всего, боялись, потому что так

    Rabb1tRun
    Rabb1tRun
    Библиотека кардера

    Целенаправленная социальная инженерия. Нестандартные техники введения в заблуждение.

    WARNING Правила безопасности всегда пишутся постфактум, а потому инертны и слабо защищают от современных угроз. Банки уже давно не нужно грабить в масках с автоматами — теперь достаточно электронной почты, но во многих финансовых организациях еще живы старые стереотипы. Акцент в них делают на физическую безопасность, считая информационную менее существенной. Достаточно вспомнить недавнюю историю с ограблением ПИР Банка и комментарий его председателя правления: «…с наибольшей вероятностью ви

    Novichok
    Novichok
    Социальная инжинерия 4

    Купить QIWI кошелек с балансом, без смс подтверждения

    Где купить QIWI кошелек?   QIWI Кошелек представляет собой кошелек электронного формата. Он основан на предоплаченном счете Visa. Сегодня количество пользователей данным кошельком уже больше 17 миллионов. Пользователи Киви кошелька могут достаточно быстро и без проблем оплачивать сервисы больше чем 11 тысяч предприятий. Кошелек Киви предлагает собственным пользователям открытый доступ к надежным и безопасным продуктам Виза. Счет QIWI кошелька привязывается к карте (она может быть в

    InkognitoXXX
    InkognitoXXX
    Курилка 1
×
×
  • Создать...