Как я заработал $50000, перечитывая логи

Предыстория

Наверное, много людей читало про нашу конвейерную атаку в отчетах

http://telegra.ph/Kak-my-sorvali-kush-Avantyura-na-62-421-CHast-1-10-27

http://telegra.ph/Kak-my-sorvali-kush-Avantyura-na-62-421-CHast-2-10-29

Процесс отработки уже давно закончился, и все логи были отправлены в архив. Дело можно назвать достаточно успешным, ведь нам удалось поднять большую сумму денег на нем. Однако, я не мог успокоится, потому что доступ к одной из самых перспективных жертв мы так и не получили. Я потратил кучу времени на поиск подходов к его кошелькам. По нашим оценкам на бирже у него должно находиться больше 50 биткоинов, и примерно такая же сумма на холодном хранении. Но довести дело до конца у меня тогда не получилось, и я забросил попытки отработать его.

Как изначально велась атака

В ходе атаки я собрал много информации о его деятельности в сети и следил за всеми его аккаунтами в социальных сетях, пытаясь найти хоть малейший шанс, который позволил бы приблизиться к цели. Его основной деятельностью был трейдинг, именно с помощью него он зарабатывал себе на безбедную жизнь. К сожалению, других его интересов или увлечений найти не удалось. Почему к сожалению? Да потому что любые разговоры о трейдинге и финансах с незнакомцами подобные люди ведут крайне неохотно.

Я решил рискнуть и взяться за него, потому что это была крайняя жертва на отработке в том цикле. Первостепенная задача была в том, чтобы попасть к нему на машину. Печально получится если у него стоит дополнительная защита на вход на биржу и на вывод средств, пути обхода которой надо было еще придумать. Да и глупо рассчитывать, что удастся сразу попасть на его основную машину, с которой идет управление финансами. Поэтому в атаках на прошаренных держателей крипты попадание в систему зачастую не самый сложный этап, если уметь использовать социальную инженерию.

Понимая, что в этом конкретном случае, в силу недостаточности информации о нем, действуя через СИ, подобраться к нему будет сложно, я решил проявить оригинальность и действовать издалека. У него было 2 группы, посвященные трейдингу. Кстати, в основном благодаря им удалось оценить его сбережения. Вообще, анализируя информацию о нем у меня создалось впечатление, что его жизнь - один большой трейдинг. Для составления стратегии отработки жертвы важно собрать как можно больше данных о ней, а лишнюю информацию о себе он словно удалил, или намеренно никогда не публиковал. Никакой информации старше 2х лет о нем найти не удалось.

Возвращаюсь к его группам: первая была открытая, в которой он делился основами трейдинга для начинающих и выкладывал полезные материалы по теме, а вторая закрытая группа с сигналами по криптовалютам, вступление в которую стоило денег. Первая группа ему нужна была для того, чтобы подогревать интерес к приватной группе, поэтому периодически он бесплатно выкладывал туда свои приватные сигналы. Модель в принципе понятная, а что обычно бывает в таких небольших группах? Правильно, конкурсы и реклама. Хорошая реклама репутации группы не повредит, так еще за нее и деньги получить можно, а конкурсами можно привлечь новых людей к себе в группу. А еще лучше конкурс-реклама (конкурс оплаченный кем-то).

Поэтому я решил купить у него проведение конкурса. Многие, наверное, еще не понимают, что мне это вообще даст. Устраивайтесь поудобней, сейчас я расскажу, что за спектакль мы разыграли, благодаря которому удалось получить доступ к системе.

Реклама с "внезапными" трудностями

Всем известно, что в стрессовых ситуациях способность человеком принимать взвешенные решения сильно падает. Хоть мне и не удалось собрать много информации о нем, я точно знаю, что он - человек, а значит в критических ситуациях может принимать опрометчивые решения. Значит надо создать такую ситуацию, когда ему нужно будет принимать критические решения быстро, и использовать ее для атаки. Такой ситуацией может стать, например, неожиданная трудность с конкурсом.

План такой: разработать ПО, договориться с ним о розыгрыше пятидесяти копий через его публичную группу и сымитировать трудности с активацией ПО у победителей в самый неподходящий момент. И когда к нему посыпятся жалобы, он в спешке начнет думать, как избежать негативных отзывов в группе и, само собой, напишет мне, чтобы я разобрался с кодами из розыгрыша. Тогда я скажу, что, походу, левые коды дал, и надо новые генерировать, но я сейчас не за компом, и ему надо самому скачать генератор ключей и выпустить новые. Будет ли человек в здравом уме качать непонятное ПО на комп для выпуска ключей - вряд ли, а будет ли он это делать, если у него конкурс в его же группе трещит по швам - возможно.

Посоветовавшись с программистом, решено было создать программу для оповещения о резких изменениях курсов криптовалюты по заданной паре. Она и в тему крипты вписывается, да и делать ее, как он сказал, не долго. И вправду, рабочую программу я получил уже через пару дней. К ней шла маленькая программа для генерации ключей, без которых основная программа не запустится. Сама программа была на высшем уровне, в меню можно было настраивать кучу параметров оповещений, выбрать интересующие пары и много других полезностей, к тому же все это было в приятном интерфейсе.

Получив на руки программу я сразу связался с жертвой и начал договариваться о конкурсе. Я сказал, что это платная программа, которая еще не анонсирована на большом рынке и за проведение ее розыгрыша я готов был доплатить. Первым делом он захотел посмотреть на программу лично. Я так погряз в планировании продолжения атаки, что практически перед самой отправкой заметил, что можно попробовать вшить RAT в его демонстрационный образец, что я и сделал. Было бы забавно, если бы уже сейчас мне удалось получить доступ к его основной системе на этом шаге, но попытаться стоило, тем более крипт не такой дорогой.

Я сбросил ему нашу программу с валидным ключом к ней (немного переработанную под демонстрационный вариант, чтобы он не разыграл версию с ратом). Где-то через полчаса-час он запустил ее. Что я обнаружил в рате — чистую, только что установленную систему. То есть для запуска одной только программы он установил себе целую отдельную виртуальную систему (которую, скорее всего, потом удалил, потому что RAT скоро ушел в offline навсегда). Что-то подобное я и ожидал. Хотя, это мне же в плюс: ему на установку время нужно, которого в спешке у него явно не будет.

Программа ему понравилась и мы договорились о сумме сотрудничества, которая была не очень большая. Что же, маленький успех! Конкурсу быть. Я придумал из головы 50 кодов, которые, само собой, были не рабочими и сбросил ему с чистой версией программы, для розыгрыша. Осталось только подождать начала конкурса, который состоялся через неделю.

Отправлялась чистая версия, потому что если крипт спадет и антивирусы начнут ругаться на программу, то вся задумка рухнет. Тем более это розыгрыш в открытой группе, а это, сами понимаете, далеко не закрытый клуб биткоин миллионеров, поэтому рисковать попусту не решился.

В день проведения конкурса, ближе к вечеру опубликовали результаты. Как вы думаете, через сколько он написал нам с претензией? - Уже через 12 минут. Он скинул фрагменты беседы из нескольких чатов, где люди жалуются, что код не подошел и попросил разобраться. Тут я отвечаю, что не те коды скинул походу, и компа под рукой нет, да и вообще я в командировке, поэтому сделать не могу ничего. После 2-3 минутной словесной разборки и обвинений, я "нахожу компромисс" и готов отправить ему программу для генерации ключей, чтобы он создал новые ключи людям. У меня уже была готова версия генератора, склеенная с RAT, так как готовиться всегда предпочитаю заранее. Программу залил на файлообменник и сбросил ему линк, якобы мне её так разработчик отправил.

Наш марафонец через 4 минуты отображается в окне рата. Это очень хороший знак! Потому что за 4 минуты он новую систему накатить точно не успел бы, а значит мы возможно попали к нему… Ну мечтать еще рано, надо проверить все, чем я сразу же и занялся.

Первый шаг сделан, мы на машине

Попав на машину я сразу начал перерывать файловую систему в поисках доступов. Только чуда не случилось, я не нашел ничего интересного. Посмотрев на установленные программы и компоненты я быстро понял, что это была все еще виртуальная система, но уже не чистая, а используемая для сторонней работы. Причем машину он настроил основательно, весь трафик шел через тор, а других устройств в локальной сети не было. Виртуалка для мусора? - Возможно.

В принципе, на этом моменте его отработка по большей части зашла в тупик. Я подумал, что будет проще за кого-то другого приняться, чем биться головой о его защиту, с концепцией которой он явно знаком. И, напоследок, все же закинул ему keylogger, лог с которого исправно писался с неделю.

Как оказалось, эта виртуалка у него часто запущенна в фоне. Под конец мы с командой просмотрели все логи, а там даже email не засветился ни разу. Так на биржу не попасть.

Поэтому было принято решение оставить эту цель в покое.

Очень обидно, что пришлось оставить его отработку тогда. Потому что получилась бы красивая атака с нестандартным подходом. Я получаю удовольствие не столько от вывода больших сумм, как от осознания, что я проделал хорошую работу и смог обойти продуманную защиту. Для меня это была не просто мимолетная отработка, а я смог полностью погрузился в процесс, придумать новую схему атаки, добраться до его рабочей виртуалки. Но, как мне тогда казалось, все это было безрезультатно.