Откуда берутся логи? Часть 1

Доброго времени суток, бандиты! Сегодня мы поговорим про то, откуда берутся логи. Почему я решил написать статью на эту тему? Во-первых, хочется рассказать о том, как устроены современные шопы и почему подавляющее большинство кардеров предпочитает покупать уже готовые логи, а не добывать их самостоятельно (спойлер: это очень сложно),

Во-вторых, поделиться своим опытом в этой нише, рассказать про подводные камни и моменты, где можно сильно проебаться.

После прочтения этого цикла статей вы начнете понимать, что происходит по "ту сторону" и как работают современные магазины логов. Также в этой сфере существуют мифы, которые хотелось бы развеять.

Немного о нас и нашем магазине

Имею ли я право вам про это рассказывать? Достаточно ли у меня опыта, чтоб показывать правду об этом направлении? 

Я и моя команда являемся одним из топовых сервисов по продаже логов. Мы прошли тяжелый путь, всадили очень много денег на тесты и столкнулись с множеством проблем.

Бывали моменты когда я думал, что пора завязывать с этим, но после всех неудач мы сделали выводы, получили опыт и осознали, что можем добиться успеха.

Поэтому нам действительно есть, что рассказать!

Что необходимо иметь для добычи логов?

1. Стиллер (Stealer, конь, стилак и тд.);
2. Деньги (куда же без них);
3. Трафик (загрузки, инсталлы);
4. Крипт (криптинг файла/билда).

Разберем каждый из пунктов подробнее:

1. Стиллер. Это софт/вирус, с помощью которого вы и будете получать логи. От стиллера зависят многие моменты: отстук, качество логов, скорость и удобство работы. Не буду сейчас касаться технического аспекта стиллера. Про это подробнее поговорим в следующих статьях.
2. Деньги. Скорее всего вы зададитесь вопросом, зачем нам деньги, если мы не будем покупать логи? Отвечаю: деньги понадобятся при любых раскладах, разница будет только в их количестве. Вы сами выбираете: использовать бесплатный стиллер или платный, который будет поддерживаться разработчиком, покупать трафик или добывать его самостоятельно.
3. Трафик. Без него стиллер не имеет смысла. Трафик — это основной момент всей работы в этом направлении. Благодаря трафику вы получаете установки вашего стилака и уже потом, в его панели, вы уведите лог того самого амера, который жить не может без порнухи и обязательно на google диске хранит селфи своей шляпы. Трафик, загрузки, инсталлы, установки — терминов много, но суть одна. Есть люди которые занимаются именно инсталлами, то есть ты платишь человеку, он льет трафик на твой стиллер и ты получаешь логи.
4. Крипт. Криптованием (криптингом) может заниматься либо человек, либо специализированный софт. Для чего нужен криптовать стиллер? Для того, чтобы при скачивании файла со стиллером система и антивирус распознавали его не как вредоносный, а как обычный, не послали никаких предупреждений и кх беспрепятственно смог его установить. Ведь при скачивании вредоносного ПО компьютер всеми способами пытается прервать установку и уведомить жертву о потенциальной опасности. После успешного крипта вы получаете файл/билд, который устанавливается и запускается без каких либо проблем и предупреждений. Хороший крипт увеличивает отстук — это факт. Не экономьте на крипте.

Еще парочка слов о трафике

Существует множество видов трафика: дорвеи (доры), биржи, соцсети (ютуб, фейсбук, инстаграм), торренты, ботнет и конечно поисковой трафик. И разница между всеми ними в качестве просто колоссальная! Поэтому более подробно трафик и его виды мы разберем подробнее в отдельной статье.

Также трафик можно добывать самостоятельно, но это требует много опыта, знаний и денег, но если вы освоите это ремесло, то вы без сомнения станете успешным.

По итогу вы узнали список необходимых вещей для добычи логов. Однако это лишь "верхушка айсберга".

У нас есть все необходимое. Что дальше?

Следующая процедура такова: берем стиллер либо ставим его и настраиваем сами, либо это делает разработчик, если вы используете платную версию.

После установки стиллера нам нужно проверить его на работоспособность (отстук).

Отстук — количество логов, которые поступили в панель стиллера после пролива. Сам термин отстук (от слова "стучит") подразумевается "стук" не в окно или дверь, а панель стиллера.

Проверка отстука

Для тестирования отстука нам нужно запустить незакриптованный файл (билд) со стиллером на дедике (RDP) и просмотреть, пришли ли хоть какие-то данные с дедика? Если пришли, значит все работает нормально и тест пройден успешен.

Криптование

После успешной проверки отстука, нам нужно закриптовать файл. Можно сделать это самостоятельно, если есть знания и софт, или обратиться к криптеру. Думаю после прочтение первой части статьи всем стало понятно, что если антивирус будет уведомлять каждую жертву о том, что скаченный файл является вредоносным, то % отстука значительно уменьшится, так как после предупреждения жертва вряд ли будет запускать наш файл.

После криптования нам нужно проверить качество крипта и работоспособность билда. Для этого мы заливаем его на специальные чекеры (сканеры). Важны момент: существуют чекеры наподобие virustotal, которые сливают базы малварей кампаниям, создающим антивирусное ПО, в результате чего ваш новенький билд начинает палиться и отстук падает! Остерегайтесь таких сканеров!

Список чекеров:

Сканеры на которых нельзя чекать свои малвари:

• https://www.virustotal.com
• https://virusscan.jotti.org
• https://metadefender.opswat.com
• https://virscan.org

Бесплатные сканеры на скантайм чек (файлы не сливают):

• https://antiscan.me
• https://spyralscanner.net

Плантные сканеры на скантайм чек (файлы не сливают):

• https://scanmybin.net
• https://avcheck.net
• https://dyncheck.com

Платные сканеры на рантайм чек:

• https://dyncheck.com
• https://run4me.net

Также не забываем самостоятельно чекать билд на детекты (рантайм, скантайм), после криптования, чтобы точно знать добросовестно ли сделал свою работу криптер.

И теперь уже после криптования и чека на детекты мы опять закидываем файл (на этот раз уже закриптованный) на дедик и смотрим, появился ли лог в панели или нет. Если появился, значит финальный тест прошел успешно и можно начинать пролив.

После всех манипуляций, описанных выше, у нас наконец-то есть готовый закриптованный файл (билд) стиллера, который после всех тестов и чеков имеет хороший отстук и не детектится антивирусным ПО. Самое время проверить его в условиях настоящей работы и обратится к траферу.

Пишем траферу, заказываем у него установки по вашему желанию и отдаем ему наш билд, после чего он начинает пролив и мы видим как в панели стиллера начинают появляться логи...

История из личного опыта

Расскажу историю, которая произошла в начале нашего пути. Изначально мы использовали стиллер под названием AZORult. В целом отличный стиллер, но при больших объемах требует слишком много внимания. Начну с того, что для достижения максимального результата при работе с азором мы для каждого пролива использовали свежий стиллер, т.е покупали новый сервер, ставили туда AZOR, после чего брали бесплатный домен и привязывали его к стиллеру через CloudFlare.

Для чего так заморачиваться?

После многих проливов мы заметили, что на свежий стиллер мы получаем больше отстука. Приведу пример для лучшего понимания: мы покупаем у трафера 1000 инсталлов USA и, если у нас будет грязный IP сервера, плохой крипт (или он будет отсутствовать в принципе), мы в итоге получим ~300-500 логов (т.е. отстук всего лишь в 30-50%, а может и меньше), из который как минимум половина будет пустыми или неполными.

При нашей "замороченной" схеме работы, мы получали ~800/900 логов с 1000 установок, т.е процент отстука был 80-90%, а не 30-50%. Разница между этими процентами колоссальная, поэтому лучше запариться с установками/настройками и получить хороший выхлоп.

Кстати, на данный момент мы используем стиллер под названием Vidar.

На этом первая статья про добычу логов закончена. Я думаю, что общую суть и механику работы вы поняли. Более подробно о тонкостях и подводных камнях мы поговорим в следующих статьях. Также в ближайшее время ждите детальный мануал по установке и настройке стиллера.

До связи, братва! Фарту, масти, мусорам по пасти!