Откуда берутся логи? Часть 1
BaraRДоброго времени суток, бандиты! Сегодня мы поговорим про то, откуда берутся логи. Почему я решил написать статью на эту тему? Во-первых, хочется рассказать о том, как устроены современные шопы и почему подавляющее большинство кардеров предпочитает покупать уже готовые логи, а не добывать их самостоятельно (спойлер: это очень сложно),
Во-вторых, поделиться своим опытом в этой нише, рассказать про подводные камни и моменты, где можно сильно проебаться.
После прочтения этого цикла статей вы начнете понимать, что происходит по "ту сторону" и как работают современные магазины логов. Также в этой сфере существуют мифы, которые хотелось бы развеять.
Немного о нас и нашем магазине
Имею ли я право вам про это рассказывать? Достаточно ли у меня опыта, чтоб показывать правду об этом направлении?
Я и моя команда являемся одним из топовых сервисов по продаже логов. Мы прошли тяжелый путь, всадили очень много денег на тесты и столкнулись с множеством проблем.
Бывали моменты когда я думал, что пора завязывать с этим, но после всех неудач мы сделали выводы, получили опыт и осознали, что можем добиться успеха.
Поэтому нам действительно есть, что рассказать!
Что необходимо иметь для добычи логов?
- Стиллер (Stealer, конь, стилак и тд.);
- Деньги (куда же без них);
- Трафик (загрузки, инсталлы);
- Крипт (криптинг файла/билда).
Разберем каждый из пунктов подробнее:
- Стиллер. Это софт/вирус, с помощью которого вы и будете получать логи. От стиллера зависят многие моменты: отстук, качество логов, скорость и удобство работы. Не буду сейчас касаться технического аспекта стиллера. Про это подробнее поговорим в следующих статьях.
- Деньги. Скорее всего вы зададитесь вопросом, зачем нам деньги, если мы не будем покупать логи? Отвечаю: деньги понадобятся при любых раскладах, разница будет только в их количестве. Вы сами выбираете: использовать бесплатный стиллер или платный, который будет поддерживаться разработчиком, покупать трафик или добывать его самостоятельно.
- Трафик. Без него стиллер не имеет смысла. Трафик — это основной момент всей работы в этом направлении. Благодаря трафику вы получаете установки вашего стилака и уже потом, в его панели, вы уведите лог того самого амера, который жить не может без порнухи и обязательно на google диске хранит селфи своей шляпы. Трафик, загрузки, инсталлы, установки — терминов много, но суть одна. Есть люди которые занимаются именно инсталлами, то есть ты платишь человеку, он льет трафик на твой стиллер и ты получаешь логи.
- Крипт. Криптованием (криптингом) может заниматься либо человек, либо специализированный софт. Для чего нужен криптовать стиллер? Для того, чтобы при скачивании файла со стиллером система и антивирус распознавали его не как вредоносный, а как обычный, не послали никаких предупреждений и кх беспрепятственно смог его установить. Ведь при скачивании вредоносного ПО компьютер всеми способами пытается прервать установку и уведомить жертву о потенциальной опасности. После успешного крипта вы получаете файл/билд, который устанавливается и запускается без каких либо проблем и предупреждений. Хороший крипт увеличивает отстук — это факт. Не экономьте на крипте.
Еще парочка слов о трафике
Существует множество видов трафика: дорвеи (доры), биржи, соцсети (ютуб, фейсбук, инстаграм), торренты, ботнет и конечно поисковой трафик. И разница между всеми ними в качестве просто колоссальная! Поэтому более подробно трафик и его виды мы разберем подробнее в отдельной статье.
Также трафик можно добывать самостоятельно, но это требует много опыта, знаний и денег, но если вы освоите это ремесло, то вы без сомнения станете успешным.
По итогу вы узнали список необходимых вещей для добычи логов. Однако это лишь "верхушка айсберга".
У нас есть все необходимое. Что дальше?
Следующая процедура такова: берем стиллер либо ставим его и настраиваем сами, либо это делает разработчик, если вы используете платную версию.
После установки стиллера нам нужно проверить его на работоспособность (отстук).
Отстук — количество логов, которые поступили в панель стиллера после пролива. Сам термин отстук (от слова "стучит") подразумевается "стук" не в окно или дверь, а панель стиллера.
Проверка отстука
Для тестирования отстука нам нужно запустить незакриптованный файл (билд) со стиллером на дедике (RDP) и просмотреть, пришли ли хоть какие-то данные с дедика? Если пришли, значит все работает нормально и тест пройден успешен.
Криптование
После успешной проверки отстука, нам нужно закриптовать файл. Можно сделать это самостоятельно, если есть знания и софт, или обратиться к криптеру. Думаю после прочтение первой части статьи всем стало понятно, что если антивирус будет уведомлять каждую жертву о том, что скаченный файл является вредоносным, то % отстука значительно уменьшится, так как после предупреждения жертва вряд ли будет запускать наш файл.
После криптования нам нужно проверить качество крипта и работоспособность билда. Для этого мы заливаем его на специальные чекеры (сканеры). Важны момент: существуют чекеры наподобие virustotal, которые сливают базы малварей кампаниям, создающим антивирусное ПО, в результате чего ваш новенький билд начинает палиться и отстук падает! Остерегайтесь таких сканеров!
Список чекеров:
Сканеры на которых нельзя чекать свои малвари:
- https://www.virustotal.com
- https://virusscan.jotti.org
- https://metadefender.opswat.com
- https://virscan.org
Бесплатные сканеры на скантайм чек (файлы не сливают):
- https://antiscan.me
- https://spyralscanner.net
Плантные сканеры на скантайм чек (файлы не сливают):
- https://scanmybin.net
- https://avcheck.net
- https://dyncheck.com
Платные сканеры на рантайм чек:
- https://dyncheck.com
- https://run4me.net
Также не забываем самостоятельно чекать билд на детекты (рантайм, скантайм), после криптования, чтобы точно знать добросовестно ли сделал свою работу криптер.
И теперь уже после криптования и чека на детекты мы опять закидываем файл (на этот раз уже закриптованный) на дедик и смотрим, появился ли лог в панели или нет. Если появился, значит финальный тест прошел успешно и можно начинать пролив.
После всех манипуляций, описанных выше, у нас наконец-то есть готовый закриптованный файл (билд) стиллера, который после всех тестов и чеков имеет хороший отстук и не детектится антивирусным ПО. Самое время проверить его в условиях настоящей работы и обратится к траферу.
Пишем траферу, заказываем у него установки по вашему желанию и отдаем ему наш билд, после чего он начинает пролив и мы видим как в панели стиллера начинают появляться логи...
История из личного опыта
Расскажу историю, которая произошла в начале нашего пути. Изначально мы использовали стиллер под названием AZORult. В целом отличный стиллер, но при больших объемах требует слишком много внимания. Начну с того, что для достижения максимального результата при работе с азором мы для каждого пролива использовали свежий стиллер, т.е покупали новый сервер, ставили туда AZOR, после чего брали бесплатный домен и привязывали его к стиллеру через CloudFlare.
Для чего так заморачиваться?
После многих проливов мы заметили, что на свежий стиллер мы получаем больше отстука. Приведу пример для лучшего понимания: мы покупаем у трафера 1000 инсталлов USA и, если у нас будет грязный IP сервера, плохой крипт (или он будет отсутствовать в принципе), мы в итоге получим ~300-500 логов (т.е. отстук всего лишь в 30-50%, а может и меньше), из который как минимум половина будет пустыми или неполными.
При нашей "замороченной" схеме работы, мы получали ~800/900 логов с 1000 установок, т.е процент отстука был 80-90%, а не 30-50%. Разница между этими процентами колоссальная, поэтому лучше запариться с установками/настройками и получить хороший выхлоп.
Кстати, на данный момент мы используем стиллер под названием Vidar.
На этом первая статья про добычу логов закончена. Я думаю, что общую суть и механику работы вы поняли. Более подробно о тонкостях и подводных камнях мы поговорим в следующих статьях. Также в ближайшее время ждите детальный мануал по установке и настройке стиллера.