СИ или как заставить человека запустить файл
.onion
Статья от socielengeneeeer
Во многом я с ним соглашусь. Если ваш файл не закриптован, то намного проще развести на экзешник, но сами по себе картинки и прочие подобные файлы имеют более высокий КПД, если конечно есть крипт, иначе смысл отпадает и даже хуже. Главное думать)
Очень известная и актуальная проблема последних годов - как сделать так, чтоб ваш файл открывали. Это может быть что угодно: стиллер, майнер, ратник и т.п., суть остается одна - люди не доверяют посторонним файлам. Но есть другая сторона, люди доверяют людям, от этого мы и будем отталкиваться в данной статье.
Для начала, нам потребуется информация о жертве. Желательно о ее интересах и о том, чем она занимается, проводя время за компьютером. Есть стереотип о том, что чем прошареннее человек в IT, тем сложнее будет впарить ему вирус. Открыто говорю - все наоборот. И сейчас наглядно покажу почему.
Алгоритм действий таков:
1) Собираем информацию
2) Выясняем время, в которое жертва бывает у компьютера
3) Маскируем наш файл под то, что может быть интересно жертве и скидываем. Причем, маскировка может подразумевать даже обычную смену имени файла/иконки.
Всего три шага. Звучит, конечно, легко, но на деле это не так.
В общем, была ситуация, месяц назад примерно, случайно вместе с админкой своего стиллера подарил нескольким людям логи с тестов на своем компе. Ну и кто-то активно начал пытаться перевести деньги с киви кошелька. На следующий же день мне пишет челик, говорит, не знаешь как можно деньги с киви вывести, где смс-подтверждение стоит?
Ну а далее я его направил в свою конфу. Через день приходит вот это:
Такой "тонкий" намек не понять было невозможно, поэтому я пару дней пытался ему подыгрывать. В итоге решил наказать крысеныша и слить его логи в паблик, закинув ему стиллак.
Далее вопрос - как заставить запустить стиллер человека, который сам покупал стиллер, майнер, знает как все это работает и проверяет каждый файл на вирустотале? Мне на тот момент было известно, что у него на компе есть (был скрин с рабочим столом): AG (софт подмены счета матча), пару лабораторных работ в ворде, купленный у меня стиллер, и майнер.
Собственно, варианты у меня были следующие:
1) Предложить вместо AG (он нужен был для склейки) ему другой похожий софт (VangaBet какой-нибудь). - Но зачем ему предварительно запускать его? Скорее всего он проверил бы на ВТ + запускал бы на виртуалке такое.
2) Скинуть ему стиллер под видом .doc под предлогом того, что у меня завалялся реферат на его тему. - Сразу отбросил эту идею, бред полнейший т.к. я лезу вообще не в свои дела за коим-то хером.
3) Придумать что-либо с майнером/стиллером оказалось идеальным вариантом. Т.к. и на вт он такое не зальет (ему же хуже) и если захочет запускать можно сослаться на защиту от виртуализации.
Я принял третий вариант во внимание и начал искать за что можно зацепиться (в диалоге). После чего нашел пару жалоб на детект майнера и вопрос о перекрипте.
Первое что пришло мне в голову - это дать ему стиллер под видом билдера майнера, "чтоб он сам мог делать рекрипт", и, это сработало:
После этого я раскидал его логи везде где только смог, а он, в конечном итоге, признав свою вину, слился.
Вывод: всегда нужно отталкиваться от настоящих потребностей человека, не выдумывая лишнего и накручивая себе в голове гениальных планов. В70% случаев заставить человека запустить exe файл намного проще, чем какой-нибудь документ или картинку.