Модульный Ботнет / Что такое модуль hVNC? Часть 1.

COOCKIE.PRO

Приветствую всех, кого заинтересовала эта тема, постараюсь в данной статье описать все предельно просто, доступно и понятно .

Тема нашей статьи что такое модульный ботнет и что такое модуль HVNC.

Начнем с понятия вообще что такое ботнет?

Ботнет - это сеть зараженных ПК (в дальнейшем - "Боты" ), путем попадания на машины различного рода малваря ( вредоносного кода ) 

Соответсвенно - заразив определенное количество ПК, мы сможем использовать их для своих целей. 

Как это работает? Да и как вообще все это сделать и как собрать сеть ботов??

Часть статьи будет посвященна непосредственно этому, так как нужно понимание - как это работает. Поехали.

На самом деле, распространение малваря и заражение ботов в наше время - это очень сложный, командный, творческий процесс.

Распространять малварь можно разными путями - на что хватит ваших фантазий и вашего софта. Опишу несколько популярных примеров на практике как это работает.

1. Траффик с Поисковых систем - "лить трафф на ленд"

2. Рассылка почтовых писем на Email жертв - "трафф со спама"

3. Паблишеры, биржи - "Трафф с бирж, голову их ети")))

Итак, у нас есть как минимум 3 варианта, как нагрузить сеть ботов. Но а куда лить? на что лить? на "хвнц"? Нет. на "стилак" ? - Нет. 

Для того чтобы держать и лить много траффика на свой ботнет для распространения вашей малвари нужен "предзагрузчик" он же лоадер, - софт, который будет брать первый удар на себя и не сильно палиться, в системе и перед Антивирусами (далее "АВ, аверы").

Соответственно, что нам нужно в самом начале, чтобы грузить трафф? Верно! - ЛОАДЕР.

Лоадер бывает двух типов, по своему функционалу : 

- Резидентный 

- Неризедентный 

В чем разница? Наверное, много кто из вас слышал эти понятия - но никак не мог понять в чем разница )) Объясняю.

Резидент - живет в памяти ПК жертвы и активируется по запросам - т.е. происходит "закреп в системе"

Нерезидент - попадет на ПК жертвы, исполняет запросы (файлы вашего модуля из ботнета) и удаляется с ПК

Каждый использует тот лоадер, который подходит его задачам и выбирает то , что ему нужно.

Соответственно, любой малварь, любой модуль, - нужно криптовать, т.е. шифровать свой файл, чтобы каждый раз он был уникальный (стаб), и не был в базе Аверов. Стабы бывают разные (приватные, белые, грязные))

Вернемся к проливу траффа, я не обучатор к сожалению , как лить, куда лить, на какие разводки и т.п. не подскажу..) Но имея четкий софт и грамотных трафферов , которые знают, как лить, куда лить, и зачем вообще это делать - результат не оставит себя долго ждать.

Ну и вот, момент истины , мы налили на наш лоадер (в этом примере будут брать резидент лоадер) - первые 100 ботов. Круто, прикольно. А что делать дальше?) Дальше, конечно же, каждый Ботовод преследует разные цели.

Но в любом случае мы возвращаемся к модулям - которые мы будем грузить с лоадера. Модули существуют разные - 

 1. HVNC

 2. HRDP 

 3. Стифлер( он же стилер :D) 

 4. Майнеры, клиперы 

 5. Сокс5 реверс 

 6. Вебинжекты и АЗ (автозаливы) 

 Разберу в данной статье только модуль HVNC и сокс5 реверс. Остальные модули оставим для следующей статьи... может быть...)

Итак, переходим к практике. Расскажу вам за самую важную вещь в любом малваре, модуле, не важно - это ДЕТЕКТЫ АВ.

  Детекты сущесвуют двух видов: - в Рантайме и в Статике.

  В чем разница? Рантайм - это детект вашего малваря в закрепе. Иными словами, во время работы (запуска) вашего малваря на тачке ПК . Фаерволлы, использование траффика, портов и т.п. Следовательно, чтобы ваш малварь долго жил в системе - нужен хороший приватный СТАБ, который долго держит детекты, уникален и ранее неизвестен Аверам. Такие стабы дорогие и мало кто умеет грамотно криптовать рантайм, но такие профессионалы есть. От этого показателя зависит как долго будет жить ваш бот.

 Скантайм - это детект при скачке вашего файла (малваря), но без запуска на пк жертвы. Криптовать проще, даже есть сервисы, которые по АПи ставят ваш файл на автокрипт .

 Таки вот, уже знаем что такое рантайм и скантайм ))

 По рантайму можно понять сразу качество софта. Чем меньше детектов в рантайме, на включенном интернете - тем лучше и чище софт. 

  HVNC, так что же это такое?)) Кнопка бабло или все таки грамотный инструмент в умных руках?

 К сожалению, хвнц это не кнопка бабло, как многие думают)) Хвнц кнопка бабло в руках того, кто знает для чего он будет его использовать, и четко держать своего плана и схемы работы. 

 Так что такое вообще, этот ваш hVNC?)

  Hidden Virtual Network Computing (HVNC) - это создание виртуального рабочего стола жертвы, с помощью которого можно удаленно и незаметно для жертвы управлять его ПК. 

 Иными словами. , ты - это он, человек, на ПК которого закинули малварь. IP тот же, куки цельные, система идеальна, ты идеален. Дальше делай всё, что хочешь. С этой штукой вы можете многое.

Т.е. у вас в руках вся его личность, Paypal, Amazon, Ebay, криптошельки, банковские аккаунты и много чего другого. 

Чем же лучше хвнц, например от того же лога, который можно натянуть на антик? Лучше он тем, что отпечаток машины КХ, железо КХ и его родной айпи, вы ну никак на антике не настроите, только имея в арсенале модуль Сокс5 реверс, и все равно - отпечатки КХ вы никак не перенесете.

 Фрод отступает от слова совсем, так как, что ему может не нравится? Когда ты заходишь по кукам с родной машины,с того же IP, с того же железа. с hVNC пускает везде без проблем.

 Например, на такой платежке, как Paypal я не встречал СЧ, секьюрити чеки, в очень редких случах, разве что если сам КХ не заходил туда год, ПП с хвнц дает очень хорошие ордера, а самое интересное, что доказать ПП диспут КХ становится сложнее - так как вбито с КХ ПК, с его родного айпи, с его браузера.. ПП часто отказывает в диспутах, либо затягивает на долгий процесс...)) Прикрепил к статье несколько свежих фото от товарищей, кто использует хвнц.

 Амазон так же очень хорошо дает гифты и стафф, Банки гораздо проще отрабатывать, в крипту пускает легко... 

 Прогрузив модуль hVNC на ПК жертвы - вы получаете идеальный инструмент для вбивов.