Модульный Ботнет / Что такое модуль hVNC? Часть 1.
COOCKIE.PRO
Приветствую всех, кого заинтересовала эта тема, постараюсь в данной статье описать все предельно просто, доступно и понятно .
Тема нашей статьи что такое модульный ботнет и что такое модуль HVNC.
Начнем с понятия вообще что такое ботнет?
Ботнет - это сеть зараженных ПК (в дальнейшем - "Боты" ), путем попадания на машины различного рода малваря ( вредоносного кода )
Соответсвенно - заразив определенное количество ПК, мы сможем использовать их для своих целей.
Как это работает? Да и как вообще все это сделать и как собрать сеть ботов??
Часть статьи будет посвященна непосредственно этому, так как нужно понимание - как это работает. Поехали.
На самом деле, распространение малваря и заражение ботов в наше время - это очень сложный, командный, творческий процесс.
Распространять малварь можно разными путями - на что хватит ваших фантазий и вашего софта. Опишу несколько популярных примеров на практике как это работает.
1. Траффик с Поисковых систем - "лить трафф на ленд"
2. Рассылка почтовых писем на Email жертв - "трафф со спама"
3. Паблишеры, биржи - "Трафф с бирж, голову их ети")))
Итак, у нас есть как минимум 3 варианта, как нагрузить сеть ботов. Но а куда лить? на что лить? на "хвнц"? Нет. на "стилак" ? - Нет.
Для того чтобы держать и лить много траффика на свой ботнет для распространения вашей малвари нужен "предзагрузчик" он же лоадер, - софт, который будет брать первый удар на себя и не сильно палиться, в системе и перед Антивирусами (далее "АВ, аверы").
Соответственно, что нам нужно в самом начале, чтобы грузить трафф? Верно! - ЛОАДЕР.
Лоадер бывает двух типов, по своему функционалу :
- Резидентный
- Неризедентный
В чем разница? Наверное, много кто из вас слышал эти понятия - но никак не мог понять в чем разница )) Объясняю.
Резидент - живет в памяти ПК жертвы и активируется по запросам - т.е. происходит "закреп в системе"
Нерезидент - попадет на ПК жертвы, исполняет запросы (файлы вашего модуля из ботнета) и удаляется с ПК
Каждый использует тот лоадер, который подходит его задачам и выбирает то , что ему нужно.
Соответственно, любой малварь, любой модуль, - нужно криптовать, т.е. шифровать свой файл, чтобы каждый раз он был уникальный (стаб), и не был в базе Аверов. Стабы бывают разные (приватные, белые, грязные))
Вернемся к проливу траффа, я не обучатор к сожалению , как лить, куда лить, на какие разводки и т.п. не подскажу..) Но имея четкий софт и грамотных трафферов , которые знают, как лить, куда лить, и зачем вообще это делать - результат не оставит себя долго ждать.
Ну и вот, момент истины , мы налили на наш лоадер (в этом примере будут брать резидент лоадер) - первые 100 ботов. Круто, прикольно. А что делать дальше?) Дальше, конечно же, каждый Ботовод преследует разные цели.
Но в любом случае мы возвращаемся к модулям - которые мы будем грузить с лоадера. Модули существуют разные -
1. HVNC
2. HRDP
3. Стифлер( он же стилер :D)
4. Майнеры, клиперы
5. Сокс5 реверс
6. Вебинжекты и АЗ (автозаливы)
Разберу в данной статье только модуль HVNC и сокс5 реверс. Остальные модули оставим для следующей статьи... может быть...)
Итак, переходим к практике. Расскажу вам за самую важную вещь в любом малваре, модуле, не важно - это ДЕТЕКТЫ АВ.
Детекты сущесвуют двух видов: - в Рантайме и в Статике.
В чем разница? Рантайм - это детект вашего малваря в закрепе. Иными словами, во время работы (запуска) вашего малваря на тачке ПК . Фаерволлы, использование траффика, портов и т.п. Следовательно, чтобы ваш малварь долго жил в системе - нужен хороший приватный СТАБ, который долго держит детекты, уникален и ранее неизвестен Аверам. Такие стабы дорогие и мало кто умеет грамотно криптовать рантайм, но такие профессионалы есть. От этого показателя зависит как долго будет жить ваш бот.
Скантайм - это детект при скачке вашего файла (малваря), но без запуска на пк жертвы. Криптовать проще, даже есть сервисы, которые по АПи ставят ваш файл на автокрипт .
Таки вот, уже знаем что такое рантайм и скантайм ))
По рантайму можно понять сразу качество софта. Чем меньше детектов в рантайме, на включенном интернете - тем лучше и чище софт.
HVNC, так что же это такое?)) Кнопка бабло или все таки грамотный инструмент в умных руках?
К сожалению, хвнц это не кнопка бабло, как многие думают)) Хвнц кнопка бабло в руках того, кто знает для чего он будет его использовать, и четко держать своего плана и схемы работы.
Так что такое вообще, этот ваш hVNC?)
Hidden Virtual Network Computing (HVNC) - это создание виртуального рабочего стола жертвы, с помощью которого можно удаленно и незаметно для жертвы управлять его ПК.
Иными словами. , ты - это он, человек, на ПК которого закинули малварь. IP тот же, куки цельные, система идеальна, ты идеален. Дальше делай всё, что хочешь. С этой штукой вы можете многое.
Т.е. у вас в руках вся его личность, Paypal, Amazon, Ebay, криптошельки, банковские аккаунты и много чего другого.
Чем же лучше хвнц, например от того же лога, который можно натянуть на антик? Лучше он тем, что отпечаток машины КХ, железо КХ и его родной айпи, вы ну никак на антике не настроите, только имея в арсенале модуль Сокс5 реверс, и все равно - отпечатки КХ вы никак не перенесете.
Фрод отступает от слова совсем, так как, что ему может не нравится? Когда ты заходишь по кукам с родной машины,с того же IP, с того же железа. с hVNC пускает везде без проблем.
Например, на такой платежке, как Paypal я не встречал СЧ, секьюрити чеки, в очень редких случах, разве что если сам КХ не заходил туда год, ПП с хвнц дает очень хорошие ордера, а самое интересное, что доказать ПП диспут КХ становится сложнее - так как вбито с КХ ПК, с его родного айпи, с его браузера.. ПП часто отказывает в диспутах, либо затягивает на долгий процесс...)) Прикрепил к статье несколько свежих фото от товарищей, кто использует хвнц.
Амазон так же очень хорошо дает гифты и стафф, Банки гораздо проще отрабатывать, в крипту пускает легко...
Прогрузив модуль hVNC на ПК жертвы - вы получаете идеальный инструмент для вбивов.