Дарквеб без малварей это не Дарквеб. Наверное, это одно из самых любопытных направлений работы в Темном Интернете. Выяснять что-же таки умельцы нового натворили в сфере проникновения в чужую инфраструктуру всегда любопытно. Поэтому мы начинаем большой цикл с рассказами о самых мерзопакостных зловредах в истории современного Интернета.

Начнем с классики: Агент Тесла. Нет, это не позывной Илона Маска, это один из самых распространенных ратников, которые только гуляют по сети. На его базе были написаны, не побоюсь этого слова, сотни вариаций всяких вирусняков.

Remote Access Trojan — класс вредоносных программ, которые дают злоумышленнику полный удалённый доступ к заражённому устройству. Через RAT атакующий управляет системой: ворует данные, включает микрофон или камеру, устанавливает другое ПО, превращая компьютер жертвы в марионетку.

Откуда агент такой красивый взялся. Написан он на .NET и впервые был замечен в 2014 году. Кто его написал - не знает никто. Ну почти никто. Но этот был явно недюжинного ума человек. Помимо того, что это был классический инфостиллер, он впилил туда модульную систему. Поэтому обычный среднестатистический вируснячок превратился в конструктор Лего, в который можно было навесить вообще любой функционал и обвес. И кстати, он его, как кошерный драг-дилла, не стал юзать сам, а стал продавать как сервис. Вот так зародился malware-as-a-service.

Чем он знаменит. Звездный час агента настал во времени ковидушки. С начала пандемии он стал фигурировать в тысячах рассылок о COVID-19, прячась в медицинских документах. Жертвы открывали вложения и лишались паролей, доступов к почте, корпоративным системам. В 2022 году пострадали университеты и школы по всему миру, а к 2024 году атаки фиксировали в США и Австралии. Характерный ущерб — массовые утечки учётных данных, взломы сетей, кражи переписки и файлов. Ну и обфусцирован он был на славу: многие антивирусы его успешно прошляпили.

Мастер на все руки Агент Тесла умеет красть учётные данные из браузеров и почтовых клиентов, перехватывать буфер обмена, записывать нажатия клавиш и делать скриншоты экрана. Он может собирать файлы и системную информацию, загружать и запускать дополнительные модули, отправлять данные злоумышленнику через разные каналы (SMTP, HTTP, Telegram API).

Что на сегодня. Сейчас агент остаётся активной угрозой: это боевое коммерческое MaaS-решение регулярно обновляется и используется в таргетированных фишинговых кампаниях по всему миру. Операторы быстро адаптируют конфигурации, добавляют обходы детекции и каналы утечки, но не особо успешно. Поставщики постоянно публикуют IoC и правила детекции, но вирус слишком быстро модернизируется энтузиастами, поэтому за ними просто не поспевают. Ну и рыночек у агента большой: спрос на него растет. Так что с радаров он еще пропадет нескоро.

В общем, будьте осторожны. Не открывайте незнакомые вложения из почтового ящика или из любых других источников. Пока файл вы не запустили - он все еще существует в режиме тыквы.

P.S. Если хотите потыкать его сами, можете это сделать на VirusTotal [1].

#malware #agenttesla

Начнем с основ. Раз уж я начал потихоньку перезапускать тематики на каналах, то и Даркнет мы не обойдем стороной. Начнем с базы: что такое Onion и с чем его едят. На самом деле технология очень нетривиальная и в своем роде прорывная. Что любопытно, разработана она правительством США, а теперь множество персонажей используют ее для того, чтобы скрываться от правительств своих стран. Какая ирония. Хотя нет, постойте! Oh shiee…

Как все начиналось. Жили-были три мужика: Пол Сиверсон, Майкл Рид и Дэвид Голдшланг Голдшлаг. Работали они не где-то, а в Исследовательской лаборатории военно-морского флота США. Пацаны серьезные, ну вы поняли. И в середине голодных 90-х годов пришла им голову идея «луковичной маршрутизации». Основная концепция заключалась в создании многослойной системы шифрования, где данные передаются через несколько узлов, и каждый узел снимает один слой шифрования. Великаны шифрование – оно как лук. Воняет? Нет, многослойное, как лук.

Как это работает? Пакет с данными шифруется несколько раз, по числу узлов, которые он проходит. После этого его отправляют в далекое пешее эротическое путешествие по узлам, они же ноды. Каждая из этих нод видит только предыдущий и следующий узел. Ноды не знают полной информации о маршруте, что делает практически невозможным отслеживание отправителя или получателя. Ну, так задумывалось в теории. А на практике-то оно вон как вышло, Михалыч…

Затем появился Tor. Стартовал проект в 2002 году. Первоначальная версия Tor создавалась как проект с открытым исходным кодом, что позволило независимым разработчикам вносить свой вклад. В 2004 году военно-морской флот США выпустил Tor в открытый доступ. Это сделало его популярным инструментом для широкой аудитории. И тут понеслось. В Даркнет ломанулись все: от угнетаемых борцунов за свободу, до всяких уголовных элементов. Что было дальше – вы и сами знаете. А если не знаете – рассказываю.

Экосистема Onion. На onion-сегменте сети (это как ru или com, только onion) стали массово поднимать сайты. И делали это все, кому не лень. Тем более, что никаких регистраторов доменов туточки не предусмотрено. Если адрес не занят – можешь бесплатно и без СМС отжать себе его в собственность. Некоторые сервисы вообще позволяют поднять такой сайт в пару кликов. Или даже с мобилки. Поэтому контент стал появляться там в основном сомнительный. Но что поделать. Жи есь.

Что по итогу? С технической точки зрения onion – совершенен. Техническими средствами человека через него не задеанонить. Ну, почти. Как говорится, есть нюанс. Много нод по слухам принадлежит спецуре, которая специально под него серваки поднимает, чтобы следить за движухой траффика. Есть тайминг-атаки. Но это уже экзотика. Так что на самом деле onion не особо-то и безопасен, если подходить к нему без уважения и не предлагать дружбу. Знайте, это важно.

На сим на сегодня все. Подписывайтесь на канал, ставьте лайки, делитесь с друзьями! Всем доброй охоты!

#onion

Еще одна услуга в Даркнете – подмена номера. Бывало так, что вам звонят, а на экране отображается номер телефона МВД России или другой силовой структуры? Или, может быть, короткий номер популярного банка? Это не магия, а реальности SIP-телефонии. С ее помощью вы можете представиться кем угодно, хоть банком, хоть поликлиникой.

Как это работает? За счет подмены Caller ID. Это идентификатор, который высвечивается у вас на экране при входящем вызове. Чтобы это сделать не нужно быть супер-хакером или выложить много миллионов. Есть такие виртуальные операторы, которые вам выдадут личный кабинет и помогут установить любое имя на ваш вкус. И это абсолютно легально. По крайней мере пока.

Это рай для скамеров. Главная задача любого скамера – установить доверие с мамонтом. Чтобы это случилось он либо звонит с известного короткого номера, вместо нулей используя букву «О». Либо в разговоре предлагает проверить в режиме онлайн, кому принадлежит номер телефона, с которого он звонит. Естественно, номер принадлежит кому надо, и мамонт собственноручно в этом убеждается. И это мощный ход. После этого воля к сопротивлению обычно угасает.

Что же предлагают в Даркнете. Все, как и в белом бизнесе. Многоканальная телефония, удобный личный кабинет, абсолютная анонимность, никакой верификации, адекватная техподдержка. Оплата, правда, только в крипте. А все остальное – на уровне. Ценник, правда, высоковат и начинается от ~30 центов за минуту. А в остальном – никакой особой разницы. Некоторые, для пущей безопасности даже свое АТС поднимают. Так что не верьте телефону своему!

Всем удачи!

Дядя Майкрофт, а научи плохому! Нет, тут я вам не помощник. Ну как, сам учить не буду, а для тех, кто хочет знать технологии загона мамонтов, кое-что расскажу.

EdTech добрался даже до Дарка. Особые специалисты проводят специальные курсы, как соскамливать богатых на монеты Буратин. И реально продают его за настоящие деньги. Разве что диплом не дают. Из популярного сейчас – это скам на сливах. Да не тех, что на деревьях растут.

В чем суть. Многие девушки не отличаются благонравием и не считают зазорным показать свои прелести понравившемуся юнцу. За так или за звонкую монету – история умалчивает. И вот коллекцию из фото и видео, а также переписок собирают в архив. А архивы собирают в так называемые паки. И такие паки не то, чтобы очень сложно найти в открытом доступе. Нужно просто немножко постараться.

Что дальше. А дальше делается бот в телеграм, который выдает контент и принимает оплату. Далее на этого бота льется траффик из Телеги, Инсты, ВК и любых других популярных сетей. Если фотографии для рекламы выбраны сочные, то желающие получить полный доступ найдутся. Я лично видал, как человек зарабатывал по 10-20 тысяч в день на таких делах. Особенные энтузиасты байтят любителей девушек помладше.

Вот еще один вариант. Человек покупает сканы документов. Находит по морде лица или по установочным данным человека в соцсети. И пишет – я хакер, нашел ваши документы, ими торговали на площадке для оформления кредитов. Если хотите удалить свои документы с нее – платите деньги. Если человек не платит – ему приходит СМС, что кредит одобрен. И он сразу бежит выгладывать монеты. Просто и со вкусом. Особенно хорошо это работает с иностранцами.

Ну и конечно классика. Это билеты. Скам уже завирусился, но все еще находит своих мамонтов. Берем анкету на сайте знакомств, мило общаемся с молодым человеком. И после предложения о встрече в реале предлагаете сходить в театр. А билеты можно купить на конкретном сайте. Юный мамонт, ведомый своим вожделением, их оплачивает – а вы пропадаете с радаров. Театр, естественно, не настоящий. А вот деньги списали реальные. Сайт, естественно, предоставляют организаторы схематоза. 70% от билета отправляется воркеру за его нелегкий труд.

Хотите еще рассказов про типы скама – ставьте реакции!

И главное – не попадайтесь!

Продолжаем наши прогулки по Дарквебу. В ближайшей серии постов мы будем говорить про различные виды услуг, которые можно приобрести в Дарквебе. Естественно, без ссылок и даже без названий мерчантов. Сразу говорю, все подобные услуги – незаконны. Все, что я вам рассказываю – это для ознакомления и общей эрудиции.

Пранки – это не безобидные розыгрыши по телефону. Далеко нет. Теперь это реальная технология, построенная на социальной инженерии, которая может использоваться в корпоративных и не очень войнах. Ибо действенная. Сотрудники службы безопасности различных банков могут подтвердить. Так что же плохого могут устроить профессиональные пранкеры?

Испортить настроение. Тут ассортимент начинается от упоминания бурного прошлого мамки адресата, до яркой и необычной ругани в его адрес. Причем голь на выдумки хитра и даже простой заказ «обматерить» будет доведен до уровня прямой детонации пятой точки у принимающей стороны.

Блокировки. Чтобы заблокировать карту нужно всего-то ничего. Позвонить в банк и просто вежливо попросить ее заблокировать. Без шуток. И да, многие операторы банков даже не спрашивают кодовое слово, чем пользуются недобросовестные персонажи. Тоже самое касается симки.

Наезды «персонажей». Наша принимающая сторона может получить звоночек от кавказского коллектора или даже профессионального бандита, который предложит «отскочить» и выяснить отношения как настоящие джентльмены. Естественно, такой звонок никого не оставит равнодушным. А звонки от силовиков или военкомов – это уже живая классика.

Доставки. Вот тут самое интересное. Если принимающая сторона достала совершенно – ей можно заказать траурный венок на имя недоброжелателя или сразу целый гроб. Особо упоротые заказывают свиную голову с обязательным рисованием пентаграммы на двери будущего усопшего. Мало не покажется.

Надеюсь, теперь вы понимаете, что это ни разу не шутки, и пранкеры могут стать реальным инструментом любой корпоративной войне.

Всем безопасности!

#пранки

Да, давненько меня тут не было. Все руки не доходили продолжить тему Дарквеба. Но я вернулся и снова готов вам рассказывать байки из склепа современной российской и зарубежной темной сети.

Поговорим про рекламу. Лихие девяностые и нулевые никуда не ушли: они перекочевали из чистой части сети в Дарквеб. Если сегодня делать стену из мигающей рекламы – это моветон, то на любом форуме в Дарквебе такая ситуация – это норма.

А вы что думали, хакерам не нужна реклама? Еще как нужна. Сделали сервис по обналу? А клиентов откуда взять? Или как найти покупателей на такую чувствительную тему, как взлом? Вопросы, на которые никак нельзя ответить без посредника в лице форума, или как сейчас модно называть, маркетплейса. И дело теперь не ограничивается просто тематическими тредами. Администрация форума продает рекламные блоки в самом верху страницы, где траффик максимальный.

Если честно, я обожаю рекламу в Даркнете. Она сделана красиво, талантливо, с юмором. Дизайнеры в Даркнете – это большие молодцы. Хотите примеры? В качестве рекламных образов сервисов обнала использовали светлые образы Илона Маска, мафиози Карло Гамбино, Че Гевары, Юрия Дудя и даже главы одного из российских силовых ведомств. Иронично, не правда ли?

А знаете, что рекламировал Папа Римский? Сервис путешествий. Да, у обитателей Дарквеба есть свое туристическое агентство. И это я не говорю, про использование образов из Острых Козырьков, Клана Сопрано, Футурамы и проектов Тарантино и Гая Ричи. Для создания сервисов использовали даже Сергея Есенина и Евгения Леонова в роли Доцента. Ничего святого.

Как же иронично называются сами пробивщки! Тут вы найдете и образ известного Виктора Палыча по прозвищу Антибиотик, и Джокера в исполнении Джареда Лето. Есть пробивщики, которые прикрываются образом Батьки Лукашенко. Что особенно любопытно, есть даже свой Майкрофт. Но честное пионерское, это не я и отношения к нему я никакого не имею.

Что по итогу я имею сказать: таланта в Дарквебе не занимать. Такого креатива всем рекламщикам желаю!

#дарквеб

Как и везде, в Дарквебе нужно за все платить. Вопрос встает как это делать кошерно, чтобы к тебе не приехал пативен с мигалками и стробоскопом. Тут как в сказке: есть два решения. Простой и неверный, и правильный, годный. За него хорошим ребятам повязывают пионерский галстук.

Сегодня поговорим про простой, очевидный, неверный. Это я при биткоин. Казалось бы, крипта. Никаких банков и следящих инстанций. Но нет. Большой брат следит за вами. И имя ему – блокчейн.

Блокчейн – это одна большая база. По ней можно проследить все, абсолютно все сделки с конкретным битком от Рождества Христова от выпуска Сатоси Накамото. И вам тут засветятся и все кошельки, и суммы транзакций и даже остатки по счетам.

Кстати, именно на контроле остатков счетов владельцев крупных кошельков построен «whale trading» на рынке битка. Как только с кошелька улетают крупные суммы в сторону биржи – жди ценового цунами.

Казалось бы, прозрачно – не значит анонимно. Паспорта при покупке битка-то у тебя не спросят. Но тут есть засада: это вход и выход. Чтобы анонимно купить деньги нужны анонимные деньги. А если их нет – на входе будет палево, когда вы купите биток со своей карты.

На выходе то же самое. Хотите вывести биток в кеш – извольте навесить на себя мишень. На этом палятся даже крутые хакеры, которые протаскивают свои бабки через крипто-миксеры.

Есть продвинутые системы анализа блокчейна, которые вам целый граф движения средств нарисуют. Как паровозик с наличностью вышел из точки А (например, компания заплатила шифровальщикам), в точке В разделился на тысячу мелких вагончиков, а в точке С и D слился в экстазе в два целых потока. А оттуда деньги ушли в банк на офшоре. Стоит такой софт немало, но упрощает работу на порядок.

Все рассуждения выше справедливы и в отношении других валют, которые построены на прозрачном блокчейне. По сути, это те же яйца, вид в профиль. И риски точно такие же. Так что не доверяйте битку и иже с ними – это выстрел себе в ногу. Не прямо сейчас, но в отдаленной перспективе.

Всем доброй охоты!

#крипта

Один из наиболее любопытных направлений разведки — поиск по открытым или не очень FTP-серверам. Хотя FTP потихоньку отживает свое, еще огромное количество различных сайтов и даже отдельных личностей пользуются этой технологией.

Что же можно найти на FTP-серверах? Да почти что угодно. В свое время я нашел на одном из таких серваков полный архив по Хантеру Байдену, хотя в сети его было фактически не достать: Белый Дом и спецслужбы изо всех сил чистили Сеть.

Вопрос на миллион: кто этим серваком пользуется. Если это FTP от сайта – то там могут быть и мультимедиа файлы, базы данных и даже админки. Если пользуются рядовые граждане - то будет все как у людей: фотки из отпуска, музыка и другие личные вещички.

Цимес в том, что искать по FTP-серверам не просто, а очень просто.

Первый вариант – Google. Вводим запрос “Index of” ftp и получаем прямой заход на открытые серваки. Что любопытно: 21 порт (отвечает за FTP) у сайта может быть закрыт, а вот сам FTP-сервер открыт и готов отдать нам все свои файлы по первому требованию.

Второй вариант – профильные поисковики. Да, я про старый-добрый Мамонт [1]. Именно через него можно найти огромную кучу из десятков тысяч личных и публичных FTP-серверов с самым разным содержанием. Кстати, все дорки для Google также справедливы и для Мамонта. Так что найти слитую персоналку или еще что поинтереснее – раз плюнуть.

Третий вариант – Shodan [2]. Без него тут тоже никак. Вбиваем в поиск port:21 и опционально 220 230 "login successful". И получаем огромный массив доступных устройств. По последним подсчетам, их было более 55 тысяч. Есть куда разгуляться!

Дисклеймер: коллеги, не забывайте, вся информация здесь представлена только и исключительно с образовательными целями! Просто смотреть и искать – можно, а вот залезать и рыться в чужих файлах – уже нельзя. Так что не навлекайте на себя гнев УК РФ и действуйте (или бездействуйте) на свой страх и риск!

Всем доброй охоты!

#темнаясторонасилы

Правду говорят: без кота и жизнь не та. А знаете, без чего не той становится жизнь корпоративного разведчика? Конечно, без Shodan. Если бы его не существовало, то его следовало бы придумать.

Теперь по фактам. С помощью Shodan мы можем найти камеры, роутеры, серверы и многое другое оборудование. Делать это мы можем с фильтрами по конкретной локации, по открытым портам и другим признакам.

Вот мы нашли. И что дальше? А дальше хорошие дети разворачиваются и идут домой. А плохие – начинают думать, как получить доступ к данным устройствам.

На их счастье, большинство людей совершенно не заморачиваются изменением стандартных настроек доступа и оставляют заводскую конфигурацию. Проще говоря, логин и пароль admin-admin может остаться у огромного количества камер и даже серверов.

Но есть проблема. Как узнать эти самые заводские конфигурации, тем более что у разных устройств одной фирмы они могут быть разными. На помощь нам придет сервис Default Password Lookup [1]. В нем собрано большое количество различных вариаций логинов и паролей по куче устройств.

С роутерами дело обстоит еще лучше: есть целое комьюнити, которое выкладывает свежие конфигурации. Называется же оно просто Router Passwords Community Database [2]. Там есть если не все, то почти все.

Пользуйтесь, но помните! Информация предоставлена только и исключительно в образовательных целях. За неправомерный доступ можно получить ата-та от УК РФ.

Всем хорошего улова!

#темнаясторонасилы

На войне все средства хороши. Раз противник не стесняется использовать фейки – то и нам не следует этого делать. В постах ранее я уже рассказывал вам о процессе создания поддельной личности. Раз актеров мы создавать умеем, то теперь нужно будет учиться создавать диалоги.

Речь я веду о генераторе постов и чатов. В своем ролике на YouTube я рассказывал о мастере пикапа Залужном, который переписывался сразу с тремя дамами в Инсте одновременно [1]. Оснований сомневаться, что это не фейк особо нет, Джокеру ДНР я в этом случае доверяю.

А вот что, если мы можем сделать точно такой же диалог, где Залужный переписывается не с красивыми девушками, а, скажем, с красивыми молодыми людьми. И даже обменивается интересными фотографиями. Вот визгу то бы было!

Как это сделать? Легко. Для себя я открыл сервис TFP [2], где по мановению волшебного курсора мыши можно сделать любой фейк: от роликов в ТикТоке, до постов в Фейсбуке и диалогов в Инсте. Функционал действительно впечатляет! Единственный минус – нет Телеги. Но на это есть другие сервисы. [3].

Мораль сей басни такова: экспериментируйте! Создавайте чаты, вбрасывайте информацию, учитесь дезинформировать противника! А инструментов я вам еще подкину, в этом не сомневайтесь!

Используйте эту силу разумно и ответственно! Доброй охоты!

#темнаясторонасилы

А вот теперь пошла жара! Дипфейки – это уже давно не только Джейсон Стетхем, который женат на толстой сельской поварихе, это уже гораздо, гораздо большее. Это нереальный потенциал для Humint и агентурной добычи информации.

К примеру, инструмент Voice Changer [1], кроме как ядерной бомбой от разведки я назвать не могу. Что он делает.

В режиме реального времени (реального, Карл!), он может менять ваш голос на голос нужного вам человека. Хотите говорить как ВВ? Легко. Просто подгружайте сампл голоса и сервис сделает все за вас.

Потенциал виден? Можно позвонить кому-то из сотрудников конкурентов и голосом его начальника спросить за всю их деятельность. Тут огромное поле для деятельности, особенно для лиц с богатой фантазией и интересными задачами.

Само собой, это бесплатная программа и получить идеальный вариант конкретно для ваших задач не получится.

Но сам потенциал впечатляет. Уверен, над чем-то подобным уже давно трудятся в ABBYY или в ЦРТ.

Ну и на десерт я могу порекомендовать вам клиент для Телеги, который меняет ваш голос при записи голосовух [2]. Тоже удобно.

Особенно, когда речь идет про чувствительные темы и надо избавиться от прямой связи между вашим голосом и тем, что вы сказали. Ну вы поняли.

Будьте аккуратны и благоразумны! Всем доброй охоты!

#темнаясторонасилы