Есть такое подозрение, что создатели игр не для того выверяли баланс и придумывали задания, чтобы вы решали их грубым взломом, но все же иногда есть соблазн прибавить себе пару сотен процентов жизни или миллион (или два) в игровой валюте, особенно если эти деньги можно вывести на банковскую карту или Яндекс.Деньги
Я помню времена Diablo 2, когда все параметры персонажа лежали в открытом виде, сохраненные на локальном диске твоего игрового компьютера, и их можно было найти и подправить любым HEX-редактором. И прекрасно помню, что после этого игра тут же теряла половину своей прелести. Но, каждый сам себе злобный Буратино.
Давай сойдемся на том, что процесс взлома игр может приносить тебе ежемесячный стабильных доход. Второй вариант — когда сюжет в игре увлекательнее игрового процесса, и просто не хочется тратить время при перемалывании толпы монстров или отстреливания кучи хитпоинтов у босса.
Речь пойдет о программах, способных подключиться к процессу (в данном случае это ваша игра), которые могут найти в нём нужное значение и изменить (или заморозить) его, а затем скачать выигрыш на банковскую карту.
Cheat Engine — программа для взлома игр и других приложений. Обладает широкими возможностями по поиску значений в памяти процесса и отслеживанию его изменений. Кроме точного значения можно отслеживать, что число больше или меньше заданного значения, изменилось или не изменилось, такое же как при первом поиске и так далее. Программа не блещет своим интерфейсом, всё находится в одном окне, поэтому разобраться довольно просто. К сожалению, интерфейс на английском. Помощь (хоть и очень подробная) — тоже.
Обрати внимание, что некоторые антивирусы воспринимают программы-взломщики игр как вредоносное ПО (Еще бы! Программа влазит в чужой процесс и что-то там меняет! Так поступают трояны или банковские боты, когда собираются перевести чьи-то деньги на чужой банковский счёт, или же скачать деньги с банковской карты).
ArtMoney — очень похожая программа, но на русском. Очень кстати популярная программа. По сравнению с Cheat Engine она обладает большими возможностями по управлению процессом (например, можно остановить процесс), дает больше информации о запущенной программе.
Функций по управлению значениями и памятью тоже больше. Но это так же означает, что в них проще запутаться, а еще тут есть скины. Вот уж неожиданно для суровой хакерской программы. Правда, предустановленные скины не менее суровы, чем их отсутствие.
В завершении хочу сказать, что сломать Веселую Ферму 3 мне удалось очень легко. Вот что я сделал, по шагам:
1. Запустил Веселую Ферму и начал уровень.
2. Свернул окно игры и запустил ArtMoney.
3. Выбрал процесс Веселая Ферма 3 в выпадающем списке, который по странному совпадению называется «Выбери процесс».
4. Вернулся в игру и посмотрел, сколько у меня денег. Их оказалось 600.
5. В ArtMoney нажал кнопку искать, и в окошке заполнил как на скриншоте.
6. Вернулся в игру и потратил часть денег. (Я купил муку за 20 монет и у меня осталось 580)
7. В ArtMoney нажал кнопку Отсеять, и в окошке заполнил как на втором скриншоте.
8. Программа поискала среди значений то, которое теперь стало равняться 580 и….
9. ОППА! Осталась одна ячейка с циферкой в левой панели. Это то, что нам надо!
10. Двойной щелчок по ней — она перелетает в правую панель.
11. Вводим 20000 (чтоб не жадничать) и ставим крестик в первой колонке, называется «З» — заморозить. Это чтоб не дай Бог не закончились.
12. Возвращаемся в игру… И ничего!!! Осталось 580 монет.
13. Очень важный шаг. НЕ ПУГАЙТЕСЬ!
14. После первой же покупки станет ясно, что программа тогда просто не заметила изменений. Как только понадобилось снова пересчитать деньги, она заметила, что у нее 20000, исправно отняла потраченную сумму и заморозила остаток.
15. Все. Покупайте сколько влезет. Деньги у вас не закончатся.
Конечно, не все игры ломаются так просто. Онлайн-игры ломаются с использованием пакетника, поскольку держат все важные значения на сервере, но поиграться, чтобы почувствовать себя немного хакером и заработать немного денег — можно.
Большинство биткойнеров и криптовалютчиков считают наличие посторонних инжектов для процессинга крипты или «человека в браузере» самой большой угрозой криптокошелькам, обменникам и онлайн биржам, причем процессоры крипты используют эту тактику все чаще
Последние статистические данные, предоставленные ведущими антивирусными компаниями подтверждают, что процессинг крипты с онлайн биржи или майнинга считается наиболее прибыльным бизнесом у кибернегодяев.
Широкое распространение платформ онлайн торговли криптовалютой, их открытость для мобильных платформ и социальных сетей, привлекают внимание все большего количества комбинаторов. Самым простым методом процессинга крипты на кошелёк своего дропа считается фишинг, использующий приемы социальной инженерии, которые позволяют получить учётные данные криптокошелька или закрытые ключи ничего не подозревающих наивных держателей криптовалюты. О более продвинутых техниках процессинга крипты через mitm с майнинга с использованием сценариев bgp spoofing и реализаций техники bgp hijacking мы поговорим позже.
Дроповоды и тафогоны также концентрируют свои усилия на создании все новых и новых инжектов и схем процессинга, способных заполучить закрытые ключи или учётные данные криптокошельков клиентов, включая кейлогеры (key-loggers) и грабберы экранов.
Ответом криптовалютного сообщества стало усовершенствование процесса аутентификации, классическим примером которого является введение многофакторной аутентификации (переменные пароли, СМС-подтверждение, аппаратные токены). На сегодняшний день практически все криптобиржи уже перешли на двухфакторную аутентификацию при входе в свою учётную запись.
Чтобы обойти системы двухфакторной защиты, ботоводы и тафогоны широко используют метод «человек в браузере». По данным многочисленных исследований, большинство участников криптовалютного рынка считают процессинг крипты методом «человек в браузере» самой серьезной угрозой облачному майнингу. В классической схеме «человек посередине» дроповоды находятся между жертвой и криптовалютным мостом.
В схеме «человек в браузере» ботоводы используют инжекты и процессинг, которые инфицируют браузер клиентов криптовалютной биржи. Обычно «человек в браузере» появляется в образе объектов модулей поддержки (Browser Helper Object), управляющих элементов ActiveX, расширений для браузера, дополнений, плагинов или перехвате API функций операционной системы.
Такой тип нелегальных переводов криптовалюты основан на присутствии на устройстве клиента криптовалютной биржи инжекта или процессинга, который внедряется в его браузер. Такие дополнительные браузерные плагины способны изменять параметры транзакции крипты или проводить операции незаметно для клиента биржи. Эти программы обычно способны «прятать» транзакции, проведенные дроповодами от имени владельца кошелька, подменяя содержимое самого браузера.
Подобные инжекты и процессинг могут обойти многофакторную аутентификацию — как только веб-сайт биржи или обменника подтвердит правильность введенных клиентом логина и пароля, троян тут же подменит данные о проводимой транзакции.
Дополнительный криптовалютный плагин также способен обеспечить видимость успешного завершения транзакции, подменяя содержимое, отображаемое браузером. «Человек в браузере» — очень коварный тип процессинга крипты, потому что ни биржа, ни пользователь не могут обнаружить его, несмотря на многофакторную аутентификацию, капчи или применение других способов аутентификации. Эксперты по безопасности обнаружили, что большинство интернет-пользователей (73%) не может различить реальные и поддельные всплывающие предупреждения, а также не способны распознать контент, созданный инжектами и процессингом.
По результатам опроса, большинство криптовалютных профессионалов считают «человека в браузере» самой серьезной угрозой онлайн-биржам. На этом принципе работают такие программы, используемые дроповодами и трафогонами, как Zeus, Carberp, Sinowal или Clampi.
В настоящее время клиенты криптовалютных бирж и обменников все ещё подвержены воздействию типа «человек посередине», но в их силах попытаться уменьшить вероятность быть вовлеченным в них (например, фишинг), что могло бы помочь избежать инфицирования системы. Наиболее эффективной контрмерой считается аутентификация по внешнему каналу (Out-Of-Band, OOB), поскольку ботовод, применяющий метод MiTM («человек посередине»), протоколирует лишь один канал связи. ООВ предусматривает отдельный канал для аутентификации, чтобы верифицировать и авторизовать транзакции криптовалюты с высоким риском. Система ООВ передает пользователю информацию о транзакции, например, по электронной почте, SMS или телефону, и для подтверждения получения требует ввода прилагаемого одноразового пароля.
Однако, меры противодействия дроповодам и их реальная эффективность постоянно снижаются.
На прошлой неделе наши эксперты обратили внимание, что операторы англоязычного форума Altenen аналога Darkmoney хвастаются количеством посетителей своего сайта, а также доходами, основываясь на данных, полученных от аналитического сервиса HypeStat.
Дроповоды Altenen явно поделились этой информацией, в надежде прорекламировать себя и привлечь больше посетителей на свою площадку. Глядя на это, наши эксперты решили самостоятельно изучить трафик других популярных открытых и закрытых бордов (форумов), посвещенных реальным процессорам криптовалюты и её обналу (выводу в фиат), и сравнить полученную информацию с собственным впечатлением от этих торговых площадок.
Помимо борда Altenen, наши эксперты проанализировали данные таких англоязычных форумов, как RaidForums, Nulled, Cracked TO и Cracking King, немецкоязычный форум Crimenetwork, а также русскоязычные обнальные ресурсы Exploit и XSS.
Данные для анализа были взяты из открытых источников (из HypeStat и Alexa) и включали в себя рейтинг ресурса, количество уникальных посетителей за день, географию посещений, источники трафика, а также оценку ежедневного дохода от рекламы. Разумеется, собранная статистика не включает в себя посещения .onion-доменов, поэтому данные нельзя назвать исчерпывающими.
Оказалось, что такие борды реального процессинга крипты без предоплаты, как Altenen, Nulled, Exploit и XSS продемонстрировали существенный прирост трафика за последние 90 дней, причем администраторы некоторых из этих ресурсов используют статистику для продвижения своих товаров услуг по процессингу крипты и выводу в фиат, обналу денежных средств. По мнению наших экспертов, торговые площадки явно использовали ботов и накрутки для манипулирования количеством посетителей и повышения своего рейтинга. В частности, резкое повышение рейтинга Altenen выглядит слишком хорошо, чтобы быть правдой, так как ни один другой форум, которые считаются популярными, например RaidForums, не показал подобного роста за аналогичный период времени.
Собранные данные о трафике площадок подобных Darkmoney показывают, что среднее время, проведенное пользователями на форумах и площадках в поисках реальных процессоров крипты и обнальных услуг, колеблется от 6 до 22 минут. Однако наши эксперты считают, что эти цифры тоже могут быть не слишком точным. Дело в том, что пользователи, к примеру, в среднем проводят менее 8 минут на Exploit, однако это полностью закрытый форум, его не посещают случайные люди, и на самом деле они, вероятно, проводят на сайте куда больше времени.
Что касается доходов от рекламы, то наши исследователи полагают, что аналитические сервисы вообще не отражают фактическую экономику форумов, так как обнальные площадки могут зарабатывать деньги на платном членстве, а некоторые получают комиссионные за каждую транзакцию по процессингу и обналу крипты с вводом в фиат через карты или счёта дропов.
Наши эксперты резюмируют, что ключевой вывод, который можно сделать из этого анализа, заключается в том, что метриками трафика можно манипулировать, в том числе с помощью ботов и VPN, а некоторые обнальные платформы используют статистические данные, чтобы привлечь к себе внимание криптовалютных дропов. Более того, составить реальную картину происходящего, опираясь на такие цифры, вряд ли возможно. При оценке форумов контекст имеет решающее значение. Цифры сами по себе не дают полной картины и представления о содержимом форума и его пользователях, а также о реальной экономике ресурса и не объясняют колебания количества посетителей.
Чтобы получить глубокое представление о деательности дроповодов и активности на криптообнальных форумах, нужно много ручного труда и длительное время. Нельзя составить картину, опираясь лишь на показатели посещаемости сайта. Подобные исследования в очередной раз подчеркивают необходимость постоянного участия человека в процессе, важность сочетания ручного и автоматического подхода. Анализ big data может дать общее представление о том, что происходит, однако без агентурной работы многие важные детали и нюансы будут упущены.
В нынешних компьютерах и смартфонах хранятся живые деньги. Ну, пусть не хранятся, но уж доступ-то к ним вполне себе можно поиметь, причём практически за так!
Как известно, времена идейных хактивистов давно прошли, в отдельно взятых странах наступил капитализм, и пишут вредоносный код теперь почти исключительно на коммерческой основе именно для того, чтобы скачать деньги с телефона или банковского счёта какого-нибудь лоха. Конечно, идейные люди остались, но они скорее поставщики интересных фишек и способов обхода механизмов безопасности операционной системы Windows, а другие, более ушлые люди реализуют эти наработки в своих творениях для заработка онлайн.
Сделать процессинг фиата с карты или счёта холдера можно и сейчас, так сказать, прямо и косвенно. Одни боты для заработка ориентируются на монетизацию аппаратных ресурсов и вычислительных мощностей конечных пользователей. Сюда относятся: организация прокси- и DDoS-атак, рассылка спама, майнинг криптовалют, накрутка посещений сайтов (black SEO), переход по рекламным баннерам сети Google AdSense (click fraud). Яркий представитель группы — ZeroAccess. Эти программы для заработка в сети не причиняют непосредственный ущерб пользователю. Единственные неприятности от таких программ — замедление работы компьютера и сбои в сети. А в современных условиях, когда вычислительные мощности стали достаточно большими, пользователь вообще может не подозревать, что его компьютер стал частью ботнета, монетизирующего трафик.
Другие представители malware онлайн заработка в сети наносят пользователю ощутимый вред, в том числе финансовый. К этой категории относятся: программы-вымогатели, куда входят две разновидности — локеры и шифровальщики, хотя в последнее время границы между ними размываются; фейковые антивирусы, требующие определенную сумму за установку (это проходит по категории «мошенничество»); банковские боты, предназначенные для угона учетных данных пользователей и процессинга фиата на счета неразводных дропов через системы дистанционного банковского обслуживания (ДБО), «классические» представители — Zeus и его последователи — SpyEye и Citadel, CarberP.
Как ты можешь заметить, интерес мундиров к этим группам малвари будет отличаться. К первой группе интерес маленький, ко второй — большой, так как в первом случае пользователь максимум переставит себе ось, а во втором — побежит с заявой в полицию, о том, что неизвестных дроповод спроцессил все его деньги с банковского счёта. Есть мнение, что таким образом некоторые трояномейкеры пытаются поменьше привлекать внимание к себе и своим поделкам.
Далее как раз и будут рассмотрены некоторые представители второй группы.
Есть еще третья группа — шпионские программы, как широкой (spyware), так и специальной (APT) направленности. Эта тема сейчас активно форсится всеми антивирусными вендорами, но обычных пользователей это, как правило, не касается. В данном случае монетизация достигается тем, что такие трояны добывают конфиденциальную информацию, за которую заказчики готовы заплатить кругленькую сумму.
Настораживает, что многие европейские фирмы (Gamma Group, Hacking Team) в открытую предлагают услуги по массовой установке так называемых «государственных» троянов, которые на бумаге предназначены для сотрудников правоохранительных органов и спецслужб, а по факту могут применяться любым, кто располагает соответствующими финансовыми средствами. По информации компании McAfee, разработчики трояна Citadel, уже ставшего «классикой», в настоящее время «ушли в тень», и стали внедрять шпионские модули, и, судя по всему, тоже начали предлагать свои услуги государственным и коммерческим организациям, занимающимся добыванием информации в интернете.
Винлокеры такие всякие
Впервые они появились в конце десятых годов. Широкое распространение получили зимой прошлого года, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей Рунета. В простейшем случае после загрузки ОС или даже до нее (встречались и такие экземпляры) показывалось красивое окошечко с требованием отправить каким-либо способом энную сумму дроповодам в обмен на код разблокировки. Общий совет от сотрудников антивирусных компаний — ничего не платите! Время «честных» винлокеров, содержащих в себе функционал автоудаления по коду, давно прошло, и сейчас эту рыночную нишу облюбовали детишки с непомерными амбициями. Многочисленные форумы запестрели постами с генераторами и исходными кодами локеров. Вот, например, одна поделка (см. рис. 1), на которую невозможно смотреть без смеха, — Winlock by DragonGang. Размер шедевра потрясает воображение — целых семь метров! Написан в среде Delphi 7. Код разблокировки 141989081989 хранится в исполняемом файле в открытом виде. Есть мнение, что текст намеренно написан в стиле незабвенного Джамшута и автор за счет этого пропиарился на весь интернет.
Рис. 1. Локер-гастарбайтер
А пока школьники окучивают славянскую аудиторию, «коммерсанты» от мира троянов наводняют винлокерами зарубежье. Даже появился специальный термин — мультилокер. Это такой локер, который изначально не содержит в себе никаких ресурсов — надписей, картинок и прочего, а загружает их с командного центра дроповодов, при этом скачиваемое содержимое зависит от страны, которая определяется по IP-адресу. Основная тематика мультилокеров — обвинение пользователя в просмотре порнографических материалов с участием несовершеннолетних, сами знаете — с этим за рубежом строго. При этом в качестве доказательства жертве демонстрируются якобы просмотренные ею снимки, а также имена, даты рождения и место проживания несовершеннолетних, изображенных на фото. Последние разработки учли массовое распространение ноутбуков, которые почти всегда имеют встроенную веб-камеру: пользователя снимают и затем демонстрируют фото, что еще больше усиливает эффект присутствия Большого Брата, то есть слежки со стороны ФБР или еще какой правоохранительной организации. Или вот фишка — сканирование истории посещенных сайтов в браузере. Не секрет, что большинство мужского населения мира периодически, кхм, любуются на голых женщин из видео в интернет. Поэтому, когда у пользователя на экране появляется заставка о штрафе с символикой Интерпола и перечнем посещенных «злачных» мест интернета, у него не возникает даже тени сомнения в том, что это взаправду.
Таким образом, рынок винлокеров сегментировался: с одной стороны выступают скрипткидисы с кулхацкерами, с другой — «ветераны» троянописательства, пишущие мультилокеры на манер ботсетей с собственными центрами управления.
Один из наиболее сложных и высокопрофессионально написанных буткитов Gapz также имеет в своем арсенале модулей локер. Компонент с таким функционалом проверяет по IP-адресу местонахождение заряженого компьютера, и если холдер живет в Западной Европе или Америке, то система блокируется и выводится окно с требованием перевести определенную сумму на указанный счет в криптовалюте. Отличает этот локер то, что он перехватывает изображение с подключенной к заряженому компьютеру веб-камеры и показывает его в окне с требованием оплаты (не зря у меня камера изолентой заклеена. Я серьезно. — Прим. ред.).
Особняком стоят локеры, которые блокируют доступ не к операционной системе, а к каким-либо популярным ресурсам из браузера. В апреле этого года зафиксирован шквал запросов от пользователей о невозможности входа на сайты ВКонтакте, Одноклассники и Mail.ru. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя заблокирован в связи с подозрением на взлом аккаунта, и предложением ввести свой номер телефона. После ввода номера в SMS приходит код, который пользователь опять-таки посредством SMS должен подтвердить. По факту за отправку этого SMS снимается значительная сумма денег. В ходе разбирательств было установлено, что все это — проделки малвари, заменяющей системный файл rpcss.dll на свой кастомный код. ESET определяет эту угрозу как Win32/Patched.IB. Запущенный локер подменяет DNS-запросы, возвращая IP подконтрольных дроповодам серверов, содержащих веб-страницы, имитирующие целевой ресурс — vk.com, odnoklassniki.ru, mail.ru. При этом в адресной строке браузера отображается правильный URL. Корректного метода лечения для всех многочисленных модификаций Win32/Patched.IB у большинства антивирусных продуктов на момент написания статьи нет. Для лечения вручную необходимо взять чистую rpcss.dll, загрузиться с LiveCD и заменить ей кастомную библиотеку, внедрённую дроповодом. Оригинальная rpcss.dll должна соответствовать версии, разрядности и установленным сервис-пакам установленной Windows (Patched.IB успешно работает как в XP, так и в Seven, в том числе x64).
Среди других угроз подобного типа можно отметить появление очередной модификации трояна семейства Mayachok. По информации антивирусных аналитиков Dr.Web, Trojan.Mayachok.18607 представляет собой совершенно самостоятельный вариант, написанный «по мотивам». В качестве примера подражания была взята логика трояна Mayachok.1, который получил широкое распространение во второй половине прошлого года. В настоящее время в ходу версия Trojan.Mayachok.2, имеющая функции буткита. Характерная черта семейства Trojan.Mayachok — использование веб-инжектов (см. рис. 2).
Рис. 2. Вид одной из фейковых страниц Mayachok
Жалкие последователи GPCode
Шифровальщики — это, пожалуй, самое неприятное, что можно подцепить в этих ваших интернетах. Все файлы определенных типов, например фотографии или документы Microsoft Office, шифруются и за ключ расшифровки требуют деньги, причём в криптовалюте. Очень актуальна эта проблема для малых коммерческих фирм, работающих с бухгалтерией при помощи продуктов 1С, — тем более что понятие о безопасности в таких конторах, как правило, отсутствует напрочь.
Наиболее часто встречаются сейчас среди русскоязычных пользователей шифровальщики семейства Trojan-Ransom.Win32.Xorist (в терминологии «Лаборатории Касперского»), англоязычная версия также в наличии. При успешном срабатывании Xorist пользователь будет лицезреть веселенький текст следующего содержания:
«ПЯTНАДЦАTЬ ЧЕЛОВЕК НА СУНДУК МЕРТВЕЦА!
Хай! Пиплы! Комон на борт нашего «Летучего голландца».
Ваш компьютер взят на абордаж командой сомалийских пиратов.
Ваши файлы зашифрованы нашим морским криптографом Базоном Хикса.
Если вы мудрый и не скряга, не шизанутый депутат из фракции ЛДПР, то
мы готовы обменять вашу драгоценную инфу на жалкие бумажки, именуемые бабками.
Поверьте, бабло — зло — отдайте его нам. Алчных и неадекватных типов за борт.
Веселым и находчивым скидки. У вас три дня до отплытия корабля.
Для переговоров собираемся в кают-компании, SOS на мыло Номер компании <КОД><E-MAIL>»
Как видно, ребята подобрались с юмором. Засилье Xorist объясняется сборкой его с помощью билдера, легкодоступного жадным детишкам.
Вот еще один образец послания от создателей ransomware (Trojan.Encoder.205 и Trojan.Encoder.215):
Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т. д.) зашифрованы с использованием уникального криптографического алгоритма.
Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года.
Для того чтобы зашифрованные файлы стали доступны для дальнейшего использования, Вам необходимо связаться со специалистом по e-mail: specialmist@gmail.com.
Время ожидания ответа может составлять до 12 часов.
Переустановка операционной системы не поможет.
Проверка файлов антивирусом может их повредить.
Какое-либо изменение структуры файла не позволит его восстановить.
При поступлении угроз в наш адрес Ваши данные не будут расшифрованы.
Обращаем внимание, что файлы можно расшифровать только с использованием специального программного обеспечения, которое есть только у нас.
Внедрение на целевую машину холдера Trojan.Encoder.205 и Trojan.Encoder.215 происходит с использованием массовой рассылки сообщений электронной почты (Владимир, это ты так спам называешь? — Прим. ред.). Исполняемый файл шифровальщика с именем update.exe (написан на Delphi) размещается на удаленных серверах, шелл-код, который подгружает этот файл, располагается в заряженом документе Microsoft Word и использует для своего запуска эксплуатацию уязвимости CVE–2012–0158.
Отдельные разработчики проявляют чуть больше изобретательности в реализации своих идей. Специалисты компании Dr.Web в этом году зафиксировали во Франции и Испании множество случаев снаряжения пользователей трояном ArchiveLock.20. Для шифрования он имеет на борту консольную версию WinRAR, при помощи которой создает по заранее составленному списку защищенные паролем самораспаковывающиеся архивы с файлами пользователя. Пароль может иметь длину более 50 символов. Исходные файлы зачищаются с диска, чтобы их было невозможно восстановить. Дроповоды отличаются неслыханной наглостью и требуют за расшифровку 5000 долларов США. ArchiveLock распространяется посредством bruteforce-атак на протокол RDP.
Для расшифровки ваших бесценных файлов нужно обратиться к специалистам антивирусных компаний. Отечественные конторы делают это на бесплатной основе и постоянно выпускают обновленные версии дешифровальщиков для отдельных видов угроз. К сожалению, некоторые их виды, например GPCode, оказались им не по зубам. Версия GPCode прошлого года может считаться неким «эталоном» шифровальщика, она использует Windows Crypto API и шифрует файлы пользователя случайным сеансовым ключом AES длиной 256 бит. Сеансовый ключ сохраняется в зашифрованном виде, шифрование производится открытым ключом RSA длиной 1024 бита, который находится внутри GPCode. Чтобы невозможно было восстановить их утилитами типа PhotoRec или GetDataBack, шифрованные данные пишутся прямо в исходный файл. Также эта уловка затрудняет использование метода plain text attack, суть которого заключается в определении сеансового ключа на основе пары файлов — исходного и зашифрованного. Для расшифровки необходимо перечислить определенную денежную сумму в криптовалюте по реквизитам, оставленным дроповодом, и переслать ему этот зашифрованный сеансовый ключ. Он расшифровывается при помощи закрытого ключа (находится у ддроповода) и отправляется обратно пользователю, после чего файлы будут успешно расшифрованы. Единственная надежная защита от воздействия подобных программ — резервное копирование файлов. Стоит отметить, что автор GPCode совершенствовал свое детище аж с середины нулевых годов! За это время код проделал долгий путь от использования «самопальных» алгоритмов шифрования до применения достаточно стойких алгоритмов RC4 и AES в совокупности с RSA, которые не под силу взломать (пока) всем IT-специалистам мира. В свете этого становится непонятно, почему шифровальщики нашего времени, подобные Xorist, тоже используют собственные «мегаразработки». Видно, современная криптография вкупе с необходимостью юзать Windows Crypto API или фришную реализацию криптофункций OpenSSL не дается нынешнему поколению кулхацкеров, только открывших для себя логическую функцию XOR.
Процессинг фиата и крипты — проще не придумаешь
Сама идея троянов, использующих учетные данные рандомных пользователей дистанционного банковского обслуживания и осуществляющщих процессинг фиата на счета неразводных дропов со смартфонах холдеров, не нова. Для противодействия им была придумана технология двухфакторной аутентификации. Многие наверняка знают, что это такое, а для тех, кто не знает, поясним — кроме логина и пароля, используется дополнительный элемент, в качестве которого выступает специальный код (так называемый mTan — mobile transaction authentication number — мобильный код аутентификации транзакций), который приходит в SMS. Однако методы использования чужих учетных данных и процессинга фиата с каждым годом становятся все изощреннее. Бурное развитие технологий, в частности массовое распространение смартфонов, играет на руку дроповодам и процессорам фиата и создает лазейки для обхода двухфакторной аутентификации. Первопроходцами в этом деле стали семейства Zeus и SpyEye. Схема обхода следующая (см. рис. 3):
Рис. 3. Схема обхода двухфакторной аутентификации
Персональный компьютер или смартфон заряжается каким-либо способом — например, через связку сплоитов, PDF- или doc-файл, пришедший по почте или apk файл.
В момент, когда холдер логинится на сайт банка, троян на лету прямо в браузере модифицирует HTML-страницу при помощи веб-инжекта и добавляет поля «Номер мобильного телефона» и «Версия мобильной ОС» (Android, BlackBerry, iOS, Symbian или другая) или же непосредственно управляет банковским приложением, установленным на смартфоне без ведома холдера.
После ввода данных пользователем они отправляются на командный сервер дроповодам.
Пользователю приходит SMS со ссылкой на приложение или пуш уведомление на телефон. В терминологии антивирусных контор приложения получили названия ZitMo (Zeus-in-the-Mobile) и SpitMo (SpyEye-in-the-Mobile), чуть позже к ним присоединился CitMo (Carberp-in-the-Mobile).
После закрепления на смартфоне у дроповодов есть все необходимое — логин, пароль и канал доставки SMS с кодом, запрос на транзакцию поступает в банк.
Банк высылает SMS.
Троян в смартфоне скрытно, не показывая холдеру, отсылает на командный центр полученный в SMS mTan, при помощи которого дроповоды подтверждают транзакцию, либо весь этот процесс происходит на самом смартфоне без отправки на командный сервер в банковском приложении автоматически.
В схеме возможны вариации, например, ссылка на мобильную версию банковского бота процессинга дроповодов может внедряться прямо в страницу банка в виде QR-кода. Также некоторые банки фиксируют IP клиента, и в этом случае транзакция инициируется трояном с зараженной машины или смартфона, который выступает в качестве своеобразного прокси-сервера. К слову сказать, двухфакторная аутентификация более распространена в Европе, чем в Америке, поэтому ZitMo и SpitMo для процессинга фиата в большей степени ориентированы на Евросоюз. В противовес этому CitMo, да и сам Carberp был ориентирован на пользователей из России.
В качестве одного из последних громких дел с процессингом фиата можно вспомнить акцию Eurograbber, раскрытую в конце прошлого года. Согласно отчету компаний Check Point Software Technologies и Versafe, денежные средства на сумму около 36 миллионов евро были переведены на счета неразводных дропов по всему Евросоюзу с более 30 тысяч корпоративных и частных банковских счетов легальных холдеров. В ходе акции Eurograbber использовалась очередная модификация Zeus на пару с ZitMo.
Из последних новинок в сфере банковских троянов эксперты отмечают появление весной этого года нового варианта трояна Gozi. Последняя его версия, обнаруженная сотрудниками компании Trusteer, содержит функционал MBR-буткита. Компонент, запускаемый буткитом после загрузки операционной системы, ожидает запуска браузера Internet Explorer и внедряет специальный код для процессинга фиата со счетов легальных холдеров в рабочие процессы браузера, что позволяет перехватывать содержимое HTTP-запросов и ответов для последующей модификации.
Рис. 4. Модифицированная Gozi банковская форма ввода
В качестве более надежной защиты при банковских транзакциях выступают аппаратные девайсы — токены, которые содержат в себе закрытые ключи для реализации технологии электронной цифровой подписи. Однако и здесь дроповодам есть чем ответить. Достаточно лишь получить полный доступ к удаленному рабочему столу ПЭВМ легального холдера. Организуется такой доступ, как правило, посредством VNC, благо в Сети полно исходных кодов таких серверов, для примера — проекты UltraVNC и TightVNC. Кстати, именно на основе последнего созданы две полезные нагрузки в Metasploit — win32_bind_vncinject и win32_reverse_vncinject. Эти нагрузки представляют собой DLL, запускающие на локальной машине VNC-сервер с поддержкой прямого (мы коннектимся к целевой машине холдера) и обратного (целевая машина холдера коннектится к серверу дроповода) соединений. Отдельные виды банковских ботов используют свою собственную реализацию VNC-сервера, например Zeus и Citadel.
Кроме VNC, можно попробовать использовать «легитимные» утилиты удаленного администрирования, слегка подрихтовав их напильником. Именно так поступают создатели трояна Carberp, ориентированного на угон банковских реквизитов и процессинг фиата на счета неразводных дропов в рублёвой зоне. Используемые ими продукты: в прошлом году — BeTwin Thinsoft for RDP и TeamViewer, в начале десятых — Mipko Personal Monitor и в текущщем сезоне — Ammyy Admin. Их исполняемые модули не модифицировались, что позволяло сохранить легальную цифровую подпись — на первых порах это неплохо сбивало с толку антивирусные продукты. Дроповоды просто создавали нужную им DLL с именем одной из импортируемых библиотек, например tv.dll для TeamViewer, а оригинальную переименовывали (в ts.dll). Библиотека tv.dll передавала код доступа к компьютеру на управляющий сервер и служила переходником к ts.dll, из которой вызывались оригинальные функции. Все компоненты помещались в самописный инсталлятор (дроппер), который сохранял их в каталоге, доступном на запись (Application Data), и прописывал в автозагрузку. В начале десятых годов подобные вещи часто делали с Remote Admin, да и теперь на форумах и площадках даркнета спрашивают иногда, хотя все уже на ура палится. Между прочим, данный метод сейчас активно используется и в шпионских целях спецслужбами по всему миру. По результатам анализа Центра глобальных исследований и анализа угроз «Лаборатории Касперского» (GReAT), одна из групп дроповодов, названная TeamSpy Crew, провела серию целевых атак, направленных против политических деятелей и правозащитников на территории СНГ и восточноевропейских стран, при этом для организации несанкционированного доступа к ЭВМ использовалась как раз «заряженая» версия TeamViewer.
Как попасть в тему процессинга и остаться в ней
Как ты мог сам убедиться, вариаций процессинга фиата и крипты в интернете огромное множество. И к сожалению, полагаться на то, что один антивирус тебя защитит от этих напастей, не стоит. Помочь тут может только совершенствование своей компьютерной грамотности. В то же время многие пользователи недооценивают данную угрозу. Отчасти это происходит из-за смещения фокуса аудитории интернета в сторону тех зловредов, на которых больше всего пиарятся антивирусные компании. За примерами далеко ходить не нужно, вот два «топовых» слова — Stuxnet и Red October. А банковские трояны — это, по словам одного эксперта по безопасности, для России не актуально, у нас, мол, системы дистанционного банковского обслуживания мало распространены, потому что большинство использует мобильные банковские приложения. ОK, давайте пить боржоми, когда почки уже отвалились. Такая вот ориентация на корпоративный уровень весьма прискорбна. Простому пользователю все эти стакснеты и красные октябри ничего плохого не сделали, кто их защитит от действительно актуальных для них угроз? Целевые организации и предприятия, против которых были направлены Stuxnet и Red October, напротив, были сами в состоянии обеспечить свою безопасность.
Резюме: резервное копирование информации, работа с правами пользователя, внимательность при работе с дистанционным банковским обслуживанием, постоянное обновление софта из надежных источников и какой-никакой антивирус с файрволом «спасут отца русской демократии».
Глоссарий
Веб-инжект — это технология, позволяющая изменить содержимое веб-страницы на стороне клиента (в браузере) и добавить туда своей контент. Технология базируется на инжекте кастомного кода в адресное пространство браузеров и перехвате всех HTTP-запросов холдера и ответов от сервера. Под веб-инжектами также понимают файлы, содержащие информацию, для каких сайтов или приложений для смартфона, на какой странице, в каком её месте, что на что нужно поменять. Для кодинга таких файлов трояномейкеры нанимают толковых ребят, в совершенстве владеющих HTML и JavaScript, ну или пишут сами. При посещении пользователем интересующего дроповодов сайта или запуска банковского приложения на смартфоне код дроповодов вставляет в ответ сервера JavaScript-код (в отдельных случаях отмечалось использование библиотеки jQuery), который и подменяет контент исходной страницы, например добавляет на форму ввода поля, которых изначально там не было.
VNC (Virtual Network Computing) — система удаленного доступа к рабочему столу компьютера, использующая протокол удаленного кадрового буфера (RFB). По сети с одного компьютера на другой передаются нажатия клавиш на клавиатуре и движения мыши и отображается содержимое экрана. Программа, принимающая ввод пользователя, называется сервером, программа, отображающая удаленный экран, называется клиентом (или viewer).
RFB (remote frame buffer) — протокол прикладного уровня для доступа к графическому рабочему столу. Его можно применять для графических оконных систем, таких как Windows и X-Window в *nix-системах. Суть RFB — передача прямоугольных областей экрана. Для уменьшения трафика используются различные методы определения, какая область экрана обновилась и какое сжатие использовать при передаче.
По умолчанию VNC использует диапазон TCP-портов с 5900 до 5906. Каждый порт связан с соответствующим экраном X-сервера в *nix-системах. В ОС Windows используется только один порт — 5900.
Есть такое подозрение, что создатели игр не для того выверяли баланс и придумывали задания, чтобы вы решали их грубым взломом, но все же иногда есть соблазн прибавить себе пару сотен процентов жизни или миллион (или два) в игровой валюте, особенно если эти деньги можно вывести на банковскую карту или Яндекс.Деньги
