СИ, НЛП, Впаривание малвари

Малость подредактированная статья с прошлого (2015/2016) новогоднего конкурса статей на exploit.in. С этим говном я выиграл и получил 1000$...

Здравствуйте, уважаемые читатели, надеюсь чтение будет как полезным, так и приятным для вас. Данную статью я разбил на 3 части. Сначала буквально несколько слов об НЛП, затем теоретический блок и под конец несколько кейсов из реальной (хаха, я все выдумал) работы.

1. Неработающее НЛП

В связи с тем, что тема конкурса звучала как "Использование средств СИ и НЛП для внедрения ПО на компьютер пользователя", хотелось бы для начала сказать пару слов о НЛП, перед тем как перейти непосредственно к делу.

Дело в том, что НЛП не работает.

Если вы не протев протева (а сталобыть за), я приведу простой, но показательный пример.

Задача:
Переспать с девушкой.

НЛП-способ:
Гуру НЛП подстраивается под позу, дыхание, жесты, калибрует основую систему (визуальная/аудиальная/кинестическая), использует мета-модель и эриксоновский гипноз для ускоренного введения девушки в транс и вызова у нее множественных бесконтактных волновых НЛП-оргазмов. Задача (практически) выполнена. Мозг девушки вытрахан и она убегает в рандомном направлении.

Рабочий способ:
- Привет, как дела? Я продюссер телеканала ТНТ, не хочешь покататься?
И через несколько часов уже сама девушка будет подстраиваться к вам...
И по дыханию, и по позе...

Я уверен, что будут те, кого не убедит мой пример (еще бы). Предлагаю вам изучить вопрос чуть глубже. Я готов гарантировать, что всего через полчаса-час активного гуглинга, с высокой вероятностью вы придете к тому же мнению, что и я (напомню, - НЛП не работает). Если вам лень, то я подобрал несколько ссылок для ознакомления:

  • http://google.com/?q=нлп+критика
  • http://google.com/?q=нлп+отзывы
  • http://google.com/?q=нлп+лженаука
  • https://ru.wikipedia.org/wiki/НЛП_и_наука
  • https://ru.wikipedia.org/wiki/Нейролингвистическое_программирование
  • http://lurkmore.to/НЛП
  • http://www.freakopedia.ru/wiki/НЛП
  • http://evolkov.net/nonscience/nlp/
  • http://hypnosismoscow.livejournal.com/55075.html
  • http://www.ontopsyholog.ru/index.php?id=81
  • http://psychology.net.ru/talk/viewtopic.php?t=16935
  • http://strange-way.livejournal.com/26715.html
  • http://www.effecton.ru/645.html
  • http://www.entheta.ru/forum/viewtopic.php?id=1820
  • http://google.com/?q=как+проверять+информацию+если+ты+ленивый+кусок говна

При своем мнении останутся лишь самые узколобые стойкие (сталобыть гуру НЛП), а таким товарищам я предлагаю пари - заставьте меня исключительно с помощью методов НЛП изменить свою точку зрения (о самом НЛП, разумеется).

Откалибруйте, подстройтесь по дыханию, почерку, по TCP-пакетам подстройтесь, закиньте якорей по почте, отрефреймите по жесткачу, а потом начинайте медленно внедрять мне мысль, что НЛП это реально рабочий инструмент, например такими фразами (дарю заготовку бесплатно):

"Кробка-коробка, чем больше ты читаешь, чем дальше скользишь своими маленькими (заплывшими жиром) глазенками по буквам, медленно проговаривая текст про себя (мы знаем, что ты читаешь по слогам, тыж тупой, тыж даж не шаришь в НЛП), тем больше ты становишься одептом НЛП, и тем лучше и комфортнее себя чувствуешь. С каждым вздохом, с каждой секундой, как кислород попадает в твои легкие, и ты отправляешь его в мозг, ты понимаешь, что, а если, в том числе, и поэтому ты даже не думаешь о том, что НЛП на самом деле не вонючая куча лжи и мракобесия, созданная не только для, но и вопреки, а сталобыть..."

Фух, дальше сами, ребятки... Мне уже нечего добавить.

Куда практичней для наших задач (впаривания малвари) будет почитать классиков социальной психологии - Чалдини, Милгрема (книг особо не писал, но ставил винрарнейшие опыты), Майерса, Зимбардо и т.д (достойных книг наберется всего штук 15-20). В общем, далее мы будем использовать только действительно рабочие методы по внедрению ПО на компьютер пользователя. А это старые добрые друзья хеккера (а сталобыть чорношляпника):

  • Убеждение
  • Ложь
  • Обман
  • Угрозы
  • Шантаж
  • Подкуп
  • Жалобы мамке
  • Эксплуатация слабостей

С НЛП закончили. Идем далее.
(БТЦ - 1UhlFbfvThobwGevnfvArgfgnyxreOylnq)

2. Скучная теория.

Весь процесс впаривания малвари можно условно разбить на 3 простых этапа:

  • Изучение цели.
  • Подбор наживки и метода
  • Претекстинг.

Рассмотрим чуточку подробнее каждый из этапов:

Изучение цели.

Для начала, приведу крайне уретрированный пример (не заметил? а это было НЛП... (или не было... (точно не было! (не забыть бы сколько скобок закрыть)))).

К какой из двух целей проще найти подход?
Цель 1. Иван Твердотельный. Системный администратор.
Цель 2. Иван Красножопов. Системный администратор, кодер батников и их же запускатель, православный коммунист-черносотенец, онлайн-алкошахматист, любитель борща с пампушками, в свободное время смотрит "Ментовские войны" и канал "Перец" (одновременно). Сидит на WinXP, вместо браузера использует яндекс-браузер. Продает мануалы по безопасности на даркмани. АВ не пользуется, потому что от них тормозят порно-сайты. Сидит в своей вкшечке через тор-браузер. По пятницам курит спайс в серверной.

Ответ напрашивается сам собой.

Больше информации - проще атаковать. Собирать информацию можно втайне от жертвы (через поисковики, соцсети, сайт фирмы, новости, базы данных и т.д.), выведывая инфу у ее знакомых, либо общаясь напрямую.

В качестве "стандартного" набора джентльмена можно предложить такой список действий:

  1. Узнать позицию жертвы по следующим вопросам: работа, политика, религия, семья, друзья, хобби и увлечения.
  2. Узнать уровень технической грамотности.
  3. Между делом кинуть жертве линк на смешную картинку/интересную новость/сайт (где должен будет висеть наш веб-сниффер).
  4. Попросить зарегаться на подконтрольном ресурсе (лайт-версия фишинга - вы не пытаетесь вытянуть пароль напрямую, однако есть шанс что жертва использует везде одинаковые пароли).
  5. Попробовать поймать жертву на фишинговую страницу (чтобы использовать аккаунт в дальнейшем для других атак).
  6. Попробовать поймать друзей жертвы на фишинговые странички (если сама жертва не вводит логин/пасс либо не качает малваре).

При этом не стоит перегибать палку - иногда нет смысла собирать многотомное досье на человека (особенно, если он является промежуточным звеном в атаке), а достаточно знать всего лишь самую базовую информацию о нем (например, называет комп процессором? Тогда, сходу кидаешь линк на ленд по обновлению браузера).

Подбор наживки и метода.

Есть не так уж много способов, как малваре может попасть на компьютер пользователя. Я думаю что охвачу 90% этим списком:

  • Эксплоиты (браузер, флеш, Java, сервисы etc)
  • Брутфорс доступа (rdp, vnc, teamviewer, ssh, telnet etc)
  • Физ. носители (флешки, CD, HDD, Teensy-USB, etc)
  • Mitm (wifi, responder, intercepter-ng, врезка в витуху, смена dns, etc)
  • Юзер скачивает файл и запускает (да, именно так, скачивает и запускает).

Мы не будем рассматривать использование эксплоитов - предположим, что мы нищеброды, а жертва паблик-сплоитами не пробивается.

И мы не будем рассчитывать на то, что у нас есть шанс сбрутить RDP/VNC.

Также мы не будем рассматривать физический доступ - исходим из того, что у нас нет возможности раскидать флешки, подарить диск с новыми песнями Гуфа, либо трахнуть жертву в жопу и пока она подмывается заинсталлить ему молваре на компик (mr.Robot-стайл). Хотя, справедливости ради, стоит отметить, что сейчас расстояния играют все меньшую роль - можно развести дропа в любой стране на то, чтобы он записал нужные файлы на флешки и раздавал их налево-направо или просил распечатать "один файлик". В конце концов можно отправить диски/флешки по почте.

Mitm-атаки, (в пер. с англ. Мужчина-в-промежутке) мы тоже рассмотрим лишь вскользь. Обыкновенно mitm юзают, когда уже есть доступ в локальную сеть. И если дропа еще можно попросить постоять с ноутбуком и антенной в определенном месте и определенное время (заснифать пакетов да побрутить wps), то проникать в здание и врезаться в витуху (или искать роутер, чтобы тыкнуть в него джек), он скорее всего откажется. Остается подмена DNS-серверов (не факт, что будет возможность их сменить, а если и будет, то не факт, что инет у жертвы не наебнется) и еще пара ненадежных методов (типа - подсадить жертву на свой VPN-сервер, чтобы она могла лазать по фасебуку или вконтачу на работе).

Ну и наконец скачивание и запуск.
Самое интересное.

[ Исполняемые файлы, инсталляторы ]
[ exe, scr, com, pif, jar, cmd, msi, etc ]
На сегодняшний день нет ни одного достойного способа для маскировки исполняемых файлов:

  1. Если скидывать просто siski.exe, то шансы на скачивание и запуск примерно такие же, как шансы что кто-то пустит свидетелей Иеговы в квартиру.
  2. На методы типа siski.jpg.exe или  siski.jpg______.exe поведется только призер специальной олимпиады.
  3. Расширение .scr тоже уже хорошенько задрочили.
  4. Если отправлять файл siski.jpg from vk.com - нельзя сменить иконку.
  5. Метод с использованием символа rtl (siskigpj.exe > siskiexe.jpg) сработает, только если закидывать файл в архиве, браузеры режут символ. А при просмотре через архив видно, что расширение подменили.
  6. Обыграть созвучие gif-pif, rar-jar. Такой же дешевый и ненадежный вариант.

Для того, чтобы жертва скачала и запустила исполняемый файл, она должны быть либо очень тупой, либо очень замотивированной. А для того, чтобы замотивировать жертву (тупые нам не нужны), мы должны на основе уже собранной нами инфы подобрать или придумать такую игру/софтину, и такую историю, после которой жертва точно скачает и запустит ваш файл (примеры - в последнем блоке).

Как минимум - придется оформить один-два поста на полумертвом форуме или разместить новость на варезнике с описанием программы. Как максимум - красивый ленд, с демкой на ютубе, группами в соцсетях и пачкой левых отзывов. Удивительно, но народ склонен скачивать и запускать какое угодно говно, если его выложили на каком-то сайте, а не отправили по почте/месенджеру и т.д.

[ Офисные файлы ]
[ doc, docm, xls, xlsm, pub, ppt, pptm, pdf, rtf, etc ]
Один из самых комфортных способов впарить молваре - это отправить документ (.doc) с начинкой. Есть три возможных способа:

  • закинуть экзешник прямо в документ (пользователь должен дважды кликнуть в документе для запуска экзешника).
  • макросы (пользователь должен включить макросы).
  • эксплоиты (mwi, metasploit, пользователь должен конкретно забить на обновы софта).

В отличии от всех остальных типов файлов, офисные документы вызывают наименьшее кол-во подозрений. Скиньте жертве книгу, курс, мануал, техническое задание, райдер, прайс-лист, договор, расчетную ведомость, приказ, реферат, смету, акт выполненных работ, компромат на коллег, список паролей на порнуху, пьесу, стихи, рассказ, сценарий... В общем полное раздолье, вариантов 10-15 можно накидать под почти любого человека.

Вне зависимости от того, как в итоге ваша молварька попала на компьютер к пользователю, могу порекомендовать выкручивать настройки безопасности офиса на минимум (тогда если малварь вдруг сдохнет, можно отправить .doc и уже не переживать, что юзер не запустит макросы).

[ Медиафайлы - фото, видео, музыка ]
[ mp3, ogg, avi, wmv, 3gp, flv, etc ]
C фото/картинками - глухой номер. С видео или аудио, можно попробовать такой метод - затираем первые несколько байт у нормального файла. Добавляем текстовик с содержанием "если файл не запускается, кодек можно скачать там-то и там-то". Жертва скачивает "кодек", запускает, тот подгружает нашу малварь и проходится рекурсивно по папкам, выискивая битые файлы и переписывая недостающие заголовки у файла обратно.

[ Скрипты, сорцы ]
[  py, php, au3, rb, pl, vbs, js, wsh, bat, c, cpp, asm, etc ]
Обычный пользователь ПК вряд ли решится запустить что-то с неизвестным для него расширением. Однако те, кто думают, что уже в чем-то разбираются, могут стать жертвой.

Как я уже писал ранее, можно пихнуть троян, воспользовавшись тем, что не все осознают то, насколько опасными могут быть скрипты. Поделитесь по секрету с кидалой или школьником (или кидалой-школьником) "0day" под RDP/ WordPress / FTP / Joomla etc, написанный на ruby/perl/python/php с небольшим "бонусом" и через несколько минут у вас отстучит бот.

[ Прочее ]
[ chm, lnk, hta, mht, плагины к программам, куча всего, etc ]
Тут уже каждый конкретный случай требует индивидуального подхода. Надо заставить жертву сделать то, что она не считает чем-то опасным - установить плагин к программе, запустить файл справки, html-файл и т.д. (пара примеров - в последней части).

Претекстинг.

Претекстинг - это действия, осуществленные по заранее написанному скрипту (претексту). Пример:

 

В результате жертва должна выдать определённую информацию, или совершить определённое действие (в нашем случае - действие, которое приведет к установке нашего ПО).

Если вам нужны примеры претекстинга, просто гугланите "скрипты продаж". Те же яйца, вид сбоку. Продавцы давно и успешно используют данную технику для впаривания китайского ширпотреба и наеб-семинаров (великолепный пример - https://www.youtube.com/watch?v=wDCnAklBJpQ).

Вам нужно будет потратить 2-3 дня на изучение базовых техник. Потом еще день-два для адаптации изученного под наши цели. И практиковаться. Много практиковаться.

Результативность работы по заранее прописанному скрипту, по сравнению с банальным "ну я ща кроче ламаку скину вирь, типа это картинка с сиськами", на порядок выше. С хорошим шаблоном вы можете посадить десяток школьников, которым будет нужно только читать по бумажке либо копипастить ответы и, что удивительно, общая результативность практически не просядет. Проанализировав моменты, где вы поплыли, дополните ваш претекст и общий пробив вырастет еще больше.

Можно написать огромное полотоно о самых разных способах впаривания, вся суть которых сведется лишь к одному - нам надо "продать" некое действие (например - загрузку и запуск нашего файла). Поэтому методы, работающие в продажах, сработают и здесь. Огромный плюс в том, что нас (в отличии от продажника, привязанного к определенному товару), ограничивает только фантазия - Вы можете представляться кем угодно и говорить (или писать) что угодно.

В заключении стоит добавить, что вся ваша практика должна опираться на прочный фундамент в виде глубокого знания социальной психологии. В противном случае, ваши действия будут подобны действиям цыган и прочих низкопробных уличных мошенников - большой (и совсем не всегда удачный) опыт и минимальная гибкость в действиях.

3. Выдуманная практика.

Диванные воины.
Для любителей активно пообсуждать политику была сделана пачка лендов. Как один из примеров:

Как только человек проявлял хоть какой-то интерес к теме полит.срачей, ему между делом скидывалась ссылка на ленд (разумеется, он выбирался в зависимости от пол. предпочтений поциента). В качестве игры использовался crimsonland с малость переделанными ресурсами. Хавали и скорее всего еще долго будут хавать.

Zennoposter.
Не удивительно, что многие веб-мастера бояться запускать левые экзешники. Однако весьма удивительным был тот факт, что некоторые из них не бояться запускать скрипты зеннопостера (программы для автоматизации действий в браузере):

Все что нужно сделать - добавить одну небольшую проверку и использовать блок "C# - свой код".

KeePass.
Можно использовать Keepass для запуска произвольных команд на компике. Для этого надо убедить жертву скачать 2 файла - kdbx с паролями и файл KeePass.config.xml. В KeePass.config.xml самое интересно это:

<Scheme>httр</Scheme> - буква р - кириллицей.<UrlOverride>cmd://calc.exe</UrlOverride> - полезная нагрузка, на ваше усмотрение. Жертва видит интересный линк, жмакает дважды, чтобы открыть линк и... все. Как пример наживки - "подработка по проверке доступов на валид", "зацени логины/пароли Ерохина".

AVZ.
В скриптах для лечения AVZ можно использовать запись в файл, а также запуск файлов (подробнее - http://z-oleg.com/secur/avz_doc/). От вас требуется - в достаточной мере напугать жертву (папка system32 есть? тикай с городу, тоби пизда) и дать свой скрипт для лечения от страшных-страшных вирусов.

MetaTrader
В скрипт советника/индикатора можно внедрить и запуск вашего экзешника (функционал встроенного языка это позволяет - http://docs.mql4.com/ru/files). В начале кода пишем:

Где-нибудь в коде:

Предварительно просим жертву (например в readme к скрипту) убрать галочку "Ручное подтверждение вызовов" и нажать галочку "Импорт функций из dll".
Или, что существенно проще, можно просто записать файл, который исполнится после перезагрузки (с помощью dll injection, например).

Я думаю идею вы уловили.
Используйте творческий подход, небанальные методы.
Спасибо, что осилили до конца.