Итак, сегодня мы будем отлавливать гейт/фтп/адрес, на которые настроен уже существующий билд стилера. Нам понядобятся: o Билд стилера. Его ловим на любом хэк-форуме, обычно его впаривают под видом неибаццо полезной тулзы или кряка. o Wireshark ТУТ o Виртуалка (Oracle VirtualBox)
Установку VBox и Wireshark опустим, это должно быть установлено и настроено заранее. Первое, что надо сделать — убить или хотя бы за'suspend-ить все процессы, которые юзают сеть. Так будет проще найти нужные данные в тоннах сети. Запускаем Wireshark и настраиваем интерфейс для сниффинга: Capture -> Interfaces. Выбираем тот, который используется у Вас — в колонке Packets будет наибольшее число. Жмем "Start", тем самым начиная сниффинг.
Запускаем билд стилера (всё на виртуалке, и никак иначе!) и контролируем Process Explorer'ом (на самый худой и короткоствольный конец — Диспетчером задач) его работу, ожидаем завершения.
Переходим в Wireshark и жмем Capture -> Stop, т.е. завершаем сниффинг. Теперь у нас есть дамп сетевой активности всей системы за то время, пока работал билд стилера. Осталось найти нужные данные.
Для начала пробуем засечь FTP-сервер, вдруг стилер именно таким образом отправляет отчет с паролями. Для фильтрации в Wireshark'е есть всё необходимое — вбиваем в поле фильтрации (оно находится прямо над списком пойманных пакетов) слово "ftp" и жмем "Enter": Мы получили список пакетов, отправленных по FTP: На картинке обозначены хост, логин и пароль от FTP. Негодяй-впариватель попался, время отрывать ему яйца.
Если же ничего такого в окне сниффера не просматривается, значит на FTP логи не идут (еще это может значить, что в стилере включены анти-фичи вроде Anti-Wireshark, но об этом позже).
Попробуем словить адрес гейта. Убираем "ftp" из строки фильтрации и ищем по пакетам следы стилера. Жмем Ctrl+F для открытия окна поиска. Выбираем поиск строк (Find by: String) и вбиваем в поле поиска строку "UFR", остальное оставляем по дефолту, и ищем. Если билд отправляет пароли на гейт, что-то должно было найтись, вкусный пакет вот такого вида: Обезьяна со стилером попалась, собираем кибер-братию и идём бить морду.
Если же находятся только левые пакеты, то забиваем, это всё быть мусор — на гейт ничего не идёт.
Остается только мыло. Для этого в поле фильтрации вбиваем строку "smtp" и видим такое:
Декодируем логин и пароль от мыла отправителя при помощи этой веб-морды, заходим в почту и меняем пароль...
Если же сниффинг ничего не дал, значит в стилере включена защита от подобной атаки. Можно попробовать сменить имя EXE'шника вайршарка, или изменить заголовок окна, но не факт что поможет.
9999
Сообщений: 
Репутация: 
Подарки: 
Замечания: 
