[Конкурс 2022] Состав и структура современных хакерских групп. Роли участников ¶
By: pianist_sidorov on 2022-07-24 20 ч.
СОСТАВ И СТРУКТУРА СОВРЕМЕННЫХ ХАКЕРСКИХ ГРУПП
РОЛИ УЧАСТНИКОВ
0. введение
Читая статьи пересказывателя википедии и ][-книжонок на соседнем форуме (он вроде до модератора уже дорос, корона достойна короля хуле), я подумал, а чем я хуже? Буду коряво, как умею, переводить статьи Крабса, получу лайков, начну решать вопросики, не жизнь а сказка.
Приз мне тоже, конечно, не помешает.
Сам я, понятно, ничего никогда не хакал, но дважды просмотрел сериал Мистер Робот, так что в вопросе разбираюсь неплохо, мне можно верить.
Конкретно в этой статье я приподниму завесу над внутренней кухней хак-групп, которых американцы называют hacker gangs. Если с корешем налутали пару кэсиков с фейка авито уже можно считать себя гангстерами, и в состоянии солевого перекрытия вызывать аверов на разборки на видео (угадай персонажа).
1. почему группа, а не одиночка?
В вышеупомянутом сериале была одна неточность, а именно игнорирование такого простого факта, что одиночки в наше время мало чего добиваются. Времена Митника (оверрейтед мошенник, по большому счету), Флаффи Банни, Джестера, Лунатика прошли. Одиночка может
2. типы групп
Принимая по внимание мотивацию групп, можно выделить следующие категории:
- а) хактивисты и флешмоберы Квалификация от крайне низкой до редких самородков или профессионалов на отдыхе.
- б) финансово-мотивированные группы Квалификация от низкой до очень высокой
- рансом, то есть шифрование важных данных и продажа ключа (не одобряем, осуждаем)
- слив данных с последующим шантажом
- слив данных с дальнейшей их продажей
- получения доступа к тачкам с дбо с последующими финансовыми спецоперациями
- кража крипты
- в) промышленный и политический шпионаж Квалификация, как правило, высокая.
Инструменты: паблик софт прямиком с гитхаба, ддос, абьюзы хостерам, OSINT и харрасинг людей (в т.ч. SWATing)
Длительность периода активности: быстро собираются, быстро разваливаются.
Прямо сейчас все вы можете наблюдать несколько таких групп как за, так и против наших.
Инструменты от широко доступных, обычно переписанного паблика и покупного софта, до привата собственной разработки.
Длительность периода активности: при грамотной организации способны работать годами
Способы монетизации:
Инструменты: приват или глубокоо модифицированный паблик.
Длительность периода активности: десятилетия
По сути эти группы представляют из себя спецслужбы, государственные или частные. Ну а про спецслужбы вам и кроме меня есть кому рассказать.
3. роли участников
Под ролью я подразумеваю исполняемую функцию, то есть один член группы может совмещать несколько ролей. Я сам выполнял несколько ролей из списка и еще одну,
да, грустного клоуна, а как вы угадали?
- 3.1) разведка
- сканирование интернета и/или сети компании на предмет уязвимых хостов (masscan, nmap, softperfect network scanner, он же мячик)
- парсинг выдачи shodan, censys, fofa, binaryedge, zoomeye, leakix,
- анализ данных DNS
- анализ выдачи certificate transparency list (crt.sh)
- 3.2) первичный доступ
- запуск эксплойта с нужной нагрузкой (см. закреп) против уязвимого сервиса
- фишинг-атака на сотрудников компании или их подрядчиков
- внедрение флешки badusb с нужной нагрузкой, экзотика, но до сих пор работает
- документы PDF или офиса с эксплоитом и нужной нагрузкой
- парсинг логов троев-кейлогеров
- 3.3) закреп, то есть закрепление в инфраструктуре для дальнейшей разработки таргета, возможно, позже включает в себя:
- создание аккаунта на сервере, на устройстве доступа
- шеллы (редко)
- запуск легковесной программы-агента на тачке компании, это приват или покупной (ломаный) вариант, например cobalt strike (коба), core impact (кора), powershell empire Настройка покупного софта, особенно кобы, востребована как услуга, что предоставляет возможность заработка. Кроме обычной установки и поддержки c2 иногда необходимо создать т.н. с2-профиль, который позволяет замаскировать управляющий трафик между агентом и c2.
- 3.4) разработка доступа имея логин пароль или другую форму первичного доступа, производится разведка внутренней структуры сети, повышение привилегий (захват DC винды, сканирование и брут доступов на сервера, перехват паролей из хранилищ, захват админских аккаунтов). Одна из самых популярных позиций как для вката, так и для попадания в новости.
- 3.5) слив данных, работа с бекапами
- слив данных с обходом систем защиты и мониторингов
- удаление бекапов из облаков при необходимости
- уничтожение бекапов на ленточных библиотеках (тейпах)
- 3.6) вывод денег При захвате крипты все относительно просто. Крипта выводится на кошельки команды и затем после некоторых маскировочных мероприятий (отлежка, переводы внутри блокчейна, чейнсвап) меняется на легальную крипту для выплат участникам группы.
- 3.7) поддержка инфраструктуры Сисадмин, поддерживающий рабочие виртуалки и инфру, веб-ресурсы, c2-сервера для долгоживущих закрепов и так далее. Также поддерживает средства коммуникации
- 3.x) эксплоиты Зеродеи продаются в специальных местах специально обученными людьми. Как правило, за $50k-$500k вы получаете пару экранов кривого кода на питоне/руби (вам повезло), баше, пыхе, перле (редко, но случается). Который срет в консоль цветным текстом, потому что мы тут хакеры. Дорки для шодана (ценсиса, фофы) написаны кое-как. Из миллионов хостов, которые показывает шодан, уязвимыми оказываются единицы процентов в лучшем случае.
- 3.8) разработка и поддержка рабочего софта
- разработка средств закрепа, RAT, hvnc с нуля
- поддержка существующего кода
- разработка веб-порталов для клиентов
- разработка новых профилей для c2
- 3.9) аверы в современных windows-сетях, как правило, используются различные антивирусы, хостовые и сетевые системы защиты (программные фаерволлы, hips, endpoint security) и так далее. Этот софт мешает нормальной работе пользователей (нас), поэтому необходимо уметь его деактивировать.
- 3.10) клауд Значительная часть корпоративных сетей использует услуги клауд-провайдеров для:
- хранения данных (файлы в aws s3, aws glacier, blackblaze, базы данных в aws rds/dynamo, azure sql/cosmos)
- запуска виртуалок (aws ec2, azure vm, gcp)
- развертывания dc виндовой сети (azure)
- запуска прочих сервисов
- Amazon AWS, встречается практически везде
- Microsoft Azure, очень часто, если инфра на винде
- Google cloud platform, редко
- 3.11) иот Безопасность иот-устройств стала уже притчей во языцех, для разработки эксплоитов или закрепов на встроенное железо не помешает иметь отдельного исполнителя или команду. Они должны владеть C/C++, архитектурами не только лишь x86-порцов, быть способными разобрать сетевой протокол и придумать свой, замаскированный под существующий. Вообще, иот используют или для разворачивания массированного ботнета для ддоса или рекламных махинаций, или для особо скрытных закрепов.
Эту роль можно как отдавать на аутсорс, так и рассматривать как способ заработка. Всю эту работу можно проводить в одиночку. Клиенту обычно предоставляется либо список хостов с нужным открытым портом, либо порработанный список таргетов, уязвимых для его эксплоита. Если грамотно расставить акценты, можно избежать внимания правоохранителей.
Первичный доступ тоже можно как аутсорсить, так и предоставлять как услугу, в репортах кибербезопасников такие хакеры называтся initial access brokers, IAB.
В случае работы по банкам понадобится отдельный человек или даже команда, которая, владея финансовыми премудростями, сможет удачно вывести деньги. Очевидный минус здесь в наличии paper trail. Очевидный плюс в больших объемах.
Естественным образом встает вопрос о доработке как самого эксплоита, так и дорка. В эксплоите выделяется RCE-функциональность, добавляется возможность параллельной и батчевой обработки таргетов, иногда, для интеграции в существующие системы (такие как кора), стандартизируется интерфейс. Иногда на основе эксплоита создается предварительный валидатор таргета, который подтверждает, что хост действительно уязвим.
Также необходимо доработать дорк, чтобы в его выдаче был наибольший процент уязвимых хостов. Для этого нужно максимально точно определять версию сервиса.
Для слива нужных данных или уничтожения бекапов необходимо владеть спецификой этих провайдеров.
Список провайдеров по частоте использования:
4. структура управления
рабочие процессы
С административной точки зрения можно выделить следующие группы:
- 4.1) топ-менеджмент Как правило, изначальные организаторы группы. Представители заказчика (государства, бизнеса) или олдовые кадры, если группа самодеятельная росла с низов. Определяют стратегические цели и приоритеты. Контролируют общий котел с финансами. Неосторожные поступки на этом уровне ведут к очень срьезеным последствиям, вплоть до развала группы.
- 4.2) рабочие группы для работы по таргетам Свежие кадры, как правило, поступают сюда. Берут в работу первичный доступ и доводят процесс взлома до логической точки - полного захвата контроля и выполнения изначального задания (слив данных, установка шкафчика).
- 4.3) группа разработки ПО По большому счету ничем не отличаются от сотрудников обычной галеры, разве что требования повыше,
Оперативные обсуждения происходят в шифрованных чатах, таких как matrix, rocket, mattermost, qtox. Ходят слухи, что кто-то до сих пор сидит в ирке, но я в таких динозавров не верю, а я аиксы видал в дикой природе и соляру сановскую на спарках.
Когда в работу принимается новый таргет, в мессенджер или системе учета создается чат (канал) или карточка, вся работа по этому таргету производится там. В зависимости от текущих потребностей, в чат добавляются профильные специалисты. После завершения работы чат удаляется. В особо секьюрных сетапах и при работе по особо крупным или ценным таргетам каждый раз заново ставится мессенжер на новом домене. Пользователи именуются максимально безликим образом. Обычно используются логины вроде worker01/02/etc и имена в виде 2-3 букв, чтобы различать друг друга. Возможно, кто-то при такой работе пользуется нормальной тикетницей, мне об этом ничего не известно.
денег побольше, но, как правило, организовано все хуже. От разрабов требуется уметь обеспечивать собственный доступ и безопасность. Из-за больших зарплат часто все сводится к постоянным авралам и наркозапоям между ними, такого следует избегать.
Задачи ставятся в гитлабе, тикетнице или kanban-доске, все как в белой работе.
5. перспективы
Намеки, с чего начать и как заработать биточек одинокому анониму, я щедро рассыпал в тексте. Теперь кратенько, о том, что нас ждет в будущем.
Как вы наверное слышали, в конце прошлого года произошли знаменательные переговоры двух лидеров сверхдержав, в течение которых они договорились сотрудничать на поле борьбы с киберкраймом. С тех пор мир заметно изменился, но одна из сторон договора не снижает накала ее борьбы. Все больше онлайн бирж принуждаются к внежрению KYC/AML, все большие срока лепят хакерам, особенно установщиков шкафчиков, все больше школоты лезет в биз. Мое нескромное мнение, делать по несколько мультов с лока, из них терять заметную часть на отмыве и иметь в итоге несолько сотен штук с таргета уже не то. Я считаю, ломать надо нелегальные биржи, которые скоро заполонят даркнеты. Наркошопы, опять же уход трехглавой на пользу. Но самый перспективный вариант, это смарт-контракты, особенно с кроссчейн функциональностью. Потребуется довольно высокая квалификация, конкретно в организации контрактов, но работать получится относительно малой группой, и на выходе готовая к использованию крипта. Кроме того, будет время заранее разработать план маскировки и отлежки крипты. Хакайте смарт-контракты, пацаны, в этом будущее.
Последний раз отредактировано: pianist_sidorov на 2022-08-01 22 ч., всего отредактировано 9 раз
