Comments 7
Carberp: бесконечная история
и правда история прям бесконечная — все технические публикации ЕСЕТа за последние два месяца связаны с этим методом инжекта… уже поднадоело…
Вторая и третья картинки с кодом точно не перепутаны?
что мешает закрыть командные центры в этот раз? пойманные не желают сотрудничать и рассказать где командные центры и как их закрыть?
Опишу как обычно происходит:
… несколько программистов объединяются в организованную преступную группировку (в простонародье: банду) и кодят зловреда, потом начинают его продавать. Причем продают его серьезно так — вместе с техподдержкой, подпиской на новые версии, различные комплектациис блэкджеком и шлю…
Те, кто у них купил данного зловреда — начинают его распространять — могут либо сами, либо проплатить деньги тому, кто сливает траффик (кто хакнул много сайтов) — они лишь расположат на своем хосте этого зловреда и набор эксплоитов, а трафф с сайтов будет гнать кто-то другой, которому они платят фиксированный рубль за килобайт человекотраффика.
А если они хотят его разослать в спаме, то пойдут и заплатят денег спамеру, чтобы тот разослал их файлик на пару миллионов емейл-адресов.
… а может быть так, что у них нет своей связки эксплоитов, а есть на руках только вот этот чудо-ехе-файл-зловред, который нужно как-то распространять — потому они могут пойти к тому у кого есть такой набор эксплоитов и тупо дать ему свой файл, платя ему деньги за аренду его набора эксплоитов + (не забываем еще нанять того, кто будет туда траффик сливать, хотя можно снять в аренду связку вместе с траффиком — это уже надо смотреть как выгоднее и проще...).
И тут кого-то ловят. Вопрос: кого поймали и кто может сдать СС-сервера? Кодеры ничего не знают, но их и не поймать. Тот, кто хакал сайты и размещал на них инфреймы на страницу загрузки малвари — он тоже может быть не в курсе того даже куда и зачем лил трафик — ему по барабану — ему платят, он и льет.
Итого: мы не знаем кого именно поймали…
… несколько программистов объединяются в организованную преступную группировку (в простонародье: банду) и кодят зловреда, потом начинают его продавать. Причем продают его серьезно так — вместе с техподдержкой, подпиской на новые версии, различные комплектации
Те, кто у них купил данного зловреда — начинают его распространять — могут либо сами, либо проплатить деньги тому, кто сливает траффик (кто хакнул много сайтов) — они лишь расположат на своем хосте этого зловреда и набор эксплоитов, а трафф с сайтов будет гнать кто-то другой, которому они платят фиксированный рубль за килобайт человекотраффика.
А если они хотят его разослать в спаме, то пойдут и заплатят денег спамеру, чтобы тот разослал их файлик на пару миллионов емейл-адресов.
… а может быть так, что у них нет своей связки эксплоитов, а есть на руках только вот этот чудо-ехе-файл-зловред, который нужно как-то распространять — потому они могут пойти к тому у кого есть такой набор эксплоитов и тупо дать ему свой файл, платя ему деньги за аренду его набора эксплоитов + (не забываем еще нанять того, кто будет туда траффик сливать, хотя можно снять в аренду связку вместе с траффиком — это уже надо смотреть как выгоднее и проще...).
И тут кого-то ловят. Вопрос: кого поймали и кто может сдать СС-сервера? Кодеры ничего не знают, но их и не поймать. Тот, кто хакал сайты и размещал на них инфреймы на страницу загрузки малвари — он тоже может быть не в курсе того даже куда и зачем лил трафик — ему по барабану — ему платят, он и льет.
Итого: мы не знаем кого именно поймали…
Кого поймали и что они знают — да, вопрос. Но дело ещё и в другом. Не уж то кодеры не оставят «пасхальных яиц» через которые можно в тайне от хозяина\арендатора получить доступ к его админке?
И ещё вопрос — об изучении уязвимостей кода админки для доступа к её копиям на других серверах, у других хозяев\арендаторов. Мне как-то посчастливилось принимать участие в такой задаче
И ещё вопрос — об изучении уязвимостей кода админки для доступа к её копиям на других серверах, у других хозяев\арендаторов. Мне как-то посчастливилось принимать участие в такой задаче
Декомпилированный код для подтверждения платежа в таком случае выглядит следующим образом
На картинке не разобрать ничего
Sign up to leave a comment.
Carberp: бесконечная история