Только коственно — накапливая семплы, вытаскивается много мета информации, такой как: время работы над документами, язык системы, часовой пояс и прочее.
На основании этого делаются предположения, и собирая все больше семплов от одной группы атакующих, накапливается определенная статистика.
В конце концов из предположений делается вывод — часовые пояса мск/спб, время работы с 9:00 до 18:00, скорее всего «русские хакеры». www.fireeye.com/content/dam/legacy/resources/pdfs/apt28.pdf www.recordedfuture.com/russian-malware-analysis
1. Слабая документация, отсутствие примеров на разных языках.
2. Неумение распознавать адреса «ул. Гагарина => PERSON=Гагарина»
3. Только глобальный поиск. Хотелось бы формировать некое подобие таска при queue, и указывать его в поиске, дабы разделять задачи.
В остальном желаю вам развития, ниша выбрана очень правильная, главное не забрасывайте. Попробую применить ваш платный сервис для следующей задачи, как раз возникли требования извлекать из текста ORGANIZATION / PERSON, и тут вы так вовремя!
Видимо взлом форумов был первичным источником трафика для Android/Crosate.A, мобильный трафик со сломанных сайтов пересылался на private-area.ru, далее какой-либо фейк обновления флеш-плеера, и дальше малварь попадала к пользователям на устройство.
Это ещё не всё — я регнул один из старых доменов private-area.ru и на данный момент зафиксировал за 8 часов обращения ботов со 1240 IP адресов, раскиданных по миру.
Как соберу немного статистики, допишу в этот пост.
На данный момент собраны обращения к файлам:
Выяснили же, что это результат работы обфускатора со строками — строки заворачиваются в вызов функции, и инлайном передаётся зашифрованная строка в формате \uXXXX\uXXXX\uXXXX\uXXXX\uXXXX\uXXXX\uXXXX\uXXXX
JD-GUI такие строки пытается сразу привести к символу, и в итоге видим иероглифы.
Самое интересное, что такая реакция лишь доказывает то, что след был верным.
Через 10 минут после публикации доступов admin:admin они были изменены(тут я допускаю возможность смены аноном с хабра), но то, что сервер выключили, уже второй аргумент в пользу того, что шоп apple-sh0p.com аффилирован с малварей Android/Crosate.
Исходя из моей подготовки и опыта:), могу утверждать с высокой долей вероятности, что идентификация кардера упирается в запросе информации о вышеуказанных ключах через UNITPAY и уточнению владельца номера +7 (800) 100-22-69.
Нашел через гугление полей домена нашел ещё один интересный домен, регнутый на armyawka@inbox.ru — apple-sh0p.com, IP: 37.252.0.192
на сайте указан номер: +7 (800) 100-22-69
CMS webassyst, по урлу 37.252.0.192 доступна админка.
Скачиваем лог установки, находим путь на диске разработчика сайта: «D:\\Programs\\OpenServer\\domains\\shop-script.loc\\»
В общем-то реквизиты с сайта ведут на разработчика малвари или человека, с ним связанного, и судя по содержимому магазина — товар скарженный. Источник кредитных карт — вполне вероятно та самая малварь.
github.com/hfiref0x/CVE-2015-1701
На основании этого делаются предположения, и собирая все больше семплов от одной группы атакующих, накапливается определенная статистика.
В конце концов из предположений делается вывод — часовые пояса мск/спб, время работы с 9:00 до 18:00, скорее всего «русские хакеры».
www.fireeye.com/content/dam/legacy/resources/pdfs/apt28.pdf
www.recordedfuture.com/russian-malware-analysis
1. Слабая документация, отсутствие примеров на разных языках.
2. Неумение распознавать адреса «ул. Гагарина => PERSON=Гагарина»
3. Только глобальный поиск. Хотелось бы формировать некое подобие таска при queue, и указывать его в поиске, дабы разделять задачи.
В остальном желаю вам развития, ниша выбрана очень правильная, главное не забрасывайте. Попробую применить ваш платный сервис для следующей задачи, как раз возникли требования извлекать из текста ORGANIZATION / PERSON, и тут вы так вовремя!
Ну то есть собрать его, и перенести .so
Злоумышленники добавляли на сайты следующий код в .htaccess:
Видимо взлом форумов был первичным источником трафика для Android/Crosate.A, мобильный трафик со сломанных сайтов пересылался на private-area.ru, далее какой-либо фейк обновления флеш-плеера, и дальше малварь попадала к пользователям на устройство.
Как соберу немного статистики, допишу в этот пост.
На данный момент собраны обращения к файлам:
JD-GUI такие строки пытается сразу привести к символу, и в итоге видим иероглифы.
nginx/1.7.0
Самое интересное, что такая реакция лишь доказывает то, что след был верным.
Через 10 минут после публикации доступов admin:admin они были изменены(тут я допускаю возможность смены аноном с хабра), но то, что сервер выключили, уже второй аргумент в пользу того, что шоп apple-sh0p.com аффилирован с малварей Android/Crosate.
Исходя из моей подготовки и опыта:), могу утверждать с высокой долей вероятности, что идентификация кардера упирается в запросе информации о вышеуказанных ключах через UNITPAY и уточнению владельца номера +7 (800) 100-22-69.
pastebin.com/WjTFvi5J
pastebin.com/35XAXXZL
pastebin.com/3L0Nykm0
Данные UNITPAY, по которым можно идентифицировать лицо, владеющее шопом:
Нашел через гугление полей домена нашел ещё один интересный домен, регнутый на armyawka@inbox.ru — apple-sh0p.com, IP: 37.252.0.192
на сайте указан номер: +7 (800) 100-22-69
CMS webassyst, по урлу 37.252.0.192 доступна админка.
Классика!
Логин-пароль admin:admin
Смотрим первый заказы в базе:
Заказ создан: 25 января 2015 10:08
Витрина: apple-sh0p.com
IP-адрес: 92.244.135.215 — Сербия
Скачиваем лог установки, находим путь на диске разработчика сайта: «D:\\Programs\\OpenServer\\domains\\shop-script.loc\\»
В общем-то реквизиты с сайта ведут на разработчика малвари или человека, с ним связанного, и судя по содержимому магазина — товар скарженный. Источник кредитных карт — вполне вероятно та самая малварь.
Там PMA: heibe-titten.com/phpMyAdmin и гейт heibe-titten.com/dnr/gate.php
Домен регнут на armyawka@inbox.ru — секретный вопрос «Модель Вашей первой машины», на это же мыло регнуты: