stihl не предоставил(а) никакой дополнительной информации.
Здравствуйте, уважаемые участники форума XSS! Данная статья написана командой OLYMP BOTNET.
В наше время очень мало людей, работающих в теневой и чёрной сфере, разбирается в терминах и техниках атак из информационной безопасности - и очень зря, ведь это помогает значительно сэкономить деньги на трафике и реализовывать атаки значительно умнее. Мы считаем своим долгом продвинуть правильные техники пролива трафика и проведения атак в массы.
> Введение в Cyber-Kill-Chain
Пройдёмся по терминологии...
(Изображение взято с Wikipedia: Для просмотра ссылки Войдиили Зарегистрируйся)
Cyber-Kill-Chain - это тактика проведения атак, состоящая из модулей как части вредоносного ПО. Основной задумкой данной тактики является тщательная подготовка, заражение устройства жертвы (или множества устройств компании) лоадером\ботнетом (чаще всего это простейший PowerShell-скрипт без обнаружений или шикарно написанный лоадер, имеющий 0 обнаружений на VirusTotal) с целью дальнейшей доставки нужной полезной нагрузки на устройство.
Нас интересует цепочка, которая начинается с "Installation" и "Command & Control". Именно данную часть большинство из вас, трафферов, вы можете применять для правильного пролива.
Немного введём в курс работы нынешних антивирусов: антивирусы построены на технике поведенческого анализа и нейросетях (машинного обучения), которые обучены на вредоносных поведениях базы MIT&RE ATTACK. Именно поэтому ВСЕ, абсолютно ВСЕ, стиллеры (особенно популярный сейчас LummaC2) будут неизбежно обнаружены во время исполнения, и никакой крипт не поможет - всё просто, Windows Defender (который недавно также обновился и стал сильнее) в облаке и на устройстве жертвы мониторит файловые обращения...
Если Вы изучите MIT&RE метки, то найдёте критические метки, относящиеся к "Credentional access" - это попытки обращений и чтений файлов баз данных браузеров. Помимо этого, у MIT&RE есть метки на инъекции в чужие процессы. Именно поэтому лично нам достаточно смешно становится, когда в очередном антивирусном дайджесте с большим изумлением рассказывают о какой-либо "Hijack Loader" технике, поскольку данная техника невероятно грязная и с лёгкостью обнаруживается любым антивирусом по поведенческому анализу.
Но не стоит расстраиваться - популярные хакерские группировки тоже об этом знают, поэтому не используют прямую полезную нагрузку для распространения - ведь она будет уничтожена по поведенческому анализу. Они пишут невероятно простой, тихий и чистенький бэкдор, который всего-лишь аккуратненько что-то скачивает и запускает. Это ювелирная работа - именно в этой части умные ребята работают с очень маленьким кодом, который нужно НАСТОЛЬКО отточить, чтобы ни одна нейросеть не смогла связать дроп файла с процессом лоадера - это может быть запуск и скачивание через PowerShell, через sc.exe (планировщик задач), через Edge API и ещё кучу методов.
Нет, недостаточно просто взять, скачать и запустить - это сигнатура "Trojan.Dropper". Здесь не так всё просто, даже учитывая маленький код этой работы. Поэтому - работа и ювелирная.
И именно поэтому в работе хакерские группировки давно не ценят перегруженные проекты - да-да, именно те, в описании которых есть "RAT | HVNC | STEALER | MINER | CLIPPER | BACKDOOR | REVERSE PROXY | ... (и ещё тысяча функций)" - это невозможно закриптовать, никогда и никем, это настолько жирная мишень для антивирусов, что никто не будет такой инструмент использовать (а чаще всего за такой инструмент ещё и валят огромную цену).
И, как вы уже могли понять, всё это относится к золотой технике Cyber-Kill-Chain, а именно этапу "Installation" - в данном этапе устройство сначала заражается ювелирным кодом, который даёт доступ на подгрузку файлом. А затем, как по железной дороге, к устройство жертвы поездами доставляется полезная нагрузка - абсолютно разная, можно экспериментировать. Ювелирный код лоадера (дроппера) реализован посредственным процессами, поэтому антивирус не связывает дроппер с процессом лоадера, и для антивируса полезная нагрузка "появляется из ниоткуда" - поэтому полезная нагрузка (если вдруг она грязная\обнаруженная антивирусами) может быть удалена, но железная дорога останется, а значит можно пустить следующий паровозик. Думаю, суть вы уловили.
Так работают группы APT, и через данную логику реализуются почти ВСЕ серьёзные атаки.
> Ошибка трафферов - лить прямую полезную нагрузку
Итак, теперь, когда Вы узнали о том, как действуют хакерские группировки и реализуются серьёзные атаки - мы можем обратить внимание на ошибку большинства всех трафферов...
Если мы зайдём на YouTube и поищем там "читы", то обнаружим, что в файл вшита сразу полезная нагрузка.
Конечно, большая часть рассчитывает на социальную инженерию (что жертва отключит антивирус сама), но как итог - траффер теряет больше 50% всего траффика, не зная об этом. Потому что полезная нагрузка просто удаляется антивирусом по поведенческому анализу.
Теперь представим, что Вы вшиваете в свой файл ювелирный FUD-лоадер с удалённой подгрузкой...
Как итог, Вы получаете свою сеть ботов в панели лоадера. Сам лоадер после старта ничего не делает, а потому не обнаружен (антивирус закидывает файл в облако сразу, поэтому делать дроп сразу после запуска - критическая ошибка). После набора достаточного количества ботов (около 1000 ботов), файл входит в определённую степерь "доверия" в базе на момент сбора ботов. Поскольку файл давно прокрутился в облаке, и антивирус не нашёл ничего вредоносного, а крутить бесконечно - не вариант.
Затем идёт "бум" - вы создаёте задачу в панели на этих 1000 ботов, и начинается загрузка. Как выше уже было сказано, лоадер не должен дропать файлы напрямую - он должен их скачивать и запускать от имени других процессов\скриптов\сервисов. Итак, на машинах ботов начинает из ниоткуда появляться полезная нагрузка. Если полезная нагрузка грязная - да, Вы можете получить низкий отклик, но смотрите дальше - связь с ботами остаётся, поэтому просто грузим другой модуль.
По данной схеме хакерские группировки "паровозиками" загружают отдельные модули - например, сначала выкачать файлы (граббер), затем украсть кукки (кукки-грабберы), затем украсть пароли (password recovery) и т.д. - согласитесь, это намного тише, чем грузить сразу программу, которая ворует всё подряд и потрошит все файлы на ПК.
Если раньше Вы неизбежно теряли больше 50% всего трафика из-за грязной полезной нагрузки, то с тихим лоадером - Вы получите "железную дорогу" к 100% ботам, с возможность бесконечно грузить на них полезную нагрузку. Представьте, сколько Вы теперь можете сэкономить на трафике!
> Реальные примеры реализаций
27 июня 2025-го года (Для просмотра ссылки Войдиили Зарегистрируйся): Атака группировки APT с использованием OneClick нацелена на энергетический сектор с помощью скрытых бэкдоров
One-click уязвимость — это такая уязвимость, при которой для взлома жертве достаточно всего одного действия, например, кликнуть по ссылке или открыть файл. После этого автоматически происходит выполнение вредоносного кода — без дополнительных подтверждений или установки программ. Чаще всего это реализуется через открытие вредоносного документа (Word, PDF), в котором встроен эксплойт.
"Кампания OneClik использует ClickOnce от Microsoft, обычно используемый для легкой установки приложений, для скрытой доставки вредоносного ПО. Злоумышленники отправляют фишинговые письма со ссылками на поддельные инструменты «анализа оборудования». При нажатии замаскированное приложение ClickOnce молча устанавливает вредоносное ПО, используя доверенные процессы Windows (например, dfsvc.exe), чтобы избежать срабатывания антивирусов."
"RunnerBeacon взаимодействует с серверами C2 через HTTP, WebSockets, TCP и SMB. Он может выполнять команды, управлять файлами и повышать привилегии. Он включает функции антианализа и поддерживает сканирование портов, переадресацию и прокси SOCKS5. Его дизайн напоминает Geacon, вариант Для просмотра ссылки Войдиили Зарегистрируйся на Go , что позволяет предположить, что это может быть более скрытный, оптимизированный для облака форк или частная версия."
> ЗАКЛЮЧЕНИЕ
В заключение есть лишь просьба ко всем участникам форума и покупателям - проливайте трафик разумно и не используйте перегруженные методы, и уж точно не используйте проекты, которые требуют крипт и боятся слива на VirusTotal. За огромными функциями чаще всего скрывается ужасная реализация. А боятся слива на VirusTotal - только те, кто лжёт своим покупателям по поводу обходов антивирусов. Например, мы для тестирования наших файлов всегда заливаем их на VirusTotal, и это абсолютно никак не вредит файлам - больше месяца все файлы FUD.
Спасибо за прочтение! Надеюсь, мы подкинули Вам пищу для размышлений и вдальнейшем поможем Вам сэкономить деньги на трафике!
В наше время очень мало людей, работающих в теневой и чёрной сфере, разбирается в терминах и техниках атак из информационной безопасности - и очень зря, ведь это помогает значительно сэкономить деньги на трафике и реализовывать атаки значительно умнее. Мы считаем своим долгом продвинуть правильные техники пролива трафика и проведения атак в массы.
> Введение в Cyber-Kill-Chain
Пройдёмся по терминологии...
(Изображение взято с Wikipedia: Для просмотра ссылки Войди
Cyber-Kill-Chain - это тактика проведения атак, состоящая из модулей как части вредоносного ПО. Основной задумкой данной тактики является тщательная подготовка, заражение устройства жертвы (или множества устройств компании) лоадером\ботнетом (чаще всего это простейший PowerShell-скрипт без обнаружений или шикарно написанный лоадер, имеющий 0 обнаружений на VirusTotal) с целью дальнейшей доставки нужной полезной нагрузки на устройство.
Нас интересует цепочка, которая начинается с "Installation" и "Command & Control". Именно данную часть большинство из вас, трафферов, вы можете применять для правильного пролива.
Немного введём в курс работы нынешних антивирусов: антивирусы построены на технике поведенческого анализа и нейросетях (машинного обучения), которые обучены на вредоносных поведениях базы MIT&RE ATTACK. Именно поэтому ВСЕ, абсолютно ВСЕ, стиллеры (особенно популярный сейчас LummaC2) будут неизбежно обнаружены во время исполнения, и никакой крипт не поможет - всё просто, Windows Defender (который недавно также обновился и стал сильнее) в облаке и на устройстве жертвы мониторит файловые обращения...
Если Вы изучите MIT&RE метки, то найдёте критические метки, относящиеся к "Credentional access" - это попытки обращений и чтений файлов баз данных браузеров. Помимо этого, у MIT&RE есть метки на инъекции в чужие процессы. Именно поэтому лично нам достаточно смешно становится, когда в очередном антивирусном дайджесте с большим изумлением рассказывают о какой-либо "Hijack Loader" технике, поскольку данная техника невероятно грязная и с лёгкостью обнаруживается любым антивирусом по поведенческому анализу.
Но не стоит расстраиваться - популярные хакерские группировки тоже об этом знают, поэтому не используют прямую полезную нагрузку для распространения - ведь она будет уничтожена по поведенческому анализу. Они пишут невероятно простой, тихий и чистенький бэкдор, который всего-лишь аккуратненько что-то скачивает и запускает. Это ювелирная работа - именно в этой части умные ребята работают с очень маленьким кодом, который нужно НАСТОЛЬКО отточить, чтобы ни одна нейросеть не смогла связать дроп файла с процессом лоадера - это может быть запуск и скачивание через PowerShell, через sc.exe (планировщик задач), через Edge API и ещё кучу методов.
Нет, недостаточно просто взять, скачать и запустить - это сигнатура "Trojan.Dropper". Здесь не так всё просто, даже учитывая маленький код этой работы. Поэтому - работа и ювелирная.
И именно поэтому в работе хакерские группировки давно не ценят перегруженные проекты - да-да, именно те, в описании которых есть "RAT | HVNC | STEALER | MINER | CLIPPER | BACKDOOR | REVERSE PROXY | ... (и ещё тысяча функций)" - это невозможно закриптовать, никогда и никем, это настолько жирная мишень для антивирусов, что никто не будет такой инструмент использовать (а чаще всего за такой инструмент ещё и валят огромную цену).
И, как вы уже могли понять, всё это относится к золотой технике Cyber-Kill-Chain, а именно этапу "Installation" - в данном этапе устройство сначала заражается ювелирным кодом, который даёт доступ на подгрузку файлом. А затем, как по железной дороге, к устройство жертвы поездами доставляется полезная нагрузка - абсолютно разная, можно экспериментировать. Ювелирный код лоадера (дроппера) реализован посредственным процессами, поэтому антивирус не связывает дроппер с процессом лоадера, и для антивируса полезная нагрузка "появляется из ниоткуда" - поэтому полезная нагрузка (если вдруг она грязная\обнаруженная антивирусами) может быть удалена, но железная дорога останется, а значит можно пустить следующий паровозик. Думаю, суть вы уловили.
Так работают группы APT, и через данную логику реализуются почти ВСЕ серьёзные атаки.
> Ошибка трафферов - лить прямую полезную нагрузку
Итак, теперь, когда Вы узнали о том, как действуют хакерские группировки и реализуются серьёзные атаки - мы можем обратить внимание на ошибку большинства всех трафферов...
Если мы зайдём на YouTube и поищем там "читы", то обнаружим, что в файл вшита сразу полезная нагрузка.
Конечно, большая часть рассчитывает на социальную инженерию (что жертва отключит антивирус сама), но как итог - траффер теряет больше 50% всего траффика, не зная об этом. Потому что полезная нагрузка просто удаляется антивирусом по поведенческому анализу.
Теперь представим, что Вы вшиваете в свой файл ювелирный FUD-лоадер с удалённой подгрузкой...
Как итог, Вы получаете свою сеть ботов в панели лоадера. Сам лоадер после старта ничего не делает, а потому не обнаружен (антивирус закидывает файл в облако сразу, поэтому делать дроп сразу после запуска - критическая ошибка). После набора достаточного количества ботов (около 1000 ботов), файл входит в определённую степерь "доверия" в базе на момент сбора ботов. Поскольку файл давно прокрутился в облаке, и антивирус не нашёл ничего вредоносного, а крутить бесконечно - не вариант.
Затем идёт "бум" - вы создаёте задачу в панели на этих 1000 ботов, и начинается загрузка. Как выше уже было сказано, лоадер не должен дропать файлы напрямую - он должен их скачивать и запускать от имени других процессов\скриптов\сервисов. Итак, на машинах ботов начинает из ниоткуда появляться полезная нагрузка. Если полезная нагрузка грязная - да, Вы можете получить низкий отклик, но смотрите дальше - связь с ботами остаётся, поэтому просто грузим другой модуль.
По данной схеме хакерские группировки "паровозиками" загружают отдельные модули - например, сначала выкачать файлы (граббер), затем украсть кукки (кукки-грабберы), затем украсть пароли (password recovery) и т.д. - согласитесь, это намного тише, чем грузить сразу программу, которая ворует всё подряд и потрошит все файлы на ПК.
Если раньше Вы неизбежно теряли больше 50% всего трафика из-за грязной полезной нагрузки, то с тихим лоадером - Вы получите "железную дорогу" к 100% ботам, с возможность бесконечно грузить на них полезную нагрузку. Представьте, сколько Вы теперь можете сэкономить на трафике!
> Реальные примеры реализаций
27 июня 2025-го года (Для просмотра ссылки Войди
One-click уязвимость — это такая уязвимость, при которой для взлома жертве достаточно всего одного действия, например, кликнуть по ссылке или открыть файл. После этого автоматически происходит выполнение вредоносного кода — без дополнительных подтверждений или установки программ. Чаще всего это реализуется через открытие вредоносного документа (Word, PDF), в котором встроен эксплойт.
"Кампания OneClik использует ClickOnce от Microsoft, обычно используемый для легкой установки приложений, для скрытой доставки вредоносного ПО. Злоумышленники отправляют фишинговые письма со ссылками на поддельные инструменты «анализа оборудования». При нажатии замаскированное приложение ClickOnce молча устанавливает вредоносное ПО, используя доверенные процессы Windows (например, dfsvc.exe), чтобы избежать срабатывания антивирусов."
"RunnerBeacon взаимодействует с серверами C2 через HTTP, WebSockets, TCP и SMB. Он может выполнять команды, управлять файлами и повышать привилегии. Он включает функции антианализа и поддерживает сканирование портов, переадресацию и прокси SOCKS5. Его дизайн напоминает Geacon, вариант Для просмотра ссылки Войди
> ЗАКЛЮЧЕНИЕ
В заключение есть лишь просьба ко всем участникам форума и покупателям - проливайте трафик разумно и не используйте перегруженные методы, и уж точно не используйте проекты, которые требуют крипт и боятся слива на VirusTotal. За огромными функциями чаще всего скрывается ужасная реализация. А боятся слива на VirusTotal - только те, кто лжёт своим покупателям по поводу обходов антивирусов. Например, мы для тестирования наших файлов всегда заливаем их на VirusTotal, и это абсолютно никак не вредит файлам - больше месяца все файлы FUD.
Спасибо за прочтение! Надеюсь, мы подкинули Вам пищу для размышлений и вдальнейшем поможем Вам сэкономить деньги на трафике!