Как я заработал $50000, перечитывая логи (История из жизни) Ч.2

SimpsoniBart

Заблокированный
Легенда
Регистрация
15.10.17
Сообщения
1,711
Симпатии
833
Автор темы #1
Обратите внимание, если Вы хотите провести сделку с данным пользователем, на то, что он заблокирован.
Как и обещал! Не много опоздал по времени! Но всё же!



Продолжение…


А точно ли я все проверил

Недавно я структурировал файлы и мне попался на глаза тот лог с кейлоггера, который мы с командой тогда забраковали. Keylogger, который мы тогда использовали, мог работать со скопированным текстом. Я стал анализировать заново и заметил, что в буфер обмена часто попадают данные, которые можно посчитать за трейдинг активность. Например цифры 6886, 6799.9, 7340. Это все очень напоминает цену bitcoin в долларах, на время собирания логов (это где-то в начале апреля было). И тут я серьезно призадумался, а как такое вообще получается?! Вроде по логам никакой активности на бирже он не ведет, а тут цена биткоин появляется. Я был 100% уверен, что он не торгует с виртуалки, куда мы попали: я все там проверил, вплоть до истории браузера, там нет ничего связанного с биржами. И тут меня осенило — общий буфер обмена! Если у него эта виртуалка запущена на основной машине, с которой ведется трейдинг и у него настроен общий буфер обмена между системами, то это все объясняет и сильно меняет ситуацию. Я оказывается был намного ближе к цели, чем думал.

Изначально мы проверяли только данные для входа на биржу: email и пароль и т.п. Но поскольку через буфер обмена просачиваются данные с основной машины, список потенциально полезных данных был сильно расширен, и я пересмотрел лог еще раз, обращая особое внимание на копируемые данные.

Непонятные адреса
При повторном осмотре мое внимание пало на два странных адреса “крипто-кошельков”, которые перехватила функция мониторинга буфера обмена. Это были 2 строки из 43 случайных символов (маленькие + большие буквы и цифры).



Вроде бы адрес и адрес, по публичному ключу доступ все равно не получить. Может пароль? — Но логина то рядом не видно. Стойте-ка, это точно не адрес bitcoin, слишком длинный он для него. Мне вообще не удалось найти валюту, адреса которой были бы похожи на наши находки. Я спросил у программиста из команды, что эта за валюта быть может, и после нескольких минут он сказал, что это на api-ключи похоже.

Из собранной информации было известно, что жертва пользуется сервисом bitfinex, так как на тематическом форуме он советовал именно эту платформу. В bitfinex можно создавать ключи, чтобы давать доступ сторонним программам к аккаунту. Звучит интересно, но пока непонятно. И тут приходит сообщение, что при создании ключа можно выдать по нему полный доступ к аккаунту. А вот это уже интересно. Вот только пока не понятно, что может наш ключ. Кстати, как сказал программист, для подтверждения действий через ключи двухфакторная авторизация и даже пароль не нужны, но уведомление на почту по результатам работы прийти может.

У меня появилась гигантская надежда, что получится что-то достать. Осталось проверить, что может наш ключ. Эту часть работы я оставил уже на программиста, он лучше знает как работать через api. Большую часть проверок он делал у себя, до баланса у него получилось добраться быстро. Для этого потребовалось лишь несколько строчек кода, скриншот которого с результатом работы я приложу. Это python3, и для его запуска надо установить библиотеку BitEx, и, само собой, вписать свои ключи.




Вот так просто удалось получить балансы аккаунтов, теперь достоверно было известно, что 1) пара ключей была все еще рабочая 2) есть права как минимум на чтение данных об аккаунте 3) удалось узнать суммы на счетах. Основная часть у него хранилась в bitcoin, их там оказалось 4.9, по тому курсу это было немногим больше 41000$. Так же там были доллары и немного других ненулевых балансов. В общей сумме 55000$.

Ставки известны, но на тот момент не было понятно, удастся ли хоть что-то вывести. У биржи bitfinex когда-то был api /v1/key_info, который выдавал все возможности ключа, однако оказалось, что его запретили. В итоге нам не удалось найти метод проверки ключа, и решили действовать на удачу: отправить запрос на вывод, а там как получится.

Решили сначала вывести bitcoin, предварительно конвертировав его в монеро, а потом конвертировать другие валюты и вывести их тоже. Почему не все за 1 раз: чтобы меньше шума поднимать. Мы точно не знали тогда, действительно ли он не получит никаких уведомлений, поэтому самый лакомый кусок старались как можно быстрее увести. Решено было начинать поздно ночью. Из анализа активности социальных сетей была информация, что он допоздна не засиживается, и ложится спать рано, поэтому за компьютером его точно не будет.

Вывод средств
Я до ночи я не мог успокоится. Еще не было известно, получится ли у нас что-то, но я был на кураже. Не хотелось заглядывать в будущее, потому что я уже один раз обломался с ним на прошлой атаке, когда мы ничего не нашли, но мысль о том, что сейчас с неба может упасть сумма в 55000$ постоянно вертелась в голове. Час X наступил немного раньше, чем я думал. Возможно, программеру тоже не терпелось начать вывод, и мы собрались уже в два с половиной часа.

Для вывода средств у bitfinex есть API /v1/withdraw. Главная интрига была лишь в том, есть ли у ключа права на вывод. При выводе надо помнить правило номер 1 — не выводить на уже использованные кошельки! Если его не соблюдать, то вас проще будет найти после слива. Поэтому был создан новый кошелек. Это monero, их можно хоть сотнями штамповать так.

После запроса API в ответ пришло “Success”. Сейчас единственный способ остановить слив - отменить транзакцию, пока биржа не начала ее отправлять (а для monero отправка начинается быстро). Ночное время атаки было выбрано удачно, от жертвы 0 активности. Возможно, это был самый дорогой сон в его жизни. Через несколько минут поступил перевод на адрес нового кошелька и вуаля, 4.9 btc у нас в кармане. По API, кодеру удалось и баксы конвертировать в монеро, после чего слить по старой схеме. В итоге вышло, ну почти, $55 000.



Вывод
И все таки это не вся сумма, что была у нашей жертвы. Как мы поняли это был его относительно новый аккаунт, который он хотел привязать к торговому боту. Это объясняет отсутствие остальных 45BTC и так мало альткоинов.

В любом случае, меня вполне устраивала сумма куша с жертвы, которую еще недавно считал списаной со счетов.

До скорых встреч!
 

SimpsoniBart

Заблокированный
Легенда
Регистрация
15.10.17
Сообщения
1,711
Симпатии
833
Автор темы #3
Обратите внимание, если Вы хотите провести сделку с данным пользователем, на то, что он заблокирован.

WawLove

Писатель
Регистрация
05.05.18
Сообщения
505
Симпатии
219
#4
Чотка, чотка и еще раз чотка. Еще хочу таких историй!!
 

Demix

Moder
Регистрация
02.03.18
Сообщения
492
Симпатии
177
#5
Ну и где скрин кода?
Для этого потребовалось лишь несколько строчек кода, скриншот которого с результатом работы я приложу.
Все понятно, снова полный копипаст
 

Mrderrees

Главный модератор Ӏ Софт не проверяю
Команда форума
#6
Круто, но плохо выдавать чужое за свое)
 

SimpsoniBart

Заблокированный
Легенда
Регистрация
15.10.17
Сообщения
1,711
Симпатии
833
Автор темы #9
Обратите внимание, если Вы хотите провести сделку с данным пользователем, на то, что он заблокирован.

Emerald

Местный
Регистрация
27.06.18
Сообщения
64
Симпатии
95
#11
Как и обещал! Не много опоздал по времени! Но всё же!



Продолжение…


А точно ли я все проверил

Недавно я структурировал файлы и мне попался на глаза тот лог с кейлоггера, который мы с командой тогда забраковали. Keylogger, который мы тогда использовали, мог работать со скопированным текстом. Я стал анализировать заново и заметил, что в буфер обмена часто попадают данные, которые можно посчитать за трейдинг активность. Например цифры 6886, 6799.9, 7340. Это все очень напоминает цену bitcoin в долларах, на время собирания логов (это где-то в начале апреля было). И тут я серьезно призадумался, а как такое вообще получается?! Вроде по логам никакой активности на бирже он не ведет, а тут цена биткоин появляется. Я был 100% уверен, что он не торгует с виртуалки, куда мы попали: я все там проверил, вплоть до истории браузера, там нет ничего связанного с биржами. И тут меня осенило — общий буфер обмена! Если у него эта виртуалка запущена на основной машине, с которой ведется трейдинг и у него настроен общий буфер обмена между системами, то это все объясняет и сильно меняет ситуацию. Я оказывается был намного ближе к цели, чем думал.

Изначально мы проверяли только данные для входа на биржу: email и пароль и т.п. Но поскольку через буфер обмена просачиваются данные с основной машины, список потенциально полезных данных был сильно расширен, и я пересмотрел лог еще раз, обращая особое внимание на копируемые данные.

Непонятные адреса
При повторном осмотре мое внимание пало на два странных адреса “крипто-кошельков”, которые перехватила функция мониторинга буфера обмена. Это были 2 строки из 43 случайных символов (маленькие + большие буквы и цифры).



Вроде бы адрес и адрес, по публичному ключу доступ все равно не получить. Может пароль? — Но логина то рядом не видно. Стойте-ка, это точно не адрес bitcoin, слишком длинный он для него. Мне вообще не удалось найти валюту, адреса которой были бы похожи на наши находки. Я спросил у программиста из команды, что эта за валюта быть может, и после нескольких минут он сказал, что это на api-ключи похоже.

Из собранной информации было известно, что жертва пользуется сервисом bitfinex, так как на тематическом форуме он советовал именно эту платформу. В bitfinex можно создавать ключи, чтобы давать доступ сторонним программам к аккаунту. Звучит интересно, но пока непонятно. И тут приходит сообщение, что при создании ключа можно выдать по нему полный доступ к аккаунту. А вот это уже интересно. Вот только пока не понятно, что может наш ключ. Кстати, как сказал программист, для подтверждения действий через ключи двухфакторная авторизация и даже пароль не нужны, но уведомление на почту по результатам работы прийти может.

У меня появилась гигантская надежда, что получится что-то достать. Осталось проверить, что может наш ключ. Эту часть работы я оставил уже на программиста, он лучше знает как работать через api. Большую часть проверок он делал у себя, до баланса у него получилось добраться быстро. Для этого потребовалось лишь несколько строчек кода, скриншот которого с результатом работы я приложу. Это python3, и для его запуска надо установить библиотеку BitEx, и, само собой, вписать свои ключи.




Вот так просто удалось получить балансы аккаунтов, теперь достоверно было известно, что 1) пара ключей была все еще рабочая 2) есть права как минимум на чтение данных об аккаунте 3) удалось узнать суммы на счетах. Основная часть у него хранилась в bitcoin, их там оказалось 4.9, по тому курсу это было немногим больше 41000$. Так же там были доллары и немного других ненулевых балансов. В общей сумме 55000$.

Ставки известны, но на тот момент не было понятно, удастся ли хоть что-то вывести. У биржи bitfinex когда-то был api /v1/key_info, который выдавал все возможности ключа, однако оказалось, что его запретили. В итоге нам не удалось найти метод проверки ключа, и решили действовать на удачу: отправить запрос на вывод, а там как получится.

Решили сначала вывести bitcoin, предварительно конвертировав его в монеро, а потом конвертировать другие валюты и вывести их тоже. Почему не все за 1 раз: чтобы меньше шума поднимать. Мы точно не знали тогда, действительно ли он не получит никаких уведомлений, поэтому самый лакомый кусок старались как можно быстрее увести. Решено было начинать поздно ночью. Из анализа активности социальных сетей была информация, что он допоздна не засиживается, и ложится спать рано, поэтому за компьютером его точно не будет.

Вывод средств
Я до ночи я не мог успокоится. Еще не было известно, получится ли у нас что-то, но я был на кураже. Не хотелось заглядывать в будущее, потому что я уже один раз обломался с ним на прошлой атаке, когда мы ничего не нашли, но мысль о том, что сейчас с неба может упасть сумма в 55000$ постоянно вертелась в голове. Час X наступил немного раньше, чем я думал. Возможно, программеру тоже не терпелось начать вывод, и мы собрались уже в два с половиной часа.

Для вывода средств у bitfinex есть API /v1/withdraw. Главная интрига была лишь в том, есть ли у ключа права на вывод. При выводе надо помнить правило номер 1 — не выводить на уже использованные кошельки! Если его не соблюдать, то вас проще будет найти после слива. Поэтому был создан новый кошелек. Это monero, их можно хоть сотнями штамповать так.

После запроса API в ответ пришло “Success”. Сейчас единственный способ остановить слив - отменить транзакцию, пока биржа не начала ее отправлять (а для monero отправка начинается быстро). Ночное время атаки было выбрано удачно, от жертвы 0 активности. Возможно, это был самый дорогой сон в его жизни. Через несколько минут поступил перевод на адрес нового кошелька и вуаля, 4.9 btc у нас в кармане. По API, кодеру удалось и баксы конвертировать в монеро, после чего слить по старой схеме. В итоге вышло, ну почти, $55 000.



Вывод
И все таки это не вся сумма, что была у нашей жертвы. Как мы поняли это был его относительно новый аккаунт, который он хотел привязать к торговому боту. Это объясняет отсутствие остальных 45BTC и так мало альткоинов.

В любом случае, меня вполне устраивала сумма куша с жертвы, которую еще недавно считал списаной со счетов.

До скорых встреч!
Это просто ах*енно!
 

3ay4ik

Продаю ключи стим за 1 рубль
Регистрация
22.04.18
Сообщения
1,113
Симпатии
578
#13
Обратите внимание, если Вы хотите провести сделку с данным пользователем, на то, что он заблокирован.
Сверху