Как я заработал $50000, перечитывая логи (История из жизни) Ч.2

SimpsoniBart

Легенда
Легенда

SimpsoniBart

Легенда
Легенда
15.10.17
1,830
923
#1
Как и обещал! Не много опоздал по времени! Но всё же!



Продолжение…


А точно ли я все проверил

Недавно я структурировал файлы и мне попался на глаза тот лог с кейлоггера, который мы с командой тогда забраковали. Keylogger, который мы тогда использовали, мог работать со скопированным текстом. Я стал анализировать заново и заметил, что в буфер обмена часто попадают данные, которые можно посчитать за трейдинг активность. Например цифры 6886, 6799.9, 7340. Это все очень напоминает цену bitcoin в долларах, на время собирания логов (это где-то в начале апреля было). И тут я серьезно призадумался, а как такое вообще получается?! Вроде по логам никакой активности на бирже он не ведет, а тут цена биткоин появляется. Я был 100% уверен, что он не торгует с виртуалки, куда мы попали: я все там проверил, вплоть до истории браузера, там нет ничего связанного с биржами. И тут меня осенило — общий буфер обмена! Если у него эта виртуалка запущена на основной машине, с которой ведется трейдинг и у него настроен общий буфер обмена между системами, то это все объясняет и сильно меняет ситуацию. Я оказывается был намного ближе к цели, чем думал.

Изначально мы проверяли только данные для входа на биржу: email и пароль и т.п. Но поскольку через буфер обмена просачиваются данные с основной машины, список потенциально полезных данных был сильно расширен, и я пересмотрел лог еще раз, обращая особое внимание на копируемые данные.

Непонятные адреса
При повторном осмотре мое внимание пало на два странных адреса “крипто-кошельков”, которые перехватила функция мониторинга буфера обмена. Это были 2 строки из 43 случайных символов (маленькие + большие буквы и цифры).



Вроде бы адрес и адрес, по публичному ключу доступ все равно не получить. Может пароль? — Но логина то рядом не видно. Стойте-ка, это точно не адрес bitcoin, слишком длинный он для него. Мне вообще не удалось найти валюту, адреса которой были бы похожи на наши находки. Я спросил у программиста из команды, что эта за валюта быть может, и после нескольких минут он сказал, что это на api-ключи похоже.

Из собранной информации было известно, что жертва пользуется сервисом bitfinex, так как на тематическом форуме он советовал именно эту платформу. В bitfinex можно создавать ключи, чтобы давать доступ сторонним программам к аккаунту. Звучит интересно, но пока непонятно. И тут приходит сообщение, что при создании ключа можно выдать по нему полный доступ к аккаунту. А вот это уже интересно. Вот только пока не понятно, что может наш ключ. Кстати, как сказал программист, для подтверждения действий через ключи двухфакторная авторизация и даже пароль не нужны, но уведомление на почту по результатам работы прийти может.

У меня появилась гигантская надежда, что получится что-то достать. Осталось проверить, что может наш ключ. Эту часть работы я оставил уже на программиста, он лучше знает как работать через api. Большую часть проверок он делал у себя, до баланса у него получилось добраться быстро. Для этого потребовалось лишь несколько строчек кода, скриншот которого с результатом работы я приложу. Это python3, и для его запуска надо установить библиотеку BitEx, и, само собой, вписать свои ключи.




Вот так просто удалось получить балансы аккаунтов, теперь достоверно было известно, что 1) пара ключей была все еще рабочая 2) есть права как минимум на чтение данных об аккаунте 3) удалось узнать суммы на счетах. Основная часть у него хранилась в bitcoin, их там оказалось 4.9, по тому курсу это было немногим больше 41000$. Так же там были доллары и немного других ненулевых балансов. В общей сумме 55000$.

Ставки известны, но на тот момент не было понятно, удастся ли хоть что-то вывести. У биржи bitfinex когда-то был api /v1/key_info, который выдавал все возможности ключа, однако оказалось, что его запретили. В итоге нам не удалось найти метод проверки ключа, и решили действовать на удачу: отправить запрос на вывод, а там как получится.

Решили сначала вывести bitcoin, предварительно конвертировав его в монеро, а потом конвертировать другие валюты и вывести их тоже. Почему не все за 1 раз: чтобы меньше шума поднимать. Мы точно не знали тогда, действительно ли он не получит никаких уведомлений, поэтому самый лакомый кусок старались как можно быстрее увести. Решено было начинать поздно ночью. Из анализа активности социальных сетей была информация, что он допоздна не засиживается, и ложится спать рано, поэтому за компьютером его точно не будет.

Вывод средств
Я до ночи я не мог успокоится. Еще не было известно, получится ли у нас что-то, но я был на кураже. Не хотелось заглядывать в будущее, потому что я уже один раз обломался с ним на прошлой атаке, когда мы ничего не нашли, но мысль о том, что сейчас с неба может упасть сумма в 55000$ постоянно вертелась в голове. Час X наступил немного раньше, чем я думал. Возможно, программеру тоже не терпелось начать вывод, и мы собрались уже в два с половиной часа.

Для вывода средств у bitfinex есть API /v1/withdraw. Главная интрига была лишь в том, есть ли у ключа права на вывод. При выводе надо помнить правило номер 1 — не выводить на уже использованные кошельки! Если его не соблюдать, то вас проще будет найти после слива. Поэтому был создан новый кошелек. Это monero, их можно хоть сотнями штамповать так.

После запроса API в ответ пришло “Success”. Сейчас единственный способ остановить слив - отменить транзакцию, пока биржа не начала ее отправлять (а для monero отправка начинается быстро). Ночное время атаки было выбрано удачно, от жертвы 0 активности. Возможно, это был самый дорогой сон в его жизни. Через несколько минут поступил перевод на адрес нового кошелька и вуаля, 4.9 btc у нас в кармане. По API, кодеру удалось и баксы конвертировать в монеро, после чего слить по старой схеме. В итоге вышло, ну почти, $55 000.



Вывод
И все таки это не вся сумма, что была у нашей жертвы. Как мы поняли это был его относительно новый аккаунт, который он хотел привязать к торговому боту. Это объясняет отсутствие остальных 45BTC и так мало альткоинов.

В любом случае, меня вполне устраивала сумма куша с жертвы, которую еще недавно считал списаной со счетов.

До скорых встреч!
 

WawLove

Писатель

WawLove

Писатель
05.05.18
503
219
#4
Чотка, чотка и еще раз чотка. Еще хочу таких историй!!
 

Demix

Опытный

Demix

Опытный
02.03.18
485
176
#5
Ну и где скрин кода?
Для этого потребовалось лишь несколько строчек кода, скриншот которого с результатом работы я приложу.
Все понятно, снова полный копипаст
 

Reverse

Мне больше не нужно представляться
Гл.Модератор

Reverse

Мне больше не нужно представляться
Гл.Модератор
#6
Круто, но плохо выдавать чужое за свое)
 

Emerald

Местный

Emerald

Местный
27.06.18
64
95
#11
Как и обещал! Не много опоздал по времени! Но всё же!



Продолжение…


А точно ли я все проверил

Недавно я структурировал файлы и мне попался на глаза тот лог с кейлоггера, который мы с командой тогда забраковали. Keylogger, который мы тогда использовали, мог работать со скопированным текстом. Я стал анализировать заново и заметил, что в буфер обмена часто попадают данные, которые можно посчитать за трейдинг активность. Например цифры 6886, 6799.9, 7340. Это все очень напоминает цену bitcoin в долларах, на время собирания логов (это где-то в начале апреля было). И тут я серьезно призадумался, а как такое вообще получается?! Вроде по логам никакой активности на бирже он не ведет, а тут цена биткоин появляется. Я был 100% уверен, что он не торгует с виртуалки, куда мы попали: я все там проверил, вплоть до истории браузера, там нет ничего связанного с биржами. И тут меня осенило — общий буфер обмена! Если у него эта виртуалка запущена на основной машине, с которой ведется трейдинг и у него настроен общий буфер обмена между системами, то это все объясняет и сильно меняет ситуацию. Я оказывается был намного ближе к цели, чем думал.

Изначально мы проверяли только данные для входа на биржу: email и пароль и т.п. Но поскольку через буфер обмена просачиваются данные с основной машины, список потенциально полезных данных был сильно расширен, и я пересмотрел лог еще раз, обращая особое внимание на копируемые данные.

Непонятные адреса
При повторном осмотре мое внимание пало на два странных адреса “крипто-кошельков”, которые перехватила функция мониторинга буфера обмена. Это были 2 строки из 43 случайных символов (маленькие + большие буквы и цифры).



Вроде бы адрес и адрес, по публичному ключу доступ все равно не получить. Может пароль? — Но логина то рядом не видно. Стойте-ка, это точно не адрес bitcoin, слишком длинный он для него. Мне вообще не удалось найти валюту, адреса которой были бы похожи на наши находки. Я спросил у программиста из команды, что эта за валюта быть может, и после нескольких минут он сказал, что это на api-ключи похоже.

Из собранной информации было известно, что жертва пользуется сервисом bitfinex, так как на тематическом форуме он советовал именно эту платформу. В bitfinex можно создавать ключи, чтобы давать доступ сторонним программам к аккаунту. Звучит интересно, но пока непонятно. И тут приходит сообщение, что при создании ключа можно выдать по нему полный доступ к аккаунту. А вот это уже интересно. Вот только пока не понятно, что может наш ключ. Кстати, как сказал программист, для подтверждения действий через ключи двухфакторная авторизация и даже пароль не нужны, но уведомление на почту по результатам работы прийти может.

У меня появилась гигантская надежда, что получится что-то достать. Осталось проверить, что может наш ключ. Эту часть работы я оставил уже на программиста, он лучше знает как работать через api. Большую часть проверок он делал у себя, до баланса у него получилось добраться быстро. Для этого потребовалось лишь несколько строчек кода, скриншот которого с результатом работы я приложу. Это python3, и для его запуска надо установить библиотеку BitEx, и, само собой, вписать свои ключи.




Вот так просто удалось получить балансы аккаунтов, теперь достоверно было известно, что 1) пара ключей была все еще рабочая 2) есть права как минимум на чтение данных об аккаунте 3) удалось узнать суммы на счетах. Основная часть у него хранилась в bitcoin, их там оказалось 4.9, по тому курсу это было немногим больше 41000$. Так же там были доллары и немного других ненулевых балансов. В общей сумме 55000$.

Ставки известны, но на тот момент не было понятно, удастся ли хоть что-то вывести. У биржи bitfinex когда-то был api /v1/key_info, который выдавал все возможности ключа, однако оказалось, что его запретили. В итоге нам не удалось найти метод проверки ключа, и решили действовать на удачу: отправить запрос на вывод, а там как получится.

Решили сначала вывести bitcoin, предварительно конвертировав его в монеро, а потом конвертировать другие валюты и вывести их тоже. Почему не все за 1 раз: чтобы меньше шума поднимать. Мы точно не знали тогда, действительно ли он не получит никаких уведомлений, поэтому самый лакомый кусок старались как можно быстрее увести. Решено было начинать поздно ночью. Из анализа активности социальных сетей была информация, что он допоздна не засиживается, и ложится спать рано, поэтому за компьютером его точно не будет.

Вывод средств
Я до ночи я не мог успокоится. Еще не было известно, получится ли у нас что-то, но я был на кураже. Не хотелось заглядывать в будущее, потому что я уже один раз обломался с ним на прошлой атаке, когда мы ничего не нашли, но мысль о том, что сейчас с неба может упасть сумма в 55000$ постоянно вертелась в голове. Час X наступил немного раньше, чем я думал. Возможно, программеру тоже не терпелось начать вывод, и мы собрались уже в два с половиной часа.

Для вывода средств у bitfinex есть API /v1/withdraw. Главная интрига была лишь в том, есть ли у ключа права на вывод. При выводе надо помнить правило номер 1 — не выводить на уже использованные кошельки! Если его не соблюдать, то вас проще будет найти после слива. Поэтому был создан новый кошелек. Это monero, их можно хоть сотнями штамповать так.

После запроса API в ответ пришло “Success”. Сейчас единственный способ остановить слив - отменить транзакцию, пока биржа не начала ее отправлять (а для monero отправка начинается быстро). Ночное время атаки было выбрано удачно, от жертвы 0 активности. Возможно, это был самый дорогой сон в его жизни. Через несколько минут поступил перевод на адрес нового кошелька и вуаля, 4.9 btc у нас в кармане. По API, кодеру удалось и баксы конвертировать в монеро, после чего слить по старой схеме. В итоге вышло, ну почти, $55 000.



Вывод
И все таки это не вся сумма, что была у нашей жертвы. Как мы поняли это был его относительно новый аккаунт, который он хотел привязать к торговому боту. Это объясняет отсутствие остальных 45BTC и так мало альткоинов.

В любом случае, меня вполне устраивала сумма куша с жертвы, которую еще недавно считал списаной со счетов.

До скорых встреч!
Это просто ах*енно!
 

3ay4ik

Продаю ключи стим за 1 рубль

3ay4ik

Продаю ключи стим за 1 рубль
22.04.18
1,106
578
#13
Обратите внимание, если Вы хотите провести сделку с данным пользователем, на то, что он заблокирован.