- Регистрация
- 12 Июн 2018
- Сообщения
- 223
- Реакции
- 206
- Репутация
- 33
Расскажем о том, что такое логи. Покажем, как необходимую информацию вытащить с лога для настойки конфигураций с нуля.
Начнем очень кратко для новичков о том, что такое логи. Логи – это набор файлов, которые содержат различную информацию с ПК пользователя. Логи включают в себя: данные браузера (Cookie, Историю посещений, Авто заполнения, Список загрузок, Логины/Пароли от различных сайтов), Информацию о системе пользователя, Скриншот экрана пользователя. Могут также содержать: файлы кошельков от криптовалюты, файлы от Steam, сохраненные СС и.т.д.
Логи используют в разных сферах работы: начиная от серой и заканчивая черной, но чаще, как правило, последний вариант. Логи можно купить, либо получить самому. Чаще всего встречаются такие варианты продажи логов:
Переходим к основной части. Получили, купили мы лог с любого стиллера. Популярные стиллеры, с которых сейчас получают логи: AZORul, Arkei Stealer и Vidar. AZORult – самый популярный стиллер, но совсем недавно автор закрыл официальные продажи и темы на форумах. Последний стиллер, Vidar, появился не так давно, но логов именно с этого стиллера продают уже немало, да и по отзывам для тех, кто хочет сам получать логи – это отличный вариант.
Хоть и существуют разные стиллеры, но основная информация и ее структура очень сильно похожа, поэтому большой роли не играет с какого именно стиллера лог.
Теперь перейдем к работе с логами.
По всем параметрам все логи можно разделить по степени важности (по убыванию важности):
На форумах часто раздают отработанные логи разных категорий; данный вариант также является хорошим вариантом старта работы с логами.
Определить степень важности можно по Логинам/Паролям лога, авто заполнениям, да иногда даже по заставке на рабочем столе можно отличить лог школьника-задрота от хорошего лога.
С опытом, в зависимости от ваших навыков, финансового положения вы будете сами определять на раз-два, с каким логом работать кропотливо, с каким не очень, а какой вообще стоит выкинуть и не тратить свое время.
Часто бывает, что новички отрабатывают логи всего лишь на 1 запрос, например на Paypal, а если уж отработать не получается, то расстраиваются и выкидывают лог. Это плохой подход к работе, так как с ним не получишь нормального профита и знаний; если у вас много времени и мало опыта, отрабатывайте лог по полной, набивайте руку.
Советы и фишки при работе с логами
Получение базовой информации с лога о системе
В логе самая базовая информация о системе содержится в файле System.txt, либо Information.log.
На скриншоте я выделил параметры, которые нужны нам для настройки системы.
А также файлы в папке «Cookies» на наличие нужных сайтов (файлы в этой папке поделены на браузеры; возможен вариант, что файлы Cookies могут лежать в общей папки. Все зависит от того, с какого стиллера лог).
Пример:
В моем случае в логе только один браузер Google Chrome, поэтому я помечаю себе только 1 браузер. Переходим к более интересной информации, которая не лежит на поверхности.
Определяем, имеется ли FLASH в системе и его версию, определяем версию браузера (если возможно)
Для этого заходим в файл System.txt, либо Information.log и в разделе установленные программы [Software] ищем «Adobe Flash Player». Если нашли, то помечаем, что Flash есть, записываем его версию. Существует два вида программы Adobe Flash Player: Adobe Flash Player ** NPAPI – под браузер Firefox. Adobe Flash Player ** PPAPI– под браузер Opera/Chrome.
Screenshot:
Следом на этом же скриншоте мы видим версию Google Chrome, если нет, то пробуем ее найти в файле по запросу «Google Chrome». Также помечаем себе версию. Тип браузера и его версия будет нужна нам для настройки параметра «navigator.UserAgent», ну и в исключительных случаях для того, чтобы отключить подмену Canvas . Браузер Mozilla Firefox ищем по запросу «Firefox», найти мы должны примерно такое «Mozilla Firefox 64.0 (x64 en-US) [64.0]». В названии браузера Firefox содержится битность программы (32 или 64 bit), что также пригодится в настройке «navigator.UserAgent». Браузер Opera ищем по запросу «Opera», найти мы должны примерно такое «Opera Stable 57.0.3098.106 [57.0.3098.106]».
По разным причинам версию браузера не всегда удается определить, одна из которых – браузер может быть Portable, т.е. не установлен в системе. Браузер IE видно не будет, т.к. он уже изначально в Windows, с Edge в Win 10 такая же шляпа.
Наличие Flash и его версия понадобится нам для того, что добавить его в плагины и, при необходимости, включить его физическую версию в антидетекте.
Определяем у пользователя стационарный компьютер (Desktop) или Ноутбук(Laptop)
Определить это можно, используя различные варианты.
Сеть пользователя: определяем примерный роутер и его модель (по возможности)
Иногда по логу можно определить бренд роутера пользователя или его примерную модель. Это может быть необходимо для более точной настройки WebRTC, а точнее – Local IP Address.
Для этого нужно посмотреть в логе в файле с логинами/паролями или в файле, где хранится история браузера, популярные маски IP адресов роутеров.
Если там еще будет указан логин и пароль, можно попробовать вот тут посмотреть по брендам:
Плагины в любых программах – это дополнения, которые позволяют расширить её возможности. Большинство популярных браузеров имеют возможность устанавливать плагины, которые позволяют расширить его возможности. Например, это может быть плагин Flash от Adobe, возможность читать PDF страницы в браузере; в Chrome данный плагин уже идет по умолчанию; возможность запускать какие-либо Аудио/Видео кодеки.
С каждым новым выходом обновлений, увеличивается количество новых функций и вариаций поддерживаемого контента, поэтому плагины постепенно теряют свою актуальность. В итоге в браузерах Chrome, Firefox, Opera, Edge остались только встроенные плагины и один добавляемый: Adobe Flash Player. Поэтому с поиском плагинов больше актуально для браузера Internet Explorer, либо для старых версий Firefox (ДО 52 версии), Chrome, Opera.
Самые популярные плагины: Flash, Java, Microsoft Office, Adobe PDF Reader, Windows Media Player, Real Video/Audio.
В начале статьи мы уже определяли, имеется ли Flash в системе. Так вот Flash Player также является плагином в браузере. Поэтому если Flash есть, то и в некоторых типах браузера он будет в плагинах. Помечаем себе, если он имеется.
Искать остальные плагины будем так же в файле System.txt, либо Information.log в разделе установленные программы [Software].
Плагины:
[*]Плагин QuickTime находим по запросу «QuickTime», примерное название плагина: «QuickTime 7 [7.79.80.95]»
[*]Плагин Silverlight находим по запросу «Microsoft Silverlight», примерное название плагина: «Microsoft Silverlight [5.1.50907.0]»
[*]Плагин Java находим по запросу «Java», примерное название плагина: «Java 8 Update 191 [8.0.1910.12]»
[*]Плагин RealPlayer находим по запросу «RealPlayer», примерное название плагина: «RealPlayer [18.1.15.]»
[*]Плагин Adobe Acrobat (для чтения PDF файлов) находим по запросу «Adobe Acrobat Reader DC», в итоге будет – что то вроде «Adobe Acrobat Reader DC [19.010.20064.]»
Есть еще множество других различных плагинов, это был лишь пример популярных плагинов. Список продолжать можно очень долго.
На этом сбор информации по логу закончен.
Display Resolution: 1920x1080
Display Language: en-US
Keyboard Languages: English (United States)
CPU Count: 4
RAM: 8139 MB
VideoCard: NVIDIA GeForce GTX 970
[Network]
IP: 38.104.174.234
Country: United States (US)
City: Pleasant View (California)
ZIP: 93260
ISP: Cogent Communications (Txox Communications)
--
Browser: Google Chrome ver. 68.0.3440.106
Flash: имеется, ver. 30.0.0.154
--
PC: Ноутбук(Laptop)
--
[Панель задач]
Положение: Горизонтальное
Размер значков: Большой
Cкрытая панель задач: Нет
Есть ли браузер в скриншоте: ДА
--
Router: ~TP-Link TL-WR741N or TL-WR841N
---
[Плагины браузера]
Adobe Flash Player
RealPlayer
Adobe Acrobat
Конечно данный пример имеет уж слишком много информации. На практике, ее может быть меньше.
Начнем очень кратко для новичков о том, что такое логи. Логи – это набор файлов, которые содержат различную информацию с ПК пользователя. Логи включают в себя: данные браузера (Cookie, Историю посещений, Авто заполнения, Список загрузок, Логины/Пароли от различных сайтов), Информацию о системе пользователя, Скриншот экрана пользователя. Могут также содержать: файлы кошельков от криптовалюты, файлы от Steam, сохраненные СС и.т.д.
Логи используют в разных сферах работы: начиная от серой и заканчивая черной, но чаще, как правило, последний вариант. Логи можно купить, либо получить самому. Чаще всего встречаются такие варианты продажи логов:
- Продают только лог
- Продают лог + Socks холдера
- Продают лог+VNC/HVNC доступ
Переходим к основной части. Получили, купили мы лог с любого стиллера. Популярные стиллеры, с которых сейчас получают логи: AZORul, Arkei Stealer и Vidar. AZORult – самый популярный стиллер, но совсем недавно автор закрыл официальные продажи и темы на форумах. Последний стиллер, Vidar, появился не так давно, но логов именно с этого стиллера продают уже немало, да и по отзывам для тех, кто хочет сам получать логи – это отличный вариант.
Хоть и существуют разные стиллеры, но основная информация и ее структура очень сильно похожа, поэтому большой роли не играет с какого именно стиллера лог.
Теперь перейдем к работе с логами.
По всем параметрам все логи можно разделить по степени важности (по убыванию важности):
- Лог, который имеет набор стандартных сервисов в комплекте с БА и криптобиржами.
- Лог, который имеет набор стандартных сервисов таких как Paypal , Amazon , различные шопы
- Лог, который имеет пару сервисов/не интересные небольшие шопы; cookie файлы данного лога не вызывают у нас особого восхищения.
- Бесполезный лог
На форумах часто раздают отработанные логи разных категорий; данный вариант также является хорошим вариантом старта работы с логами.
Определить степень важности можно по Логинам/Паролям лога, авто заполнениям, да иногда даже по заставке на рабочем столе можно отличить лог школьника-задрота от хорошего лога.
С опытом, в зависимости от ваших навыков, финансового положения вы будете сами определять на раз-два, с каким логом работать кропотливо, с каким не очень, а какой вообще стоит выкинуть и не тратить свое время.
Отработка логов в Linken Sphere очень удобна тем, что, используя разные вкладки, можно отрабатывать несколько логов одновременно, что также экономит время.
Отработка лога может быть комплексной, либо отработка на один конкретный запрос.Часто бывает, что новички отрабатывают логи всего лишь на 1 запрос, например на Paypal, а если уж отработать не получается, то расстраиваются и выкидывают лог. Это плохой подход к работе, так как с ним не получишь нормального профита и знаний; если у вас много времени и мало опыта, отрабатывайте лог по полной, набивайте руку.
Советы и фишки при работе с логами
- Определите ваш «вектор атаки». Проще говоря, вам нужно понять, где у холдера есть деньги , какими средствами оплаты он пользуется чаще всего. Посмотреть популярные средства оплаты холдера можно в Amazon, Paypal, Ebay и.т.д ) . После того как вы определили, где деньги , нужно попытаться узнать сколько денег хранится у холдера, если возможно. Для этого нужно попасть в онлайн-банкинг, глянуть стейтманы и.т.д
- Сервисы операторов, такие как AT&T, Verizon и другие могут иметь функцию блокировки сим карты, утери телефона и прочих полезных штук, которые могут усложнить восстановление доступа холдера, а то и полной утери.
- Всегда ставьте на почте холдера в спам-фильтры сообщения от нежелательных сервисов и шопов, с которых может прийти сообщения. Перенаправляйте нужные сообщения через фильтры на свою почту.
- Проверяйте все облачные хранилища (Google drive, icloud, onedrive, dropbox и др.) Есть большая вероятность найти там Photo ID, Drive License, Credit Cards, Wallet Seed , 2FA и прочую полезную инфу.
- Живите жизнью холдера. Собрав все информацию на холдера , почитайте его Facebook и другие соц. сети, посмотрите, куда он едет завтра , когда его нет дома , когда он в зале , когда кушает, с кем трахается , это поможет составить психологический портрет для психологического воздействия, а так же дать возможность выбрать наилучшее время атаки
- Оставляйте за собой бекдоры. Ставьте свои секретные вопросы на почты, подвязывайте свои 2FA , телефоны, резервные почты. Тогда с большой вероятностью холдер не сможет быстро и безболезненно вернуть свой аккаунт, а даже если вернет, то может не заметить ваш бекдор, которым вы можете опять воспользоваться.
- Пароли. Множество холдеров пользуются однообразными паролями, поэтому, даже если в логе нет нужного сервиса, можно подобрать самому путем перебора
- Активность. По письмам на почте можно определить самые популярные и самые свежие по дате сервисы, которые использует холдер. Из них выбрать нужные -те, которые вы умеете отрабатывать. Данные сервисы будут более лояльны по фроду, так как холдер часто пользуется ими, а, следовательно, они имеют более свежие cookie по сравнению с другими сервисами.
Получение базовой информации с лога о системе
В логе самая базовая информация о системе содержится в файле System.txt, либо Information.log.
На скриншоте я выделил параметры, которые нужны нам для настройки системы.
- Windows – Данный параметр содержит информацию о версии Windows и разрядности системы (32-х битная или 64-х битная, 64-х битная встречает намного чаще). Чаще всего будут вам встречаться логи Windows 7, Windows 10 , реже – Windows 8, 8.1, XP. Данный параметр нам будет нужен для настройки «navigator.UserAgent», и некоторых производных.
- Display Resolution – Данный параметр содержит информацию о разрешении экрана пользователя. Необходим для настройки всех параметров, связанных с разрешением экрана и размером окна браузера и производных параметров.
- Display Language, Keyboard Languages - Данные параметры содержат информацию о языке/языках системы. Нужны для настройки параметров «navigator. Language», «navigator. Languages» и HTTP_ACCEPT_LANGUAGE.
- CPU Count - Данный параметр содержит информацию о количестве количество потоков процессора. Нужен для настройки параметра «navigator.hardwareConcurrency»
- RAM - Данный параметр содержит информацию о количестве оперативной памяти. Необходим для настройки «navigator.deviceMemory»
- Videocard - Данный параметр содержит информацию о видеокарте системы. Необходим для настройки WebGL. Обращаю внимание, что система может содержать две видеокарты: одну дискретная, а другая интегрированная. Такое используется обычно на ноутбуках. И какая из них запускается для браузера на 100% неизвестно. Во-первых, пользователь может вручную задать, какая именно видеокарта будет использоваться, во-вторых, к примеру, может быть так: если ноутбук на зарядке – используется дискретная видеокарта, если же от батареи – то интегрированная. Поэтому в ноутбуках на 100% на этот параметр полагаться не стоит.
- [Network] Параметры берем почти все, кроме Geo (Latitude and Longitude); Данная информация пригодятся вам для более грамотного подбора Socks/SSH-туннеля. ZIP в моем логе нет, но пробить его сложности не составляет. Для этого нужно лишь пробить IP адрес по базе MaxMind, либо найти домашний адрес пользователя в автозаполнении браузера, либо на почте или в шопе. Подбирать IP желательно не только как можно ближе по ZIP-адресу, но и по возможности с той же маской IP и того же интернет провайдера.
А также файлы в папке «Cookies» на наличие нужных сайтов (файлы в этой папке поделены на браузеры; возможен вариант, что файлы Cookies могут лежать в общей папки. Все зависит от того, с какого стиллера лог).
Пример:
В моем случае в логе только один браузер Google Chrome, поэтому я помечаю себе только 1 браузер. Переходим к более интересной информации, которая не лежит на поверхности.
Определяем, имеется ли FLASH в системе и его версию, определяем версию браузера (если возможно)
Для этого заходим в файл System.txt, либо Information.log и в разделе установленные программы [Software] ищем «Adobe Flash Player». Если нашли, то помечаем, что Flash есть, записываем его версию. Существует два вида программы Adobe Flash Player: Adobe Flash Player ** NPAPI – под браузер Firefox. Adobe Flash Player ** PPAPI– под браузер Opera/Chrome.
Screenshot:
Следом на этом же скриншоте мы видим версию Google Chrome, если нет, то пробуем ее найти в файле по запросу «Google Chrome». Также помечаем себе версию. Тип браузера и его версия будет нужна нам для настройки параметра «navigator.UserAgent», ну и в исключительных случаях для того, чтобы отключить подмену Canvas . Браузер Mozilla Firefox ищем по запросу «Firefox», найти мы должны примерно такое «Mozilla Firefox 64.0 (x64 en-US) [64.0]». В названии браузера Firefox содержится битность программы (32 или 64 bit), что также пригодится в настройке «navigator.UserAgent». Браузер Opera ищем по запросу «Opera», найти мы должны примерно такое «Opera Stable 57.0.3098.106 [57.0.3098.106]».
По разным причинам версию браузера не всегда удается определить, одна из которых – браузер может быть Portable, т.е. не установлен в системе. Браузер IE видно не будет, т.к. он уже изначально в Windows, с Edge в Win 10 такая же шляпа.
Наличие Flash и его версия понадобится нам для того, что добавить его в плагины и, при необходимости, включить его физическую версию в антидетекте.
Определяем у пользователя стационарный компьютер (Desktop) или Ноутбук(Laptop)
Определить это можно, используя различные варианты.
- По скриншоту экрана в логе. На скриншоте экрана мы ищем то, что свойственно ноутбуку на панели задач в правом нижем углу, либо на рабочем столе то, что свойственно ноутбуку (значки программ для ноутбука и.т.п.).
- По информации о процессоре в системе. Для этого заходим в файл System.txt, либо Information.log и смотрим параметр «Processors»
Ну и еще один вариант - поискать в процессах или установленных программах в файле System.txt, либо Information.log процессы/программы, которые относятся к ноутбуку. Например, это процессы, в которых фигурирует ключевое слово «Bluetooth», программы, характерные определенному производителю ноутбуков (ASUS, DELL, MSI, ACER и др.)
Примеры процессов: «Intel (R) Wireless Bluetooth (R)», «Dell Touchpad».Сеть пользователя: определяем примерный роутер и его модель (по возможности)
Иногда по логу можно определить бренд роутера пользователя или его примерную модель. Это может быть необходимо для более точной настройки WebRTC, а точнее – Local IP Address.
Для этого нужно посмотреть в логе в файле с логинами/паролями или в файле, где хранится история браузера, популярные маски IP адресов роутеров.
Самые популярные маски для поиска в логе: «192.168.», «10.0.», «10.1.», «10.90.». Самые популярные бренды я выделил в таблице светло синим.
Если там еще будет указан логин и пароль, можно попробовать вот тут посмотреть по брендам:
Плагины браузера: определяем популярные плагины, которые установлены в браузере.
Плагины в любых программах – это дополнения, которые позволяют расширить её возможности. Большинство популярных браузеров имеют возможность устанавливать плагины, которые позволяют расширить его возможности. Например, это может быть плагин Flash от Adobe, возможность читать PDF страницы в браузере; в Chrome данный плагин уже идет по умолчанию; возможность запускать какие-либо Аудио/Видео кодеки.
С каждым новым выходом обновлений, увеличивается количество новых функций и вариаций поддерживаемого контента, поэтому плагины постепенно теряют свою актуальность. В итоге в браузерах Chrome, Firefox, Opera, Edge остались только встроенные плагины и один добавляемый: Adobe Flash Player. Поэтому с поиском плагинов больше актуально для браузера Internet Explorer, либо для старых версий Firefox (ДО 52 версии), Chrome, Opera.
Самые популярные плагины: Flash, Java, Microsoft Office, Adobe PDF Reader, Windows Media Player, Real Video/Audio.
В начале статьи мы уже определяли, имеется ли Flash в системе. Так вот Flash Player также является плагином в браузере. Поэтому если Flash есть, то и в некоторых типах браузера он будет в плагинах. Помечаем себе, если он имеется.
Искать остальные плагины будем так же в файле System.txt, либо Information.log в разделе установленные программы [Software].
Плагины:
[*]Плагин QuickTime находим по запросу «QuickTime», примерное название плагина: «QuickTime 7 [7.79.80.95]»
[*]Плагин Silverlight находим по запросу «Microsoft Silverlight», примерное название плагина: «Microsoft Silverlight [5.1.50907.0]»
[*]Плагин Java находим по запросу «Java», примерное название плагина: «Java 8 Update 191 [8.0.1910.12]»
[*]Плагин RealPlayer находим по запросу «RealPlayer», примерное название плагина: «RealPlayer [18.1.15.]»
[*]Плагин Adobe Acrobat (для чтения PDF файлов) находим по запросу «Adobe Acrobat Reader DC», в итоге будет – что то вроде «Adobe Acrobat Reader DC [19.010.20064.]»
Есть еще множество других различных плагинов, это был лишь пример популярных плагинов. Список продолжать можно очень долго.
На этом сбор информации по логу закончен.
По итогу у нас собрана вот такая информация:
Windows: Windows 10 Home [x64]Display Resolution: 1920x1080
Display Language: en-US
Keyboard Languages: English (United States)
CPU Count: 4
RAM: 8139 MB
VideoCard: NVIDIA GeForce GTX 970
[Network]
IP: 38.104.174.234
Country: United States (US)
City: Pleasant View (California)
ZIP: 93260
ISP: Cogent Communications (Txox Communications)
--
Browser: Google Chrome ver. 68.0.3440.106
Flash: имеется, ver. 30.0.0.154
--
PC: Ноутбук(Laptop)
--
[Панель задач]
Положение: Горизонтальное
Размер значков: Большой
Cкрытая панель задач: Нет
Есть ли браузер в скриншоте: ДА
--
Router: ~TP-Link TL-WR741N or TL-WR841N
---
[Плагины браузера]
Adobe Flash Player
RealPlayer
Adobe Acrobat
Конечно данный пример имеет уж слишком много информации. На практике, ее может быть меньше.