14 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Тёмная комета для Windows: настройка Dark Comet

Содержание

Тёмная комета для Windows: настройка Dark Comet.

Как производится настройка Dark Comet на стороне жертвы?

Пожалуй, ни одной из современных работ в области удалённого администрирования не посвящено столько исследований и целых мировых конференций, как Dark Comet. Отчасти это связано с объёмом неприятностей, которые троян может доставить безалаберному пользователю, отчасти со якобы “скандалом”, связанным с участием трояна в слежении государственных органов Сирийской Арабской Республики за своими гражданами. Что здесь правда, что – нет, судить не мне, а потому приступаем.

Статьёй начнём серию, где разбираем работу популярного клиента удалённого администрирования в Windows Dark Comet, принцип работы, действия и последствия, а также как от неё – Кометы – избавиться.

Материала получилось много. Позволю себе разбить его на несколько частей. Так что читайте в продолжение:

Поправочка. Поисковики все мои ссылки на клиента забанили. Воспользуйтесь поиском по Пиратской бухте через прокси-сервера. Если появится возможность предоставить прямую ссылку, она будет здесь. Пока так…

Как работает Dark Comet: готовим систему к приёму данных

Здесь всё просто: нам необходимо выделить специальный канал передачи данных между сервером и клиентом RAT. После запуска на компьютере жертвы необходимые настройки запустятся автоматически, но и в системе админа тоже нужно кое-что открыть. Для работы с машинами жертв нам нужен отдельный портал, его и нужно проложить, пробросив необходимый порт. Его номер вы вольны выбрать, у меня, как вы увидите, это будет порт 1555. Но до того я пройду настройку сервера и клиента вместе с вами, но без подробностей (они в ссылках в начале статьи).

Антивирус отключаем, отключаем брандмауэр, а также в Windows 8/10 отключаем и Defender (Защитник Windows). Как всё это дело настроить без отключения, рассмотрим позже.

Запускаем DarkComet.exe и соберём сначала сервер трояна:

Выберем расширенный путь настройки сервера:

DarkComet-RAT — Server module — Full editor (expert)

Устанавливаем пароль (в предыдущей статье я указал 112233 – не забудьте его, его придётся ввести в окне настроек клиента) и сразу установлю собственные Server ID и имя профиля (настройки фаервола на стороне жертвы не трогаю):

В окне ниже Network Settings проторим дорожку к нашему компьютеру с настраиваемым сейчас клиентом. Укажем порт и адрес, на который будет стекаться информация. С портом всё ясно – 1555. Для того, чтобы узнать свой адрес в локальной сети, откройте cmd и наберите команду:

ipconfig

У всех нас настройки будут схожи. Вот мои локальные адреса рабочей станции и установленной виртуальной машины с описанием:

Локальный localhost в окне Dark Comet стираем и добавим нам известный по окну консоли локальный по сетке IP адрес и номер порта. Не забудьте нажать кнопку ADD:

Переходим в настройки запуска модуля на будущем сервере. Активируем настройки, выбираем местоположение трояна, его имя с папкой (MSDCSCmsdcsc.exe), название трояна, как его увидит жертва (NvidiaDrivers – обычно такие имена пропускают мимо глаз). Вобщем, хакер знает, где его искать, когда троян скроется от глаз жертвы.

Спускаемся чуть ниже и активируем все окна настроек. Что они означают, читайте в статье Настройки сервера Dark Comet. Сейчас скорректируйте “дату установки” как их будет видеть пользователь. У меня – середина апреля 2016-го (от головы):

Переходим к окну сообщения. При атаке хакеру оно не нужно, администратору – иногда, а нам, так как советую пока держать процесс под контролем (насколько это вообще возможно), оно необходимо. В этом окне мы настроим диалоговое окно, которое появится после успешной установки трояна. Я ввёл вот такой текст и выбрал вот такой значок (по нажатии на кнопку TestMessageBox вы можете его увидеть прямо сейчас):

Следующее окно Защиты модуля. Я поставил вот так, чтобы проверить и показать, что модуль попытается проделать:

Пропускаем остальные окна и переходим к созданию модуля трояна. Ничего не трогаю (троян будет запускаться в виде exe файла и поставляться на компьютер без сжатия); единственное, что сделаю, сохраню профиль настроек: если что-то не сработает, и я, загрузив профиль, смогу быстро сменить настройки где понадобится. Жмём Build the stub. Укажем место создания, ждём пару секунд, и модуль готов (как видите, в настройках Dark Comet появился новый профиль):

Вот он на Рабочем столе:

Запускать его сейчас не нужно – это вы поняли, думаю?

Закроем окно настройки модуля и добавим наш порт к настройкам Dark Comet. Перейдите, к примеру, в панели инструментов Кометы по пути Socket/Net и щёлкните правой мышкой по любой из пустых ячеек, выбрав Add port to listen:

Введите номер нашего порта вместо того, что готов для редактирования по умолчанию. Готово:

Теперь переходим в настройки клиента Client settings. Нам понадобятся 2 пункта. Сначала настроим клиент на пароль (всё тот же 112233). Вводим его:

повторите выбранный пароль в настройках клиента Dark Comet

Далее второй пункт…

Объект воздействия троянских программ

Чаще всего цель такого вредоносного агента — обычный ПК и его пользователь, но возможны инциденты и в корпоративной среде. Существует вероятность спам-рассылки с целью заражения множества компьютеров для формирования ботнета. Некоторые троянские программы «вшиваются» в легальное ПО и не мешают его функционированию; таким образом, жертва даже не замечает их действий в системе. Кроме персональных компьютеров, злоумышленник может заразить мобильные устройства с целью шпионажа за жертвой или для кражи ее конфиденциальной информации.

Что такое RAT? Всё про шпионские RAT-трояны

RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.

На самом деле шпионская программа RAT это один из наиболее опасных вредоносных программ, который позволяет злоумышленнику получить не просто доступ к вашему компьютеру но и полный контроль над ним. Используя программу RAT, взломщик может удалённо установить клавиатурный шпион или другую вредоносную программу. Также с помощью данной программы хакер может заразить файлы и много чего ещё наделать без вашего ведома.

Как работает программа RAT?

RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. Всё. с этого момента компьютер жертвы под полным контролем злоумышленника.

Возможности трояна RAT

  • Следить за действиями пользователя
  • Запускать файлы
  • Отключать и останавливать сервисы Windows
  • Снимать и сохранять скрины рабочего стола
  • Запускать Веб-камеру
  • Сканировать сеть
  • Скачивать и модифицировать файлы
  • Мониторить, открывать и закрывать порты
  • Прикалываться над чайниками и ещё многое другое

Популярные RAT-программы

  • DarkComet Rat
  • CyberGate
  • ProRAT
  • Turkojan
  • Back Orifice
  • Cerberus Rat
  • Spy-Net

Какая самая лучшая программа RAT?
Лучший троян RAT на сегодня это DarkComet Rat(на хаЦкерском жаргоне просто Камета)

Как происходит заражение RAT-трояном?

Заражение вирусом RAT происходит почти также как другими вредоносными программами через:

  • Массовое заражение на варез и торрент сайтах.
  • Скрипты(эксплойты) на сайтах, которые без вашего ведома загружают RAT на ваш компьютер.
  • Стои отметить что, в большинстве заражение RAT-трояном происходит не от массового а от целенаправленное заражение вашего компьютера друзьями или коллегами.

Кстати не всегда антивирусное по в силах предотвратить заражение, некоторые антивирусы попросту не детектируют вредонос, так как сегодня уже никто не посылает просто трояна, сегодня его предварительно криптуют(что такое крипт и как это делают мы расскажем в другой статье).

Как предотвратить заражение троянской программой RAT?

  • Не открывать не знакомые файлы, которые вы получаете по почте.
  • Пользоваться безопасными браузерами.
  • Качать и устанавливать программы только с сайта разработчика.
  • Не допускать физического контакта с компьютером посторонних людей.
  • Удалить к чертям антивирус и поставить хороший фаервол и хороший сниффер. Можете конечно оставить антивирус, я понимаю привычка дело такое…, но фаерволом пользоваться вам надо обязательно. Но а если научитесь юзать сниффер, то в моих глазах станете продвинутыми юзверями, без пяти минут специалистами в области компьютерной безопасности ))!

Как понять что у вас троянская программа RAT?

Понять что у вас на компьютере установлен РАТ очень не легко, но можно. Вот признаки которые могут говорить о наличии троянской программы на вашем компьютере:

  • Странная сетевая активность в фаерволе, в частности высокий исходящий трафик.
  • Комп начал тормозить или скорость интернета значительно просела.
  • У вас увели пароль от соц. сетей или почты.
  • Подозрительный трафик в сниффере.

Как вылечить заражённый трояном компьютер?

Обнаружить троян RAT довольно сложно. Можно скачать бесплатные антивирусы с обновлёнными базами, к примеру отличный на мой взгляд сканер AVZ и просканировать компьютер. На самом деле если вы мало разбираетесь в компьютерах легче не искать иголку в стоге, а предварительно сохранив важные документы отформатировать комп и установить Windows заново.

Кстати устанавливая взломанную Windows вы рискуете заразится вирусом уже на этапе установки. Так как некоторые левые сборки которые раздаются в сети имеют уже вшитые закладки, шпионы, вирусы, скрытые радмины, рмсы и другую красоту. Я знал одного компьютерного мастера который само того не зная устанавливал на машины клиентов левую сборку Windows, знаменитую протрояненную ZverCD.

Читать еще:  Не работает клавиатура на планшете что делать. Почему не работает клавиатура на планшете? Чтобы выполнить сброс, сделайте вот что

Похожие статьи

Продажа и покупка троянов на подпольном рынке

Evil Corp самая дерзкая хакерская группировка

Можно ли перехватить управление коптером

10 комментариев

Возможности трояна пункт «Прикалываться над чайниками» повеселил ))

да без крипта не прокатит, антивир пропалит сразу.
а крипт денег стоит

крипт бесплатен был, бесплатный есть и бесплатным будет.

хорошая статья но автор забыл написать ещё про рат PI

Я чувствую ,что я и есть тот чайник над которым поприкалывалась эта крыса до такой степени, что сначала я обнаружила , что почта контролируется и отправленные мною письма пришли на тот же адрес но в другом смарте, я переписываюсь вместо моих друзей с одним лишь человеком, который отслеживает все написанное через клавиатуру. Рекомендованную «Mipco» я не смогла установить, написано при скачивании «error. not found», потому что активация сделана через контролируемую почту. В мессенджере фейсбука и по смарту я не могу пазговаривать — слышу липкие комментарии среди беседы и отключение разговоров на самом важном месте. Но пиком апофеоза стала пропажа денег на моих глазах с моего банковского счета.
Заканчивается суббота. Хочу сначала получить справку банка как такое могло произойти. В полицию я уже обратилась. Даже если я защищусь с помощью ваших рекомендаций, как я смогу вернуть деньги и доказать что при попытке их снятия я не получила ничего, а преступник перевел их куда-то ,куда я не знаю. В первоначальной распечате банка значится что дегьги зашли на счет. А после моей попытки их получить отсутствует запись что они вообще поступали. Я ничего не понимаю. В этом же месяце я обнаружила что некий сайт незаконно снимал несколько месяцев деньги моей кредитной картой. Я написала им ,что поскольку не пользовалась их услугами, требую возврата денег,полученных мошенническим путем. После этого пропали деньги с моего счета. Ясно ,что все кредитки нужно закрывать. Но что делать после обращения в полицию с моим смартом?

Все ответы на ваши вопросы будут в отдельной статье.

Знаю таков троян, есть много КРЕАТОРОВ таких троянов — на пример самый простой — Dark Comet.
Сам кстати пользуюсь такими креаторами, но ничего вредоносного не делаю, максимум просто по прикалываться.
И это интересно, ещё есть один креатор — называется LinkNet.
Вроде его один поц сделал, на ютубе видосы есть, написан на delphi.
У него ООООЧЕНЬ большой функционал.
Кому надо просто введите LinkNet — CSG Chanell. (Вроде так канал называется.)
Сама прога платная, вроде. Но в коментах под видео некоторые говорят что есть бесплатная версия проги, не знаю крч.

Удалить ратник проще некуда, нужно зайти в автозагрузку и удалить все неизвестные программы из автозагрузки или все, затем перезагрузить ПК также можно заглянуть в планировщик задач и посмотреть там некие странные задания и удалить их.

У DarkComet есть такая функция: Persistant Process и Persistent Startup. Когда ты попытаешься закрыть процесс, не выйдет. Когда попытаешься удалить из автозагрузки: не выйдет. Даже в безопасном режиме не прокатит! Никак! И что чайник будет делать? А если он хорошо закриптован, то его никак не найти! И антивирус его удалять не будет! И никакая программа не поможет, кроме переустановки Windows.

Управление чужим ПК с помощью Skype

Очень простой способ доступа к чужому ПК, который особенно пригодится в тех случаях, когда вы хотите подгадить обидевшему вас человеку. Делается это так:

  1. Выбираете обидчика в списке пользователей Skype. Кликаете левой кнопкой мыши по его имени — в появившемся окошке, напротив поля Skype, копируете логин пользователя.
  2. Заходите на сайт mostwantedhf.info, вводите в поле «User» скопированный ник и кликаете по кнопке «Resolve». После обработки запроса сайт выдаст нужный вам IP.
  3. Зайдите в программу Essential NetTools (скачать ее можно здесь), выберите в меню «NBScan», введите в строку «Конечный IP-адрес» найденный вами «айпи».
  4. Нажмите старт. Если в окне «NBScan» ничего не отобразится, значит, нужный вам пользователь отсутствует в сети либо заблокировал доступ к нему. Если все в порядке, вы увидите его в списке. Кликните по записи правой кнопкой мыши и подтвердите команду «Открыть компьютер».

После этого в своей «Сети» вы увидите папки, сохраненные на чужом ПК, и сможете мстить свой жертве: удалять документы, важные скрипты и т.п.

Уловки хакеров, как взламывают ваши почты. Технологии управления репутацией

Защита конфиденциальных данных пользователя зависит от самого пользователя. В статье ответим на вопрос почему твой электронный ящик ценен для хакера и рассмотрим некоторые способы взлома твоего e-mail.

Сентябрь 2014 года – в открытый доступ попал файл с 2,6 миллиона паролей от « Яндекс.Почты ». Чуть позже в сети 5 млн паролей Gmail и 4,6 млн паролей Mail.ru

Ты живешь обычной жизнью и думаешь, что не интересен хакерам? Как бы не так! Накрутка трафика, рассылка спама, а главное – данные для авторизации на ресурсах, типа WebMoney или Сбербанк Онлайн. Все это может быть целью злоумышленников.

Ты, наверняка, получал подобные сообщения: «привет, спрячь эти свежие снимки» . И ты, конечно, знаешь, что переходить по этим ссылкам нельзя. Даже если они от лучшего друга или жены. Аккаунт пользователя 100 % взломан.

А если ты владелец крупной фирмы, на тебя охотятся вдвойне. Только, представь, что конкурентам по бизнесу стала доступна конфиденциальная почтовая переписка. И вдобавок другие компрометирующие факты.

Заказать взлом электронной почты несложно. Яндекс выдает 50 млн результатов по этому запросу. Цены доходят до 100$. Какими методами работают хакеры? Смотри ниже!

Уловка № 1: Брутфорс

Подбор пароля методом перебора – явление распространенное. Подбирают пароли к социальным сетям, админкам сайтов и почтовым ящикам. Например, первые дни августа 2013 года выдались неудачными для многих интернет-ресурсов. В этот период началась мощнейшая брутфорс-атака на сайты на CMS Joomla и WordPress. Тогда тысячи компаний не были готовы к защите, их технологии управления репутацией были слабо проработаны.

Для взлома почты методом брута уже написано несколько сотен скриптов и программ. Хакеру нужно всего лишь их скачать, правильно настроить и запустить. Далее программа подключается к серверу и методом тыка перебирает пароли по списку.

Этот способ уже малоэффективен. 3-5 попыток неверного ввода пароля и почтовый сервер заблокирует ящик. Но анализ слитых в сеть паролей показывает, что менее половины из них уникальны. До сих пор в рейтинге худших преобладают: дата рождения, 123456, password и qwerty. Если выше мы назвали твой пароль, готовься стать легкой добычей для киберпреступников.

Уловка № 2: Социальная инженерия

Для использования этого метода не нужно быть подкованным в техническом плане. Главное – креатив и смекалка. Например, почту директора ЦРУ Джона Бреннана взломал 16-летний подросток. Он просто грамотно собрал информацию о «жертве». По телефонному номеру директора ЦРУ парень определил, что Д.Бреннан – клиент компании Virizon. Далее один из сообщников юного хакера выдал себя за сотрудника компании и выведал детали аккаунта Бреннана. Pin-код, запасной номер мобильного, email-адрес AQL и данные банковской карты – за считанные минуты оказались в руках мошенников.

Уловка № 3: Фишинг

C помощью фишинга злоумышленник пытается подловить тебя на доверчивости. К примеру, на электронный ящик может прийти письмо от Gmail.com, что почта добавлена в черный список.

Нажав кнопку подтвердить, ты попадешь на фейковую страницу: на ней тебе предложат ввести логин и пароль электронного ящика. Так конфиденциальные данные уходят к злоумышленникам.

Вариаций таких писем сотни: кассационная жалоба, уведомление о новом штрафе ГИБДД, уведомление о начале судебного дела. Цель одна – заманить человека на поддельные страницы сайтов и выведать его учетные данные.

Уловка № 4: Троян

По статистике Microsoft, пять позиций в списке распространенного в России вредоносного софта занимают трояны. Наиболее известны такие трояны, как Carberp, SpyEye. Они могут не только получать информацию с компьютера, но и собирать пароли, делать скриншоты рабочего стола и всячески скрывать следы своего присутствия. Отдельного внимания заслуживает ратник DarkComet, который может сшиваться с трояном. Он позволяет не только производить сбор паролей, но и предоставлять злоумышленнику полный доступ к компьютеру и его файлам. Кстати, программа SpyEye разработка отечественного хакера – Александра Панина. За это в апреле 2016 года он получил наказание в виде лишения свободы на 9,5 лет.

В прочем, троян может быть встроенным в программы. С запуском программного файла, троян, встроенный в код программы, автоматически активируется пользователем и выполняет запрограммированные действия. Это может быть как воровство файлов Cookies, так и установка любых кейлоггеров, которые работают в скрытом режиме и передают злоумышленнику каждое нажатие клавиатуры. Главная особенность троянов в том, что они могут вносить свой вредоносный код в код других программ, что делает их достаточно могущественными и сложно-удаляемыми.

Тоже самое можно и отнести к зараженным флешкам. Их особенность в том, что флешка содержит файл « Autorun.inf» . Как только носитель подключается к компьютеру, происходит автоматический запуск данного исполняемого файла. При правильной настройке, в файл « Autorun.inf» может быть внесен вредоносный код, который может произвести скрытую установку кейлоггера, ратника или занести в компьютер троян.

Также заразиться вирусом можно через сайты подделки, вредоносные ссылки в письме или общественный wi-fi.

Уловка № 5: Кража паролей посредством wi-fi

Миллионы людей ежедневно пользуются бесплатными точками доступа к wi-fi, при этом работая с банковскими счетами, личной почтой или заходя в соцсети.

Схема кражи достаточно проста. Злоумышленник, к примеру, у себя дома, подключается к своему запароленному wi-fi и от него начинает раздачу интернета со своего ноутбука. Раздача происходит без пароля, так что за несколько часов/дней можно получить стабильные источники трафика. Здесь требуется уточнение, что во время раздачи wi-fi, на компьютере установлена программа сниффер. Нужна она для перехвата отправленных пользователями пакетных данных. Когда собрано достаточное количество пакетов, начинается расшифровка и анализ полученных пакетов. В пакетах содержится вводимая информация, логины и пароли от сайтов, в том числе от электронных почт.

Уловка № 6: Кража Cookies

При входе в почтовый аккаунт браузер предлагает запомнить пользователя: чтобы тебе не приходилось вводить логин и пароль заново. Если ты с этим соглашаешься, web-сервер создает cookie с твоим логином и паролем и передает его браузеру. Украв этот cookie, хакер может получить доступ к твоему аккаунту. Крадут cookies сниффером. Эти программы перехватывают и анализируют трафик. Скачать снифферы может любой желающий.

Перехватывают cookies хакеры и через общественный интернет. Поэтому не подключайся к wi-fi в Маке, возможно, за соседним столиком злоумышленник.

Уловка № 7: Взлом через SMS

Чтобы уловка сработала, хакер должен знать номер телефона жертвы. Далее злоумышленник заходит на почтовые сервис, вводит адрес и начинает процесс восстановления пароля к аккаунту. Для этого он выбирает способ – получить код через sms. В этот момент жертва получает сообщение от почтового сервиса, в нем код для восстановления пароля. Следом приходит фальшивое sms: в нем говорится, что замечена подозрительная активность и кто-то пытается взломать почту. Тут же они просят подтвердить свою личность только что полученным кодом. А дальше все просто: мошенники получают код, вводят его в соответствующее поле, меняют пароль и почта взломана. А ты очередная жертва киберпреступников.

Читать еще:  Как добавить или заменить оперативную память на iMac 27" 2017-2019

Технологии управления репутацией. Вывод: на 100 % обезопасить себя от хакеров нельзя. Если твою почту « заказали » , поверь, её взломают: вопрос денег и времени. Но от случайных посягательств киберпреступников защита есть: установи антивирус и двухфакторную аутентификацию, проверяй адресную строку сайта и меняй пароль электронного ящика раз в 3 месяца. Эти советы применимы и к корпоративной почте.

Если за вами следят через веб-камеру.

Совсем недавно общественность взволновала новость о том, что Facebook следит за пользователями чере web-камеру и даже прослушивает разговоры через микрофон. Такие опасения высказали эксперты компании CB Insights. Специалисты считают, что новый патент Facebook техники определения эмоций связан с тайной слежкой, во время которой соцсеть фотографирует пользователя и подбирает контент, соответствующий его настроению.

Впервые о нововведении сообщила газета «The Times». Издание утверждает, что настроение людей будет анализировать в реальном времени искусственный интеллект, основываясь на информации о силе и скорости набора текста и количеству смайликов. В Facebook эту информацию не опровергли, а лишь сказали, что все нововведения сразу выносят на оценку общественности, а не СМИ. Напомним, сам основатель Facebook Марк Цукерберг не скрывает, что заклеивает web-камеру на своих компьютерах.

Корреспондент «МИР 24» разобралась в том, как узнать, следят ли за вами, и есть ли смысл принимать меры безопасности.

«То, что Facebook следит за пользователями через web-камеру, — это не новость. Любой сайт выводит уведомления, спрашивая разрешение на использование ваших данных. Никаких новых способов следить через web-камеру за последнее время не появилось, просто используют программное обеспечение, которое активизирует слив данных», — рассказал главный редактор журнала «Хакер» Илья Русанин.

СПОСОБЫ СЛЕЖКИ

К числу популярных способов слежки относится система LuminosityLink, которую обычно использует системный администратор для управления компьютерными сетями на расстоянии. Для того чтобы настроить слежку достаточно просто скачать одну из пиратских версий программы, которых в интернете множество. Именно этим способом пользовался хакер имиджборда «Двач». Молодой человек создал целое шоу, в котором в режиме реального времени транслировал видео с разных web -камер. Чаще всего жертвами становились молодые девушки, пытающиеся сделать интимные снимки. Кроме этого на мониторы жертв молодой человек выводил случайные видео, например, порно или насилие.

Существуют всевозможные приложения, которые хакеры размещают на разных сайтах и с помощью них ловят любопытных и неосторожных пользователей. Вы просто скачиваете какое-то приложение, а оно ворует ваши данные и отправляет хакерам. Тоже самое относится и к случайно – скачанным программам. Для хакеров такой метод является самым легким.

СТАНДАРТНЫЙ ПАРОЛЬ НА КАМЕРАХ

Однако не всегда, если ваше провокационное видео, снятое через web -камеру, попало в сеть, виноваты хакеры. Если, например, при установке камеры вы не сменили пароль со стандартного на персональный, считайте, что разрешили доступ к личной информации.

Так, например, в 2014 году был обнаружен российский сайт, на котором было размещено около пяти тысяч видео с web -камер по всему миру. Когда владельца ресурса обвинили в хакерстве, молодой человек отказался от обвинений, сказав, что все видеоматериалы собраны с web -камер, владельцы которых не сменили стандартный пароль на персонализированный. По информации Networkworl, паролем по умолчанию защищено около 73 000 камер по всему миру.

К тому же для того, чтобы найти незащищенные web -камеры не нужно пользоваться специальными программами, достаточно просто использовать обычный поиск.

О специальной программе Optic Nerve, разработанной американской разведкой, рассказал спецагент США Эдвард Сноуден в 2013 году. По словам программиста, Optic Nerve была создана с целью защитить американцев от терроризма, Но за полгода существования она успела собрать около 1,8 миллионов снимков пользователей Сети. Программа сначала распознает человеческое лицо, делает скриншоты каждые пять секунд и отправляет их в специальные базы данных.

Это популярная троянская программа, которой пользуются хакеры, называющие себя ретерами. Это особая группа взломщиков, которые заражают компьютеры молодых симпатичных девушек и подростков (которых называют рабами) программами типа DARKCOMET-RAT. Они не только воруют интимное видео, но и подпольно его продают. Некоторые ретеры даже идут дальше — они устраиваются в магазины электроники и продают жертвам уже зараженные ноутбуки. Кроме того, ретеры продают и полный доступ к зараженным ноутбукам девушек. То есть, на черном рынке любой может купить доступ к вашей web-камере и следить, чем вы занимаетесь дома.

Сама по себе DarkComet – это троянская программа, которая дает доступ не только к вашей web-камере, но и к управлению рабочим столом и всем ПО. Одним из преимуществ программы является то, что она не позволяет светодиоду на web-камере загораться, то есть жертва даже не видит, что камера работает.

Это всего лишь несколько популярных методов, однако, ежедневно хакеры стараются разработать новые методы получения видео и аудиоконтента, ссылаясь на то, что клавишный шпионаж ушел далеко в прошлое.

По словам Русанина, к уязвимой группе людей, за которыми могут следить, относятся политики, бизнесмены и молодые девушки, остальным можно не волноваться, но лучше все же соблюдать меры безопасности.

ЧТО ДЕЛАТЬ, ЕСЛИ ЗА ВАМИ СЛЕДЯТ

Если вам, кажется, что за вами следят, необходимо в первую очередь отключиться от Интернета. Если вы используете сетевой кабель, просто вытащите его из компьютера. Если у вас Wi-Fi , необходимо отключить роутер.

После этого нужно скачать, воспользовавшись другим компьютером, антивирусный сканер, например бесплатный Dr.Web CureIt или Malwarebytes Anti-Malware, AVZ, IObit Malware Fighter и установить на своем устройстве.

Более действенным методом считается полная переустановка системы.

КАК ОБЕЗОПАСИТЬ СЕБЯ ОТ СЛЕЖКИ

В-первую очередь, эксперты советуют заклеивать камеру на ноутбке или даже смартфоне.

«Очень многие сейчас заклеивают камеры и это 100% рабочий метод. В этом нет ничего удивительного», — сказал Русаков.

Кроме того, эксперт отметил, что если компьютер выключен, то слежку осуществить невозможно.

УСТАНОВИТЬ БРАУЗЕР В «ПЕСОЧНИЦЕ»

Программисты советуют не переходить по незнакомым ссылкам, однако, на практике это оказывается очень сложно. Поэтому лучше всего воспользоваться браузером в «песочнице» .

Для этого скачайте бесплатную программу Sandboxie, которая запускает приложения в защищенной виртуальной среде. Любая программа, которую запускают в «песочнице» , не может получить доступ к системному реестру, системным файлам и не может внести изменения, которые напрямую или косвенно могут нарушить или негативно сказаться на работе установленной операционной системы Windows.

Кроме того, если вы видите сомнительную ссылку, то всегда можете проверить ее через специальные сервисы, например https://www.virustotal.com/ru/ .

Если вы купили компьютер с рук, то всегда переустанавливайте операционную систему. Перед использованием необходимо отформатировать все жесткие диски. Если отдаете ноутбук в ремонт, то старайтесь вытаскивать свой жесткий диск

Если вы не уверены в том, что за вами следят, то скачайте Process Explorer, эта программа показывает все процессы, связанные с тем или иным устройством, в нашем случае, с web-камерой. Если программа обнаружит какое-либо ПО, которые вы не устанавливали, то закройте этот процесс и проведите антивирусное сканирование.

Я тебя вижу, и теперь тоже. Насколько просто взломать веб-камеру и как от этого защититься

Неужели взломать камеру на вашем ноутбуке так просто? Автор Medialeaks, начитавшись последних новостей о взломах миллионов видеокамер, приложениях для взлома и сайтах, на которых стрим со взломанных камер со всего мира стал аналогом реалити-шоу, решил изучить программы для взлома вебок, а также попытался найти способы, которыми вы можете защитить себя от подглядываний анонимов и других онлайн-вуайеристов.

Тролль. Джеймс Тролль. Кто подглядывает за владельцами вебок

Разговоры о взломе видеокамер в наше время перестали быть чем-то удивительным. Это стало настолько распространённым явлением, что одни взломщики (крэкеры) содержат сайт, на котором показывают трансляции с незапароленных камер наблюдения и вебок со всего мира, а другие стали продавать в китайских соцсетях программу, которая позволяет получить удалённый доступ к различным видеокамерам, подключённым к интернету.

В большинстве случаев взлом устройств происходит из-за того, что их владельцы не меняют заводской пароль камер, подключив их к общественной сети, но обычные вебки на ноутбуках в эту категорию не попадают. Чтобы получить к ним доступ, взломщикам нужно что-то посерьёзнее пароля «admin admin», да и вбивать его некуда.

Вопреки распространённому мнению о том, что вебки взламывают спецслужбы, гораздо чаще можно наткнуться на истории о взломах, совершённых не людьми в униформе, а простыми смертными. Причём в комментариях на тематических сайтах чаще сидят даже не излишне любопытные личности, пытающиеся подсмотреть за своими близкими, а хакеры-тролли. Для них нет особой разницы, за кем наблюдать, но они могут принести гораздо больше вреда своим жертвам, потому что наблюдением могут не ограничиться. Иногда они берут чужой компьютер под свой контроль, уничтожая или изменяя данные пользователей ради шутки.

Взломать камеру на ноутбуке может даже школьник, не достигший пубертата: на YouTube есть масса роликов о взломах, авторы которых троллят ничего не подозревающих юзеров, подключаясь к их вебкам. Авторов таких видео много, но суть в роликах одна: получить доступ к веб-камере, а затем стримить выражение лица жертвы, пока она пытается разобраться, почему на десктопе вдруг поменялись обои или включилось порно со звуком. Чаще всего подобные ролики снимают подростки, а в названии встречаются слова «прикол», «троллим», «угораем» и т. п.

Школьники настолько освоились в программах взлома, что дают полноценные уроки о том, как настраивать программы взлома на своих каналах, где между роликами о взломе чужих компьютеров рассказывают о своих детских увлечениях а-ля «выращиваем кактус» и «вот моя любимая кукла».

Тренд на взломы вебок обрёл большую популярность. Взломщики (крэкеры) создали несколько специализированных сайтов, на которых рассказывают о различных методах взлома компьютеров, делятся своими открытиями и успехами на поле троллинга в соответствующих ветках на форумах и создают собственные сборки взломщиков, которые позволят желающим начать глумиться над неизвестными в сети без лишних заморочек с установкой программ.

Глаза повсюду. Бизнес для вуайеристов

Кроме троллей к камерам подключаются и те, кто пытается делать на подглядывании за посторонними реальные деньги. Во «ВКонтакте» есть сообщества, в которых продают доступ к различным камерам. Чаще всего это камеры наблюдения, установленные в съёмных квартирах и общественных местах. Подключиться к ним легко: владельцы часто не изменяют заводские пароли, включая камеру в сеть, и единственной проблемой для крэкера становится поиск устройства в нужной локации — а если он работает установщиком или настройщиком подобных камер, задача становится ещё проще.

Читать еще:  Как правильно настроить Fedora Workstation после установки. Как правильно настроить Fedora Workstation после установки Настройка fedora 26 после установки

К примеру, администрация сообщества «IVMS раздаём продаём меняем / IP Camera» продаёт во встроенном магазине группы во «ВКонтакте» трансляции с камер из квартир, ранжируя их по стоимости. Чем симпатичнее жертва трансляции (в подавляющем большинстве случаев это женщины), тем дороже стоит подглядывание за ней. Потолок цены не превышает 400 рублей — за эти деньги админ предлагает любому желающему подключиться к камере в комнате молодой девушки.

Для затравки админы предлагают подписчикам бесплатно понаблюдать за жизнью в некоторых домах, где системы наблюдения установлены почти в каждой комнате. Трансляции ведутся круглосуточно, в отдельных случаях админы подписывают их комментариями в стиле «тут кое-что годненькое». Также в группах предлагают установку заранее настроенных камер наблюдения и даже услуги сервиса, замены и гарантию на продукцию.

Почти легально. Как взламывают веб-камеры

Чаще всего компьютеры взламывают с помощью совершенно легальных утилит, которые обычно используются как средство оптимизации работы сисадминов и прочих сотрудников IT-отделов в различных крупных организациях — TeamViewer, RMS, LuminosityLink, Radmin и подобные. Принцип их работы предполагает, что один из компьютеров сети может управляться другим удалённо и внутри корпоративных сетей это вряд ли может стать проблемой: каждый компьютер в сети связан с «ведущим» общими настройками, их соединение часто запаролено.

Такими программами могут пользоваться и обычные пользователи сети. Нужно всего лишь установить на два или более компьютера оборудование, связанное между собой одинаковыми заранее обозначенными настройками — утилиты «клиентов» на компьютеры, находящиеся в управлении, и утилиту-сервер на устройство, которое будет ведущим.

Вряд ли многие жертвы взломов сознательно устанавливают себе клиенты программ, которые позволят наблюдать за ними. В большинстве случаев клиент устанавливается на компьютер как сопутствующая утилита во время установки какой-либо заранее модифицированной программы (чаще всего это что-то бесплатное и скачанное с непонятного ресурса). С помощью такого трояна, установленного в торрент-поисковик MediaGet, в апреле 2016 года один из пользователей «Двача» несколько дней подряд вёл стрим с веб-камер с различных компьютеров.

Кроме официальных программ, призванных облегчить жизнь сисадминам, существуют и утилиты, заточенные именно на тайное наблюдение за компьютерами. К ним относятся, к примеру, RemCam и DarkComet. Последний внезапно оказался связан с сирийским конфликтом: как пишет Wired, правительство использовало DarkComet для шпионажа за оппозиционными активистами, присылая им скрытую ссылку на его установку, замаскированную под всплывающее окошко с сообщением. После того как информация о действиях сирийского правительства появилась в СМИ, разработчик приложения официально прекратил его поддержку, заявив, что никогда не хотел, чтобы этим пользовались власти.

Крэкеры считают, что во взломе компьютеров виноваты только их владельцы: никто не заставляет их ставить нелегальный и не проверенный софт на свои устройства. При этом они рады поделиться своим собственным нелегальным и непроверенным софтом с окружающими, чтобы облегчить им жизнь. Однако в этом и кроется ловушка для многих будущих жертв: так как они скачивают заранее настроенный кем-то клиент, то априори становятся потенциальной целью для атаки. Получается своего рода сетевой маркетинг, только вместо товара участники передают друг другу трояны.

Иронично, что создатели приложений для взломов, рассказывающие на своём сайте о том, как взламывать чужие компьютеры, одновременно с этим связаны с сообществами во «ВКонтакте», в которых сообщают об информационной безопасности и защите компьютера от различных методов взлома.

По тому же принципу работают приложения для Android, но пользователей мобильников в какой-то мере защищает лицензия. К примеру, приложение GPP Remote Viewer позволяет получать данные с компьютера так же, как и TeamViewer, но пока вы качаете его из Play Market, можете чуть больше верить, что с ним не установятся трояны.

С продукцией от Apple ситуация обстоит проще в управлении и сложнее в моменте взлома: современные утилиты удалённого доступа на iOS часто требуют синхронизации через Apple ID, и это оставляет ещё меньше возможностей для быстрого взлома компьютеров или установки на них вредной утилиты, которая передаст управление третьему лицу.

Medialeaks следит за тобой. Пробуем взломать вебки друг друга

Редакция Medialeaks потестила две распространённые программы для наблюдения через вебку и удалённое управление данными — легальный RMS и «серенький» RemCam2. Столик попытался взломать компьютер Татьяны, закидывая её личку в пока ещё не заблокированном Telegram всякими непонятными файликами, которые должны были установить на её компьютер соответствующий софт. Всё на Windows, для наблюдения использовался софт без модификаций пользователей.

RMS при запуске попросил много всяких-разных разрешений, которые должны игнорироваться, если вы запускаете преднастроенную кем-то (или вами, если вы Хакермэн) версию. Кроме того, для соединения с компьютером жертвы программа запросила пароль, который Таня вбила при установке. Тихий взлом не удался, к тому же когда мы подключили удалённое управление камерой, на экране жертвы высветилось соответствующее уведомление. Мамкин вуайерист потерпел поражение, но лишь потому что использовал легально скачанную и не изменённую утилиту.

RemCam2 оказался в этом плане гораздо полезнее — это полноценный троянчик, об установке которого не догадается даже сам пользователь: никаких экранов, приложение незаметно установилось, когда Таня щёлкнула по иконке файла с глупым названием в чатике. Узнав её IP, коварный Столик начал наблюдать за работавшим в это время редактором, вместо того чтобы работать самому.

Удалить программы полностью удалось только после чистки реестра. Не повторяйте это в домашних условиях.

Тонкая и липкая защита. Как пытаются огородиться от вуайеристов

К сожалению, если вы активно пользуетесь интернетом, то стопроцентно защитить себя от подглядываний через вебку и удалённого доступа к данным сегодня попросту невозможно. Это не значит, что у вас на компьютере прямо сейчас установлена вредоносная программа, но чем больше вы качаете непонятных приложений из разных сомнительных источников (или переходите по ссылкам в письмах от незнакомцев), тем больше вероятность, что вы наткнётесь на один из таких троянов.

Одним из самых логичных методов защиты от взлома камеры кажется её полное отключение — это можно сделать через диспетчер устройств Windows. Камера будет находиться в разделе «Устройства обработки изображений». Двойной клик на камере, раздел «Драйвер», кнопка «Отключить». Включить назад можно так же.

Но даже если камера отключена, некоторые трояны могут попытаться включить её обратно, поэтому тем, кто переживает из-за возможных шпионов, стоит проверять компьютер банальной утилитой Program Manager — она показывает, какие процессы запущены в данный момент, и это позволит заметить, используется ли кем-то видеокамера. Про антивирусы даже писать не стоит.

Именно из-за невозможности добиться стопроцентной безопасности среди многих пользователей ПК распространена традиция заклеивать веб-камеры — как ни странно, на сегодняшний момент это самый действенный способ борьбы с подглядываниями. О пользе заклеивания видеокамер высказывались основатель Facebook Марк Цукерберг и бывший директор ФБР Джеймс Коми, а по данным производителей антивирусов ESET, видеокамеры заклеивают около 17 % пользователей ПК.

Использование изоленты как средства защиты от вуайеристов в последние годы вышло на новый уровень: энтузиасты заменяют её специальными устройствами-шторками для камер, а некоторые производители ноутбуков добавляют заслонки для камер ещё на стадии их производства. Однако даже в этом случае взломщики могут следить за жертвами — если не подглядывая, то хотя бы подслушивая с помощью встроенного микрофона. Так что заклеивая камеру, подумайте и об этом.

На самом деле незаклеенная видеокамера тоже имеет свои плюсы: она может помочь потенциальной жертве обнаружить взлом, так как индикатор её работы на корпусе ноутбука обозначит, что к компьютеру подключился посторонний. В этом случае единственно верное решение — выключить интернет сразу же, как только вы увидели хотя бы на секунду мелькнувший по неизвестной причине огонёк видеокамеры: это почти никогда не происходит случайно.

Настройка Dark Comet: подготавливаем модуль сервера

Проходим по пути:

DarkComet-RATServer moduleFull editor (expert)

По нажатии мы попадаем в окно настройки модуля, который будет функционировать на стороне жертвы. Третий (условно) квадрант окна программы содержит настройки, которые администратор должен изменить поэтапно. Итак:

  • Main Settings – Основные настройки
  • Network Settings – Сетевые настройки
  • Module Startup – Запуск модуля
  • Install Message – Сообщение после успешной установки
  • Module Shield – Защита модуля
  • Keylogger – Перехватчик клавиатуры
  • Hosts File – файл конфигурации hosts
  • Add plugins – Добавить плагины
  • File Binder – файл-папка ( к нему троян можно приклеить)
  • Choose Icon – Выбрать ярлык
  • Stub Finalization – Завершение

Main Settings

В этом окне нам необходимо установить пароль для шифрования трафика. Однако тот же пароль нужно продублировать в настройках со стороны хакера (иначе ни одного клиента он не увидит). Сгенерируем ID сервера, изменим название профиля, мьютекс процесса. Нижняя часть окна Active FWB содержит три пункта обхода фаервола (однако программа сама предупреждает, что настройку лучше не активировать, если вы собираетесь шифровать клиента, использовать его в песочнице и если компьютер, на котором клиент будет работать, не будет защищён фаерволом). Окно Main Settings настраивается в интересах администратора, остальные касаются компьютера жертвы.

Network Settings

В нём выбираем IP адрес, на который будет приходить информация, и номер порта. Кнопкой ADD можно добавить несколько IP адресов – чертовски полезная настройка, но не стоит ей пренебрегать: исходящий трафик на кучу адресов – заметная операция даже для жертвы-дилетанта. Но при опробывании программы – неоценимая настройка. К ней мы вернёмся уже на конкретных примерах.

Что касается номера порта. Тот, что умолчанию, сразу отметаем и выберем в диапазоне до 1000. Этот порт должен быть открыт для приёма прежде всего на вашем компьютере, так что нам нужно, в том числе, пробросить установленный порт.

Как работает Dark Comet. Что может хакер?

Всё, что угодно. Вот как начинаются неприятности на стороне жертвы:

видя такое, насторожится любой пользователь – это атака в лоб

Теперь напишем ему:

Смотрим в виртуалке. Есть контакт:

В клиенте в той же Client Settings есть и такая вкладочка:

Но это шутки. Настройки же от System Functions и ниже позволяют разобрать систему жертвы по полочкам, заставив выдать все секреты компьютера. Потренируйтесь, описание функций клиента трояна есть в статьях по ссылкам в начале статьи. В заключительной статье блога Компьютер76 мы разберём, как видит троян сама Windows, что конкретно, и как работает Dark Comet на уровне кода и реестра системы. И как, наконец, от его избавиться.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector