Как поймать хакера

… Звонок вечером «Товарисча такого то приняли в браслеты, сейчас в СИЗО», ночью не спишь судорожно вспоминаешь что было общего как могут зацепить и тебя, утром звонок на телефон:

— Алло?

— …

а в ответ тишина и положили трубку, через минуты три скрип тормозов, выглядиваю УАЗик с мигалками под окном, кроссовки, куртка, ноут в сумку, прыжок с окна на клумбы, и когда уже убегал, вспомнил, что в постели спит моя девушка, думаю ее то не за что и дальше бегом. Куда бежать, как жить дальше? не ясно…

https://habrahabr.ru/post/86282

Ноутбук, судя по всему, по приоритетам оказался куда выше, чем судьба подруги. Что, конечно, показательно. Тема сегодняшнего выпуска: можно ли поймать хакера.

Как ни странно, ответ – да. Несмотря на обилие специализированных ресурсов, подробно рассказывающих о том, как сохранить анонимность, множество злоумышленников (от хулиганов до вымогателей) работает непосредственно со своего компьютера.

В конце апреля на одном из популярных интернет-сообществ появился анонс необычных трансляций – неизвестный подключается к компьютерам ничего не подозревающих людей, следит за ними с помощью их же веб-камер и, в конце концов, захватывает управление. Хакер комментирует происходящее, раскрывает данные почтовых аккаунтов, адреса страниц в соцсетях и логин от аккаунта в Skype. Вслед за этим зрители, а это порядка 500–1000 человек, устраивают настоящую травлю жертвы: заваливают человека звонками, пишут в личные сообщения и на стене персональной страницы «ВКонтакте».

Кроме того, если у человека установлен кошелек Web-money или игровая программа Steam – хакер удаляет купленные игры, а также дает своим зрителям возможность распотрошить их: они переводят средства, забирают серийные ключи, игровые деньги или одежду. Злоумышленник нередко включает непристойные ролики на экранах своих жертв и включает громкую музыку, если у него есть такая возможность. В среднем атака на пользователя длится от 5 до 10 минут, потом либо жертва отключается, либо аудитория теряет интерес, и хакер ищет другой зараженный компьютер.

https://www.m24.ru/articles/internet/10052016/104493?utm_source=CopyBuf

Если вас настойчиво «достают», то почему бы нам не взять в руки шашку?

С чего начать? Вариантов много, как и утилит для анализа ситуации. Для примера посмотрим на список подключений с нашего компьютера.

Откроем командную строку ( Пуск -> Выполнить -> cmd ) и наберем команду netstat -aon.

Для удаленного подключения к компьютерам жертв стример использует программу подключения LuminosityLink, его жертвы не получают уведомления о том, что к ним кто-то пытается подсоединиться – все происходит совершенно незаметно. При этом у большинства людей, подвергшихся атаке, установлена утилита для скачивания torrent-файлов MediaGet.

https://www.m24.ru/articles/internet/10052016/104493?utm_source=CopyBuf

Команда netstat «вывалит» довольно много информации, но нас интересуют подключения со статусами ESTABLISHED и LISTENING. Статус ESTABLISHED говорит о наличии соединения, а LISTENING означает, что некая программа (возможно, троянец) прослушивает порт, ожидая соединения.

При установленном соединении в столбце «Внешний адрес» вы увидите IP-адрес подключенного компьютера.

Внимание! Мы предполагаем, что вы знаете адреса своего компьютера и компьютеров локальной сети и отличите их от адресов внешних, вам неизвестных. На самом деле вредоносная программа может работать и с соседнего компьютера, но для простоты мы этот случай не рассматриваем.

И вот мы видим в столбце «Внешний адрес» волшебные цифры 185.79.119.139:5222. «Ага!» – сказали суровые сибирские мужики.

В Интернете существует множество специальных инструментов, позволяющих без особого труда определить сети, подконтрольные интересующим нас компаниям, и при этом никак не засветиться перед ними. Для пассивной разведки в рамках сбора статистики по сетевым периметрам финансовых организаций мы использовали:

1. Поисковые системы (Google, Yandex, Shodan).
2. Отраслевые сайты для финансового сектора — banki.ru, rbc.ru.
3. Whois-сервисы 2ip.ru; nic.ru.
4. Поисковые системы по базам данных интернет-регистраторов — Hurricane Electric BGP Toolkit, RIPE.
5. Сервисы визуализации данных по доменному имени сайта — Robtex.
6. Сервис для анализа доменных зон dnsdumpster, который содержит исторические данные по доменным зонам (изменения IP), чем сильно помогает собирать данные. Похожих сервисов много, один из самых известных аналогов — domaintools.com.

https://habrahabr.ru/company/pt/blog/335826/

Воспользуемся https://2ip.ru/whois. До двоеточия у нас сам адрес, а после – порт, по которому осуществляется соединение. Вводим адрес:

И не скрываются! Теперь «пробьем» информацию по www.shodan.io:

А что у нас использует порт 5222? Воспользуемся поисковиком:

Виновник соединения установлен – это работающий на компьютере мессенджер. Но ведь все могло быть и не так.

Возможно, в случае анализа атаки вы получите информацию, что данный сетевой адрес принадлежит к диапазону адресов какого-то провайдера. И это уже будет успех – вы можете сообщить этому провайдеру об атаках с его адресов.

Каждая сетевая карта имеет уникальный код – MAC адрес. Провайдеры некоторое время хранят информацию о соответствии IP-MAC в определенное время. Если вам известен IP, известно время и есть доступ к БД провайдера, вы можете узнать MAC. Потом, когда компьютер будет в сети, можно проследить местонахождение компьютера.

https://otvet.mail.ru/question/62949184

А вот если вам удалось найти IP, принадлежащий конкретному человеку, то это повод обратиться в полицию. Вполне возможно, что его компьютер тоже взломан и используется хакером в качестве промежуточного звена.

Естественно, вычислить злоумышленника, атакующего с чужого компьютера, для обычного пользователя нереально (ведь для этого как минимум придется проникать на этот самый ПК – а это уже статья). Но то, чего не может простой пользователь, доступно полиции, которая имеет право запрашивать соответствующие данные.

Сотрудниками управления по расследованию преступлений против информационной безопасности и интеллектуальной собственности Следственного комитета получены официальные сведения о том, что гражданин Беларуси является одним из участников международного форума киберпреступников и продает вредоносное программное обеспечение. Данный гражданин являлся также администратором форумов, на которых обсуждались вопросы совершения противоправных действий в сфере высоких технологий.

В ходе совместных мероприятий удалось идентифицировать личность данного мужчины. Им оказался житель Гомельской области 1983 года рождения. После этого сотрудники ФБР США осуществили закупку у белоруса вредоносного программного обеспечения. Исходный код данной программы был проверен специалистами в области информационной безопасности, которые дали заключение о его вредоносности.

Началом операции послужило задержание вышеуказанного лица на территории Гомельской области. В ходе осмотра компьютерной техники следователями и сотрудниками Управления «К» Министерства внутренних дел получены прямые доказательства совершения задержанным преступлений и его принадлежности к международной киберпреступной группировке.

http://sk.gov.by/ru/news-ru/view/sledstvennym-komitetom-sovmestno-s-fbr-zaderzhan-uchastnik-mezhdunarodnoj-kiberprestupnoj-gruppirovki-5559/

Поздравляем белорусских коллег!