«Антивирусная правДА!»

За решеткой

Как поймать хакера

Прочитали: 5290 Комментариев: 88 Рейтинг: 96

… Звонок вечером «Товарисча такого то приняли в браслеты, сейчас в СИЗО», ночью не спишь судорожно вспоминаешь что было общего как могут зацепить и тебя, утром звонок на телефон:

— Алло?

— …

а в ответ тишина и положили трубку, через минуты три скрип тормозов, выглядиваю УАЗик с мигалками под окном, кроссовки, куртка, ноут в сумку, прыжок с окна на клумбы, и когда уже убегал, вспомнил, что в постели спит моя девушка, думаю ее то не за что и дальше бегом. Куда бежать, как жить дальше? не ясно…

https://habrahabr.ru/post/86282

Ноутбук, судя по всему, по приоритетам оказался куда выше, чем судьба подруги. Что, конечно, показательно. Тема сегодняшнего выпуска: можно ли поймать хакера.

Как ни странно, ответ – да. Несмотря на обилие специализированных ресурсов, подробно рассказывающих о том, как сохранить анонимность, множество злоумышленников (от хулиганов до вымогателей) работает непосредственно со своего компьютера.

В конце апреля на одном из популярных интернет-сообществ появился анонс необычных трансляций – неизвестный подключается к компьютерам ничего не подозревающих людей, следит за ними с помощью их же веб-камер и, в конце концов, захватывает управление. Хакер комментирует происходящее, раскрывает данные почтовых аккаунтов, адреса страниц в соцсетях и логин от аккаунта в Skype. Вслед за этим зрители, а это порядка 500–1000 человек, устраивают настоящую травлю жертвы: заваливают человека звонками, пишут в личные сообщения и на стене персональной страницы «ВКонтакте».

Кроме того, если у человека установлен кошелек Web-money или игровая программа Steam – хакер удаляет купленные игры, а также дает своим зрителям возможность распотрошить их: они переводят средства, забирают серийные ключи, игровые деньги или одежду. Злоумышленник нередко включает непристойные ролики на экранах своих жертв и включает громкую музыку, если у него есть такая возможность. В среднем атака на пользователя длится от 5 до 10 минут, потом либо жертва отключается, либо аудитория теряет интерес, и хакер ищет другой зараженный компьютер.

https://www.m24.ru/articles/internet/10052016/104493?utm_source=CopyBuf

Если вас настойчиво «достают», то почему бы нам не взять в руки шашку?

С чего начать? Вариантов много, как и утилит для анализа ситуации. Для примера посмотрим на список подключений с нашего компьютера.

Откроем командную строку ( Пуск -> Выполнить -> cmd ) и наберем команду netstat -aon.

Для удаленного подключения к компьютерам жертв стример использует программу подключения LuminosityLink, его жертвы не получают уведомления о том, что к ним кто-то пытается подсоединиться – все происходит совершенно незаметно. При этом у большинства людей, подвергшихся атаке, установлена утилита для скачивания torrent-файлов MediaGet.

https://www.m24.ru/articles/internet/10052016/104493?utm_source=CopyBuf

Команда netstat «вывалит» довольно много информации, но нас интересуют подключения со статусами ESTABLISHED и LISTENING. Статус ESTABLISHED говорит о наличии соединения, а LISTENING означает, что некая программа (возможно, троянец) прослушивает порт, ожидая соединения.

При установленном соединении в столбце «Внешний адрес» вы увидите IP-адрес подключенного компьютера.

Внимание! Мы предполагаем, что вы знаете адреса своего компьютера и компьютеров локальной сети и отличите их от адресов внешних, вам неизвестных. На самом деле вредоносная программа может работать и с соседнего компьютера, но для простоты мы этот случай не рассматриваем.

И вот мы видим в столбце «Внешний адрес» волшебные цифры 185.79.119.139:5222. «Ага!» – сказали суровые сибирские мужики.

В Интернете существует множество специальных инструментов, позволяющих без особого труда определить сети, подконтрольные интересующим нас компаниям, и при этом никак не засветиться перед ними. Для пассивной разведки в рамках сбора статистики по сетевым периметрам финансовых организаций мы использовали:

Поисковые системы (Google, Yandex, Shodan).
Отраслевые сайты для финансового сектора — banki.ru, rbc.ru.
Whois-сервисы 2ip.ru; nic.ru.
Поисковые системы по базам данных интернет-регистраторов — Hurricane Electric BGP Toolkit, RIPE.
Сервисы визуализации данных по доменному имени сайта — Robtex.
Сервис для анализа доменных зон dnsdumpster, который содержит исторические данные по доменным зонам (изменения IP), чем сильно помогает собирать данные. Похожих сервисов много, один из самых известных аналогов — domaintools.com.

https://habrahabr.ru/company/pt/blog/335826/

Воспользуемся https://2ip.ru/whois. До двоеточия у нас сам адрес, а после – порт, по которому осуществляется соединение. Вводим адрес:

И не скрываются! Теперь «пробьем» информацию по www.shodan.io:

А что у нас использует порт 5222? Воспользуемся поисковиком:

Стандартными портами для подключения Jabber-клиента к серверу являются 5222 и 5223. Порт 5222 применяется для шифрованного соединения с использованием TLS, а также незащищенного соединения, а 5223 — для шифрования с помощью SSL.

Виновник соединения установлен – это работающий на компьютере мессенджер. Но ведь все могло быть и не так.

Возможно, в случае анализа атаки вы получите информацию, что данный сетевой адрес принадлежит к диапазону адресов какого-то провайдера. И это уже будет успех – вы можете сообщить этому провайдеру об атаках с его адресов.

Каждая сетевая карта имеет уникальный код – MAC адрес. Провайдеры некоторое время хранят информацию о соответствии IP-MAC в определенное время. Если вам известен IP, известно время и есть доступ к БД провайдера, вы можете узнать MAC. Потом, когда компьютер будет в сети, можно проследить местонахождение компьютера.

https://otvet.mail.ru/question/62949184

А вот если вам удалось найти IP, принадлежащий конкретному человеку, то это повод обратиться в полицию. Вполне возможно, что его компьютер тоже взломан и используется хакером в качестве промежуточного звена.

Естественно, вычислить злоумышленника, атакующего с чужого компьютера, для обычного пользователя нереально (ведь для этого как минимум придется проникать на этот самый ПК – а это уже статья). Но то, чего не может простой пользователь, доступно полиции, которая имеет право запрашивать соответствующие данные.

Сотрудниками управления по расследованию преступлений против информационной безопасности и интеллектуальной собственности Следственного комитета получены официальные сведения о том, что гражданин Беларуси является одним из участников международного форума киберпреступников и продает вредоносное программное обеспечение. Данный гражданин являлся также администратором форумов, на которых обсуждались вопросы совершения противоправных действий в сфере высоких технологий.

В ходе совместных мероприятий удалось идентифицировать личность данного мужчины. Им оказался житель Гомельской области 1983 года рождения. После этого сотрудники ФБР США осуществили закупку у белоруса вредоносного программного обеспечения. Исходный код данной программы был проверен специалистами в области информационной безопасности, которые дали заключение о его вредоносности.

Началом операции послужило задержание вышеуказанного лица на территории Гомельской области. В ходе осмотра компьютерной техники следователями и сотрудниками Управления «К» Министерства внутренних дел получены прямые доказательства совершения задержанным преступлений и его принадлежности к международной киберпреступной группировке.

http://sk.gov.by/ru/news-ru/view/sledstvennym-komitetom-sovmestno-s-fbr-zaderzhan-uchastnik-mezhdunarodnoj-kiberprestupnoj-gruppirovki-5559/

Поздравляем белорусских коллег!

#хакер #ответственность #отслеживание_местоположения #криминал #киберпреступление

Dr.Web рекомендует

Просьба не забывать о том, что правила охоты строго ограничены Уголовным и Административным кодексами.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

1milS
14:40:03 2018-12-08

Пользуюсь часто утилитами Dr.Web, проблем не было. Спасибо за рекомендацию. Отлично, возьмем на вооружение.

Денисенко Павел Андреевич
23:20:28 2018-08-04

Любого хакера, рано или поздно найдут и арестуют.

Влад58028
10:51:37 2018-06-19

Бдительность нужна везде и во всём.

Неуёмный Обыватель Собкор
04:07:05 2018-06-14

Поймать-то можно. Вопрос только в том, ловят ли.

1milS
16:18:18 2018-04-29

Полезная информация. Спасибо.Буду знать.Защита нужна не только рядовым пользователям.

vasvet
23:21:06 2018-04-02

Вот это статья! В библиотеку и распечатаю, вот давно хотел узнать, как узнать:)

colombo
11:48:27 2018-02-04

Похоже эти соеденения тормозят мой слабенький еомпьютер. Как разорвать и запретить эти соединения?

vinnetou
16:11:29 2018-02-03

Статья для общего развития(для обычного пользователя).

Black Angel
20:06:39 2018-02-02

Было бы желание, а поймать можно.

Вячeслaв Сотрудник Dr.Web Собкор
17:39:24 2018-02-02

@war124, что-то я вечером не соображу о какой базе речь

Вячeслaв Сотрудник Dr.Web Собкор
17:31:32 2018-02-02

@war124, естественно. Описанные методу не преведут к успеху если против вас опытный хакер. Но если с вами балуются по сети, то попробовать можно.
В так конечно - статья на общее понимание

Вячeслaв Сотрудник Dr.Web Собкор
17:26:34 2018-02-02

@tigra, да в общем-то выпуск общеобразовательный, совершенно на начинающих расчитанный. Общие понятия поиска в сети

Татьяна
17:21:28 2018-02-02

@eaglebuk, спасибо, получилось.

Biggurza Собкор
15:13:31 2018-02-02

@Alexander,
Спасибо! Очень ёмко и понятно. Если такая модель в теории дает глубокое понимание того или иного процесса, то, я думаю и на практике это даст определенный результат.
Еще раз, спасибо!
С Вашего позволения возьму и себе на вооружение.

Morpheus Собкор
04:56:35 2018-02-02

Что-то я вчера пропустил статейку :). Интересная получилась.

stavkafon
23:43:04 2018-02-01

Для меня все это сложно.История интересна!

Lia00 Собкор
23:33:34 2018-02-01

Ничего в рекомендациях о том, что Dr.Web защищает от этого, нет. Значит так и полагать, что любой комп не под защитой? О_о

GREII Собкор
23:09:03 2018-02-01

оказывается все просто - скоро всех переловят... и заживем... тоды и антивирусная защита будет спать 25 часов в сутки только ведь тот самый IP может и вашим оказаться.... спасибо интересно и за защиту тоже...

vla_va
22:25:24 2018-02-01

Упорство и труд все помогут найти

В...а
22:08:56 2018-02-01

Знания эти сейчас получат и злоумышленники

Ruslan
21:59:50 2018-02-01

Будьте осторожны и пользуйтесь Dr.Web - и надежная защита обеспечена. Спасибо за выпуск!

ek
21:52:58 2018-02-01

Прямо алгоритм! Докторы Ватсоны наготове...

Геральт Собкор
21:52:06 2018-02-01

Соблюдайте правила интернет-гигиены и никого не придётся ловить!

razgen Собкор
21:29:41 2018-02-01

@war124, спасибо за ссылочку. Автор указанной статьи утверждает: "...что любой сайт, включающий в себя сторонний код, уязвим. Причём, его уязвимости практически нереально обнаружить..." Что очень и очень тревожно. Немного успокаивает что в этой статье автор даёт ссылку на следующую свою статью:
"Рассказ о том, как не дать мне украсть номера кредиток и пароли у посетителей ваших сайтов."
Но здесь надо проводить большую, очень кропотливую работу и при этом обладать специфическими знаниями в этой области.

НинаК
21:20:51 2018-02-01

Поделом злодеям! Найдутся все!

orw_mikle
21:17:33 2018-02-01

Спасибо за познавательный выпуск. Я сразу попробовал советы в действии. Оказалось Статус ESTABLISHED имеют куча программ. Хорошо что нет ни одного LISTENING.

razgen Собкор
20:51:58 2018-02-01

@Biggurza, "...И, уж простите мне мою слабость, позволю себе, как всегда, немного философии…"

Такую "слабость" с вашей стороны, можно только приветствовать. Я думаю со мной согласятся многие, что широкие развёрнутые комментарии-размышления читать намного интереснее, чем повторяющиеся сообщения из одной строки. Да и правила комментирования «Доктор Веб» призывают чтобы комментарии были "развернутыми и содержательными".

kva-kva
20:43:36 2018-02-01

Действительно можно поймать хакера

Littlefish Собкор
20:34:06 2018-02-01

@Biggurza, с интересом читаю Ваши комментарии. Есть над чем поразмыслить. Спасибо.

razgen Собкор
20:33:56 2018-02-01

Сохранил этот выпуск в библиотеку. Хочется ещё раз сказать спасибо за этот сервис. С его созданием сразу же отказался от использования сервиса избранное. По моему мнению сервис библиотека более удобен, информативнее, современнее так бы я сказал, а избранное как бы устаревший по сравнению с ним.

Zserg
20:27:06 2018-02-01

Лови, да не попадайся. Но полиция разберётся...

Littlefish Собкор
20:20:48 2018-02-01

@Татьяна, "У меня при запуске команды "netstat -aon" появляется окно, пробегают строки, и окно сразу закрывается. Посмотреть адреса не получается".
По идее так быть не должно, но всё же есть варианты как посмотреть адреса. Можно попытаться сделать снимок экрана или записать видео изображения на экране.

war124
20:12:13 2018-02-01

ну вот вам пример внедрения кода в разработке сайтов,затронуты будут миллионы пользователей,поймать такого знатока сможет только спецслужба
https://habrahabr.ru/company/ruvds/blog/346442/

Сергей
20:11:41 2018-02-01

Ну да, довольно познавательная статья.

Galina X
20:08:36 2018-02-01

История интересная.Для меня все это сложно.

Littlefish Собкор
20:04:18 2018-02-01

А чтобы быстрее находить в перечне новые подозрительные IP не лишним будет иметь списки прошлых и текущих IP адресов.

tigra Собкор
19:48:01 2018-02-01

@SGES, Вот тут Вы не в глаз, а бровь!!!

tigra Собкор
19:46:16 2018-02-01

Выпуск расчитан на "ООО" или госпредприятия? не очень (не совсем) понятно

razgen Собкор
19:37:59 2018-02-01

Очень захватывающий выпуск. Интересно и полезно заглянуть вовнутрь "кухни" сетевого мира. Прочитал с большим удовольствием.

war124
19:25:53 2018-02-01

не в обиду автору,но подобными методами можно поймать разве что начинающего сетевого хулигана.Например,узнали вы айпи,большинство из айпи адресов динамические,то есть изменяющиеся.Конечно можно узнать подсеть и провайдера и слить эту инфу полиции,но скорее всего те будут заниматься дальнейшим расследованием только при наличии крупного ущерба.Поэтому почаще обновляйте винду и маршрутизаторы,используйте крепкие пароли,антивирусные проверки,тогда хотя бы убережетесь от вирусной атаки.От прямого взлома уберечься обычному юзеру почти нереально,захотят взломают.
Автору если возможно опишите способы защиты базы SAM битлокером или веракриптом например

Littlefish Собкор
18:54:38 2018-02-01

Спасибо за подробное объяснение. Выпуск однозначно в избранное.

Damir Собкор
18:49:51 2018-02-01

Спасибо за интересный детективный рассказ.

Шалтай Александр Болтай Собкор
18:30:41 2018-02-01

Мало поймать себя на мысли. Нужно еще выяснить, чья она.

mk.insta
18:14:11 2018-02-01

Прекрасная статья - поучительная!

Alexander Собкор
18:11:57 2018-02-01

@Biggurza (15:49:21 2018-02-01), схему "лебедь-рак-щука" я тоже иногда использую как образную аналогию, помогающую понять суть новой информации. Многие аналогии, как сравнение известного с новым, "грешат" тем, что их можно использовать в диаметрально противоположных смыслах. Например. В известной басне Крылова "Лебедь, щука и рак", - делается вывод: "Когда в товарищах согласья нет, на лад их дело не пойдет". Он не ставится под сомнение. Но можно попробовать взглянуть на ситуацию с другой стороны.

Предположим и представим такую аналогию. На нашей планете утвердились три основные стихии, - Земля, Вода и Воздух. Нельзя позволить одной из стихий стать преобладающей. Для сохранения биологической жизни необходимо обеспечить баланс. Каждая Стихия имеет внутреннюю установку, - двигать эволюцию, захватывать "жизненное" пространство под себя. Они мотивированы и стимулированы. И каждая старается изо всех сил. Их усилия, именно всех трех одновременно, уравновешены их индивидуальными и эгоистичными устремлениями. И тем самым обеспечивается выполнение Главной задачи - сохранение нашей удивительной планеты, колыбели всего живого. Таким образом, - "воз и ныне там". И с такой точки зрения - это хорошо.

Также "образно" можно взглянуть на тему сегодняшнего выпуска "Как поймать хакера". Три силы: добросовестная программа; хакер, ее ломающий; Dr.Web, защищающий одну от другого. Да, к хакерам "почтенья нету", но именно они "помогают" увидеть и устранить слабые звенья добросовестной программы, сделать ее более устойчивой и безопасной, в том числе, и от хакеров. А третья сила - Dr.Web - не позволяет хакерам навредить человеку пока "добросовестная" программа, не желая признавать обнаруженную уязвимость, закроет-таки брешь, найденную хакером.

Конечно, всякие сравнения, аналогии и ассоциации "хромают", они не идентичны оригиналу. Но этого от них и не требуется. "Костыль" помогает подняться, но он же мешает потом движению, - и его отбрасывают до следующего спотыкания.

Toma
17:54:23 2018-02-01

Из выпуска следует, что хакеров ловить не так уж и сложно (правоохранительным органам). Почему же так мало ловят?

La folle
16:52:07 2018-02-01

Очень интересная статья, большое спасибо!

GREEN Собкор
16:42:59 2018-02-01

Достаточно редкий и насыщенный выпуск. Прочитал с БОЛЬШИМ интересом :)

Andromeda
16:41:10 2018-02-01

Увлекательный получился выпуск. Занесу в библиотеку. Может, пригодиться.

Tav01rus
16:11:27 2018-02-01

Очень хорошая статья и много полезных ссылок.

Комментарии к другим выпускам | Мои комментарии

Вы используете устаревший браузер!

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Как поймать хакера

Dr.Web рекомендует

Нам важно ваше мнение

Комментарии пользователей