Один из пользователей форума дал интервью для osint10x.com, сделал перевод самого интервью и всех заметок из него
Ссылка на оригинал:
Недавно у нас появилась возможность провести чат-интервью с киберпреступником, выступающим под псевдонимом «pryx», который действует на известном даркнет-форуме XSS. Pryx является брокером первоначального доступа (IAB), разработчиком вредоносного ПО, а также одним из администраторов группировки Hellcat.
Кроме того, мы недавно брали интервью у ещё двух участников: «Sukob», который в некоторой степени связан с группировкой Hellcat, и «Miyako», одного из администраторов Hellcat.
X Account of Pryx
Pryx, ранее выступавший под псевдонимами «holypryx» и «sp1d3r», делится своим видением мотивов, стратегий и инструментов, используемых в кибероперациях. В ходе обсуждения речь заходит об инновационных методиках, включая «серверные» стилеры, системы командования и управления (C2), работающие через Tor, а также об эксплуатации недавно выявленных уязвимостей (CVE).
Вопрос: Добро пожаловать на интервью Osint10x, Pryx! Так как это наш первый разговор, не могли бы вы рассказать о себе и своей деятельности?
Ответ (Pryx): Привет, спасибо, что пригласили. Я — Pryx, в X известен как @holypryx. Мне сейчас 17 лет. Я попал в мир киберпреступности, когда мне было 12 или 13. Тогда я в основном занимался троллингом и забавными штуками. Теперь же меня интересует разработка вредоносного ПО и получение первоначального доступа. Я планирую продолжать совершенствовать свои навыки и не собираюсь останавливаться.
Вопрос: Какими псевдонимами вы пользовались в прошлом? С какими группами вы уже сотрудничали?
Ответ (Pryx): Из того, что я могу рассказать: ранее я использовал псевдонимы «holypryx» и «sp1d3r». Других конкретных псевдонимов, о которых стоит упоминать, нет — я меняю их, когда становится «жарко».
Я никогда не работал ни с какой группой, кроме Hellcat, после того как создал псевдоним «pryx».
Вопрос: Как проходит ваш обычный день вдали от клавиатуры? Занимаетесь бегом, серфингом, йогой или постоянно пребываете в «Сумеречной зоне»(?)?
Ответ (Pryx): У меня обычная жизнь, как у всех. Хожу в школу, встречаюсь с друзьями, много путешествую. Конечно, никто из моих реальных знакомых не знает, чем я занимаюсь. Это немного грустно, но так и должно быть.
Вопрос: Каковы ваши отношения с группой Hellcat и в чём заключается ваш вклад?
Ответ (Pryx): Hellcat изначально возникла как шутка. Мой друг Grep как-то прокомментировал в «шутбоксе» (shoutbox) на BreachForums во время разговора об ICA.gov и сказал: «ICA — прикольное название для группы». Я отправил ему личное сообщение, что идея, в общем-то, неплохая. Мы продумали всё и объявили об этом на breachforums[.] Позже мы узнали, что ICA ассоциируется с иранской группировкой ISIS, поэтому сменили название на «Hellcat» — его предложил один из участников по имени Rey.
Можно сказать, я один из основателей или своего рода лидер.
Вопрос: Вижу, вы несколько раз упоминали «server-side stealer». Почему вы считаете его инновационным по сравнению с обычными стилерами?
Ответ (Pryx): Server-side stealer — это совершенно иной подход по сравнению с тем, как работают обычные стилеры. В большинстве случаев стилеры выполняют все операции на устройстве жертвы: они «вытягивают» пароли, куки и всё, что им нужно, а затем отправляют данные обратно злоумышленнику по запросам POST. Проблема в том, что это оставляет большой след. EDR и фаерволы могут это замечать, потому что генерируется постоянный исходящий трафик.
Серверный стилер (server-side stealer) меняет правила игры. Вместо того чтобы сразу получать и отправлять данные, вредоносный софт разворачивает на устройстве жертвы Tor-онлайн-сервис и сообщает нам адрес onion. И всё — никакой массивной локальной эксфильтрации, просто список директорий. После этого на нашей стороне мы запускаем скрипты, чтобы «соскабливать» все нужные данные по GET-запросам. Это тише, «чище» и умнее.
По сути, вредонос не запускает полноценный стилер на стороне жертвы. Он лишь настраивает onion-сервис и передаёт нам имя пользователя и onion-адрес в формате JSON-запроса. На стороне жертвы не происходит прямого «воровства», поэтому обнаружить такую активность сложнее. Всю реальную работу контролируем мы. Как только у нас есть onion-адрес, основные действия выполняются уже на нашем сервере.
К тому же сам Tor обеспечивает анонимность: onion-сервис не даёт отследить нас, а устройство жертвы просто «хостит» файлы, даже не подозревая об этом.
Вопрос: Каковы преимущества использования «Silent Tor Server» для командования и управления (C2) в составе вредоносного ПО?
Ответ (Pryx): Это отличный способ сохранить незаметность C2-инфраструктуры, потому что не создаётся прямых исходящих соединений, которые могли бы зафиксировать EDR или фаерволы. Использование Tor означает, что IP-адреса и атакующего, и жертвы остаются скрытыми, и отследить их крайне сложно. При этом само вредоносное ПО почти ничего не делает — просто публикует список директорий, то есть его «след» минимален, а шансы на обнаружение ещё меньше. Вся основная работа — сбор и расшифровка данных — идёт у нас на сервере; при этом нам не нужно больше «трогать» само ПО. Всё просто, эффективно и безопасно.
Вопрос: Вы упоминали CVE (например, CVE-2024-34102) в своих рассуждениях. Какие факторы определяют, стоит ли масштабно эксплуатировать ту или иную уязвимость?
Ответ (Pryx): Решение о том, стоит ли эксплуатировать уязвимость в больших масштабах, сводится к двум ключевым факторам: влиянию и доступности. Уязвимость должна давать доступ к чему-то ценному — например, к привилегированным учетным данным, конфиденциальной информации или критически важным системам. Если «выигрыш» невелик, то игра не стоит свеч.
Помимо этого, PoC (Proof of Concept) должна быть доступна всем или хотя бы не слишком сложна в воспроизведении. Когда выходит новая CVE, публичные PoC-эксплойты обычно не публикуются сразу — либо ждут, пока компании закроют уязвимости патчами, либо вообще их не выкладывают. В таком случае я использую любую доступную открыту информацию, провожу реверс-инжиниринг и самостоятельно воспроизвожу рабочий PoC.
Когда PoC в итоге становится общедоступным, я не теряю времени даром: массово сканирую уязвимые хосты, закладываю там бэкдоры и блокирую доступ для других злоумышленников. Затем просматриваю скомпрометированные хосты, чтобы выяснить, не относятся ли они к крупным компаниям. Если нахожу такую — использую её как точку входа и сканирую сеть на предмет других уязвимых устройств, чтобы расширить вектор атаки.
Вопрос: Раз уж речь зашла о массовой эксплуатации уязвимостей, какие последние CVE вы эксплуатировали?
Ответ (Pryx): Последняя, к которой я приступал, — это CVE-2024-3400, уязвимость в GlobalProtect, позволяющая создавать произвольные файлы, что потенциально может привести к выполнению команд в операционной системе (OS command injection). «Из коробки» эта уязвимость не давала мне RCE (удалённое выполнение кода), поэтому пришлось подтянуть ещё одну уязвимость от знакомого (не буду разглашать детали) и скомбинировать их. Всё сработало отлично.
Если говорить честно, массовая эксплуатация — это не просто «запусти CVE и смотри, что будет». Иногда нужно комбинировать разные уязвимости, проявлять смекалку или знать правильных людей, чтобы заполнить пробелы.
Вопрос: Как, на ваш взгляд, правильно балансировать между ресурсозатратностью атак грубой силы (brute force) и необходимостью оставаться незамеченным?
Ответ (Pryx): Брутфорс может быть шумным, но, если честно, какая разница? Если атака проходит успешно и ты получаешь доступ, это главное. Первостепенна сама цель — «взломать» систему, а не изо всех сил стараться не привлечь внимание. Если брутфорс — единственная опция, то стоит просто действовать.
Вопрос: Что мотивирует вас участвовать в конкурсах вроде «КОНКУРС СТАТЕЙ»? Влияют ли подобные события на ваш подход к разработке и распространению инструментов?
Ответ (Pryx): Я участвую ради веселья и чтобы поделиться знаниями. Это второй раз, когда я принимаю участие в конкурсе на xss.pro, и пока меня не забанили (LockBit reference (шутка)), я буду продолжать.
Вопрос: Вы говорили о «tox protocol» в контексте коммуникаций внутри вредоносного ПО. Какие ещё новые технологии или методы вы рассматриваете для будущего использования?
Ответ (Pryx): Я постоянно ищу новые способы оставаться впереди. Помимо протокола Tox для коммуникаций в вредоносном ПО, я изучаю децентрализованные сети и блокчейн для настройки безопасных C2-серверов.
Вопрос: Какие наиболее распространённые уязвимости вы встречаете?
Ответ (Pryx): О, это IDOR (Insecure Direct Object References). Буквально 60% компаний, на которые я нацеливаюсь, уязвимы для такого рода проблем. Даже в случае с взломом саудовского правительства всё было упущено из-за неправильной настройки cookie и IDOR, что привело к утечке 40 ГБ данных граждан, а также личной переписки по email. Там были удостоверения личности, водительские права и даже рабочие резюме.
Вопрос: Какие геолокации и отрасли для вас представляют интерес, и почему? Есть ли какой-то более глубокий мотив или философия при выборе целей?
Ответ (Pryx): Меня больше всего интересуют США и Израиль. Данные из США очень ценятся на рынке, а Израиль я выбираю просто потому, что ненавижу евреев. Моё основное внимание сосредоточено на правительственном секторе.
Вопрос: Можете ли вы привести пример, когда какой-то ваш проект или тактика провалились? Какие уроки вы извлекли из этого?
Ответ (Pryx): Мы имели доступ по RDP к компании с доходом в 118 миллиардов долларов — это была China Life Insurance. Неделю находились в их системах, полностью подготовив шифровальщик и сервер для бэкенда, чтобы зашифровать более 5 ТБ данных. Но в момент, когда мы попытались войти в систему, чтобы запустить программу-вымогатель, доступ у нас отобрали. Худший тайминг на свете.
Урок в том, что нужно действовать быстро и всё тщательно подготавливать, прежде чем «ковыряться» с серверами жертвы. Не буду врать, мы до сих пор злимся из-за этого, и всему виной глупая лень.
Вопрос: Представьте, что вам нужно разработать вредонос, нацеленный на сеть с повышенной безопасностью в крупном предприятии. Какие комбинации техник (например, патчинг ETW, камуфляж в IAT) вы бы использовали и почему?
Ответ (Pryx): Если честно, я бы поручил это Sukob — он сейчас явно лучше меня в разработке вредоносных программ. Но если делать самому, я бы использовал смесь ETW-патчинга и IAT-хукинга. ETW-патчинг ломает телеметрию, на которую полагаются EDR-системы, так что они не могут ничего зафиксировать. IAT-хукинг даёт возможность перехватывать вызовы API, заставляя вредонос маскироваться под легитимные процессы. Добавьте сюда обфускацию и обход песочниц — и у вас получится то, что проскочит даже через «жёсткую» систему безопасности.
Вопрос: Во время операции по взлому вы обнаруживаете неожиданные аномалии, например, системы-ловушки (honeypot) или продвинутые инструменты мониторинга. Как вы адаптируете тактику, чтобы сохранить операционную безопасность?
Ответ (Pryx): Если я сталкиваюсь с чем-то вроде honeypot или сложными системами наблюдения, то сначала делаю шаг назад и внимательно анализирую окружение. Использую пассивную разведку, чтобы понять, что действительно важно, а что — простая «приманка». Если это honeypot, я немного «поиграю» с ним, чтобы потянуть время и отвлечь тех, кто за ним следит, пока буду искать новый способ проникновения. Если это инструменты мониторинга, ищу пути отключить или обойти их. Всегда надо подстраиваться под ситуацию, но не спешить — излишняя спешка ведёт к провалу.
Вопрос: Как вы подходите к выбору и взлому цели, начиная с выбора объекта и заканчивая непосредственным компрометированием сети? Можно ли дать общее описание?
Ответ (Pryx): Я обожаю спиар-фишинг (spear phishing). Основной метод — человеческая ошибка. Также я эксплуатирую устаревшие сервисы или уязвимости в бэкенде.
Сначала я выбираю цели по их ценности — обычно крупные компании или правительственные структуры, особенно в США. Провожу масштабную разведку: собираю OSINT-данные, ищу открытые сервисы, «пробиваю» сотрудников для фишинга. Когда найдётся точка входа — украденные учётные данные, RCE или уязвимость CVE — я начинаю действовать. Далее цель — повысить привилегии, закрепиться в системе и «прочувствовать» всю сеть. Итоговая задача — нанести максимально серьёзный урон: от утечки конфиденциальных данных до запуска программы-вымогателя. Каждый шаг продуман заранее: я не двигаюсь дальше, пока не убедюсь, что оно того стоит.
Вопрос: После того как вы получаете доступ, какие методы используете, чтобы закрепиться в системе?
Ответ (Pryx): Сразу после проникновения я создаю нового SSH-пользователя с правами root. Если они это заметят и удалят пользователя — не страшно, ведь я уже добавил свой публичный SSH-ключ на хост для прямого доступа. А если вдруг они полностью заблокируют SSH, у меня на всякий случай всегда есть кастомный бэкдор, который остаётся на машине как «запасной выход».
Вопрос: Расскажите о ваших TTP (тактиках, техниках и процедурах), которые вы применяли во время атак.
Ответ (Pryx): По данным отчёта одной OSINT-компании, изучавшей мои активности, они выделили следующие TTP. Честно говоря, меня удивила их точность:
Вопрос: Какими инструментами вы обычно пользуетесь?
Ответ (Pryx): BurpSuite, Netcat, Netscan. Больше сейчас и не припомню. Мне не нужен огромный набор инструментов — в большинстве случаев никаких специфических «экзотических» утилит не требуется. Если вдруг что-то понадобится, я или сам напишу скрипт, или воспользуюсь подходящим решением, лишь бы работало.
Вопрос: Когда у цели начинается процедура реагирования на инцидент, что вы делаете, чтобы избежать обнаружения или «выселения»?
Ответ (Pryx): Тут уже полагаешься на судьбу и надеешься, что не засветишься. Честно говоря, всё зависит от удачи. Больше ничего особо не сделать.
Обычно я просто пользуюсь Mullvad (и нет, меня не спонсируют). Шутки в сторону, у меня всегда есть множество фальшивых «личностей» и запасных планов. Если кто-то попытается меня отследить через OSINT, они в итоге выедут на какого-нибудь невиновного бедолагу.
Вопрос: Как вы поддерживаете собственную операционную безопасность (OPSec)?
Ответ (Pryx): Главное — не совершать человеческих ошибок. VPN — это лишь часть общей схемы. Я шифрую все свои диски и храню особо важные файлы на изолированных (air-gapped) системах. Для связи использую XMPP, Tox и Session, потому что они не «светят» метаданные и обеспечивают должный уровень шифрования. VPS-серверы тоже беру анонимно, оплачиваю криптой или чем-то ещё, что позволяет оставаться неотслеживаемым.
Вопрос: Вы уже некоторое время продаёте слитые базы данных. Рассматриваете это как долгосрочную деятельность или есть другие направления в сфере кибербезопасности, которые вас интересуют?
Ответ (Pryx): Сейчас меня интересует тема программ-вымогателей (ransomware) — отличное средство заработка. Продажа баз данных — это просто «ступенька». С помощью ransomware можно контролировать ситуацию, получать более крупные «куски» и, соответственно, большие деньги. Именно тут кроется реальная прибыль.
Вопрос: Какой совет вы бы дали компаниям, чтобы они лучше защищались от подобных атак?
Ответ (Pryx): Честно говоря, невозможно защититься от таких атак, если компания продолжает платить ленивым сотрудникам, которые ничего не делают. Многие фирмы любят тратить кучу денег на «самые крутые» решения в сфере информационной безопасности, но если у вас нет людей, которые реально готовы защищать вашу инфраструктуру, то всё это бессмысленно. Нельзя «залатать» дыру программой, когда ваши сотрудники не умеют отличить фишинг. Пока вы не исправите корень проблемы — свою команду, никакая защита сети или конечных точек не спасёт.
Вопрос: Каковы дальнейшие планы группировки Hellcat?
Ответ (Pryx): У нас простая стратегия: точечные удары и скорость. Без лишнего шума и показухи, бьём в слабые места, берём самое ценное и уходим, пока нас не засекли.
Мы не зацикливаемся на каком-то одном методе или инструменте. Гибкость — решающее преимущество. Будь то эксплуатация уязвимостей, фишинг или разработка собственных инструментов — мы всегда адаптируемся к цели и конкретной ситуации. Hellcat не сбавляет обороты. Мы смотрим, как улучшить рабочие процессы, тактику, подходы и так далее. Это не игра в «идеальность», а игра в «быть умнее и на шаг впереди». В конце концов, если кто-то забудет закрыть дверь — мы просто войдём. Всё очень просто.
Вопрос: Спасибо, что уделили нам время, Pryx! Есть ли что-то, о чём мы ещё не спросили, но вы хотели бы упомянуть?
Ответ (Pryx): Нет, думаю, я всё осветил. Спасибо, что пригласили.
Ссылка на оригинал:
Недавно у нас появилась возможность провести чат-интервью с киберпреступником, выступающим под псевдонимом «pryx», который действует на известном даркнет-форуме XSS. Pryx является брокером первоначального доступа (IAB), разработчиком вредоносного ПО, а также одним из администраторов группировки Hellcat.
Кроме того, мы недавно брали интервью у ещё двух участников: «Sukob», который в некоторой степени связан с группировкой Hellcat, и «Miyako», одного из администраторов Hellcat.
X Account of Pryx
Pryx, ранее выступавший под псевдонимами «holypryx» и «sp1d3r», делится своим видением мотивов, стратегий и инструментов, используемых в кибероперациях. В ходе обсуждения речь заходит об инновационных методиках, включая «серверные» стилеры, системы командования и управления (C2), работающие через Tor, а также об эксплуатации недавно выявленных уязвимостей (CVE).
Основные моменты
1. Мотивация и предыстория:- Вошёл в киберпреступную деятельность в возрасте 12–13 лет: изначально ради троллинга, но позже переключился на разработку вредоносного ПО и получение начального доступа.
- Продолжает совершенствовать навыки, планируя надолго связать свою карьеру с этой сферой.
- Server-Side Stealer: Размещает Tor-онлайн-сервисы на заражённых устройствах, чтобы свести к минимуму оставляемые следы. Данные «собираются» удалённо через GET-запросы, что помогает избежать обнаружения.
- Silent Tor Servers: Используются для скрытой инфраструктуры командования и управления (C2), позволяя обходить прямые исходящие соединения и тем самым ускользать от систем EDR/фаерволов.
- Основные мишени — США и Израиль, особенно правительственный сектор из-за высокой ценности данных.
- Для начального доступа предпочитает фишинг с точечной наводкой (spear phishing) и эксплуатацию уязвимостей (CVE), подчёркивая человеческую ошибку как ключевую слабость.
- Демонстрирует умение комбинировать уязвимости, в том числе CVE-2024-3400, для более результативной атаки.
- Применяет жёсткие меры безопасности, включая зашифрованные диски, изолированные (air-gapped) системы, анонимные VPS-серверы, а также зашифрованные мессенджеры (XMPP, Tox, Session).
- Рассматривает VPN как небольшую, но критически важную составляющую комплексной защиты.
- Использует фишинг, уязвимые и устаревшие сервисы, а также эксплуатацию недавно выявленных уязвимостей (CVE) для получения первичного доступа.
- Среди основных инструментов называет BurpSuite, Netcat, Netscan и самописные скрипты; подчёркивает, что предпочитает «минимальный необходимый» набор, ориентируясь на эффективность.
- IDOR (Insecure Direct Object References) остаётся одной из основных проблем. Pryx указывает, что именно она привела к утечке 40 ГБ данных правительства Саудовской Аравии.
- Неудачная попытка внедрения программы-вымогателя в China Life Insurance показала, насколько важны оперативность и хорошая подготовка во время атак.
- Создаёт новых SSH-пользователей с правами root, добавляет собственные публичные SSH-ключи для резервного доступа, а также разворачивает кастомные бэкдоры для дополнительной подстраховки.
Интервью
Ниже приведены вопросы и ответы без каких-либо правок.Вопрос: Добро пожаловать на интервью Osint10x, Pryx! Так как это наш первый разговор, не могли бы вы рассказать о себе и своей деятельности?
Ответ (Pryx): Привет, спасибо, что пригласили. Я — Pryx, в X известен как @holypryx. Мне сейчас 17 лет. Я попал в мир киберпреступности, когда мне было 12 или 13. Тогда я в основном занимался троллингом и забавными штуками. Теперь же меня интересует разработка вредоносного ПО и получение первоначального доступа. Я планирую продолжать совершенствовать свои навыки и не собираюсь останавливаться.
Вопрос: Какими псевдонимами вы пользовались в прошлом? С какими группами вы уже сотрудничали?
Ответ (Pryx): Из того, что я могу рассказать: ранее я использовал псевдонимы «holypryx» и «sp1d3r». Других конкретных псевдонимов, о которых стоит упоминать, нет — я меняю их, когда становится «жарко».
Я никогда не работал ни с какой группой, кроме Hellcat, после того как создал псевдоним «pryx».
Вопрос: Как проходит ваш обычный день вдали от клавиатуры? Занимаетесь бегом, серфингом, йогой или постоянно пребываете в «Сумеречной зоне»(?)?
Ответ (Pryx): У меня обычная жизнь, как у всех. Хожу в школу, встречаюсь с друзьями, много путешествую. Конечно, никто из моих реальных знакомых не знает, чем я занимаюсь. Это немного грустно, но так и должно быть.
Вопрос: Каковы ваши отношения с группой Hellcat и в чём заключается ваш вклад?
Ответ (Pryx): Hellcat изначально возникла как шутка. Мой друг Grep как-то прокомментировал в «шутбоксе» (shoutbox) на BreachForums во время разговора об ICA.gov и сказал: «ICA — прикольное название для группы». Я отправил ему личное сообщение, что идея, в общем-то, неплохая. Мы продумали всё и объявили об этом на breachforums[.] Позже мы узнали, что ICA ассоциируется с иранской группировкой ISIS, поэтому сменили название на «Hellcat» — его предложил один из участников по имени Rey.
Можно сказать, я один из основателей или своего рода лидер.
Вопрос: Вижу, вы несколько раз упоминали «server-side stealer». Почему вы считаете его инновационным по сравнению с обычными стилерами?
Ответ (Pryx): Server-side stealer — это совершенно иной подход по сравнению с тем, как работают обычные стилеры. В большинстве случаев стилеры выполняют все операции на устройстве жертвы: они «вытягивают» пароли, куки и всё, что им нужно, а затем отправляют данные обратно злоумышленнику по запросам POST. Проблема в том, что это оставляет большой след. EDR и фаерволы могут это замечать, потому что генерируется постоянный исходящий трафик.
Серверный стилер (server-side stealer) меняет правила игры. Вместо того чтобы сразу получать и отправлять данные, вредоносный софт разворачивает на устройстве жертвы Tor-онлайн-сервис и сообщает нам адрес onion. И всё — никакой массивной локальной эксфильтрации, просто список директорий. После этого на нашей стороне мы запускаем скрипты, чтобы «соскабливать» все нужные данные по GET-запросам. Это тише, «чище» и умнее.
По сути, вредонос не запускает полноценный стилер на стороне жертвы. Он лишь настраивает onion-сервис и передаёт нам имя пользователя и onion-адрес в формате JSON-запроса. На стороне жертвы не происходит прямого «воровства», поэтому обнаружить такую активность сложнее. Всю реальную работу контролируем мы. Как только у нас есть onion-адрес, основные действия выполняются уже на нашем сервере.
К тому же сам Tor обеспечивает анонимность: onion-сервис не даёт отследить нас, а устройство жертвы просто «хостит» файлы, даже не подозревая об этом.
Вопрос: Каковы преимущества использования «Silent Tor Server» для командования и управления (C2) в составе вредоносного ПО?
Ответ (Pryx): Это отличный способ сохранить незаметность C2-инфраструктуры, потому что не создаётся прямых исходящих соединений, которые могли бы зафиксировать EDR или фаерволы. Использование Tor означает, что IP-адреса и атакующего, и жертвы остаются скрытыми, и отследить их крайне сложно. При этом само вредоносное ПО почти ничего не делает — просто публикует список директорий, то есть его «след» минимален, а шансы на обнаружение ещё меньше. Вся основная работа — сбор и расшифровка данных — идёт у нас на сервере; при этом нам не нужно больше «трогать» само ПО. Всё просто, эффективно и безопасно.
Вопрос: Вы упоминали CVE (например, CVE-2024-34102) в своих рассуждениях. Какие факторы определяют, стоит ли масштабно эксплуатировать ту или иную уязвимость?
Ответ (Pryx): Решение о том, стоит ли эксплуатировать уязвимость в больших масштабах, сводится к двум ключевым факторам: влиянию и доступности. Уязвимость должна давать доступ к чему-то ценному — например, к привилегированным учетным данным, конфиденциальной информации или критически важным системам. Если «выигрыш» невелик, то игра не стоит свеч.
Помимо этого, PoC (Proof of Concept) должна быть доступна всем или хотя бы не слишком сложна в воспроизведении. Когда выходит новая CVE, публичные PoC-эксплойты обычно не публикуются сразу — либо ждут, пока компании закроют уязвимости патчами, либо вообще их не выкладывают. В таком случае я использую любую доступную открыту информацию, провожу реверс-инжиниринг и самостоятельно воспроизвожу рабочий PoC.
Когда PoC в итоге становится общедоступным, я не теряю времени даром: массово сканирую уязвимые хосты, закладываю там бэкдоры и блокирую доступ для других злоумышленников. Затем просматриваю скомпрометированные хосты, чтобы выяснить, не относятся ли они к крупным компаниям. Если нахожу такую — использую её как точку входа и сканирую сеть на предмет других уязвимых устройств, чтобы расширить вектор атаки.
Вопрос: Раз уж речь зашла о массовой эксплуатации уязвимостей, какие последние CVE вы эксплуатировали?
Ответ (Pryx): Последняя, к которой я приступал, — это CVE-2024-3400, уязвимость в GlobalProtect, позволяющая создавать произвольные файлы, что потенциально может привести к выполнению команд в операционной системе (OS command injection). «Из коробки» эта уязвимость не давала мне RCE (удалённое выполнение кода), поэтому пришлось подтянуть ещё одну уязвимость от знакомого (не буду разглашать детали) и скомбинировать их. Всё сработало отлично.
Если говорить честно, массовая эксплуатация — это не просто «запусти CVE и смотри, что будет». Иногда нужно комбинировать разные уязвимости, проявлять смекалку или знать правильных людей, чтобы заполнить пробелы.
Вопрос: Как, на ваш взгляд, правильно балансировать между ресурсозатратностью атак грубой силы (brute force) и необходимостью оставаться незамеченным?
Ответ (Pryx): Брутфорс может быть шумным, но, если честно, какая разница? Если атака проходит успешно и ты получаешь доступ, это главное. Первостепенна сама цель — «взломать» систему, а не изо всех сил стараться не привлечь внимание. Если брутфорс — единственная опция, то стоит просто действовать.
Вопрос: Что мотивирует вас участвовать в конкурсах вроде «КОНКУРС СТАТЕЙ»? Влияют ли подобные события на ваш подход к разработке и распространению инструментов?
Ответ (Pryx): Я участвую ради веселья и чтобы поделиться знаниями. Это второй раз, когда я принимаю участие в конкурсе на xss.pro, и пока меня не забанили (LockBit reference (шутка)), я буду продолжать.
Вопрос: Вы говорили о «tox protocol» в контексте коммуникаций внутри вредоносного ПО. Какие ещё новые технологии или методы вы рассматриваете для будущего использования?
Ответ (Pryx): Я постоянно ищу новые способы оставаться впереди. Помимо протокола Tox для коммуникаций в вредоносном ПО, я изучаю децентрализованные сети и блокчейн для настройки безопасных C2-серверов.
Вопрос: Какие наиболее распространённые уязвимости вы встречаете?
Ответ (Pryx): О, это IDOR (Insecure Direct Object References). Буквально 60% компаний, на которые я нацеливаюсь, уязвимы для такого рода проблем. Даже в случае с взломом саудовского правительства всё было упущено из-за неправильной настройки cookie и IDOR, что привело к утечке 40 ГБ данных граждан, а также личной переписки по email. Там были удостоверения личности, водительские права и даже рабочие резюме.
Вопрос: Какие геолокации и отрасли для вас представляют интерес, и почему? Есть ли какой-то более глубокий мотив или философия при выборе целей?
Ответ (Pryx): Меня больше всего интересуют США и Израиль. Данные из США очень ценятся на рынке, а Израиль я выбираю просто потому, что ненавижу евреев. Моё основное внимание сосредоточено на правительственном секторе.
Вопрос: Можете ли вы привести пример, когда какой-то ваш проект или тактика провалились? Какие уроки вы извлекли из этого?
Ответ (Pryx): Мы имели доступ по RDP к компании с доходом в 118 миллиардов долларов — это была China Life Insurance. Неделю находились в их системах, полностью подготовив шифровальщик и сервер для бэкенда, чтобы зашифровать более 5 ТБ данных. Но в момент, когда мы попытались войти в систему, чтобы запустить программу-вымогатель, доступ у нас отобрали. Худший тайминг на свете.
Урок в том, что нужно действовать быстро и всё тщательно подготавливать, прежде чем «ковыряться» с серверами жертвы. Не буду врать, мы до сих пор злимся из-за этого, и всему виной глупая лень.
Вопрос: Представьте, что вам нужно разработать вредонос, нацеленный на сеть с повышенной безопасностью в крупном предприятии. Какие комбинации техник (например, патчинг ETW, камуфляж в IAT) вы бы использовали и почему?
Ответ (Pryx): Если честно, я бы поручил это Sukob — он сейчас явно лучше меня в разработке вредоносных программ. Но если делать самому, я бы использовал смесь ETW-патчинга и IAT-хукинга. ETW-патчинг ломает телеметрию, на которую полагаются EDR-системы, так что они не могут ничего зафиксировать. IAT-хукинг даёт возможность перехватывать вызовы API, заставляя вредонос маскироваться под легитимные процессы. Добавьте сюда обфускацию и обход песочниц — и у вас получится то, что проскочит даже через «жёсткую» систему безопасности.
Вопрос: Во время операции по взлому вы обнаруживаете неожиданные аномалии, например, системы-ловушки (honeypot) или продвинутые инструменты мониторинга. Как вы адаптируете тактику, чтобы сохранить операционную безопасность?
Ответ (Pryx): Если я сталкиваюсь с чем-то вроде honeypot или сложными системами наблюдения, то сначала делаю шаг назад и внимательно анализирую окружение. Использую пассивную разведку, чтобы понять, что действительно важно, а что — простая «приманка». Если это honeypot, я немного «поиграю» с ним, чтобы потянуть время и отвлечь тех, кто за ним следит, пока буду искать новый способ проникновения. Если это инструменты мониторинга, ищу пути отключить или обойти их. Всегда надо подстраиваться под ситуацию, но не спешить — излишняя спешка ведёт к провалу.
Вопрос: Как вы подходите к выбору и взлому цели, начиная с выбора объекта и заканчивая непосредственным компрометированием сети? Можно ли дать общее описание?
Ответ (Pryx): Я обожаю спиар-фишинг (spear phishing). Основной метод — человеческая ошибка. Также я эксплуатирую устаревшие сервисы или уязвимости в бэкенде.
Сначала я выбираю цели по их ценности — обычно крупные компании или правительственные структуры, особенно в США. Провожу масштабную разведку: собираю OSINT-данные, ищу открытые сервисы, «пробиваю» сотрудников для фишинга. Когда найдётся точка входа — украденные учётные данные, RCE или уязвимость CVE — я начинаю действовать. Далее цель — повысить привилегии, закрепиться в системе и «прочувствовать» всю сеть. Итоговая задача — нанести максимально серьёзный урон: от утечки конфиденциальных данных до запуска программы-вымогателя. Каждый шаг продуман заранее: я не двигаюсь дальше, пока не убедюсь, что оно того стоит.
Вопрос: После того как вы получаете доступ, какие методы используете, чтобы закрепиться в системе?
Ответ (Pryx): Сразу после проникновения я создаю нового SSH-пользователя с правами root. Если они это заметят и удалят пользователя — не страшно, ведь я уже добавил свой публичный SSH-ключ на хост для прямого доступа. А если вдруг они полностью заблокируют SSH, у меня на всякий случай всегда есть кастомный бэкдор, который остаётся на машине как «запасной выход».
Вопрос: Расскажите о ваших TTP (тактиках, техниках и процедурах), которые вы применяли во время атак.
Ответ (Pryx): По данным отчёта одной OSINT-компании, изучавшей мои активности, они выделили следующие TTP. Честно говоря, меня удивила их точность:
- TA0001 (Initial Access)
- T1566: Phishing
- T1078: Valid Accounts
- TA0003 (Persistence)
- T1078: Valid Accounts
- TA0004 (Privilege Escalation)
- T1078: Valid Accounts
- TA0005 (Defense Evasion)
- T1078: Valid Accounts
- TA0040 (Impact)
- T1486: Data Encrypted for Impact
Вопрос: Какими инструментами вы обычно пользуетесь?
Ответ (Pryx): BurpSuite, Netcat, Netscan. Больше сейчас и не припомню. Мне не нужен огромный набор инструментов — в большинстве случаев никаких специфических «экзотических» утилит не требуется. Если вдруг что-то понадобится, я или сам напишу скрипт, или воспользуюсь подходящим решением, лишь бы работало.
Вопрос: Когда у цели начинается процедура реагирования на инцидент, что вы делаете, чтобы избежать обнаружения или «выселения»?
Ответ (Pryx): Тут уже полагаешься на судьбу и надеешься, что не засветишься. Честно говоря, всё зависит от удачи. Больше ничего особо не сделать.
Обычно я просто пользуюсь Mullvad (и нет, меня не спонсируют). Шутки в сторону, у меня всегда есть множество фальшивых «личностей» и запасных планов. Если кто-то попытается меня отследить через OSINT, они в итоге выедут на какого-нибудь невиновного бедолагу.
Вопрос: Как вы поддерживаете собственную операционную безопасность (OPSec)?
Ответ (Pryx): Главное — не совершать человеческих ошибок. VPN — это лишь часть общей схемы. Я шифрую все свои диски и храню особо важные файлы на изолированных (air-gapped) системах. Для связи использую XMPP, Tox и Session, потому что они не «светят» метаданные и обеспечивают должный уровень шифрования. VPS-серверы тоже беру анонимно, оплачиваю криптой или чем-то ещё, что позволяет оставаться неотслеживаемым.
Вопрос: Вы уже некоторое время продаёте слитые базы данных. Рассматриваете это как долгосрочную деятельность или есть другие направления в сфере кибербезопасности, которые вас интересуют?
Ответ (Pryx): Сейчас меня интересует тема программ-вымогателей (ransomware) — отличное средство заработка. Продажа баз данных — это просто «ступенька». С помощью ransomware можно контролировать ситуацию, получать более крупные «куски» и, соответственно, большие деньги. Именно тут кроется реальная прибыль.
Вопрос: Какой совет вы бы дали компаниям, чтобы они лучше защищались от подобных атак?
Ответ (Pryx): Честно говоря, невозможно защититься от таких атак, если компания продолжает платить ленивым сотрудникам, которые ничего не делают. Многие фирмы любят тратить кучу денег на «самые крутые» решения в сфере информационной безопасности, но если у вас нет людей, которые реально готовы защищать вашу инфраструктуру, то всё это бессмысленно. Нельзя «залатать» дыру программой, когда ваши сотрудники не умеют отличить фишинг. Пока вы не исправите корень проблемы — свою команду, никакая защита сети или конечных точек не спасёт.
Вопрос: Каковы дальнейшие планы группировки Hellcat?
Ответ (Pryx): У нас простая стратегия: точечные удары и скорость. Без лишнего шума и показухи, бьём в слабые места, берём самое ценное и уходим, пока нас не засекли.
Мы не зацикливаемся на каком-то одном методе или инструменте. Гибкость — решающее преимущество. Будь то эксплуатация уязвимостей, фишинг или разработка собственных инструментов — мы всегда адаптируемся к цели и конкретной ситуации. Hellcat не сбавляет обороты. Мы смотрим, как улучшить рабочие процессы, тактику, подходы и так далее. Это не игра в «идеальность», а игра в «быть умнее и на шаг впереди». В конце концов, если кто-то забудет закрыть дверь — мы просто войдём. Всё очень просто.
Вопрос: Спасибо, что уделили нам время, Pryx! Есть ли что-то, о чём мы ещё не спросили, но вы хотели бы упомянуть?
Ответ (Pryx): Нет, думаю, я всё осветил. Спасибо, что пригласили.