Заражение через email письмо

[m8i3]

нужно получить логи-пароль и hvnc доступ к машине зараженного. в идеале через doc/pdf склейку через письмо.
какой стиллер или бот лучше взять для этого и есть ли сервисы по склейке такие?

 

[O0X]

Судя по постановке вопроса, ты совершенно далёк от этого, потому рекомендую забыть про это. Ты сам не сделаешь и не найдёшь, кто тебе поможет прошить документ. Тебе ведь ещё и експлоит нужен, а не макрос. Да, кстати, смотри чтоб тебе макрос не продали, потом и претензию не выставишь.
Для ювелирной работы, лучше всего зашивать многофункциональный rat. Но крысу хорошую, ты тоже навряд ли найдёшь. Впринципе кобальт подойдёт, но криптовать его проблематично, не найдёшь крипт.

Совет могу дать, на русском языке вообще ничего не ищи. Рунет уже давно не такой грозный, каким когда то был. Тут тебя скорее всего просто обманут :smile67:

Итого: у тебя ничего нет, ничего ты найти не сможешь. Забудь.

 

[utkows]

Судя по постановке вопроса, ты совершенно далёк от этого, потому рекомендую забыть про это. Ты сам не сделаешь и не найдёшь, кто тебе поможет прошить документ. Тебе ведь ещё и експлоит нужен, а не макрос. Да, кстати, смотри чтоб тебе макрос не продали, потом и претензию не выставишь.
Для ювелирной работы, лучше всего зашивать многофункциональный rat. Но крысу хорошую, ты тоже навряд ли найдёшь. Впринципе кобальт подойдёт, но криптовать его проблематично, не найдёшь крипт.

Совет могу дать, на русском языке вообще ничего не ищи. Рунет уже давно не такой грозный, каким когда то был. Тут тебя скорее всего просто обманут :smile67:

Итого: у тебя ничего нет, ничего ты найти не сможешь. Забудь.

Полностью согласен. И если даже будут предлагать какие-то услуги по твоему вопросу - лучше не соглашайся. Кинут только так

 

[QwEQw3RtyY]

а если подойти к делу с помощью соц инженерии?
Натыкался много на брученых мылах, идет пдф файл к примеру, с названием Ur track numbber либо UR ORDER pdf далее при октрытии идет вот такое

ну а далее я думаю, можно какой то фейк обновы врубить на фейк сайте, от браузера до плагина и флеша

хз тупо нет, я не тестил, но думаю, если взять бутыль коньяка либо вискаря, посидеть подумать, можно и без склеек все сделать доков + ратов.

 

[m8i3]

O0X, ну сам эксплойт на экспе продают, возможно тут есть те, кто его купили

QwEQw3RtyY, это то что надо

 

[500mhz]

Эх молодо зелено

1. берем бота.exe
2. переименовываем в www.dhl.com (к примеру)
3. пишем письмо типа "вы п#дарасы не оплатили последний инвойс, ссылка в аттаче"
4. профит

 

[O0X]

O0X, ну сам эксплойт на экспе продают, возможно тут есть те, кто его купили

линкани, гляну че там продают
а то я там искал наверное с полгода назад, не было там ничего толкового

 

[m8i3]

Эх молодо зелено

1. берем бота.exe
2. переименовываем в www.dhl.com (к примеру)
3. пишем письмо типа "вы п#дарасы не оплатили последний инвойс, ссылка в аттаче"
4. профит

такой вариант не устраивает, нужна склейка с doc. который откроется с текстом

 

[AnusPoloskator]

линкани, гляну че там продают
а то я там искал наверное с полгода назад, не было там ничего толкового

Видимо речь идет о тредките

Войти - Exploit.IN Forum

forum.exploit.in

Добавлен CVE 2018-15982
Added CVE 2018-15982

Весь топик не смотрел, там обновы разбросаны по страницам разным

больше ниче кажись по доковым сплойтам там нету

Совет могу дать, на русском языке вообще ничего не ищи

+++
все из-за мозгоебов клиентов. Проще самому работать, а то выходишь на рынок - сразу наплыв неадекватов, которые сервер от клиента не отличают (это касается еще авторов ратников лол). Какая речь может быть о том, чтобы там продавали что-то годное. Что пипл хавает то и продают....

пипл вон у впн сервисов на эллиптические кривые клюет (вернее даже сказать кончает громко с оргазмом), когда рса с большим ключем безопаснее и ноет когда у onion сервисов нет хттпс (лол)

Спойлер: вот почему рса безопаснее

ÐоÑÑÑпно о кÑипÑогÑаÑии на ÑллипÑиÑеÑÐºÐ¸Ñ ÐºÑивÑÑ

Тем, кÑо знаком Ñ ÐºÑипÑогÑаÑией Ñ Ð¾ÑкÑÑÑÑм клÑÑом, навеÑно извеÑÑÐ½Ñ Ð°Ð±Ð±ÑевиаÑÑÑÑ ECC , ECDH и ECDSA . ÐеÑÐ²Ð°Ñ â ÑÑо ÑокÑаÑение Ð¾Ñ Elliptic Curve Cryptography (кÑипÑогÑаÑÐ¸Ñ Ð½Ð° ÑллипÑиÑеÑÐºÐ¸Ñ ÐºÑивÑÑ),...

habr.com

Тут было упоминание о том, что эллиптические кривые позволяют стандартизаторам подобрать такие параметры, которые они отломать смогут

Теперь возникает следующий вопрос: откуда берутся случайные порождающие значения для кривых NIST? Ответ: к сожалению, мы не знаем. Эти значения не имеют никакого обоснования.

Возможно ли, что NIST обнаружил «значительно большой» класс слабых эллиптических кривых, попробовал различные возможные варианты порождающих значений и нашёл уязвимую кривую?

А у впн сервисов именно стандартизированные кривые.

Dual_EC_DRBG - Wikipedia

en.wikipedia.org

был претендент хоть это и генератор чисел. Рса же не позволяет пространства для таких хитровыебанных маневров

P.S. Скинь иностранное плиз поглядеть. А то рунет хоть и параша сейчас, но иностранное это ваще пздц.

 

[O0X]

P.S. Скинь иностранное плиз поглядеть. А то рунет хоть и параша сейчас, но иностранное это ваще пздц.

Не скину

А по экспу, да, там вроде вообще только с макросами работают. По крайней мере, я там когда интересовался, только вокруг макросов вертелось всё, эксплоиты никто даже не рассматривал.

 

[AnusPoloskator]

А по экспу, да, там вроде вообще только с макросами работают. По крайней мере, я там когда интересовался, только вокруг макросов вертелось всё, эксплоиты никто даже не рассматривал.

у сплойтомейкеров есть куда сбывать, а на экспе 99% мозгоебов которые покупают азоры и видары на сэкономленные деньги на сух пайках

Не скину

учитывая аналитику аверов есть подозрения, что иностранных ресурсов лучше хакфорумсов всяких просто не существует. Ну или там такие зеродей супер скиллы что обходят всю телеметрию аверов. Или же местные инде клерки "буржуй вершен", которые могут только про визоры, блокирование выборок и дби системы трепаться, обсирая всех вокруг лол

 

[QwEQw3RtyY]

Эх молодо зелено

1. берем бота.exe
2. переименовываем в www.dhl.com (к примеру)
3. пишем письмо типа "вы п#дарасы не оплатили последний инвойс, ссылка в аттаче"
4. профит

я думаю, что аттач не дойдет до большинства адресатов. если через браузер на мыло зайдут, при скачивании аттача хром локнет прервет.
поправьте если я не прав.
500mhz какой выход посоветуешь? как завуалировать? Не поставить же архив и поверх пасс, и просить ввести пароль? Шо можно придумать?


с гугла вот че нашлося
Примечание: Некоторые авторы компьютерных вирусов надеялись воспользоваться неграммотностью современных пользователей – отсутствием знаний о .COM расширении файла и связанного с ним двоичного формата, а также их более вероятного знакомства с .COM доменном Интернета. По электронной почте отправляли вложение с именем похожим на «www.example.com». Неосторожные пользователи Microsoft Windows, нажав на такое вложение ожидали, что они будут просмотривать сайт с адресом http://www.example.com/, но вместо этого запускали вложенный файл .COM c именем www.example, давая ему полные права на выполнение операций. Обратите внимание, что нет ничего вредоносного в самом формате COM файла, но в данном случае было вредоностное использование похожих наименований.


Некорректное наименование расширения .COM: com), com]


вообще познавательно, пойду думать.

 

[m8i3]

и ноет когда у onion сервисов нет хттпс (лол)

сори а что в этом такого? у меня был случай когда перехватили трафик с паролями, владелец тор нод (вход и выход) был один

ну и даже на форуме центр есть склейщики c doc, я прост думал тут более компетентные мемберы

 

[AnusPoloskator]

сори а что в этом такого? у меня был случай когда перехватили трафик с паролями, владелец тор нод (вход и выход) был один

ну и даже на форуме центр есть склейщики c doc, я прост думал тут более компетентные мемберы

У .onion нет экзит-ноды. Весь трафик остается зашифрованным вплоть до конечного веб сервера в зоне онион
а у тебя, видимо, был какой-то коннект по хттп к внешнему сервису, в итоге последний слой снялся на экзит ноде.

 

[m8i3]

так все-таки, кто-нибудь тут делает склейки?

 

[AnusPoloskator]

так все-таки, кто-нибудь тут делает склейки?

Нафига флудить? Раз нет топиков о макросах - значит никто на заказ не делает

 

[m8i3]

мало ли, может кто-то из "старейшин даркнета" делает но публично не хочет писать)))

 

[kiper]

а если подойти к делу с помощью соц инженерии?
Натыкался много на брученых мылах, идет пдф файл к примеру, с названием Ur track numbber либо UR ORDER pdf далее при октрытии идет вот такое

Посмотреть вложение 2911

ну а далее я думаю, можно какой то фейк обновы врубить на фейк сайте, от браузера до плагина и флеша

хз тупо нет, я не тестил, но думаю, если взять бутыль коньяка либо вискаря, посидеть подумать, можно и без склеек все сделать доков + ратов.

Тут главный вопрос еще в том как обходить смартскрин, причем делать это нужно будет регулярно т.к. домены с малварью полюбому будут детектиться рано или поздно. Есть у кого-нибудь идеи?