Малварь на C#

[Paramedic]

Кстати, пока все, кто может мне ответить компетентно здесь, может подскажете. Касательно банкбота. В популярных ботах и не только, граббинг и вебинжекты реализовуются с помощью хуков функций в самом браузере. И как я понимаю, при апдейтах этого самого браузера - надо фиксить сорцы. Теперь вопрос. Почему просто не биндить на определенный порт митм прокси сервер и уже через него пускать трафик. А на уровне уже самого прокси делать инжект и производить граббинг полей? Из-за фаервола, самой природы биндинга и нужды ставить свой самоподписанный серт ? Или ещё причины? Если не учитывать вышесказанное, так то получается более стабильная вещь, чем инжект в браузеры.

в популярных банкботах все реализуется при помощи митма, хук сертов + перенаправление трафика на прокси. ещё видел эвристический поиск адресов SSLRead/Write. зашивать сигнатуры - нубство, уже такого лет 5 как нет.

 

[Jeffs]

Кстати, пока все, кто может мне ответить компетентно здесь, может подскажете. Касательно банкбота. В популярных ботах и не только, граббинг и вебинжекты реализовуются с помощью хуков функций в самом браузере. И как я понимаю, при апдейтах этого самого браузера - надо фиксить сорцы. Теперь вопрос. Почему просто не биндить на определенный порт митм прокси сервер и уже через него пускать трафик. А на уровне уже самого прокси делать инжект и производить граббинг полей? Из-за фаервола, самой природы биндинга и нужды ставить свой самоподписанный серт ? Или ещё причины? Если не учитывать вышесказанное, так то получается более стабильная вещь, чем инжект в браузеры.

Нашёл на пк сурс чего-то подобного, если надо, отпиши в лс, скину. Не помню, правда, октуда он у меня.

 

[merdock]

Кстати, пока все, кто может мне ответить компетентно здесь, может подскажете. Касательно банкбота. В популярных ботах и не только, граббинг и вебинжекты реализовуются с помощью хуков функций в самом браузере. И как я понимаю, при апдейтах этого самого браузера - надо фиксить сорцы. Теперь вопрос. Почему просто не биндить на определенный порт митм прокси сервер и уже через него пускать трафик. А на уровне уже самого прокси делать инжект и производить граббинг полей? Из-за фаервола, самой природы биндинга и нужды ставить свой самоподписанный серт ? Или ещё причины? Если не учитывать вышесказанное, так то получается более стабильная вещь, чем инжект в браузеры.

У меня есть сомнения в использовании всех этих методов, потому что с появлением 2ФА как СМС или токены смысл к примеру внедрения ЖС снифера в трафик является бесполезной затеей, что через МИТМ, что через инжекты, что через Экстеншины. На текущий момент я знаю более менее одну технологию с обходом 2ФА, но она рассчитана на СИ (невнимательность юзера) банк клиента - это подмена экрана, когда юзер заходит в банк клиент. На самом деле прогресс не стоит на месте и думаю нету смысла зацикливаться на старых технологиях (но знать их надо).

 

[Haunt]

У меня есть сомнения в использовании всех этих методов, потому что с появлением 2ФА как СМС или токены смысл к примеру внедрения ЖС снифера в трафик является бесполезной затеей, что через МИТМ, что через инжекты, что через Экстеншины. На текущий момент я знаю более менее одну технологию с обходом 2ФА, но она рассчитана на СИ (невнимательность юзера) банк клиента - это подмена экрана, когда юзер заходит в банк клиент. На самом деле прогресс не стоит на месте и думаю нету смысла зацикливаться на старых технологиях (но знать их надо).

Недавно размышлял над одним вектором, вроде в паблике не находил, а значит считаю, что придумал я, интересны мнения.
1) мониторим в вин открытые окна и их титулки. В момент появления окна с нужной титулкой(например юзер зашёл в свой банк) - шлётся пуш в админ панель банк бота.
2) на том конце сидим мы, видим пуш и начинаем мониторить десктоп юзера. Дожидаемся момента, пока юзер пройдёт 2фа и прочие моменты и попадёт в свой лк в банке. В этот момент мы через SetParent WinApi присваиваем эту форму, в которой работал юзер, в свою скрытую форму, которая за пределами его десктопа и транслируем ее с помощью PrintWindow себе + управляем через SendMessage/PostMessage. А юзеру открываем новую сессию браузера с этой же урлой, где он был.
Таким образом проводим имперсонацию окна с пройденным 2фа. Потом дожидаемся(а в это время висим и не даём сессии стухнуть) , пока юзер не сделает свои дела и не закроет вкладку. Если он именно закроет свою вкладку без нажатия Log out, то сессия у нас останется. Профит

 

[merdock]

Недавно размышлял над одним вектором, вроде в паблике не находил, а значит считаю, что придумал я, интересны мнения.
1) мониторим в вин открытые окна и их титулки. В момент появления окна с нужной титулкой(например юзер зашёл в свой банк) - шлётся пуш в админ панель банк бота.
2) на том конце сидим мы, видим пуш и начинаем мониторить десктоп юзера. Дожидаемся момента, пока юзер пройдёт 2фа и прочие моменты и попадёт в свой лк в банке. В этот момент мы через SetParent WinApi присваиваем эту форму, в которой работал юзер, в свою скрытую форму, которая за пределами его десктопа и транслируем ее с помощью PrintWindow себе + управляем через SendMessage/PostMessage. А юзеру открываем новую сессию браузера с этой же урлой, где он был.
Таким образом проводим имперсонацию окна с пройденным 2фа. Потом дожидаемся(а в это время висим и не даём сессии стухнуть) , пока юзер не сделает свои дела и не закроет вкладку. Если он именно закроет свою вкладку без нажатия Log out, то сессия у нас останется. Профит

Я делал такой приват софт и там на самом деле другой подход был. Но суть примерна правильная.

 

[Haunt]

Я делал такой приват софт и там на самом деле другой подход был. Но суть примерна правильная.

Другой подход - это ты про аналог hvnc через SetParent говоришь? Про это как бы я знаю. я ща про имперсонацию и обход 2фа больше говорю.

 

[merdock]

Другой подход - это ты про аналог hvnc через SetParent говоришь? Про это как бы я знаю. я ща про имперсонацию и обход 2фа больше говорю.

Нет, я про реальный экран, а не создание виртуального рабочего стола. Т.е. накладывание на реальный экран фэйкового изображения, а сам работаешь с реальным изображением, пока юзер работает с фэйком.