FillMorr

Когда на моте, то можно в шлеме с закрытым забралом.

А возможна выборка не только по штатам, но и по дате последнего входа холдера? Нужно несколько аков под прокладку с 0 или околонулевым баллансом, скажем так, заброшенные. Что бы холдер давно на них не заходил. Такое возможно подобрать?

zebra69 (18 June 2015 - 18:16) писал: всем по ходу очень интересно это слушать и читать. нечего толкового нельзя написать только хрень пишете Мне это интересно. Спасибо тем кто выкладывает тематические материалы.

Хочу предупредить всех по поводу данного Пикассо. Примерно недели две назад заказывал у него ДЛ на отрисовку. Скрывать не буду, через минут 15 максимум, ДЛ уже были у меня. Очень быстро. Но качество смутило. Я первый раз отправлял доки в палку, и как они должны выглядеть я не знал. Хотя прекрасно представляю как должен выглядеть именно скан. То, что мне скинул ТС, было похоже на открытку. Ни теней по ребрам, ни хоть какого-то перекоса. Просто открытка, при чем не отсканированная а нарисованная. Попросил немного индивидуализировать. Вроде что-то подправил. И заверил меня что именно такие доки палка хавает и всё всегда было збс. Поговорили на счет номера ДЛ, что могу дать номер с генератора, под данные. ТС, сказал что лишнее. Ну, художнику виднее. Поверил. Оплатил 15$, если разблочат, то обещал ещё и отзыв тут положительный отправить. Отправил. Мне с палки написали что я прислал херню, и запросили полный список доков. Ну в общем акку с 560$ на борту звиздец ну и за отрисовку 15 туда же. На ТС грешил в последнюю очередь, т.к. прекрасно понимаю что проход доков составляет примерно 30%. Значит не повезло. Но положительный отзыв писать не стал, о чем предупредил Пикассо. Но вчера мне в руки попали псд шаблоны юса штатов. В том числе и штат, который я заказывал. Когда я открыл шаблон и сверил с тем что мне ТС прислал, я увидел, что не были изменены ни номера ДЛ, ни друге данные, кроме адреса и ДОБа моего холдера. И что самое интерсное, даже подпись осталась та же. Видать влом было тратить ещё 7-10 минут что бы поменять другие данные и отрисовать новую подпись. Сколько с этим номером и подписью уже доков лежит в палке я хз, явилось именно это причиной дальнейшего запроса доков или нет я тоже не знаю. Но я точно знаю, что ТС халатно относится к своим обязанностям. Предлагать за 15$ услугу, заведомо зная, что она не только не поможет, а и усугубит, это кидок. Переписку и пруфы могу предоставить по запросу.

Я бы первый способ изменил немного. Вместо размещения объявления, читал бы уже выложенные резюме. Находишь подходящие вакансии, ну и типа студент, подработка и т.д. Плюс в том, что в резюме уже ты сначала видешь данные по будущему дропу. Можно легко его пробить хотя бы по тем же соцсетям, бывшим местам работы, которые указанны в резюме, по телефону и т.д. вариантов куча. Но до того как ты обратишься к нему с вкусным предложением, уже будешь уверен на 99,9% что ты ведешь а не тебя.

Так мама ничего не нарушает. Тут как раз все ок. Красным пруфы покажет и свободна. Если бы это уголовно наказуемо было, то уже весь главпочтамп парился бы. Здесь просто оказние услуги такого себе почтальона. Лицензий и сертификатов на эту деятельность получать не надо. В общем отсутсвует статья по которой её привлеч вообще можно. А нервная система у молодых мам уже такая закаленная, что она даже не врубится во всю серьёзность предъявы. Тут минус этой схемы в другом. На сколько я знаю, менты во всю пасут такие объявы. Предлагают свои услуги, нанимаются к вам на работу. И при личной встерчи с дропом могут возникнуть проблемы как раз у заказчика.

Письмо от имени Центрального банка России с вредоносным вложением (md5: 8FA296EFAF87FF4D9179283D42372C52), эксплуатирующим уязвимость CVE-2012-2539 с целью выполнения произвольного кода. Также были иные примеры писем с вредоносными вложениями, как например отправка писем с файлом «001. photo.exe». Атаки на банкоматы Наличие доступа во внутренние сети банков открывают широкие возможности для хакеров. Одной из таких возможностей было получение доступа к банкоматам из специальных сегментов сети, которые должны были быть изолированы. Подтверждено, что данная преступная группа получила доступ к 52 банкоматам. Сумма ущерба превышает 50 миллионов рублей. В результате получения доступа к банкоматам, в зависимости от модели банкомата, хакеры применяли разные схемы. Подмена номинала При получении доступа злоумышленники загружали вредоносные скрипты и изменяли в реестре операционной системы банкомата номиналы выдаваемых купюр. В результате, при запросе на получение 10 купюр номиналом 100 рублей, злоумышленник получали 10 купюр номиналом 5000 рублей. Используемые ими вредоносный скрипт и программа были разработаны для платформы Wincor. Вредоносный скрипт содержал следующие команды: Содержимое файла «1.bat» REG ADD «HKEY_LOCAL_MACHINESOFTWAREWincor NixdorfProTopasCurrentVersionLYNXPARCASH_DISPENSER» /v VALUE_1 /t REG_SZ /d «5000» /f REG ADD «HKEY_LOCAL_MACHINESOFTWAREWincor NixdorfProTopasCurrentVersionLYNXPARCASH_DISPENSER» /v VALUE_2 /t REG_SZ /d «1000» /f REG ADD «HKEY_LOCAL_MACHINESOFTWAREWincor NixdorfProTopasCurrentVersionLYNXPARCASH_DISPENSER» /v VALUE_3 /t REG_SZ /d «500» /f REG ADD «HKEY_LOCAL_MACHINESOFTWAREWincor NixdorfProTopasCurrentVersionLYNXPARCASH_DISPENSER» /v VALUE_4 /t REG_SZ /d «100» /f REG ADD «HKEY_LOCAL_MACHINESOFTWAREWincor NixdorfProTopasCurrentVersionLYNXPARCASH_DISPENSER» /v VALUE_1 /t REG_SZ /d «100» /f REG ADD «HKEY_LOCAL_MACHINESOFTWAREWincor NixdorfProTopasCurrentVersionLYNXPARCASH_DISPENSER» /v VALUE_4 /t REG_SZ /d «5000» /f shutdown -r -t 0 –f После исполнения данного файла изменяются ключи реестра, ветви реестра ««HKEY_LOCAL_MACHINESOFTWAREWincor NixdorfProTopasCurrentVersionLYNXPARCASH_DISPENSER»», отвечающие за номинал кассет в банкомате. В результате исполнения данного файла ключ реестра, отвечающий за кассету номер 1 (VALUE_1), принимает значение «100», а ключ реестра, отвечающий за кассету номер 4 (VALUE_4), принимает значение «5000». После чего подается команда на перезагрузку ЭВМ. Эталонное значение ключей реестра VALUE_1 — 5000 VALUE_2 — 1000 VALUE_3 — 500 VALUE_4 — 100 В случае, если фактическая загрузка банкомата соответствует эталонной, то при изменении ключей реестра при выдаче купюр из кассеты №1, будут выдаваться купюры номиналом «5000» вместо «100». Опустошение диспенсера Кроме того, злоумышленники использовали модифицированную отладочную программу, которая позволяла по команде осуществлять выдачу денег из диспенсера. Оригинальная отладочная программа осуществляет выдачу денежных средств через диспенсер только при зафиксированном открытом корпусе банкомата и двери сейфа. Чтобы обеспечить выдачу денег с закрытым банкоматом, злоумышленникам пришлось модифицировать оригинальную программу «KDIAG32» (оригинальный файл: размер 1 128 960 MD5 4CC1A6E049942EBDA395244C74179EFF). исунок: Сервисная программа KDIAG32 для банкоматов Wincor Сравнение оригинальной версии программы с модифицированной показало, что различие только в игнорировании ошибки «“Door not opened or missing!”». На рисунке ниже приведено сообщение об ошибке, которое никогда не будет показано пользователю в исследуемом файле: Рисунок: Скрываемое окно в оригинальной программе KDIAG32 Андромеда Разбирая один из инцидентов все следы указывали на то, что работала та же самая преступная группа. Для удаленного доступа использовался Ammy Admin, на Unix-серверах стоял тот же самый SSHD-бэкдор и более того он был загружен с того же взломанного сервера, что и в других случаях с использованием трояна Anunak. Однако, в этом инциденте в качестве основного трояна использовался не Anunak, а Andromeda. Серверы управления находились в Казахстане, Германии и Украине. Проверка серверов управления показала, что это был Bulletproof хостинг, которые кроме серверов предоставляет услугу проксирования трафика через свою инфраструктуру и использование TOR и VPN, что значительно отличалось от схемы хостинга Anunak. Проверка обналичивания денег показала, что использовалась та же преступная группа обнала, что и для Anunak, что еще раз подтвердило их взаимосвязь. Полученные экземпляры трояна Andromeda распространялись с августа 2014 года по электронной почте. В качестве ключа шифрования RC4 использовалось значение 754037e7be8f61cbb1b85ab46c7da77d, которое является MD5 хэшем от строки «go fuck yourself». В результате такой рассылки с августа по конец октября бот-сеть Andromeda выросла до 260 000 ботов. Успешное заражение в одной подсети приводило к рассылке таких писем другим сотрудникам банков на основе контакт-листа сотрудника. Пример пересылки из сети зараженного банка сотрудникам другого банка показан ниже. В результате такой веерной рассылки были заражены многие компании нефтегазового сектора, банки и государственные учреждения. В России таким образом было заражено минимум 15 банков и 2 платежные системы. Письма с подобными вложениями распространялись со следующими темами: «My new photo» «Alert Transactions Report by users from 2014-09-28 to 2014-09-28» Схемы обнала Предварительно, стоит отметить тот факт, что процесс вывода похищенных денежных средств (обналичивания) отличался, во-первых, исходя из способа хищения, во-вторых из типа жертвы (банк или платежная система), в-третьих из общей суммы хищения. По типу жертвы скорее разделялись на основании типов контрагентов, работа с которыми накладывала те или иные ограничения. Например, все платежи были обязаны пройти через определенный пул посредников. Дополнительно, «нештатный» пул контрагентов мог вызвать подозрения и ненужные проверки (ручная обработка платежных поручений). Банк (суммы до 100млн. рублей): В случае получения (целью злоумышленников) контроля над АРМ КБР, в основном, схема была классическим деревом, когда денежные средства со счета банка направлялись на несколько юридических лиц, далее от каждого юр. лица на более мелкие юр. лица (таких итераций могло быть несколько), далее на карты физических лиц (от 600 до 7000 транзакий). В случае получения (целью злоумышленников) контроля над сервисом управления банкоматами, денежные средства получались напрямую из банкомата по команде злоумышленника. В данном случае весь процесс обнала состоял в том, чтобы дроп находился у банкомата в указанный час и был на связи со злоумышленником, имеющим доступ к серверу управления банкоматами, с мешком, в который потом происходило опустошение диспенсера. Банк (суммы свыше 100млн. рублей): Денежные средства отправлялись на счета других банков, причем зачастую были использованы «взломанные» банки, в которых заранее подготавливались счета и пластиковые карты. Платежная система: Помимо всех вышеперечисленных способов были также задействованы каналы отправки денежных средств через системы расчетов, электронные кошельки и платежные системы, типа web money, яндекс деньги, QIWI (1500-2000 транзакций). Были зафиксированы поступления крупных сумм (до 50млн.) на отдельные карты физических лиц, которые в дальнейшем занимались покупкой по этой карте дорогостоящих негабаритных товаров, таких как ювелирные изделия, наручные часы и прочая атрибутика. Огромная часть денежных средств отправлялась на мобильных операторов (подготовленные заранее 1500-2000 сим-карт). Весной 2014 года (расцвет данного вида мошенничеств) были известны 2 группы обнальщиков, работающих по сопровождению целевых атак, к осени 2014 года их количество увеличилось до 5. В общем числе этот рост связан и с количеством хищений (число жертв + средняя сумма хищения на 1 жертву). Группы работают в разных городах для обеспечения лучшей распределенности обнала. Также в данные группы входят выходцы из ближнего зарубежья, которые в случае необходимости (крупный «проект») прибывали в указанный город. Каждая из групп контролировалась отдельно стоящим человеком. В состав группы входит порядка 15-20 человек. Часть денег уходили в Украину и Белоруссию. Вредоносные семплы Anunak Mimikatz Andromeda MBR_Eraser Email attachments Атаки в Европе и США В то время как атаки на Российские банки и платежные системы длились последние два года, то атаки на ритейл начались только во втором квартале 2014 года. Пока есть подтвержденная информация о трех утечках данных карт и более десяти случаев получения доступа в локальные сети ритейловых компаний, что становиться серьезной угрозой. Помимо розничных организаций, также известно об успешных атаках на медиа и PR компании в 2014 году. Достоверно не известно какова была цель проникновения в сети таких компаний, но можно предположить, что они искали инсайдерскую информацию, своего рода промышленный шпионаж, позволяющий им получить преимущество на фондовом рынке. Поскольку у этих компаний ничего не пропадало, а результат от мошенничества сложно сопоставить с чем-то конкретным, такие инциденты обычно никогда не связывают в единое целое. Способы заражения Относительно атак на ритейловые компании, первые заражения в 2014 году Anunak были сделаны с помощью широко распространенной вредоносной программой для майнинга криптовалют, основанной на банковском трояне Gozi/ISFB. По нашим оценкам в течении первой половины 2014 года с помощью этого трояна было заражено около 500 000 систем по всему миру, однако в России и нескольких пост советских странах этот троян не распространялся. Для поиска интересных хостов среди множества протрояненых систем вредоносная программа собирает в системе такие сведения как регистрационные данные Microsoft Windows и сетевом домене Windows. Троян основанный на Gozi/ISFB использовался для загрузки дополнительных компонент на интересующие хакеров системы, включая полезные нагрузки Metasploit/Meterpreter и разные версии Anunak. Для группы Anunak доставлять свои вредоносные программы через чужие бот-сети был основным методом в середине 2014 года. Недавно они стали использовать и другие методы, включая фишинговые письма на английском языке, бот-сеть Andromeda а также SQL-инъекции для взлома компаний снаружи. Взломы POS-терминалов Первые атаки с помощью Anunak на POS терминалы были вокруг терминалов производства Epicor/NSB. Для таких атак у Anunak есть специальный код для атаки на терминалы упомянутого производителя, который в отличии от более широко распространенных сканеров памяти на наличие данные карт собирает огромное количество информации по платежам совершаемых с помощью карт. Первая такая атака была зафиксирована в июле 2014 года, но возможно, что были и более ранние. Более свежие атаки совершались с помощью сделанной на заказ программы для POS терминалов, которая является более простой, но надежнее собирала данные карт из памяти. Первоначальная версия с начала осени 2014 года использовала простой черный список, выдирала каждый процесс и делала дамп данных карт открытым текстом. Более поздние версии сканировали только определённые настройками процессы и использовала алгоритм RC4 для шифрования извлечённых данных карт на диске. Дополнительные цели В то время как ритейловые организации является основной целью из-за своих возможностей по обработке платежей, другие взломанные компании имеют не прямую, но косвенную цель, например, для получения различных баз данных или другой информации представляющей интерес для преступной группы. Важным для них является и список корпоративных адресов электронной почты, которые потом используются для повышения шансов на успешное заражение. На текущий момент у нас нет никаких сведений об успешных атаках на европейские, американские банки и платежные системы в 2014 году. Большинство заражений в Европе – это выделенные серверы, которые использовались в качестве выходных VPN-узлов Российских компаний и иногда серверы, используемые злоумышленниками для проведения собственного тестирования. Несмотря, на отсутствие каких-либо свидетельств об успешных атаках на европейские, американские банки стоит отметить, что используемые атакующими методы могут быть легко использованы за пределами России и Украины. Используемые методы Группа использует Metasploit как один из основных своих хакерских инструментов. Они активно используют сканирование портов и сбор сведений о системе, повышение привилегий используя, например, уязвимость CVE-2014- 4113, собирают реквизиты доступа и перескакивают на другие системы и сети. Metasploit используется из-за своего широкого потенциала по сканированию, эксплуатации уязвимостей, повышению привилегий и своей живучести после эксплуатации. На интересных и критичных системах могут быть найдены типичные хакерские инструменты для установки туннелей за пределы сети, другие инструменты, входящие в состав Metasploit, например, Meterpreter, но также и другие инструменты для обеспечения живучести. Мы наблюдали методы обратного подключения по SSL через порт 443, а также через DNS порт 53. Атакующие используют BITS для загрузки файлов, но также используют и встроенный в Windows PowerShell для загрузки и выполнения команд. Наконец на критичных системах устанавливается свежая зашифрованная и не детектируемая антивирусами версия Anunak Anunak использует разные методы подключения к своим серверам, включая PHP-сервер доступный по HTTP и HTTPS, а также Windows-сервер компонент использующий собственный протокол.​ Сообщение отредактировал FillMorr: 05 June 2015 - 00:52

В ходе совместного расследования «Лаборатория Касперского», Европол и Интерпол раскрыли беспрецедентную киберпреступную операцию, в рамках которой злоумышленники похитили миллиард долларов США. Киберограбление продолжалось два года и затронуло около 100 финансовых организаций по всему миру. Эксперты полагают, что за этим громким инцидентом стоит международная группировка киберпреступников из России, Украины, ряда других европейских стран, а также Китая. Криминальная группировка, получившая название Carbanak, использовала методы, характерные для целевых атак. Однако в отличие от многих других инцидентов это ограбление знаменует собой новый этап: теперь киберпреступники могут красть деньги напрямую из банков, а не у пользователей. Деятельность киберпреступников из банды Carbanak затронула около 100 банков, платежных систем и других финансовых организаций из почти 30 стран, в частности из России, США, Германии, Китая, Украины, Канады, Гонконга, Тайваня, Румынии, Франции, Испании, Норвегии, Индии, Великобритании, Польши, Пакистана, Непала, Марокко, Исландии, Ирландии, Чехии, Швейцарии, Бразилии, Болгарии и Австралии. Как выяснили эксперты, наиболее крупные суммы денег похищались в процессе вторжения в банковскую сеть: за каждый такой рейд киберпреступники крали до 10 миллионов долларов. В среднем ограбление одного банка — от заражения первого компьютера в корпоративной сети до кражи денег и сворачивания активностей — занимало у хакеров от двух до четырех месяцев. Преступная схема начиналась с проникновения в компьютер одного из сотрудников организации посредством фишинговых приемов. После заражения машины вредоносным ПО злоумышленники получали доступ к внутренней сети банка, находили компьютеры администраторов систем денежных транзакций и разворачивали видеонаблюдение за их экранами. Таким образом, банда Carbanak знала каждую деталь в работе персонала банка и могла имитировать привычные действия сотрудников при переводе денег на мошеннические счета. «Эти ограбления банков отличаются от остальных тем, что киберпреступники применяли такие методы, которые позволяли им не зависеть от используемого в банке ПО, даже если оно было уникальным. Хакерам даже не пришлось взламывать банковские сервисы. Они просто проникали в корпоративную сеть и учились, как можно замаскировать мошеннические действия под легитимные. Это действительно профессиональное ограбление», — поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». «Эти атаки служат очередным подтверждением того, что злоумышленники неизменно будут эксплуатировать любую уязвимость в любой системе. В таких условиях ни один сектор не может чувствовать себя в абсолютной безопасности, поэтому вопросам защиты стоит постоянно уделять внимание. Выявление новых тенденций в сфере киберпреступлений — одно из основных направлений, по которым Интерпол сотрудничает с «Лабораторией Касперского», и цель этого взаимодействия — помочь государственным и частным компаниям обеспечить лучшую защиту от этих постоянно меняющихся угроз», — отмечает Санджай Вирмани (Sanjay Virmani), директор центра Интерпола, занимающегося расследованием киберпреступлений. Как банда Carbanak крала деньги: Когда приходило время забирать деньги, киберпреступники использовали онлайн-банкинг или платежные системы для перевода денег со счета банка на свой собственный. Мошеннические счета были открыты в банках Китая и Америки, однако эксперты не исключают, что преступники также могли хранить украденные деньги в банках других стран. В некоторых случаях злоумышленники проникали в системы бухгалтерского учета и при помощи мошеннических транзакций «раздували» баланс средств на счете. Например, преступники узнавали, что на счете хранилась 1 тысяча долларов США, тогда они увеличивали баланс до 10 тысяч, а затем переводили 9 тысяч себе. Владелец счета ничего не подозревал, поскольку имевшаяся изначально тысяча долларов по-прежнему была на месте. Помимо всего прочего, киберграбители получали контроль над банкоматами и активировали команды на выдачу наличных в установленное время. После этого к банкомату подходил кто-нибудь из членов банды и забирал деньги. «Лаборатория Касперского» рекомендует всем финансовым организациям внимательно просканировать свои сети на наличие вредоносного ПО Carbanak. В случае его обнаружения лучше всего обратиться к правоохранительным органам. техническая часть работы команды CARABANAK Во второй половине 2014 года мы уже неоднократно упоминали про целевые атаки на крупные финансовые учреждения как новую ступень мошенничества. Ведь теперь денежные средства похищают не у «мелких юрлиц», а у крупных финансовых компаний, в которых, казалось бы безопасность должна быть на высшем уровне и сложность совершения преступления приближается к «Hell». Однако, учитывая не стихающий поток подобных преступлений, а также особую актуальность на фоне текущего финансового состояния страны, мы решили обновить пост и добавить новых подробностей касательно группы Anunak, которая использует одноименного трояна, также известного как Carbanak. Название Carbanak происходит от склейки двух слов Anunak+Carberp. Краткий экскурс После задержаний членов группы Carberp в России, некоторые участники остались без работы, однако, полученный за долгие годы работы опыт позволил им занять новую нишу. Один из участников быстро понял, что можно украсть тысячу раз по $2 000 и заработать 2 миллиона долларов, а можно украсть всего лишь один раз и сразу всю сумму. С 2013г. активизировалась организованная преступная группа, нацеленная на банки и электронные платежные системы России и пост советского пространства. Особенностью является то, что мошенничество происходит внутри корпоративной сети, с использованием внутренних платежных шлюзов и банковских систем. Таким образом денежные средства похищаются не у клиентов, а у самих банков и платежных систем. Если доступ был получен злоумышленниками в сеть государственного предприятия, то целью злоумышленников является промышленный шпионаж. Основной костяк преступной группы составляют граждане России и Украины, однако есть лица, оказывающие им поддержку из Белоруссии. Средняя сумма хищения на территории России и пост советского пространства составляла 2 миллиона долларов США по курсу осени 2014г. С 2013 года ими были успешно получены доступы в сети более 50 Российских банков и 5 платежных систем, некоторые из них были лишены банковской лицензии. На текущий момент итоговая сумма хищений составляет более 1 миллиарда рублей, большая часть из которой приходится на второе полугодие 2014г. Среднее время с момента проникновения во внутреннюю сеть финансовой организации до момента хищения составляет 42 дня. В результате доступа во внутренние сети финансовой организации хакерам удавалось получать доступ к серверам управления банкоматами и заражать их своими вредоносными программами, что позволяло в дальнейшем опустошать их по команде. Также результатом проникновения в сеть был доступ к управлению платежными шлюзами (в случае платежных систем) и счетами банка. С 2014 года участники преступной группы начали активно проявлять интерес к Европейским ритейл компаниям. Для проникновения во внутреннею сеть используются целевые рассылки по электронной почте, или через другие бот-сети, для чего постоянно поддерживается контакт с владельцами крупных бот-сетей. С августа 2014 года они начали создавать свою крупную бот-сеть используя массовые рассылки по электронной почте, а не Driveby. Атаки в России Первое успешное ограбление банка было совершено ими в январе 2013 года. Во всех первых случаях злоумышленники использовали для удаленного доступа в сеть банка программу RDPdoor, а для удаления следов и вывода Windows компьютеров и серверов из строя программу MBR Eraser. Обе программы использовались участниками преступной группы Carberp, которой управлял Germes. Для снижения рисков лишиться доступа во внутреннею сеть банка, кроме вредоносных программ, злоумышленники использовали и легитимные программы для удаленного доступа как Ammy Admin и Team Viewer. В последствии от использования RDPdoor и Team Viewer злоумышленник полностью отказались. Кроме самих банковских и платежных систем хакеры получали доступы к серверам электронной почты, для контроля всех внутренних коммуникаций. Это позволяло им выяснить, что в сети банка была зафиксирована аномальная активность как она была установлена и какие меры будут предприниматься сотрудниками банка для решения проблемы. Контроль над почтой успешно устанавливался независимо от того был это MS Exchange или Lotus. Это позволяло им принимать обратные меры, позволяя сотрудникам банков и платежных систем получить ощущение что проблема была решена. Основные этапы развития атаки: 1. Первичное заражение компьютера рядового сотрудника. 2. Получение пароля пользователя с административными правами на некоторых компьютерах. Например, специалист технической поддержки. 3. Получение легитимного доступа к одному из серверов. 4. Компрометация пароля доменного администратора с сервера. 5. Получение доступа на контроллер домена и компрометация всех доменных активных учетных записей. 6. Получение доступа к серверам электронной почты и документооборота. 7. Получение доступа к рабочим станциям администраторов серверов и банковских систем. 8. Установка программного обеспечения для контроля активности операторов интересующих их систем. Обычно это фото и видео фиксация. 9. Настройка удаленного доступа к интересующим серверам включая изменения на межсетевых экранах. Инструменты Для проведения целевых атак в 2014 году злоумышленники закончили разработку своей основной вредоносной программы Anunak, которая используется вместе со следующими инструментами: Mimikatz — для получения паролей от локальных и доменных учетных записей MBR Eraser — для вывода операционной системы из строя SoftPerfect Network Scanner — для сканирования локальной сети Cain & Abel — для получения паролей SSHD-бэкдор — для получения паролей и удаленного доступа Ammy Admin — удаленное управление Team Viewer — удаленное управление Основной вредоносной программой является «Anunak» по классификации нашей лаборатории. Это троянская программа используется только для целевых атак, преимущественно на банки и платежные системы. Целевое использование позволяет ей оставаться малоизученной, что обеспечивает ей хорошую живучесть внутри корпоративных сетей. При написании данной вредоносной программы в некоторых местах использовался исходный код от банковской троянской программы «Carberp». «Anunak» обладает следующим набором функциональных возможностей. В него интегрировано программное обеспечение под названием «Mimikatz». Это программное обеспечение с открытым исходным кодом, позволяющее получать пароли учетных записей пользователей, совершивших вход в систему Windows. Однако данное программное обеспечение существенно изменено: при сохранении функциональных возможностей по получению паролей учетных записей был убран функционал взаимодействия с пользователем, информация об ошибках и ходе выполнения программы. Таким образом, при запуске вредоносной программы на сервере, скрытно будут скомпрометированы все доменные и локальные учетные записи, включая учетные записи администраторов. Для того чтобы получить пароли от учетных записей достаточно ввести последовательно две команды: «privilege::debug» и «sekurlsa::logonpasswords». При попадание этой программы на контроллер домена, либо сервер электронной почты, компрометируются практически все учетные записи домена, включая администраторов. Также существует возможность добавления файла исследуемой программы в исключения межсетевого экрана путем создания соответствующего правила через утилиту «Netsh». В программе реализован функционал перехватчика нажатых клавиш и присутствует возможность создания снимков экрана. Присутствует функционал, взаимодействующий с банковской системой iFOBS. На сервер управления вредоносной программой производится отправка ключевой информации, снимков экрана и архивов в формате «cab». Программа способна скрытно вносить изменения в ряд системных файлов предположительно с целью снятия ограничения настольных версий операционных систем «Microsoft Windows» на количество пользователей, которые могут одновременно подключиться к управляемой данной операционной системой ЭВМ по протоколу RDP с целью осуществления их удаленного администрирования. Существует возможность загрузки и запуска произвольных исполняемых файлов с управляющего сервера. Одним из таких файлов является программа «AmmyAdmin», которая способна запуститься с аргументами «-service» и «-nogui», что приведет к ее запуску в качестве службы и без интерфейса пользователя. «AmmyAdmin» позволяет по IP адресу и уникальному идентификатору соединяться через сервер «rl.ammyy.com» с другим ЭВМ, имеющим такое же программное обеспечение. В результате соединения злоумышленник получает удалённый доступ к ЭВМ пользователя с запущенным «AmmyAdmin» в обход межсетевых экранов. Снимок окна представлен на рисунке ниже: При получении доступа к серверам под управлением операционных систем семейства Linux злоумышленники используют SSH-бэкдор передающий на сервер злоумышленникам данные о логинах/паролях, используемых для доступа к серверу, а также предоставляет удаленный доступ злоумышленникам. Для обеспечения доступа к интересующим серверам правила на межсетевых экранах Microsoft TMG, CISCO и т.п. могут быть соответствующим образом изменены. Когда у злоумышленников еще не было основной вредоносной программы, которая проводила бы скрытую установку «AmmyAdmin» и сообщала бы злоумышленникам пароль для удаленного доступа, они использовали стороннюю вредоносную программу известную как «Barus». Данная вредоносная программа используется крайне редко и последний раз встречалась нам в 2013 году. Вредоносная программа является разработкой русскоязычных авторов. В панели управления можно заметить поле «Ammy ID» использование которого позволяло злоумышленникам осуществлять удаленное подключение. [url= Методы распространения вредоносов В самом начале своей деятельности в 2013 году из-за отсутствия целевого трояна злоумышленники начали распространять Andromeda и Pony. Распространяли указанные вредоносные программы методов Driveby через связку эксплойтов Neutrino Exploit Kit, как показано на рисунке ниже. Интересно, что источником трафика осенью 2013 года для них был сайтphp.net/. Трафик с этого ресурса они перенаправляли на связки еще с июля 2013 года, но обнаружен данный факт был значительно позднее. Имя одного из потоков для распространения вредоносной программы «LOL BANK FUCKIUNG», что соответствовало их деятельности. Параллельно с этим они использовали и другой способ заражений, который был одним из основных. Основным способом распространение является отправка писем с вредоносным вложением от имени Центрального банка РФ, потенциального клиента, либо реально существующего контрагента (к аккаунту которого предварительно осуществляется доступ, далее делается рассылка по контакт-листу). Вторым используемым способом является установка специальной вредоносной программы для проведения целевых атак с помощью другой вредоносной программы, которая могла попасть в локальную сеть случайным образом. Для выявления подобных вредоносных программ, преступная группа поддерживает связь с несколькими владельцами крупных бот-сетей, массово распространяющих свои вредоносные программы. Покупая у таких владельцев бот-сетей сведения об IP-адресах, где установлены их вредоносные программы злоумышленники проверяют IP-адреса на принадлежность финансовым и государственным структурам. Если вредоносная программа находится в интересующей их подсети, то злоумышленники платят владельцу крупной бот-сети за установку их целевой вредоносной программы. Подобные партнерские отношения были с владельцами бот-сетей Zeus, Shiz Ranbyus. Все указанные троянские программы являются банковскими и объясняются прошлыми взаимоотношениями. В конце 2013 года хакер под псевдонимом Dinhold начал строить свою бот-сеть на модифицированном Carberp, после выкладывания в открытый доступ его исходных кодов. С ними были попытки наладить аналогичное взаимодействие, однако, в 2014 году он был арестован не успев развить свою бот-сеть до необходимого уровня. Для проверки IP-адреса на принадлежность нужной сети использовался следующий скрипт: ************************************************************************************************************************* Код: #!/usr/bin/python # -*- coding: utf-8 -*- import os from bulkwhois.shadowserver import BulkWhoisShadowserver iplist_file = 'ip.txt' path = os.path.dirname(os.path.abspath(__file__)) bulk_whois = BulkWhoisShadowserver() iplist = [] with open(os.path.join(path, iplist_file)) as f: for line in f: iplist.append(line.strip()) result = bulk_whois.lookup_ips(iplist) with open(os.path.join(path, 'data.txt'), 'a') as f: for record in result: f.write('IP: %s CC: %s Org. Name: %s Register: %s AS Name: %s BGP Prefix: %s ------------------------------------------------------- ' % (result[record]['ip'], result[record]['cc'], result[record]['org_name'], result[record]['register'], result[record]['as_name'], result[record]['bgp_prefix'])) ************************************************************************************************************************* Наиболее опасными являются рассылки от имени партнеров с которыми финансовые и государственные учреждения осуществляются постоянный обмен данными по электронной почте. Пример подобной почтовой рассылки произошел 25 сентября 2014 года, в 14:11 с электронного почтового адреса «Elina Shchekina <[email protected]>», тема письма «Обновленная версия договора». Вложение «договор.doc» эксплуатирует уязвимости CVE-2012-2539 и CVE-2012-0158. Рассылка была проведена на более чем 70 адресов различных компаний (причем в рамках одной компании могло быть несколько адресов получателей). Письмо с вредоносным вложением (md5: AA36BA9F4DE5892F1DD427B7B2100B06) в архиве с паролем от потенциального клиента, отправленного менеджеру банка после предварительного телефонного разговора с ним. Звонок осуществляли из г. Санкт-Петербург. Содержимое текстового файла с именем «реквизиты.doc» ООО «Компания Наш Век» 109387, Россия, г. Москва, ул. Аносова, д. 24, офис 409 Тел. (495) 124-99-77 факс: (495)124-99-77 Тел. сот. (962) 7135296 E-mail:[email protected] ИНН 7329001307 КПП 732901001 рс 40702810613310001709 Филиал ВТБ 24 (ЗАО) г. Москва Кс 30101810700000000955 БИК 043602955

DOCTOR (02 June 2015 - 17:37) писал: Интересно как его нашли.... Очень подробно тут http://habrahabr.ru/post/196464/

если действительно меньше минуты то 3wmz. Если больше минуты то могу выложить в паблик за "спасибо бро, держи плюс в репу"

Ничего не умерло. Если на долго, то больше одного бакса на счету не оставляю. Плохо что детям с СНГ залить не могу с юсы. Если кто знает фонды помощи детям, которым можно донатить с юсы пп опубликуйте пожалуйста.

Я до 1 числа палку не трогаю. И так уже материала хорошего угроблено много. У кого-то из уважаемых на этом форуме видел инфу что палка к 29 числу каждого месяца на всю врубает фрауд защиту. Потом попробую по старинке - Велс/сан + телефон. Кстати по поводу куки. Была раскачанная палка, всегда на неё заходил с одного деда через лису с почищенными куками. Т.е. всегда с нуля. Все депалось, сендилось нормуль. Потом решил сохранить куки. Сохранил, через пару дней зашел на тот же дед (живучий попался), всё опять почистил, загрузил куки, зашел на палку и она тут же в лимит упала. Вот теперь и хз. Месяц без экспорт/импорт работала, после этих пантов с куками залимитилась. Сообщение отредактировал FillMorr: 28 May 2015 - 01:05

Последнее время не знаю. Лимитит как-то всё. Вериф 100% и после первого депа в лимит. Хз почему. Уже не один десяток саморегов за плечами и такого никогда не было. Гуглвоис однозначно надо. Подтверждение проходить часто приходилось и номера выручали. Сейчас надыбал мерч по созданию вцц с банк счетом и РТН к ним. Вцц в пп просто влетает. БА вяжется только минидепами. Кстати как только пркручиваю БА, сразу просит пройти подтверждение через смс. Получается вериф 100%. К этой палке привязываю велс инстантом, делаю деп. И в день прихода денег, аккаунт падает в лимит. Причину указывают что-то типа "прикручен дополнительный счет. Высокие риски. Нужны ....". И запрашивают всё что только можно запросить. А ПП с прикрученным только велсом, т.е. 60% верифа жила и депала нормально, давала депать уже по 300, пока я не наебулил с куками. Так что по поводу вцц скорее соглашусь с тем, что она больше портит чем помогает.

Тебе ещё проще. Я вроде видел ты инстантом на ру палку седануть можешь? Если так то вообще проблем никаких. Позвонили, спросили, Вы Иван Ваныч Иванов? Я. Сам свою симку пополняю. И всё, проблемма отплала сама сабой. Темболлее сейчас сервис новый рекламируют везде, http://www.allorussi...mobile_recharge Cистема таже что и в том мерче, который ты указал но они упор именно на ру делают. Пополнение с ру палки ру симки, темболее той, которая привязана к этой же палке вообще вопросов не вызовет. Ну я бы на их месте тебе пополнил )) Сообщение отредактировал FillMorr: 25 May 2015 - 03:34

i DOCTOR (25 May 2015 - 01:30) писал: что значит без розвонов на РУ сим? обьясните пожалуйтса! http://www.mobilerecharge.com = с этим сервисом не будет проблем? Прозвон надо принять холдеру палки. Они инстантом деньги списываю с палки, потом делают прозвон. Если все ок то ... хз, дальше я не прошел в эту игру. Т.к. регался там первый раз, то прозвон для меня стал сюрпризом к которому я не был готов. Звонит не робот, никаких цифр, кодов и т.д. вводить не надо. Депал с палки которая к гугл воису привязана. Потом поменял телефон на тот, который хотел пополнить. Туда тоже позвонили и начали общаться. Их интересовало, являюсь ли я холдером палки с которой пополняю. На английском. Короче мой рассказ о том что я порядочный гражданин США, просто приехал в РФ и родной язык из головы вылетел их не убедил. Короче у меня не получилось. Деньги на палку чере саппорт смог вернуть через 3 дня. Если не через саппорт, то через 30 дней возврат делают. Если получится отпиши, интересно что там дальше. А то после фразы "Are you mr. *****?" пошел мой рассказ и она бросила трубку.

запрос гугл к примеру [usa]mobile recharged+paypal. Почти все что найдешь в паблике и которые типа работают с ру/юа операторами делают прозвон холдеру палки. Звонит не робот. Суммы пополнения максимум 50$. Кстати задрот этими мерчами палки в 80% случаев заканчивается лимитом последней.

Кому надо больше трёх тысяч якобы ЭЛИТ прокси. Куплено на proxybridge.com, больше так никто не делайте. Приобретено сегодня. Предупреждаю сразу, очень много не рабочих. КАЧАТЬ СПИСОК пароль kkm%1x$J

Аккаунты на 888 в USD? какая страна? Кстати с 888 слить более чем реально. Акк на который заливать первый раз депится с вмз. Когда деп с вмз, документы никто не запрашивает. Конечно же надо немного поиграть. Депнули 50 баксов, проиграли 30, 20 на вывод ставите. На вмз в течении 8 дней сумма приходит. Потом опять депите. В принципе акк для слива готов, последующие выигранные деньги в течении 5 дней на кошельке. У меня проблема была в другом. Если деп делать с евро сс, то они и заходят в евро. Ну по Испании у меня так было. Что бы депнуть с сс нужно знать NIF, это их налоговый номер. В отличии от польских песелов и итальянских фискал кодов, нифа не генерируются, ну по крайней мере я не нашел. Если все вводите правильно, то первый деп влетает инстантом. С этого момента у вас 30 дней на то, что бы предоставить сканы документов, набор вроде стандартный, любой айди и билл. Но, эти 30 дней вы можете пополнять счет и естественно играть. Вы не можете вывести деньги, переслать их другому игроку и что самое не приятное, поменять валюту. И вот именно последнее для меня и стало проблемой. Если акк на европейца, то и сумма депозита только в евро. А для тех кто играет на евро, не доступны столы тех, кто играет на доллары. Т.е. поиграть с акком который у вас в долларах не получится. Но и это можно обойти, просто процесс более длительный. Конечно есть проблема в дедиках нормальных, которые поживут по дольше. Не все страны депятся с палки, не каждая страна депит с вебмани. Есть ещё подводные камни, но чтобы анриал, я бы так не утверждал. Имено такой конфиг работал в марте месяце. За два месяца что-то сильно изменилось? Сообщение отредактировал FillMorr: 08 May 2015 - 20:24

Данные для входа: [email protected]:dale1978 К.Карта: master_card ***4757 | 10/2015 | COMMONWEALTH BANK OF AUSTRALIA Банк: ***1711 | commonwealth bank Тип аккаунта: Personal | verified Имя и Фамилие: Rebecca Savage Адрес: 69 haywards road, Timboon, 3268, Australia | Unconfirmed Телефон: 0355983136 | Home Прокси: 201.12.73.78:3128 | HTTP Данные для входа: [email protected]:shadow30 К.Карта: master_card ***1892 | 6/2015 | COMMONWEALTH BANK OF AUSTRALIA Банк: ***1356 | commonwealth Bank Тип аккаунта: Personal | verified Имя и Фамилие: Tori Sumner Адрес: 30 Wasley Street Mount Lawley, Perth, 6050, Australia | Unconfirmed Телефон: 0893289651 | Home Прокси: 117.166.106.11:8123 | HTTP ••••••••••••••••••••••••••••••••••••••••••••••••••••• Данные для входа: [email protected]:bharathi К.Карта: master_card ***3000 | 7/2013 | MALAYAN BANKING BERHAD Банк: Не привязан Тип аккаунта: Personal | unverified Имя и Фамилие: Narayanasamy Yougeswary Адрес: Blk 165, Stirling Rd #05-1259, Singapore, 65, Singapore | Unconfirmed Телефон: 6591766251 | Home Прокси: 117.178.55.109:8123 | HTTP •••••••••••••••••••••••••••••••••••••••••••••• •••••••••••••••••••••••••••••••••••••••••••••••••••• Данные для входа: [email protected]:4675chloe К.Карта: visa ***7004 | 6/2015 | BARCLAYS BANK PLC Банк: Не привязан Тип аккаунта: Premier | unverified Имя и Фамилие: neil revell Адрес: 118 lindfield road, Nottingham, ng8 6hq, United Kingdom | Confirmed Телефон: 07874058636 | Mobile Прокси: 117.162.99.97:8123 | HTTP Данные для входа: [email protected]:diamondz27 К.Карта: visa ***5878 | 9/2015 | Suncorp-Metway Limited Банк: ***5786 | Suncorp Bank Тип аккаунта: Personal | verified Имя и Фамилие: jade sands Адрес: 125 Muir St, Labrador, 4215, Australia | Unconfirmed Телефон: 0468378707 | Mobile Прокси: 39.179.162.90:8123 | HTTP ••••••••••••••••••••••••••••••••••••••••••••• Данные для входа: [email protected]:bluedevil К.Карта: visa ***8576 | 10/2011 | Chase Bank USA, National Association Банк: ***3711 | US BANK NA Тип аккаунта: Premier | verified Имя и Фамилие: James Dankert Адрес: 2852 Jane Lane, Lincoln, 68516, United States | Confirmed Телефон: 2628789375 | Home Прокси: 117.170.120.62:8123 | HTTP Данные для входа: [email protected]:theodore К.Карта: Не привязан Банк: ***3597 | royal bank Тип аккаунта: Personal | verified Имя и Фамилие: erika louis Адрес: po box # 831, bella bella, v0t 1z0, Canada | Confirmed Телефон: 2509574231 | Home Прокси: 117.166.233.220:8123 | HTTP ••••••••••••••••••••••••••••••••••••••••••••••••• Данные для входа: [email protected]:iloveadam К.Карта: visa ***1265 | 8/2012 | Банк: ***7511 | mountain west Тип аккаунта: Premier | unverified Имя и Фамилие: oksana mills Адрес: 12114 E.Cataldo Ave,Apt#32, Spokane Valley, 99206, United States | Confirmed Телефон: 5098690408 | Home Прокси: 183.216.61.233:8123 | HTTP ••••••••••••••••••••••••••••••••••••••••••••••••••••• Данные для входа: [email protected]:l.1975.40 К.Карта: Не привязан Банк: Не привязан Тип аккаунта: Personal | unverified Имя и Фамилие: jose mendes jose teofilo mendes Адрес: trav. espirito s. 5 2? exq., ponta delgada, 9560-132, Portugal | Unconfirmed Телефон: 966655207 | Home Прокси: 186.47.41.2:8081 | HTTP ••••••••••••••••••••••••••••••••••••••••••••••••••••• Данные для входа: [email protected]:starace33 К.Карта: master_card ***6428 | 6/2012 | JPMORGAN CHASE BANK, N.A. Банк: Не привязан Тип аккаунта: Personal | unverified Имя и Фамилие: Carol Dorey Адрес: 1-134 Denmark St., Meaford, n4l 1e2, Canada | Unconfirmed Телефон: 5195385002 | Home Прокси: 110.74.219.35:8888 | HTTP Данные для входа: [email protected]:trailblazer К.Карта: visa ***0131 | 4/2017 | Lake Sunapee Bank, FSB Банк: ***2724 | Sugar River Savings Bank Тип аккаунта: Personal | verified Имя и Фамилие: Shane Bailey Адрес: 20 Alexander Ave, Newport, 03773, United States | Confirmed Телефон: 6038639419 | Home Прокси: 117.170.104.158:8123 | HTTP ••••••••••••••••••••••••••••••••••••••••••••••••••••• Данные для входа: [email protected]:bigdog69 К.Карта: visa ***9569 | 4/2016 | Metabank Банк: Не привязан Тип аккаунта: Premier | verified Имя и Фамилие: jason farmer Адрес: 126 urban st, hamilton, 45013, United States | Confirmed Телефон: 5137731323 | Home Прокси: 117.175.109.122:8123 | HTTP ••••••••••••••••••••••••••••••••••••••••••••••••••••• Вот эти забрал. Спасибо. Плюсанул.

сделайте кто-нибудь подобный Техас (TX)

Мотор или полная трансмиссия в таком же весе. Особенно на такие машины как субару врх сти и митсубиши эво. Там нетерплячка гонсчегов долбит нормально. + для данных авто это практически расходник.

Обратился к ТС. Нужен был дед Италия под мои требования. Нашел, отписал, предоставил. Всё работает отлично, всё ставится, в чёрных списках не стоит. Ну короче доволен.

http://rdpshop.rentshop.org/ деды в основном полный хлам. Медленные, много админских локов стоит, с говеными антивирусами, которые нихрена не разрешают. Деды отдаются в несколько рук, и даже не в две. На одном деде даже с соседом в блокноте друг для друга сообщения оставляли, типа куки не почистил )), подсказки по некоторым сервисам, т.к. одной дорожкой ходили. Но саппорт нормальный, если дед не рабочий или залоченый и т.д., то меняет его. http://new-ds.deer.io/ - отличные деды, но мало. http://dedik.neeh.ru/ http://dedik.neeh.ru/ - не пользовался, т.к. нет оплаты ВМ. Толья Я-дениги и киви. Если не автоматом, то на форуме есть селлер Hargos111 вот его тема. Надежно, проверенно многими, очень качественно и человек хороший.

Лучше дедов не найти. Очень шустрые. Нет никаких антивирусов, ни прочей админской лабуды. Очень удобно. Пользую уже 20 дней. Полет отличный. Жаль что выбор штатов пока не велик.

Да это понятно. Я там оговорился. Право на подачу иска есть всегда, а вот основания надо поискать. Вот такие договора и являются основанием для иска. Как правило, в них прописывается материальная ответственность, которая не предусмотрена КЗоТом или должностными инструкциями. А вообще, я пытался объяснить ТС, что договор регулирует отношение лишь между ним и предприятием. А отвечать он будет перед государством.