restore9
Опытный user
- Регистрация
- 13 Июл 2022
- Сообщения
- 245
- Реакции
- 17
Вступление
Redline - один из самых популярных в СНГ коммьюнити стиллеров. На данном форуме большинство объединений (тим, команд - называйте как хотите) для работы используют именно его.
Но так ли он безопасен, как кажется? В данной статье мы рассмотрим этот крайне важный для многих вопрос (спойлер: с безопасностью у ПО серьезные проблемы).
Поиск и анализ семпла
Очевидно, что самый простой способ найти семпл данного ВПО - зайти на YouTube (через который, как я понимаю, добывает логи более 80% данного форума). Введя в строку поиска "Free cheats Fortnite" и выбрав первое попавшееся видео, убеждаемся в правильности своих догадок:
![[IMG]](https://i.imgur.com/kEnbWFp.png "[IMG]")
К сожалению, архив с оригинальным файлом на данный момент удален файлообменником (MediaFire), так что дальше будут старые скрины.
Открыв архив, видим следующую картину:
![[IMG]](https://i.imgur.com/Ckokv05.png "[IMG]")
PS: на данном скриншоте я специально выключил функцию "Показывать расширения файлов", чтобы продемонстрировать, как видит данный файл неискушенный пользователь.
Давайте опустим обсуждение уровня умственного развития человека, который сделал подобный архив, и приступим к анализу самого ПО.
После первичной загрузки файла в анализатор DiE (Detect it Easy) было выяснено, что файл однозначно упакован (как оказалось впоследствии, это был EasyCrypt, но сегодня речь не о нем). Снять защиту удалось с помощью данного сайта.
Повторный анализ показал, что файл был успешно распакован, а, значит, можно загружать его в DnSpy:
![[IMG]](https://i.imgur.com/BVUhM8z.png "[IMG]")
Названия классов изменены, но это ни капли не мешает анализу исходного кода (тем более, их можно переименовать без какого-либо ущерба для работы программы):
![[IMG]](https://i.imgur.com/JaBBFhf.png "[IMG]")
В первом же классе обнаруживаем все необходимые для сегодняшнего выпуска данные:
![[IMG]](https://i.imgur.com/Fa2C4DD.png "[IMG]")
А теперь вопрос: как вы думаете, что же означает строка "ID"? Правильный ответ - Telegram ник распространителя (или воркера, если по простонародному). К слову: он присутствует на данном форуме.
Так же легко вычисляется и IP удаленного сервера, на котором расположена панель: в данном случае это 62.204.41.141
Если вы думаете, что полученные данные ничего не дают - вы ошибаетесь. По полученному никнейму можно найти телефон человека (проще всего сделать это, если вы работаете в соответствующих госорганах), и, в 99% случаев, даже если сим-карта оформлена не на человека или его близких, найти реального злоумышленника.
IP адрес панели также может дать определенному кругу лиц входную точку для деанонимизации ТСа либо попытки слива логов.
Заключение
Конечно, вы можете сказать, что "кто не работает по RU - к тому не приходят по утру", но это не совсем так. Если вы реально заинтересуете некоторых людей, то вычислить вас не составит никакого труда.
Статья не призвана напугать вас или отговорить от занятия данным делом, так как каждый выбирает свой путь сам.
На сегодня все. Если вам понравился материал, буду рад услышать ваши отзывы и предложения по будущим статьям. До новых встреч!
Redline - один из самых популярных в СНГ коммьюнити стиллеров. На данном форуме большинство объединений (тим, команд - называйте как хотите) для работы используют именно его.
Но так ли он безопасен, как кажется? В данной статье мы рассмотрим этот крайне важный для многих вопрос (спойлер: с безопасностью у ПО серьезные проблемы).
Поиск и анализ семпла
Очевидно, что самый простой способ найти семпл данного ВПО - зайти на YouTube (через который, как я понимаю, добывает логи более 80% данного форума). Введя в строку поиска "Free cheats Fortnite" и выбрав первое попавшееся видео, убеждаемся в правильности своих догадок:
К сожалению, архив с оригинальным файлом на данный момент удален файлообменником (MediaFire), так что дальше будут старые скрины.
Открыв архив, видим следующую картину:
PS: на данном скриншоте я специально выключил функцию "Показывать расширения файлов", чтобы продемонстрировать, как видит данный файл неискушенный пользователь.
Давайте опустим обсуждение уровня умственного развития человека, который сделал подобный архив, и приступим к анализу самого ПО.
После первичной загрузки файла в анализатор DiE (Detect it Easy) было выяснено, что файл однозначно упакован (как оказалось впоследствии, это был EasyCrypt, но сегодня речь не о нем). Снять защиту удалось с помощью данного сайта.
Повторный анализ показал, что файл был успешно распакован, а, значит, можно загружать его в DnSpy:
Названия классов изменены, но это ни капли не мешает анализу исходного кода (тем более, их можно переименовать без какого-либо ущерба для работы программы):
В первом же классе обнаруживаем все необходимые для сегодняшнего выпуска данные:
А теперь вопрос: как вы думаете, что же означает строка "ID"? Правильный ответ - Telegram ник распространителя (или воркера, если по простонародному). К слову: он присутствует на данном форуме.
Так же легко вычисляется и IP удаленного сервера, на котором расположена панель: в данном случае это 62.204.41.141
Если вы думаете, что полученные данные ничего не дают - вы ошибаетесь. По полученному никнейму можно найти телефон человека (проще всего сделать это, если вы работаете в соответствующих госорганах), и, в 99% случаев, даже если сим-карта оформлена не на человека или его близких, найти реального злоумышленника.
IP адрес панели также может дать определенному кругу лиц входную точку для деанонимизации ТСа либо попытки слива логов.
Заключение
Конечно, вы можете сказать, что "кто не работает по RU - к тому не приходят по утру", но это не совсем так. Если вы реально заинтересуете некоторых людей, то вычислить вас не составит никакого труда.
Статья не призвана напугать вас или отговорить от занятия данным делом, так как каждый выбирает свой путь сам.
На сегодня все. Если вам понравился материал, буду рад услышать ваши отзывы и предложения по будущим статьям. До новых встреч!
