- 372
- 128
- 22 Июн 2019
Основная концепция безопасности не меняется. Все базовые правила, что были в курсе безопасности, применимы и здесь. Основной безопасности можно назвать работу через виртуальные машины. Поскольку мы работаем с вирусами, есть шанс по неосторожности запустить его. Самое плохое здесь не то, что данные после отработки вируса попадут на сервер, а то, что реальные данные останутся в логе провайдера.
Больше всего хакеров попадается на том, что они с самого начала не до конца выстраивали безопасность, а дорабатывали её по мере развития вируса. Пока у тебя маленькая сеть, никаких громких дел за тобой нет и т.п., тебя никто не ищет. То есть управлять ботнетом из 1000 машин можно чуть ли не со своего компьютера, и никто за тобой не придёт. Поэтому в начале хакеры сидят через простенькие одинарные VPN. По мере роста сети они начинают привлекать всё больше интереса, и когда в полиции собирается несколько заявлений о крупных кражах, начинаются поиски. Не важно, что на момент похищения схема безопасности могла улучшиться в разы. Цепь на столько крепка, на сколько крепко её самое слабое звено. Нередко поиски заканчиваются тем, что спецслужбы получают доступ к серверам вируса, прерывают там все логи, вытаскивают информацию раннюю информацию о владельце, раскручивают её и так выходят на реальную личность.
Даже если сервера много раз менялись и логи запутывались, зачастую можно восстановить всю картину. При крупных поисках анализируется почерк хакера. Это может быть время атак, используемые вирусы, данные криптора, хостеры серверов и т.п. Подняв всё зачастую можно найти все логи за всё время. И стоит 1 раз не туда зайти, случайно открыть вирус не там, закинуть рабочий вирус соседу по подъезду, и это станет гигантской угрозой безопасности. Поэтому минимальная рекомендуемая схема безопасности: интернет через модем, VPN(лучше Doube VPN) на хост машине, виртуалка через защищённую сеть whonix.
Сервера
Это безопасность при подключении. Но для настройки многих вирусов им понадобятся сервера. На первое время подойдёт маломощный VPS. Вообще сервера есть 3х категорий: обычные сервера, абузные сервера, сервера под ботнеты.
Обычные сервера можно взять, например, на rockhoster.com. Там есть оплата через bitcoin. При регистрации обычных серверов практически везде попросят ФИО, телефон, адрес, почту. Почну надо указывать специально сделанную под конкретное дело. Надёжный почтовик - protonmail.com, для быстрой регистрации - cock.li(он тоже надёжный, но там нет восстановления пароля и дополнительной защиты на вход). Все остальные данные можно взять из генератора данных. Важно чтобы они действительно существовали. В последнее время во многих местах данные пробиваются по гео базам, поэтому если имя с фамилией и адресом выглядят неправдоподобными, то в регистрации vps могут отказать.
Второй тип - абузные сервера. Это сервера, на которых разрешены некоторые абузные сервисы. Ботнеты практически везде запрещены, но это не проблема, если маленькая сеть: такую быстро не забанят. Преимущество использования абузного сервера заключается в том, что они будут лучше хранить данные об использовании. Получить логи с них намного труднее, поэтому они немного безопаснее, но дороже. Примером такого сервиса является abusehosting.net. У них есть описание тех абузов, которые разрешены на нём. Поэтому некоторые смежные с вирусологией проекты можно хостить там без боязни бана.
Третий тип - сервера под ботнеты. Там есть гарантии, что сервер с его IP будет работать, даже если на него будут приходить ботнет жалобы. Чтобы эффективно построить сеть могут использоваться промежуточные сервера, техники fast fux, тор реле и ещё много чего. Это решение на случай, если идёт чёрный трафик средних размеров. Из минусов только цена, которая начинается от нескольких сотен долларов в месяц. Искать подобные предложения надо на даркнет форумах.
Подводя итог, на первое время надо использовать обычные сервера или абузные сервера. Как сеть разрастается, переходим на абузные ботнет сервера.
Но при увлечении сети, особенно при сверх больших маштабах, используется другой тип управления ботами - p2p. Это позволяет не использовать сервера вообще, а вместо этого распределить управление на заражённые машины. В плане безопасности это одно из самых перспективных направлений, и они самое масштабируемое.
.
Виртуальные машины
Для тестирования вирусов лучше подготовить отдельную виртуальную машину. Это делается для того чтобы с логами на сервер не утекла важная информация, которую может собрать вирус. Надо иметь ввиду, что доступ к серверу может быть перехвачен, поэтому свои данные там лучше лишний раз не светить.
По большой части работа ведётся с виртуалке на windows 7. Но хорошо там же под рукой иметь и машину с windows 10. Практически все машины на windows работают под управлением этих систем. При первой установке windows 7 на нём не будет net framework 4. Он нужен для запуска большинства программ и у пользователей есть, поэтому первым делом надо его поставить. .net framework 4 можно без проблем скачать с официального сайта microsoft. Виртуалку для тестов надо подключать только через gateway. Работа напрямую с одного VPN при запуске вирусов не приветствуется.
После установки и настройки надо первым делом сделать снимок состояния машины. После каждого теста вируса желательно откатывать изменения до сохранённого состояния.
Управление
Для управления можно тоже использовать отдельную виртуалку, главное, чтобы тестирование вирусов проводилось на чистой машине. Часто надо будет подключаться к серверу по ssh. Для этого в виртуальный windows можно установить ssh клиент putty. Он поддерживает прокси, и лучше достать на него прокси методом, которым добываются прокси для браузера. Это гарантирует, что даже при использовании своей ноды её следов не останется. ssh делает сквозное шифрование, поэтому любые прокси подойдут, прослушка на них не даст никаких результатов
Больше всего хакеров попадается на том, что они с самого начала не до конца выстраивали безопасность, а дорабатывали её по мере развития вируса. Пока у тебя маленькая сеть, никаких громких дел за тобой нет и т.п., тебя никто не ищет. То есть управлять ботнетом из 1000 машин можно чуть ли не со своего компьютера, и никто за тобой не придёт. Поэтому в начале хакеры сидят через простенькие одинарные VPN. По мере роста сети они начинают привлекать всё больше интереса, и когда в полиции собирается несколько заявлений о крупных кражах, начинаются поиски. Не важно, что на момент похищения схема безопасности могла улучшиться в разы. Цепь на столько крепка, на сколько крепко её самое слабое звено. Нередко поиски заканчиваются тем, что спецслужбы получают доступ к серверам вируса, прерывают там все логи, вытаскивают информацию раннюю информацию о владельце, раскручивают её и так выходят на реальную личность.
Даже если сервера много раз менялись и логи запутывались, зачастую можно восстановить всю картину. При крупных поисках анализируется почерк хакера. Это может быть время атак, используемые вирусы, данные криптора, хостеры серверов и т.п. Подняв всё зачастую можно найти все логи за всё время. И стоит 1 раз не туда зайти, случайно открыть вирус не там, закинуть рабочий вирус соседу по подъезду, и это станет гигантской угрозой безопасности. Поэтому минимальная рекомендуемая схема безопасности: интернет через модем, VPN(лучше Doube VPN) на хост машине, виртуалка через защищённую сеть whonix.
Сервера
Это безопасность при подключении. Но для настройки многих вирусов им понадобятся сервера. На первое время подойдёт маломощный VPS. Вообще сервера есть 3х категорий: обычные сервера, абузные сервера, сервера под ботнеты.
Обычные сервера можно взять, например, на rockhoster.com. Там есть оплата через bitcoin. При регистрации обычных серверов практически везде попросят ФИО, телефон, адрес, почту. Почну надо указывать специально сделанную под конкретное дело. Надёжный почтовик - protonmail.com, для быстрой регистрации - cock.li(он тоже надёжный, но там нет восстановления пароля и дополнительной защиты на вход). Все остальные данные можно взять из генератора данных. Важно чтобы они действительно существовали. В последнее время во многих местах данные пробиваются по гео базам, поэтому если имя с фамилией и адресом выглядят неправдоподобными, то в регистрации vps могут отказать.
Второй тип - абузные сервера. Это сервера, на которых разрешены некоторые абузные сервисы. Ботнеты практически везде запрещены, но это не проблема, если маленькая сеть: такую быстро не забанят. Преимущество использования абузного сервера заключается в том, что они будут лучше хранить данные об использовании. Получить логи с них намного труднее, поэтому они немного безопаснее, но дороже. Примером такого сервиса является abusehosting.net. У них есть описание тех абузов, которые разрешены на нём. Поэтому некоторые смежные с вирусологией проекты можно хостить там без боязни бана.
Третий тип - сервера под ботнеты. Там есть гарантии, что сервер с его IP будет работать, даже если на него будут приходить ботнет жалобы. Чтобы эффективно построить сеть могут использоваться промежуточные сервера, техники fast fux, тор реле и ещё много чего. Это решение на случай, если идёт чёрный трафик средних размеров. Из минусов только цена, которая начинается от нескольких сотен долларов в месяц. Искать подобные предложения надо на даркнет форумах.
Подводя итог, на первое время надо использовать обычные сервера или абузные сервера. Как сеть разрастается, переходим на абузные ботнет сервера.
Но при увлечении сети, особенно при сверх больших маштабах, используется другой тип управления ботами - p2p. Это позволяет не использовать сервера вообще, а вместо этого распределить управление на заражённые машины. В плане безопасности это одно из самых перспективных направлений, и они самое масштабируемое.
.
Виртуальные машины
Для тестирования вирусов лучше подготовить отдельную виртуальную машину. Это делается для того чтобы с логами на сервер не утекла важная информация, которую может собрать вирус. Надо иметь ввиду, что доступ к серверу может быть перехвачен, поэтому свои данные там лучше лишний раз не светить.
По большой части работа ведётся с виртуалке на windows 7. Но хорошо там же под рукой иметь и машину с windows 10. Практически все машины на windows работают под управлением этих систем. При первой установке windows 7 на нём не будет net framework 4. Он нужен для запуска большинства программ и у пользователей есть, поэтому первым делом надо его поставить. .net framework 4 можно без проблем скачать с официального сайта microsoft. Виртуалку для тестов надо подключать только через gateway. Работа напрямую с одного VPN при запуске вирусов не приветствуется.
После установки и настройки надо первым делом сделать снимок состояния машины. После каждого теста вируса желательно откатывать изменения до сохранённого состояния.
Управление
Для управления можно тоже использовать отдельную виртуалку, главное, чтобы тестирование вирусов проводилось на чистой машине. Часто надо будет подключаться к серверу по ssh. Для этого в виртуальный windows можно установить ssh клиент putty. Он поддерживает прокси, и лучше достать на него прокси методом, которым добываются прокси для браузера. Это гарантирует, что даже при использовании своей ноды её следов не останется. ssh делает сквозное шифрование, поэтому любые прокси подойдут, прослушка на них не даст никаких результатов
