Всем салют, дорогие друзья! Многие из вас спрашивают, на чем я зарабатываю. Думаю, что ответ на этот вопрос довольно очевидный - я зарабатываю на Хакинге, OSINT'е и других направлениях, которыми делюсь с вами на канале.
В сегодняшней статье я бы хотел рассказать о 2-х своих делах:
◾️ В первом случае я заработал деньги не совсем легальным путем.
◽️Во-втором же деле - деньги кристально чистые.
Цель этой статьи - донести до вас, что деньги на хакинге можно зарабатывать так, как вам хочется:
✅ Хотите работать по-черному - окей!
✅ Хотите не нарушать закон и работать по-белому - пожалуйста!
В этом вся прелесть хакинга в том, что знания и навыки можно применять так, как вам захочется. Что на черной, что на белой стороне - они одинаковые.
⚡️ Ну, а теперь перейдем к моим отчетам!
Содержание статьи:
Черный: Угнал 4 биткойна у богатенького пиндоса и заработал 6.309.169 рублей.
«Них*я себе сумма!», - подумает большинство из вас.
«Дело случая», - отвечу я.
Технически в этой атаке нет вообще ничего сложного, я провернул ее за пару дней. Гораздо труднее было найти саму цель - перспективного держателя крипты.
Один из самых частых вопросов, которые мне задают - это «как и какими инструментами можно взломать сайт/компьютер/ и т.д.?», «Какие данные минимально нужны для того, чтобы взломать человека?» Я редко когда расписываю полную картину. Часто отвечаю только про основные методы взлома. На деле взломать можно через что угодно: mp3 файлы, фотографии, архивы, даже картинку на сайте!
Я редко говорю об этих методах, потому что они не универсальные и основаны на уязвимостях. Получить информацию о подобной уязвимости - уже трудная задача. Для самостоятельного поиска нужны основательные знания, а покупка готового варианта стоит очень больших денег.
Человеку без знаний тонкостей дела куда проще начинать с исполняемого файла. Всё равно в результате любой атаки конечная цель - исполнить свой код на машине. Но на этот раз у меня есть повод рассказать подробнее о практической части. В ходе недавней атаки мне пришлось использовать уязвимости в установленных программах для того, чтоб попасть на машину...
Атака начиналась как обычно. Я нашёл перспективного держателя криптовалюты. Причём нашёл в достаточно интересном месте, на форуме поддержки bitcoin core приложения.
Bitcoin core - это оригинальное приложение для хранения и обмена Вitcoin. Его особенность в том, что данные кошелька хранятся локально в файле wallet.dat, а не на сервере как во всех online кошельках. Причём во многих случаях этот файл никак не зашифрован. Изначально функции шифрования вообще не существовало, и большинство старых кошельков находятся в открытом виде.
Для перехвата кошелька без пароля достаточно просто слить wallet.dat, и полный доступ к средствам в кармане. Запароленные кошельки шифруются, единственный способ попасть в такой кошелёк - ввести правильный пароль. Тут можно действовать в лоб, и подобрать правильную комбинацию методом брута (программного перебора). Поскольку все данные хранятся в offline, можно совершать сколько угодно попыток и на любом количестве устройств, доступ никто не сможет заблокировать, даже никакое оповещение владельцу не придёт. Но я смог найти более изящный способ заполучить пароль…
По активности цели на форуме можно было предположить, что на счёту у него приличная сумма. Но всё равно первым делом я узнал точную сумму на его счету в bitcoin core. Эту информацию я понял в результате переписки с ним.
В теме на форуме, где я его нашёл, он разбирался с ошибкой dll при попытке подписать сообщение. Эта функция нужна для подтверждения права владения адресом. На скриншоте в теме не был виден баланс кошелька, его перекрывало меню sign message с ошибкой:
Мне надо было получить скриншот главного окна, где написан баланс. Пишу ему в личку, говорю, что у меня была такая же проблема, и её можно убрать установкой зависимостей. Для этого есть пункт install dependencies в меню settings. На самом деле такого пункта не существует. Как только он мне написал, что не может его найти, я попросил его отправить скриншот меню settings, чтобы подсказать, какой это пункт меню у него. В итоге получил это:
Ставки известны. У него на счету практически 4 биткойна. Это из хороших вестей, а из плохих - wallet.dat зашифрован. И метод получения пароля к нему зависит от того, какой доступ я смогу получить к его машине.
Для начала атаки попробовал самый очевидный метод. Найти программу для устранения проблем с драйверами, склеить её с вирусом и закинуть ему. Если получится убедить его запустить программу на хосте (а драйвера нужны именно там), то часть дела сделана, и wallet.dat я заполучу. Остаётся ещё взломать его, но это уже проблема следующего порядка.
Внаглую кидать .exe было бы слишком палевно и я не хотел так рисковать. Для закидывания файла был разработан небольшой лэндинг. Весь его дизайн был взят с уже существующего сайта, описание было позаимствовано у подобной программы. Только файл был заменён на вирусную версию, и описание ошибки подогнано под него. Со стороны создавалось впечатление, что страничка зарекомендовавшей себя программы.
Связываюсь с ним. Говорю, что если в меню нет функции для загрузки всего необходимого, то нужно сторонней программой недостающие компоненты устанавливать. И скидываю ему ссылку на лэндинг. Я рассчитывал, что он не на столько параноик, чтобы не скачать ПО с "официального" сайта.
Однако, всё пошло не по плану. Следующее сообщение от него было о том, что он будет устанавливать версию как у меня, с функцией установки зависимостей, мотивировав это тем, что так надёжнее. И спросил у меня номер версии, которой я пользуюсь. Тут стало очевидно, что создавать новый лэндинг с вирусным bitcoin core вряд ли хорошая идея, он следит за тем, что качает.
Тогда я пошёл на сервер проверять, заходил ли он вообще на лэндинг. Заходил, в логах появилась новая запись с другим браузером, ко мне в руки попал его IP. И решил попробовать получить доступ в систему через него. Для начала выполнил сканирование на предмет открытых портов. Оказалось, что на машине много программ слушают разные порты.
В первую очередь внимание упало на 22 порт, на нём обычно находится ssh. Его повсеместно можно встретить на linux, а вот на windows это редкость. SSH даёт право удалённо исполнять команды от имени пользователя, поэтому простор для атаки тут большой. Подключившись напрямую к порту я увидел это:
Поискав информацию о RebexSSH, я понял, что это не просто SSH, а SFTP сервер. Как FTP, только с шифрованием. Судя по всему, это не очень популярная программа, и поддерживается она не активно. Идеальная цель для атаки. Готового эксплоита под неё у меня не было, времени возится с исходным кодом тоже.
За помощью со взломом я обратился к знакомому, который занимался взломом SSH. Я рассчитывал, что он подскажет, какие слабые или устаревшие алгоритмы авторизации есть в программе. Вместо этого он сказал, что у него есть готовый эксплоит под эту версию RebexSSH. В интернете его было не найти, поэтому то, что он поделился им со мной сильно ускорило процесс. Полученная мною уязвимость позволяла обходить авторизацию. С FTP доступом можно скачать wallet.dat. И тут мне пришла в голову идея, как используя мой доступ к файлам получить пароль. Для начала хотел загнать ему вирус. FTP не позволяет запускать программы, но почему бы не подменить какую-то часто используемую программу на связку с вирусом! Например, браузер. Тогда при попытке открыть браузер он активирует мой вирус. А там уже можно запустить кейлоггер и перехватить пароль. Только вот пароль шифрования запрашивается не при любом запуске. На этом месте мне в голову пришла просто гениальная идея. Подменить сам Bitcoin Core! Причём не на бандл с вирусом, а вшить в программу функцию запроса ключа расшифровки.
Такое невозможно заметить, каким бы внимательным ни был человек. Ты запускаешь кошелёк, и тебя просит ввести пароль расшифровки его. Всё очень логично. А введённый пароль отправляется мне в придачу с wallet.dat.
Я попросил кодера из команды пропатчить кошелёк на запрос пароля. Я не знаю как, но рабочая программа была уже на следующий день. Через уязвимость я заменил экзешник кошелька, и уже к вечеру в админке лежал кошелёк с паролем к нему.
Одним из самых долгих этапов оказалось ожидание загрузки Bitcoin Core. Чтобы импортировать wallet.dat пришлось ждать загрузки всего Blockchain. После синхронизации у меня в руках был полный доступ к его кошельку. Деньги с него я вывел на новый Blockchain кошелёк, приватный ключ к которому есть только у меня.
Мой чистый заработок составил 3.90249669 BTC.
Давайте переведу в рубли, что бы было понятней:
6.309.169 рублей
Вот такое вот дело вышло... Ну, а теперь давайте перейдем к белому!
Белый: 969.823 руб. на участии в программах BugBounty
В этот раз была поставлена цель заработать весь кэш легально, поучаствовав в программах BugBounty на сайте hackerone.com.
Для чего я это сделал?
Тут есть несколько причин:
Показать пример ребятам, которые только начинают свой путь. Ведь для того, что бы зарабатывать много - не обязательно лезть в чернуху.
Сегодня сфера багхантинга актуальна, как никогда. В связи с ситуацией в мире, количество кибератак взлетело до небес. От того все больше и больше компаний готовы платить за свою безопасность.
Ну, а сейчас вкратце расскажу сколько и на каких именно уязвимостях мне удалось заработать:
1. $2.500 заплатил мне TikTok за найденную XSS уязвимость
Уязвимость межсайтового скриптинга (XSS) была обнаружена на конечной точке TikTok Ads. Я просто-напросто загрузил SVG-файл (изображение), которое содержало в себе полезную нагрузку (вредоносный код). И это сработало!
Кстати, если вы захотите поиграться с уязвимостями XSS, то могу посоветовать вам довольно интересный инструмент под это дело: XSS-LOADER TOOLS
Возвращаясь к найденной уязвимости: я не совру, если скажу, что это самые легкие $2.500 в моей жизни, заняло у меня все это дело от силы час-полтора.
2. $11.500 за критическую уязвимость в сервисе Stripe
В данном случае мне удалось обнаружить токен, который содержался в пригласительной ссылке Taxjar.
Это критическая уязвимость, используя которую злоумышленник мог с легкостью завладеть учеткой пользователя и украсть все его деньги.
Я передал данные о том, чем именно была вызвана уязвимость, а именно: утечкой токена в функции запроса на удаление приглашения.
И дал рекомендации по её устранению: стоит использовать идентификатор приглашения вместо токена.
Да, вот так просто. Как видите, критическая ошибка появилась на ровном месте. Все из-за того, разработчик попросту не подумал о том, что казалось бы безобидную ссылку могут использовать в противоправных целях.
Итого
В общей сложности, с 2-х уязвимостей, мной было заработано $14.000, что равняется ~969.823 руб.
Из-за санкций приходится все выводить не на банковский счет в банке РФ, а в зарубежный банк, а потом уже крипту (благо проблем с этим никаких нет):
Кому-то из вас может показаться, что сумма довольно небольшая. И я с этим соглашусь. Однако, стоит принять во внимание тот факт, что заработал я её всего за 3 дня. Хотел бы отметить, что при желании все легко масштабируется до десятков миллионов рублей.
Простая математика: большинство из вас ходит на работу по графику 5 через 2, что в итоге дает нам ~20 рабочих дней в месяц. Теперь просто представьте, сколько можно заработать за эти 20 дней, занимаясь багхантингом, а не просиживая штаны на работе.
Этим отчетом я хотел на своем примере показать, что хорошие деньги на хакинге можно зарабатывать легально. Надеюсь, что у меня это получилось.
Друзья, благодарю вас за внимание ❤️
Оставайтесь на связи, я подготовил для вас кое-что интересное 🔥