Работа с логами для начинающих

Поделюсь своим опытом по работе с логам. Не эксперт, но что-то подсказать смогу.

Что такое лог?

Это в первую очередь журнал действий, история, последовательность операций, а во вторую – информация с заражённого устройства, так как многие данные машины собираются в своего рода журнал/каталог. Важно это понимать, чтобы в дальнейшем не было путаницы.

Например:

Я скачала лог, а внутри него, в папке File Grabber лог активности Steam.

Расшифровка:

Я скачал информацию с заражённого ПК, а в папке File Grabber история логинов/ошибок/вылетов Steam.

Надеюсь, понятно. В 90% этой статьи будет идти речь именно о информацию с заражённого ПК. Идём дальше.

Рассмотрим лог со ******а Redline. Внутри чаще всего можно встретить такие папки:

• Cookies – временные файлы и сессии браузера, самый важный элемент лога.
• File Grabber – файлы с рабочего стола, которые может утянуть лог. Чаще всего это текстовые *********, так как размер передаваемых файлов ограничен.
• Wallets – крипто-кошельки, иногда фиатные.
• Credit Cards – данные о картах, которые сохранены в браузере. Номер, срок действия, имя владельца.
• Steam – сессии и конфигурация Steam.
• Autofills – сохранённые формы для автозаполнения. Имя, адрес, почтовый индекс, телефон, прочее.

В корневой паке будет такие файлы:

• BrowserFingerprint.json – отпечаток браузера. Позволяет заработать больше очков сходства с оригинальной машиной.
• DomainDetects – сайты, на которые выставлен фильтр в панели Redline. Чаще всего платёжные системы и банки.
• mportantAutofills – наиболее часто используемые шаблоны автозаполнения.
• InstalledBrowsers – информация о браузерах.
• InstalledSoftware – установленные программы. Очень и очень ценная информация для тех, кто уже понял, что делать.
• Passwords – пароли и логины, которые сохранил браузер. Вторая по ценности вещь после Cookies.
• ProcessList – список процессов, которые запущенны на данный момент. Аналогично установленным программам, ценная информация.
• Screenshot – скриншот рабочего стола в момент открытия. По нему можно узнать разрешение экрана, язык системы, время, прочую информацию, которая понадобится для дальнейшей работы.
• UserInformation – системная информация о машине. Чем больше пунктов получится скопировать, тем лучше.

Что с этим всем делать?

Смотрим откуда лог (страна, регион). Изучаем, какие сайты там популярны. Если это не USA или знакомая страна, лучше потратить время на изучение. Очень часть отработка лога выглядит так: зашли в Paypal, Bitcoin wallet, Neteller, Skrill и выбросили в отработку.

Небольшое отступление. Большая часть *****, которая раздаётся и продаётся, это отработка. Свежий лог обрабатывается самостоятельно, при чём очень легко. После того, как лог отлежался, у cookie уже истечет срок давности и они станут практически бесполезны.

Например, срок давности сессии в банке – около 15 минут. Если зайти в онлайн банк и 15 минут ничего не делать, скорее всего вас выкинет и надо будет входить ещё раз. Это значит, что скинуть все деньги на другой банковский счёт можно как только лог был получен (при условии, что на заражённой машине был логин в онлайн-банкинге). ****, которые продают на форумах уже не подойдут для такого.

Как правильно отработать лог?

Изучили страну лога, посмотрели какие там есть сайты, что интересного, идём далее. Для начала открываем Passwords. Листаем, смотрим интересные сайты, выписываем в блокнот, НЕ заходим.

Если лог кажется интересным, открываем папку Cookies, берем все файлы по очереди и вставляем в браузер через расширение Edit This Cookie. Плагин принимает формат JSON, поэтому их надо будет предварительно конвертировать. Импортируем куки и содержимое файла BrowserFingerprint.json.

Открываем скриншот рабочего стола, смотрим языковую панель, ставим язык, который в этот момент был на машине, то же самое касается часового пояса. Часть этой информации можно найти в UserInformation . Тот же ставим в браузере в настройках. Если работаем через сферу, ставим все данные, которые сможем скопировать из UserInformation. Это не обязательно, но очень рекомендовано.

Важно! Если на рабочем столе есть графические редакторы, видеоредакторы, программы для работы с 3D-графикой или в папках ProcessList/InstalledSoftware есть что-то подобное, закрываем лог и идём дальше. На этой машине будет нестандартный набор шрифтов, то есть FontPrint, который сравнивают многие сайты. ****** Redline не собирает информацию о шрифтах, поэтому такие логии лучше отложить или вовсе оставить.

Открываем ***. Желательно Nord, так как в нём есть региональные серверы, которые очень детально могут скопировать адрес заражённой машины. Подготовка завершена. Можно работать.

Все сайты в логах можно разделить на 3 вида:

• защищенные: почта, банк, социальные сети, кошельки, мессенджеры. Даже не пытайтесь сюда заходить, если не пустило автоматически через cookie, не нужно пробовать вводить пароль сразу. Есть шанс, что попросит пройти двухфакторную аутентификацию, а значит владелец увидит попытку логина и сможет поменять пароли. Именно пароли, так как чаще всего люди начинают менять их на всех важных сайтах.
• средняя защита: магазины, фан-сайты, файлообменники, пр. Иногда может попросить код из письма или СМС, но можно зайти и так.
• без защиты: кинотеатры, онлайн игры, музыкальные площадки, некоторые фотостоки. Сюда пустит даже после многих неудачных попыток логина.

В первую очередь заходим на сайты без защиты, потом со средней, потом пробуем защищенные. Так мы получим хоть что-то. Если лог свежий, можно рискнуть и сразу зайти на почту, но у нас будет не так много попыток и времени.

Помните! Без доступа к почте вы не зайдёте ни в кошельки, ни в социальные сети. А иногда нужен будет доступ и к телефону.

Все сайты созданы для конкретной цели. Чаще всего цель – заработок, поэтому практически любой сайт можно монетизировать, главное знать как.

Если тема интересна, в следующей статье покажу практическую часть, а именно взлом Twitter (с cookie любой давности) или же пример отработки реального лога (покажу что получилось достать и как я это сделал).