Dnes se mi stala událost, na kterou jsem připravený čekal několik let. Náhoda tomu chtěla, abych se dnes večer podíval na Pawno (moje měsíční guilty pleasure) a Hipův revival staré nostalgie ve mě vzbudil nápad... Již delší dobu si píšu blog, který sice není nikde veřejně přístupný, ale pomáhá mi to poškrábat takové to svědění vzadu v hlavě na mojí kreativní (spisovatelský) vlnce. V IT světě již dělám přes 15 let a za tu dobu člověk nasbírá hromadu historek, zkušeností a znalostí. Jsem zastáncem názoru, že člověk se chybami učí, tak si asi dokážete představit, kolik jsem těch chyb musel nasekat já. Nicméně dnes chci zaexperimentovat a trochu více vystoupit z komfortní zóny (jako by měl každý z nás jednou za čas), podělím se s vámi o další potenciální záškrt do osobního neveřejného blogu, který bych teď psal. Volali mi scammeři.  A to ne jen tak ledajací scammeři, ale ukrajinsko/ruský mix (tak nazývám někoho s přízvukem, který nedokážu rozlišit mezi ukrajinským a ruským). Hned po zvednutí hovoru jsem se stal obětí krkolomné češtiny, snad ještě horší kvality, než byli schopni produkovat někteří vybraní členové tohoto fóra desetiletí zpětně. Kromě masáže mého řečového centra proběhla masáž i mých ušních bubínků, protože ta fren fajn na druhé straně sluchátka byla fakt kandidát do mučedních prostor zvukem. Bylo na mě vychrleno kvantum informací a pochytil jsem z toho tato klíčová slova: "Účet", "burza", "150€", "1500€", "přiděleno společností na Váš účet", "musíte vybrat", "účet zablokovaný", "zítra bude smazán". Celý proces však trval tak nějak bez mála deset minut, většinu času jsem se ptal v cyklu a používal slova jako "nerozumím", "proč?", "jakto?" a tak podobně.  V zkompilovaném celku bychom mohli snad i říct, že jsem si před dvěma lety registroval účet u nějaké nesrozumitelné společnosti burzy kryptoměn (jako ale fakt ten název mi baba opakovala 11x a ani jednou jsem nebyl schopen porozumět, bylo to něco jako "bllrrnnnhhmmmlllbb"). Tento účet je však nyní zablokován, zítra bude smazán a společnost, která mi přidělila na účet 1500€ mi je nyní chce mermomocí vyplatit, protože bych o ně jinak přišel. A představte si to v histerickém tónu, jako by ty prachy byly snad její a moje součinnost rozhodovala o přežití lidstva. Několikrát jsem se snažil hovor ukončit s tím, že se na to podívám, ať mi pošle nějaký e-mail s informacemi - nelze, e-mail není důvěryhodná komunikační cesta, prý (foreshadowing) Když jsem úspěšně absolvoval iniciační kolo, bylo mi sděleno, že mi na e-mail zasílá ověřovací odkaz, na který musím kliknout abych se mohl přihlásit do svého účtu a zadat výdej peněz na svůj účet. Vraťte se na začátek tohoto odstavce, přečtěte si ho ještě jednou. Pak se vraťte do poslední věty předchozího odstavce, přečtěte si ji ještě jednou. Ano. Přesně tak. No nic, v tomto bodě už jsem držel smích a nedokázal rozporovat validitu tohoto způsobu přihlášení. Přešlo se k otázce zda mám počítač, či mobilní telefon. Nemám. Proč taky, co bych s těma krámama jako ajťák sakra dělal..? Ale zřejmě přes to nejel vlak, protože se vždy po mé negativní odpovědi baba odmlčela. V jednu chvíli i na dvě minuty a to už mě přestalo bavit, tak jsem jí hluchý hovor prostě položil (oba jsme se mutovali jak na závodech mačkačů tlačítek). Do pár vteřin volala znovu (z jiného čísla) a hned se tázala, proč jsem to položil, ať to nepokládám, vždyť dostanu prachy, jde o prachy přece! Tak jsem kapituloval a s vidinou progresu k zajímavějším tématům, jsem jí řekl, ať si představí, že teda počítač mám (doslova takto jsem jí to pravil). Baba to vítězně akceptovala a pokračovala dalším řádkem jejího návodu. Avšak dobrovolně nyní celou plavbu ona sama zatočila směrem do zátoky "Jazyková bariéra a komunikační šum". Hned co vyplulo na povrch, že mají jakýsi neznámý e-mail podobný mému jménu u Atlasu, jsem ji korektoval, že takový e-mail není můj. Načež samozřejmě bude potřebovat e-mail aktuální, mé srdce zaplesalo a plíce v křeči drží smích. Z hlavy jsem si v průběhu několika vteřin vymyslel nejméně srozumitelný a nepochopitelný email, který bych mohl zároveň využít jako honey-pot. "Můžete mi to nadiktovat po písmenkách?" zaznělo z telefonu po mém hrdém vyhlášení mojí nové e-mailovky! Koutky mých tváří cukaly, slzy v očích začaly se třpytět, bylo to fakt těžký.. Nicméně:  "Géé.." - "Géé, jako Gabriel?" (ruskoukrajinským přízvukem) "Ano, Géé!" - "Dobže, Gé, dalej?" "Óóó.." - "Óoo, jako (nesrozumitelné, ale slyšitelně špatně)" "Ano.. Béé!" - "Bá? Barbora?" (která však zněla blíže jako Banderas) "Ano, Ííí!" - "Jako Ilja?" "Ano! T!" - "D?" "Ano, T.. Ááá! Zavináč, Ííí.." - "..." Chvilka ticha, pár vteřin, ale vzápětí se ozval typicky ukrajinský mužský hlas (v práci jich máme tunu), zřejmě manažer call centra, či nějaký team leader. Chtěl začít od začátku.. Nevěřil pindě, že fakt správně dokázala napsat "gobita". Tak jsem chtěl jeho potrápit ještě víc a nejdříve úmyslně, ale hned na to už neúmyslně jsem začal komolit písmena a plést E s A, T s D a sám jsem se v tom celkem zamotal :D  Nicméně, časovka hovoru už ukazuje 20 minut a já pomalu ztrácím trpělivost, manažer už není tak vtipnej jako baba, ani zjevně tak blbej.. Ale stupidní je stále dost, tak možná bude sranda. Po úspěšném přelouskání e-mailu gobita(a)ithead.cz se zřejmě někde v jeho hlavě aktivoval jakýsi neuron, tak přišel s dotazem: - "To je nějaký firemní e-mail?" "Ano, to je můj firemní e-mail.." - "A nemáte nějaký osobní?" "Nemám, mám jenom tento, používám ho i k osobním účelům" - "Aha.." Byl z toho chudák úplně nešťastnej. Nedokázal si představit, jak někdo může fungovat jenom na firemním mailu. No nic, red flagů jsem mu dodal dost, teď už z toho jdu fakt dělat frašku.. E-mail mi zřejmě byl odeslán, čekám, nic, stěžuji si:  "Já jsem stále nedostal žádný ten e-mail od Vás!" - "Už je na cestě, už jsem ho odeslal, hned tam bude!" Opravdu dorazil, ale já jsem sundal brýle na dálku, tak jsem ho přehlédl a pokračoval jsem pár minut v tvrzení, že stále nedorazil. - "Je to zvláštní, a vy telefon nemáte?" "Ne nemám, no vlastně mám, teď z něj volám, ale ten mi asi používat nepůjde" - "Vy nemáte smartphone?" "Ne, já mám takový ten starý Alcatel, tlačítkový" - "Proč nemáte dotykový?" "Já mám moc velký prsty na ty displeje, se nemůžu trefovat do těch malých písmenek a tlačítek" - "Aha.." Po klidném studiu e-mailu, který dorazil a normalizaci záchvatů smíchu (když přiblížím kontext, celý tento hovor se odehrával v kanceláři s kolegy, ti se kvůli mým odpovědím doslova váleli na zemi v kaluži slz smíchem) jsem nastartoval v klidu sandbox a odkaz v e-mailu, který odkazoval na soubor charakteru zjevně virového, otevřel v něm. Pětimegový soubor se mi nasosal do virtuálního systému a já mohl začít studium. Bylo mi už líto manažera a vycítil jsem, že už to semnou chce vzdát, tak jsem mu zase hodil kus drobku s tím, že e-mail dorazil! "Hurá!" ozvalo se upřímně z mého telefonu, radost byla obrovská, už jsou kousek od lapení další oběti! Po celých 25 minutách jednání s totálním BFU věřím, že už se těšil na sladký konec. To mě hřálo u srdíčka. Oba jsme věděli, že konec se blíží. Jen já však věděl, že jen já budu velmi spokojen.  Samozřejmě tušíte, co následovalo po oznámení, že e-mail dorazil. Avšak spouštění pofidérních souborů, i přestože spouštěno v sandboxovém prostředí, je prostě hazard. Windowsovému sandboxu prostě nevěřím natolik, abych si dovolil na své produkční stanici hazardovat s neznámým virem. Tak jsem vymýšlel kreativní řešení mojí svízelné situace, chtěl jsem z něho vymáčknout alespoň ještě poslední kousek frustrace. Vyhrál to antivirus, nebo antiviry? - "Stáhl se Vám soubor BTC-Connect?" "Ano.." - "Tak ho teď spusťte.." (a začal vysvětlovat, co asi nastane za efekty a famfáry) "Ono to spustit ale nejde a vpravo dole mi vyběhlo okno, že prý to je virus!" - "Cože? To není možné.." (doslova minutu přemýšlel a zapomněl se mutnout, tak jsem uchem vysával sluchátko telefonu) - "A co máte za antivirus? Avast?" "Ano, avasta mám, no" - "Tak ho zkuste vypnout" (následovalo úporných a značně nepříjemných 5 minut zápolení s vypnutím avasta - "Zkuste ten soubor spustit teď" "No, ale já už ho tam nemám" - "Tak znovu otevřte ten odkaz a on se vám stáhne" "Ano, už se stáhl" - "Tak ho otevřte" "On už zase zmizel a zase mám vpravo dole okýnko, tentokrát od ESETu!" (nastal vokální rozklad mentálního vědomí na druhé straně hovoru) (doslova byly občasně slyšet hlasivky vyjadřující nepochopení.. Nedokázal vůbec pobrat, jak je toto možné) - "Vy máte ještě ESET?" "Ano.. Já ho taky vypnu" ... "Tak je vypnutý, ale teď tu mám zase znovu okýnko, od AVG! Mám i ten vypnout?" (Jako v tomto bodě už nebyl schopen komunikace ani na základní úrovni. Byl tak 'flabbergasted', že nevydal smysluplného slova a já defakto vedl monolog) Klíčové bylo nepustit ho ani pořádně ke slovu. Po dokončení věty jsem nechal odmlku tak akorát pro vsugerování, že očekávám odpověď od druhé strany, ale hned vzápětí jsem pokračoval správným krokem vstříc řešení našeho masivního problému! A pak ještě jednou s Kasperskym. V ten moment už se mi ale rozkládalo i okolní prostředí v kanceláři a zhodnotil jsem, že již nejsem dále schopen vést tuto konverzaci a povídat si sám se sebou. Tak jsem zeptal narovinu: "Mohu se na něco zeptat?" - "Eh.. No, ano?" "Kolik lidí se Vám na tuhle ptákovinu chytí?" - "Cože? Nerozumím" "No kolik lidí Vám tohle sežere.. Vy zavoláte ajťákovi a čekáte, že to neprokoukne? Ale jako děkuji Vám za binárku, telefonní čísla, e-mail a doménu, to všechno se teď hodí!" - "Nasch.."  (položil hovor) Teď k technikáliím Jsme na programátorském fóru, tak Vás zcela jistě kromě sociální stránky věci zřejmě zajímá i ta technická. Tak se na ní vrhneme! Jistotu bezpečí mi zaručoval celou dobu Windows Sandbox, což je vlastně virtuální mašina co rozjede kopii vašeho běžícího OS. Běží na technologii HyperV a musí se nejdříve do Windows nainstalovat jako volitelná komponenta. Zároveň se musí v systému zapnout virtualizace a optimálně nastavit pár věcí. Já osobně ho však nemám podrobně nastudovaný, tak ho zneužívám jen pro základní izolaci čehokoliv, čemu nevěřím.  Je potřeba však brát v potaz, že ani virtualizace není stoprocentní a pokud se škodík dostane na kernel level (což by teoreticky mělo být nemožné z virtuální mašiny, ale prakticky už se to stalo), dokáže požrat celou mašinu zevnitř. Proto ani v takové virtualizaci nebezpečné binárky nespouštím, jen dekompiluji a rozebírám. Soubor, který mi byl poslán byl odeslán z e-mailu [email protected] a byl odeslán přes Google servery   Return-Path: <[email protected]> Delivered-To: [email protected] Received: from wes1-mx8.wedos.net ([10.36.200.5]) by wes1-im4.wedos.net (Dovecot) with LMTP id qWQ4AWjuTmcCewAA/yykGQ for <[email protected]>; Tue, 03 Dec 2024 12:41:28 +0100 Received-SPF: pass (gmail.com ... _spf.google.com: Sender is authorized to use '[email protected]' in 'mfrom' identity (mechanism 'include:_netblocks.google.com' matched)) receiver=wes1-mx8-0.wes1-mx8.hosting.svc.cluster.local; identity=mailfrom; envelope-from="[email protected]"; helo=mail-yb1-f196.google.com; client-ip=209.85.219.196 Received: from mail-yb1-f196.google.com (mail-yb1-f196.google.com [209.85.219.196]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by wes1-mx8.wedos.net (Postfix) with ESMTPS id 4Y2dyv5YGCzCqjg for <[email protected]>; Tue, 3 Dec 2024 12:41:27 +0100 (CET) Received: by mail-yb1-f196.google.com with SMTP id 3f1490d57ef6-e3983426f80so3847964276.1 for <[email protected]>; Tue, 03 Dec 2024 03:41:27 -0800 (PST) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20230601; t=1733226086; x=1733830886; darn=ithead.cz; h=to:subject:message-id:date:from:mime-version:from:to:cc:subject :date:message-id:reply-to; bh=8PY3zhfSWb94JEopnPUq0GkYrzbmuQdx7OAa3zsH0yQ=; b=NXAD6cQtGQb1SLVXgp3mT+mIZvcgZXuZKGjMfIMqYlfkODZ1AWKemtDTquyegVl+O/ DKFHoVYxDpaLHgf6f2rsSfGMHGegjHL+c17TjcPBG/Unv+dGO6ECBpYo9LoYg2bFAu1s ZDWoU+4mFbdlS8bPI3xTFcjlQZoI6TcsztrmdKSbtGp85l1eQ4EXeKrhyWjeNlA7oCS8 L77E0uhz+/8QI0Lcfi5cBx5yJIl4yyjNnXy3hx+aOGwebnEyZaXpx4xzTV7Iy7Bi3e5o Z4sYImpemmM4zNvoXuzrvsRQNlPzOoBJ0vLEWc+8+36LdQ1B7jTXrFGXyWSj7h1jhdGY fPmg== X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20230601; t=1733226086; x=1733830886; h=to:subject:message-id:date:from:mime-version:x-gm-message-state :from:to:cc:subject:date:message-id:reply-to; bh=8PY3zhfSWb94JEopnPUq0GkYrzbmuQdx7OAa3zsH0yQ=; b=odFuhFFdjCvEmBipVEA/27hoV2yL9AOHnu7hHGz1fuELaArmPbnbbJSUlvJ8yeBMSb 0G7jreh7PYT19nxn5aIyFQ6i6Xa8NU/yj3EDyIFmRM4lZd6jjwpCXRVwDTHU6cQPYz78 9vzaEnUPwUkogyNiwu+33NsrQ/YYLw/qZ0Lhj3FzQ/VD4zYxlOJf8inz+m6OMbL7THTO aAaa8G89D6kVKwOWLxoYK18rlPXGsvjcasXjuZjqRf/yACOp681Kp8+OkIKp6VZaRmXE jkWrp1aTk3TwmpsLnwhc/zUiWJ1QV4jNtM+Q86FZqXPxgW/fUKxN368JXMLGWxF6UkwH XxPQ== X-Gm-Message-State: AOJu0Ywq24A6T8KUp+NNgp8qczbjqiu8w3+T8dYCjLPe7lXRPKrbr0Up gfjf1hEl7VcxwJfc3bIk8xpmP9K1sWX51xZ1vRLrcj2C7T9qTbpYitaj25hJuDFqBz7qMTdDOe4 YskNoUAA5T2UeRbVqy7M/jTGlYRUeuf4A X-Gm-Gg: ASbGncuNGw9dHVcudd6KHO+bVdYJ5FRTwdZNnkJMvAfY11s+kVcV6ISNziNrjn4Mz/9 cyGqeJHFvnGboTlkHEphm5n9czxBrcmQ= X-Google-Smtp-Source: AGHT+IF+JG/kkJnnqK8dkO0ju0TmzBQ5cQfhOTHaBb9GgCoGZKCGN5hUfcqZUOW8/NH3CGVGiprZiMOZP/zZu+snE7o= X-Received: by 2002:a05:6902:2202:b0:e29:890:c6d4 with SMTP id 3f1490d57ef6-e39d417fb72mr1896519276.41.1733226086279; Tue, 03 Dec 2024 03:41:26 -0800 (PST) MIME-Version: 1.0 From: yana vesela <[email protected]> Date: Tue, 3 Dec 2024 12:41:15 +0100 Message-ID: <CACByOc70GuwT51bnThqWoi85kqrK0q1c97L5uoLLZtgy7Y7y5A@mail.gmail.com> Subject: INFO To: [email protected] Content-Type: multipart/alternative; boundary="00000000000030328f06285c2518" X-Spamd-Bar: -- X-Spam-Status: No, score=-2.41 X-Rspamd-Server: wes1-mx8-0 X-Rspamd-Queue-Id: 4Y2dyv5YGCzCqjg X-Spamd-Result: default: False [-2.41 / 15.00]; R_SPF_ALLOW(0.00)[+ip4:209.85.128.0/17]; FREEMAIL_FROM(0.00)[gmail.com]; TO_DN_NONE(0.00)[]; MX_GOOD(-0.20)[cached: alt3.gmail-smtp-in.l.google.com]; DMARC_POLICY_ALLOW(0.00)[gmail.com,none]; SUBJ_ALL_CAPS(0.30)[4]; FROM_EQ_ENVFROM(0.00)[]; RCVD_TLS_LAST(0.00)[]; MIME_TRACE(0.00)[0:+,1:+]; ASN(0.00)[asn:15169, ipnet:209.85.128.0/17, country:US]; TAGGED_FROM(0.00)[]; FREEMAIL_ENVFROM(0.00)[gmail.com]; ARC_NA(0.00)[]; RBL_SPAMHAUS(0.00)[196.219.85.209.zen.spamhaus.org]; FROM_HAS_DN(0.00)[]; TO_MATCH_ENVRCPT_ALL(0.00)[]; NEURAL_HAM_LONG(-3.00)[-0.999,0]; MIME_GOOD(-0.10)[multipart/alternative,text/plain]; PREVIOUSLY_DELIVERED(0.00)[[email protected]]; DNSWL_BLOCKED(0.00)[196.219.85.209.list.dnswl.org : 127.0.0.255]; RCPT_COUNT_ONE(0.00)[1]; BAD_REP_POLICIES(0.10)[]; IP_SCORE(-1.88)[ip: (-0.70), ipnet: 209.85.128.0/17(-4.79), asn: 15169(-3.83), country: US(-0.08)]; RWL_MAILSPIKE_POSSIBLE(0.00)[196.219.85.209.rep.mailspike.net : 127.0.0.17]; RBL_SENDERSCORE(2.00)[196.219.85.209.bl.score.senderscore.com]; HFILTER_URL_ONLY(0.37)[0.16666666666667]; RCVD_COUNT_TWO(0.00)[2] --00000000000030328f06285c2518 Content-Type: text/plain; charset="UTF-8" kripto sit <https://timbercloud.xyz/Bin/BTC-Connect.ClientSetup.exe?e=Access&y=Guest&t=gobita%40ithead.cz&c=Vesela&c=&c=&c=&c=&c=&c=&c=> --00000000000030328f06285c2518 Content-Type: text/html; charset="UTF-8" <div dir="ltr"><a href="https://timbercloud.xyz/Bin/BTC-Connect.ClientSetup.exe?e=Access&amp;y=Guest&amp;t=gobita%40ithead.cz&amp;c=Vesela&amp;c=&amp;c=&amp;c=&amp;c=&amp;c=&amp;c=&amp;c=">kripto sit</a><br></div> --00000000000030328f06285c2518-- Ano, tělem e-mailu byl odkaz s textem "kripto sit", jenž stáhl soubor z adresy  !https://timbercloud.xyz/Bin/BTC-Connect.ClientSetup.exe?e=Access&y=Guest&t=gobita%40ithead.cz&c=Vesela&c=&c=&c=&c=&c=&c=&c=! (vykřičníky proti link parsingu, nestahovat mimo sandbox!) Dle dalšího šetření, se zdá být doména timbercloud.xyz celá pod správou útočníků, ale anonymizace domény zabraňuje získání dalších informací.. IP domény jsem ani neštudoval.. Soubor BTC-Connect.ClientSetup.exe má velikost 5.6MB. Je psaný v C++, otvírá několik dependencies - mscoree.dll, kernel32.dll, oleaut32.dll a vyžaduje elevaci oprávnění při spuštění. Samotný překlad assembly jsem nedělal, nebylo třeba, dle dalšího zkoumání bylo zjevné, že jde o wrapper spouštějící klienta aplikace Screen Connect (jenž je validní appka, podobná Teamvieweru nebo AnyDesku), který také ihned klienta připraví pro vzdálený přístup. Při rychlém brouzdání HEX editorem jsem našel ještě URL pro konfiguraci klienta <ScreenConnect.ApplicationSettings> <setting name="ClientLaunchParametersConstraint" serializeAs="String"> <value>?h=timbercloud.xyz&amp;p=8041&amp;k=BgIAAACkAABSU0ExAAgAAAEAAQBB46D%2bAspmhpcrhlVxn%2b%2bphJrCCvfSBJ0Yu5hhOT70F7ZUt43mopwqEiqq4ivqlDuh4TmTmyJRkIrYvFCsue02oPSgnvIndH%2blBKcemHpCZm32qSqyUsB7hwL5R3htQOWMnfeoff5EGzLkldmk2cudlrwA4CyMjmFWFRMto6vZ%2fTxirLUoen5qtN6eWmmyyv8sf0zve0Aq9F7Mt6CHHVoUljnpNj%2frkp4azVzikO6rjxfP%2f%2f3j2U0FvM5r5lJfhY5Pyuuu4sicubmm5k9diyFX8kgWOqv7mAHHYrD%2bGEoXAmMAMGsSy0rV%2fHXKxpmHKX3ZniEl5u7Vf4YgMDmRnGLM</value> </setting> </ScreenConnect.ApplicationSettings> Pro studijní účely jsem soubor nahrál zde: https://file.io/1yP27DMId4o5 (ale nevím jak dlouho tam přežije, já ho nikde skladovat nebudu) Pro rozebrání binárky jsem použil CFF explorer, pokud by šlo o C# (.NET) appku, tak doporučím dnSpyEx, který přeloží celý IL kód zpátky do C#.

Staci vygenerovat nejake tutoriali cez chat GPT. Napis "obsahovym guru" nech sa do toho pustia

rekl bych ze sekce je asi to posledni proc zde neni obsah na fivem :D udelej nejakej navod a ja k tomu udelam sekci

trebalo by to tu spraviť sekciu a + niečo do toho navody a blbosti :D aby sem ludé prišli :D   

Mozno by som spravil free FiveM hosting