СИ в действии.Впариваем жертве файл.#Обзабор

И снова здравствуйте, дорогие телезрителя!
конечно же с вами(ну а куда ему деваться с подводной лодки?), и сегодня у нас на повестке дня-подробный раскоробкинг и обзабор одной темы(по правде говоря, в поисках материала вычитал на эксплоите) по впариванию произвольным жертвам нашего вредоносного файла.

Я тут не буду вам рассказывать, кто такие ратники, зачем они нужны, где их взять, как сделать так, что-бы их не палили антивирусники, и так далее.Представим, что вы технарь, всё это и так прекрасно знаете, файл у вас уже есть, вы знаете что делаете.И вам нужно всего лишь этот самый файл впарить.Даже если не знаете-вычитывайте информацию в гугле, а лучше конкретно на нашем в разделе Там много полезной информации, уверяю вас.
Но сейчас не об этом, граждане товарищи.
Сегодня на повестке дня-именно процесс социальной инженерии.А именно, впаривания вредоносного файла жертве, с целью открытия жертвой оного.

Представим, что вы хакер Махмуд из хакерского клана "Марихуана энд ишакс", что карает неверных засыланием вредоносных файлов, попутно воскуривая гашиш(привет эксплоиту ).

Так вот, товарищи, сразу вам скажу одну умную мыслю, пока не забыл.Все битвы и войны проигрываются только потому, что проигравшая сторона изначально недооценила противника.Разведка не сработала, или ещё что.В социальной инженерии то же самое.
ЗАПОМНИТЕ!!ХОТИТЕ КОГО-ТО НАЕБАТЬ?НАЁБЫВАЙТЕ ТАК, КАК БУДТО ЖЕРТВА УМНЕЕ ВАС В СТО РАЗ!!

Многие при попытке впаривания вредоносного файла(через соцсети, или же через емейл, или ещё каким либо путём), допускают две основные ошибки, которые неизбежно ведут к провалу.

1)Жертва получает файл от недоверенного лица.Она незнакома с вами, она не вошла в контакт, не срала с вами в одном поле, и не трахала одну и ту же бабу.И на брудершафт естетсвенно не пила.И соответственно, хрен чего откроет.
2)Жертва получает файл недоверенным путём.Вы хотите сказать, что тревожная ссылка типа "бит.лу\12359.ехе" это доверенный путь?И вообще не тревожный?Поздравляю, вы тупее, чем ваша жертва.Другое дело, если например, лично вам вручат флешку, или скачав с официального сайта(ну, к примеру, к этому мы ещё вернёмся)

Так вот, каждый пункт, по моему мнению, составляет 50% успеха.Если жертва получает файл недоверенным путём от доверенного товарища-то тени сомнений всё же закрадутся в её голову.Щёлкнет реле "Тут что-то не так, а ну его нах".
Если жертва получает файл доверенным путем от недоверенного лица, то тоже реле сработает "Вроде все нормально, все безопасно, но пассажир какой-то тревожный".

И соответственно, что-бы иметь хоть какой-то шанс на успех, нам нужно как минимум обойти один из этих пунктов.В идеале-оба.

Так вот, как же совместить два этих пункта?Вы думаете, что нужно изобретать велосипед?Нет, нихрена, существует универсальная формула.

Как она выглядит?
Социальный инженер, и файл-НЕ ДОЛЖНЫ БЫТЬ НИКАК СВЯЗАНЫ, НИ ПРЯМО, НИ КОСВЕННО.
Иначе говоря, жертва должна получить файл заведомо доверенным путём(Пусть и в её восприятии, это важно), и явно не от вас.

Вы скажете "Бред, это невыполнимо".Категорически с вами не согласен.Ничего невыполнимого не бывает-нужно лишь придрочиться.

Рассмотрим один из вариантов(подсмотренный мной на том же эксплоите).
Создаём некий официальный сайт с официальной программой.Уникальной, которой не будет больше нигде(с уникальным функционалом и названием), и создаём нашей жертве такую ситуацию, в которой она будет вынуждена воспользоваться нашей программой(и ни в коем случае не аналогами).
Это лишь один из вариантов-достаточно лишь включить фантазию.Но этот вариант самый распространённый, его и рассмотрим...

Как же вынудить нашу жертву испытать острую нужду в нашей программе?
Допустим, наша жертва безработная, и нуждается в работе.Подсовываем её вакансию(элементарно вконтакте ставим лайк с левой страницы, а на левой странцие на стене пишем сладкую вакансию со следующими критериями)

"Требования к кандидату:ответственность, исполнительность, работоспособность, поверзностное знание программ Photoshop, CorelDraw, Ishak Net Studio+"

Жертва увидит лайк от симпатичной тёлочки(ну или мальчика, смотря кого атакуем), переходит на страницу, листает.Смотрит, а там вакансия на стене.
-"О, как раз то что нужно!А что за ишак нет студио?Ану ща загуглю"...

Жертва загугливает, попадает на наш "Официальный сайт", который мы заранее создали, скачивает нашу программу, и запускает...
bdf.ms
Плюсы данной схемы
1)Жертва даже не подозревает что её целенаправленно атакуют.А кто догадается то?
2)Можно пробовать неоднократно, и разными способами.Не получилось в первый раз?Думаем что-то другое.Жертва не учует подвоха, ей всё будет казаться случайностями, и совпадениями.
3)См. п2.Рано или поздно получится.
4)Таким образом обьебать можно ЛЮБОГО, была бы фантазия.Сама схема-лишь описание концепции.Далеко не обязательно вакансия-вакансия это если нужна работа.Если кто-то тёлку ищет, то подсовываем любым путём сайт со шлюхами например, или со знакомствами.Тут МАССА пространства для маневра.
Плюсов больше всего на форуме bdf.ms
Недостатки
1)Сама по себе ёбкость.Каждый раз геморрой...сайт создавать, в индексацию выводить...
2)Не всегда работает с первого раза...
3)Требуется очень много времени на подготовку.
4)Требуется внимательно изучить жертву.Что-бы понимать, чем её заинтересовать...а для этого, скорее всего, нужно будет предварительно войти в контакт с жертвой.
На нашем форуме bdf.ms недостатков ваще нет....
Ещё пример.Скидываем какой-то файл, который не получается просто так открыть жертве.Жертва лезет в гугл, загугливает расширение, а на каком-то сайте написано, что что-бы открыть этот экзотический файл нужна специальная программа, которую тут же можно и скачать.
Смысла говорить о том, что сайт наш, и программа тоже наша?
Если жертва особо тупая, и не догадывается загуглить, то говорим "Ну загугли, не знаю, у меня всё открывается"

Так что, товарищи, все всё поняли?
Материал не совсем мой, идею я почерпнул с другого материала, просто разбавил своими личными наблюдениями, и всё расписал на доступном языке, в чём честно признаюсь.

С вами был Пластик.Оценивайте, предлагайте конструктивную критику, и не держите в секрете от друзей!
p.s а как бы вы впаривали вредоносные файлы жертвам?Отпишите в комментариях!
​

Нарушитель номер один
Консультации по манимейкингу-

Обучение взлому VK-


​