Интервью с разработчиком теневого софта

Интервью с разработчиком теневого софта

https://telete.in/blackhat27

Нам удалось взять интервью у одного из самых авторитетных разработчиков теневого софта. Его вирус не раз упоминался в Лаборатории Касперского и других крупных антивирусных вендорах. Я постарался затронуть только самые интересные темы.


  • Расскажи о себе. Как ты впервые связался с программированием?

Всегда стопорюсь на вопросе в стиле "расскажи о себе". Мне идет второй десяток, можно сказать что всю сознательную жизнь увлекаюсь технологиями. В моем детстве у всех были кнопочные мобильные, изредка проскакивали КПК на мобильной винде. Меня всегда интересовало что да как работает - поэтому я часто обменивался со сверстниками различной техникой (в наши школьные годы обменяться к примеру телефонами было обычным делом), проникался технологиями так сказать.

Меня интересовал не экспериенс, полученный от использования той или иной техники, технологии. Меня интересовало, как именно устроен тот или иной механизм, как тот же сенсор считывает мое нажатие и все вот это, да. Интернеты были более закрытыми и информация в основном на форумах валялась, а треды только с проверенной учеткой можно было видеть, так что выживал как мог - прикидывался инженером за 20 (коим сейчас и являюсь, наверное) и получал заветную учетку. Ну, а далее уже пошло знакомтство непосредственно с кодингом.


  • Твой первый язык и коммерческий проект.

Ну а первым коммерческим проектом, где я выступал в роли программиста, был пиратский сервер по MMO FPS Point Blank. Мы запустились в 2013 году и собрали огромную для меня в те года аудиторию - зарегистрированных учеток на сервере было более 20 000, постоянный онлайн под тысячу.

Учитывая, что первые полгода мы буквально держались на слитых исходниках другого аналогичного проекта, это было очень большими цифрами. Позже ко мне присоединились люди, с которыми я поддерживаю связь до сих пор - sojang (человек, который буквально вдолбил в меня нужное для разработки софта мышление и взгляд на поставленные задачи), несколько модераторов форума и с пареньком, который очень хотел в команду, но ничего не умел - я сказал ему выучить PHP, так он через два месяца вернулся уже умея разрабатывать бекенд на пыхе.

Благодаря этому проекту я и моя команда смогли найти себя в жизни - большинство сейчас работают в крупных компаниях, другие заняты своими личными и достаточно успешными проектами. Я очень рад, что не я один смог вырастить в себе этот стержень, благодаря которому и двигаюсь вперед.


  • Когда ты решил, что хочешь заняться разработкой нелегального софта?

Спортивный интерес. Представь - ты четыре года пишешь легальный софт, соблюдая все стандарты разработки приложений под винду, не лезешь куда не нужно и все вот это вот. А потом ты читаешь новости об очередной эпидемии какого-то вируса и тебе становится интересно, как же он так заражает системы и никто этого не видит, пока не становится слишком поздно.

Я имел некое свое представление о работе зловредов, но они оказались ложными. На деле это настоящая борьба добра и зла между антивирусными вендорами и разработчиками малвари, где антивирусы всю жизнь будут в догоняющих.

Решения таких задач, как обход антивирусной защиты или получение контроля над машиной без каких-либо прав - настоящая головоломка, которая чрезвычайно интересна.


  • Как ты влился в это течение? Первая малварь, первый профит.

Меня случайно закинуло в раздел продаж на одном сером форуме и я всю ночь недоумевал - неужели никто в этой среде не в состоянии сделать что-то стоящее? По большей части продавался либо пересобранный паблик (я уже имел представление о зловредах, какие из них популярны и от каких сорсы валяются на шаре), либо крайне кривой самопис.

Поэтому сел и стал практиковаться, забив на все существовавшие в тот момент проекты. Моим первым зловредом была небольшая утилита, при запуске которой на сервер отправлялась информация о железе, системе и окружении машины, а затем запускала самодельный бекдор. Она же и была первым профитом - во все том же разделе продаж был тред, в котором ТС просил ему написать такую софтину. Заработал я с этого дела буквально две тысячи вечно деревянных.


  • Твоё мнение о рынке теневого софта. Какое у него будущее?

Честно сказать, в СНГ рынок весь на дне, не считая эксплоита (exploit.in) - всё заполонили эникейщики, пишущие на C# с использованием .NET 4.0 (а иногда и вообще 4.5). Каюсь, первая моя тулза, проданная за 2к рублей, тоже была на шарпе, но с использованием дотнет 2.0.

Ненавижу, блять, самодовольных C#-кодеров. Из-за этих, зачастую криворуких, недоумков у меня постоянно просят скидки, мол хотели у тебя брать софт, но решили что у него лучше, прости, но можно скидочку в ценник того софта? и все вот это вот, да.

Касательно будущего все очень неоднозначно. Microsoft активно пытается продвигать защищенную экосреду UWP, в которой выполнять все фишки, благодаря которым малварь живет в системах, нельзя.

Другое дело, что мы живем в обществе, которое крайне неохотно обновляет свои системы. Благодаря халатности миллионов людей я даже в 2018 году могу использовать паблик эксплоит для подъема привелегий в Windows 7 с пользователя до администратора, а с админа до системы. И никого об этом не спросить при этом.

Я очень надеюсь, что рынок будет жить дальше, но за последние полгода влиться в жвиж хотят вообще все, потому что тут можно заработать денег. Причем благодаря клиентам, которые достаточно часто вообще знать не знают как должен работать софт, который им необходим, ничего не умеющих кодеров на сером и черном рынке будет становиться только больше.


  • Откуда такая ненависть к C#?

Гляди в чем дело - малварь должна быть легкой и нативной. Вирус должен благополучно запустится на любой системе, иначе какой от него толк? Именно поэтому все более-менее известные общественности малвари написаны либо на C/C++, либо вообще на ассемблере. Это своеобразный стандарт в мире малвари.

На сером же рынке никто в жизни не читал теории и не представляет как вообще должна работать малварь. К сожалению, приходится конкурировать с такими людьми.


  • Как проходит типичный день разработчика подобного софта?

Просыпаюсь я по графику - в 10 утра. Завариваю чай, читаю новости по ИБ на xakep'е и anti-malware, забегаю на хабр. Затем идет разбор почты и ответы на поступившие вопросы от клиентов. После принимаюсь за саму разработку - иногда это фиксы существующего софта, иногда это разработка апдейтов, частенько это эксперименты с целью разработки чего-то новенького.


  • То есть обычная жизнь любого рабочего человека из ИТ сферы.

Вроде того. А ты тоже представлял как я в духе каноничных киношных хакеров днем работаю на нелюбимой работе, а ночью взламываю неверных? На самом деле представление о жизни "хакеров" зачастую неверны, да и сам термин "хакер" по факту является оскорблением.

Реальные хакеры - настоящие эксперты в сфере информационной безопасности, а не какие то там хулиганы. Это люди, которые в той же Лаборатории касперского могли бы получать сотни тысяч рублей в месяц, но избрали другой путь.


  • Кстати, ты сказал о разработке "чего-то нового". Не мог бы объяснить?

Запросто. Малварь уже давно поделена по сортам - есть вымогатели, есть стиллеры, есть боты (которых плохо разбирающиеся в теории люди почему то называют ботнетами, хотя ботнет - это готовая сеть из ботов, а непосредственно бот - программа, которая выполняет задания) и так далее. Я же пытаюсь совмещать несколько сортов в один.

Из недавних "скрещиваний" - объединил традиционный стиллер с нерезидентским лоадером. Ведь это удобно - после запуска у жертвы сначала собираются все данные из браузеров, а затем этим же процессом подгружается что-то еще. Благодаря таким скрещиваниям мой софт и вправду является уникальным на рынке.


  • Дай пару советов подписчикам Black Hat - как уберечься от вирусов?

... и оставить меня без работы? Шучу. 

- Помните - нужно всегда обновлять систему. Регулярно проверяйте наличие обновлений и ставьте их без замедлений. Переходите на десятку, не стоит сидеть на устревшей XP или уже неактуальной 7, 8.

- Пользуйтесь оригинальным софтом, а не кряками. Научитесь платить чертовы 500 рублей в год за удобную программу, а не грузите репак от ноунейма, в который было вклеено еще 20 троянов. Поддержите вы разработчика, в конце концов он старался для вас, а вам жалко за год отдать меньше, чем вы тратите в кафе за пару раз.

- Следите за чистотой системы - вряд ли вам необходимо так много утилит на ПК. Лучше немного, но по делу, чем сотни, которыми вы вообще не пользуетесь. Чем меньше у вас бесполезного софта, тем проще вам ориентироваться в вашей системе и тем быстрее вы сможете заметить неладное.

- Периодически скачивайте и используйте Dr. Web Cureit!. Полезная и бесплатная утилита для проверки вашей системы на известные угрозы.

- Если вы пользователь Windows 10, то вам даже не нужен антивирус. Хватит встроенного Windows Defender'а - в последних крупных обновлениях его серьезно улучшили. Более того - на своей практике могу смело заявить, что именно Windows Defender куда чаще детектит неизвестные угрозы, наравне с Eset.


  • Но Windows 10 ведь собирает данные о пользователях...

А гугл с яндексом знают о вас вообще все, даже что и когда вам снится. Разговоров о шпионской деятельности Windows 10 ходило много, но я не припомню еще ни одного случая, за эти несколько лет существования десятки, когда в качестве доказательств или улик использовались логи, отправляемые мелкомягким на сервера.

Все будто специально игнорируют тот факт, что данные собираются в рекламных целях - неужели кто-то серьезно будет вручную перебирать миллиарды логов ежедневно чтобы петю из третьего подъезда за обход блокировки роскомнадзора через тор привлечь?

Нужно всегда помнить, что вы как личность никому из крупных корпораций, вроде майкрософта или гугла с яндексом, не нужны. Вы нужны только как просмотр на счетчике реклманого баннера, за который эти компании получают деньги. И им важно, чтобы баннер с рекламной автозапчастей был показан именно тому, кому прямо сейчас эти запчасти и нужны к примеру.

В конце концов, вы всегда можете перейти на Linux.


  • И напоследок - что ты считаешь своей главной ошибкой?

Открытый протест. Не знаю почему, но я из принципа не скрываю толком свои данные. Будто бы бросаю вызов. Это глупо и, скорее всего, из-за этого однажды за мной приедут, но раз начал, то буду продолжать.


Создано с помощью Tgraph.io