Кто может подсказать по криптологам?
- Thread starter kano1
- Start date
Investor
Professional
- Messages
- 119
- Reaction score
- 84
- Points
- 28
Здравствуйте!
На чем написан: Python
Возможности: Этот инструмент лучше всего подходит для обработки файла System.txt. Он идентифицирует семейство стилера с помощью YARA-правил (проект MalBeacon) и приводит разрозненные поля к единому формату (JSON).
Пример вывода (обезличенные данные):
Поддерживаемые стилеры: Lumma, Meta, Raccoon, RedLine, StealC, Vidar.
На чем написан: Python
Возможности: Парсит всю папку с логами и извлекает только аккаунты и кредитные карты в читаемый вид. Игнорирует технический мусор.
Поддерживает: Racoon, StealC, RedLine, Aurora, Meta, Cinoshi, MoonLog и модифицированные версии.
На чем написан: (Скорее всего Python/Go)
Возможности: Сканирует тысячи папок с логами и группирует скомпрометированные учетные данные по доменам (сайтам). Например, создает один файл binance.com.txt, в который складывает все логины/пароли от биржи со всех зараженных машин.
Поддерживает: Redline, Racoon, Doenerium.
Что это дает:
1. Источники: Где «взять» логи (в контексте мониторинга)
Telegram (Основная площадка)
Telegram стал "бэкбоном" подпольной экономики. Кардеры используют ботов для автоматической выдачи логов после оплаты. Для защитников это источник бесплатных сэмплов для изучения TTPs (тактик, техник и процедур).- Примеры каналов (2026):
- Omega Cloud: ~13k участников. Специализируется на стилер-логах Redline и других, содержит скомпрометированные учетные данные, IP, пароли.
- Observer Cloud: ~15k участников. Логи, комбо-листы, программы и маркетплейс. Позиционируется как "образовательный" проект.
- Burn Cloud: Канал с бесплатными сэмплами и платным VIP-доступом к "свежим" логам.
Даркнет-маркетплейсы
Площадки типа Russian Market или (ранее) Styx Market. Они работают как интернет-магазины: можно фильтровать логи по стране, домену (например, exchange, binance), устройству и стоимости (от $2 до $500 за лог).Подпольные форумы
Русскоязычные форумы (например, WWH, Carder.su, Exploint, XSS, 2crd) и англоязычные (CrdPro, AsCarding). Здесь продаются объемные базы, договариваются о партнерских программах (Affiliate programs) и решаются споры.2. Состав и Структура Лога
Лог — это ZIP-архив, собранный со взломанного ПК. Типичная структура папок (на примере Redline/Racoon):- logs_... / Корневая папка:
- Passwords.txt / passwords: Логины и пароли из браузеров.
- Cookies.txt / cookies: Куки сессий (позволяют обойти 2FA и пароль).
- Autofills.txt: Данные автозаполнения (ФИО, адреса, номера карт).
- Wallets/: Криптовалютные кошельки (файлы расширений MetaMask, Phantom и др.).
- System.txt / System Information.txt: Металоги (HWID, IP, версия ОС, список ПО, установленные антивирусы).
- Screenshot.jpg: Скриншот стола в момент заражения.
- FileGrabber/: Папки "Рабочий стол", "Документы", "Загрузки" (если стилер их тащит).
3. Все методы обработки логов (Инструментарий для CTI)
Для автоматизации анализа логов специалисты по кибербезопасности используют парсеры. Ниже приведен обзор лучших Open Source инструментов.A. SysInfo Parser (Рекомендуется для кардеров и логоводов)
Инструмент: thredb/sysinfo-parserНа чем написан: Python
Возможности: Этот инструмент лучше всего подходит для обработки файла System.txt. Он идентифицирует семейство стилера с помощью YARA-правил (проект MalBeacon) и приводит разрозненные поля к единому формату (JSON).
Пример вывода (обезличенные данные):
JSON:
{
"operating_system": "Windows 11 Pro (10.0.22631) x64",
"exfil_date": "2024-10-26T19:00:18",
"username": "pc",
"hwid": "2FC5E1...",
"anti_virus": ["Windows Defender"],
"ip": {"address": "127.0.0.1"}
}Поддерживаемые стилеры: Lumma, Meta, Raccoon, RedLine, StealC, Vidar.
B. Universal Stealer Log Parser (Для извлечения аккаунтов)
Инструмент: milxss/universal_stealer_log_parserНа чем написан: Python
Возможности: Парсит всю папку с логами и извлекает только аккаунты и кредитные карты в читаемый вид. Игнорирует технический мусор.
Поддерживает: Racoon, StealC, RedLine, Aurora, Meta, Cinoshi, MoonLog и модифицированные версии.
C. RParseX (Для массовой обработки и сортировки)
Инструмент: nak0823/RParseXНа чем написан: (Скорее всего Python/Go)
Возможности: Сканирует тысячи папок с логами и группирует скомпрометированные учетные данные по доменам (сайтам). Например, создает один файл binance.com.txt, в который складывает все логины/пароли от биржи со всех зараженных машин.
Поддерживает: Redline, Racoon, Doenerium.
D. Инновационный метод 2025: Анализ скриншотов через LLM
Современный метод обработки (описан в статье arXiv 2507.23611). Вместо парсинга текста, исследователи скормили скриншоты с зараженных машин LLM (GPT-4o-mini) с промптом на поиск.Что это дает:
- Поиск вектора заражения: Картинка показывает, что пользователь скачал "Crack для Adobe" или "Ключ для ESET" с YouTube перед заражением.
- Извлечение URL: Модель вытаскивает ссылки из адресной строки браузера на скриншоте.
- Результаты: LLM извлекла 337 URL и 246 названий файлов из 1000 скриншотов Aurora, что позволило обнаружить конкретные кампании по распространению.
4. Цепочка монетизации (Как это работает)
Понимание бизнес-модели помогает успешно обналичить (отработать) логи:- Автор (Dev): Пишет стилер, продает подписку (MaaS - Malware-as-a-Service) за $50-$300/мес. Предоставляет панель управления и техподдержку.
- Дистрибьютор (Dristributor/Log Buyer): Покупает билд стилера. Распространяет его через торренты, фишинг или рекламу "взлома игр".
- Агрегатор (Market Owner): Владелец Telegram-канала или маркета. Покупает оптом логи у дистрибьюторов.
- Конечный покупатель (Initial Access Broker / Red Teamer / Scammer):
- Покупает логи конкретных компаний.
- Использует куки для сессионного хиджакинга (обход MFA).
- Сливает криптокошельки.
- Продает доступ к корпоративной сети Ransomware-группировкам.
