Громко сказано - Как я пытался ботнет поднять.

Fireburn

RAID-массив
Пользователь
Регистрация
15.09.2019
Сообщения
86
Реакции
145
Баллы
39
Всем привет. Занимаюсь трафиком в популярных зарубежных источниках. Баны ловлю крайне редко, модерацию с клоакой прохожу почти всегда без проблем, платежки нашел, как подключать, всё вроде бы отлично. Поэтому сопоставив свой интерес в карже и логах, возникла идея заниматься по своей специфике - давать трафик на почти свой продукт. Идея, как обычно ей присуще, была великая - даешь 1 лог в 1 руки! Долой биржи и говнотраф. Долой монополию Росса. Хватит майнкрафт и роблокс, даешь палку каждому логоводу.
Представили? 🤣
Естественно всего этого не произошло. Хоть и скурпулёзно изучался материал, отбирались лучшие варианты по цене/качеству, первому блину все же суждено было стать комом. Подробнее: сервер я взял на Namecheap - VPS 11$ per mounth, поднял на нем nginx и даже думал осуществить клоаку прямо на ВПС через нгинкс.конф, однако потратив уйму времени, решил взять недельный триал ПХП клоаку от хайд клик ( лайфхак для трафферов, которые не хотят платить за клоаку или настраивать ПиксельК или Бином). Параллельно я выбирал варианты инжекта. Перелопатив пару форумов и встречяя разные мнения, я пришел к тому, что создал фишинговый сайт 1 в 1, как сайт официального софта для Виндовс, отличие только в доменной зоне. Почистил код от метрик, пикселей и прочей дряни, установил ссылку
на скачивание правильного файла везде, где смог. Что за файл? Тут я решил выбрать стиллер, который не так давно появился, но положительных отзывов снискал. Купил, поставил админку, отдал на крипт, склейку и сертификат. делал мне один чел с бхф. Хоть и пытался он старательно решать проблемы, но все же бывало, что с криптом затягивал на 3 дня и несистематически бывал онлайн. Крипт делал на Си ( как оказалось это было одной из ошибок) По юности своей, наивности или скромному опыту, я решил, что белый софт должен обязательно работать и юзеры, скачивающие софт с моего сайта, должны запускать его без подозрений, что параллельно еще и запускается билд. В связи с этим вся программка для винды весила аж по 20 метров. Но крипт хотя бы не давал алертов в браузерах и по ссылке качался сразу в папку Downloads. С радостью я решил проверить, как там отстук ( с моего компа стучало без нареканий) Пролив с биржи показал отстук аж... до 40% Мой параллельный пролив трафика с буржуйской аудитории вообще не дал отстука.

Тут я почерпнул несколько ошибок:

1) Крипт надо делать нормальный, а не шарп, натив. Во всяком случае для моего стиллера
2) Вес софта должен быть минимальным, не под 20 метров ( хотя для людей, качающих софт ,по идее, нет разницы между 1.5 и 20 мб)
3) Вариант инжекта должен быть более проработанным и отрабатывать сразу несколько гипотез. Сайт 1 в 1, как у офф софта, пусть даже с ССЛ и мгновенным редиректом на настоящий официальный сайт сразу после начала скачивания не всегда может работать, как успешный вариант заражения
4) Помимо нескольких вариантов заражения должно быть несколько стиллеров ( либо 1, но отработанный и протестированный). Да и самих спецов, что криптуют лучше иметь более 2ух, т.к. в действительности 1 постоянно куда-то пропадал.

Потратив уйму сил, времени и не получив собственно ничего, я решил остаток трафика слить на партнерские программы. У меня до этого хорошо получалось делать мобайл инсталлы. Поэтому взяз оффер казино на EU я запустил трафик. Из 60+ инсталлов у меня по итогу в партнерке отобразилась 1 регистрация. В другой партнерке у меня оплата была за депозиты. Из около 150 инсталлов, 40 регистраций - ни одного депозита. Трафик платежеспособный, когда я лил точно такой же на СНГ и результаты были не просто лучше, а значительно лучше. Но я давно уже отказался рекламировать скам продукты на СНГ, Азию и другие бедные страны. Если с помощью стиллера воруются данные платежек, баланс которых в 97% случаев будут возвращены КХ европейскими и Американскими банками или тем же пейпал, то выманивать мошенническими обещаниями деньги у жителей не самых благонадежных стран, которым никто потом не возместит и не компенсирует, я считаю очень коварно и не хорошо. Все же даже в этой сфере должна быть честь, поэтому я даже с некоторой радостью воспринимаю тот факт, что с казино у меня не сложилось, а гемблинг на СНГ лил очень непродолжительно и к этому больше не возвращался. Это я к чему. Говнопродукты на партнерках очень часто ненадлежащего качества не только для потребителей, но и для арбитражников, которые льют трафик и получают нули в стате.

Постскриптум: у меня вроде бы еще оставались живые акканты с матом. Поэтому в ближайшие дни могу хоть на практически безвозмездном основании предоставить вам трафик на интересный проект. Через неделю, возможно, уже буду занят новым клиентом, но это время терять также не хочется + мат пропадет, если уже не пропал. Опыту по трафику достаточно много, могу и ТЗ поставить и сам решить, если что надо.
В ходе запуска ботнета также появилось немного опыта по сервакам, да и знаний в других смежных областях не убавилось, а наоборот.
Такой мой скромный первый опыт в этом нелегком деле. Тем не менее, я не отчаиваюсь и с радостью выслушаю критику

Всем кто прочели оставил мнение аптайм 99+, абузоустойивости и отстука 95+ 🤓 🍻🤠
 

Shocker

(L3) cache
Модератор
Регистрация
17.05.2019
Сообщения
195
Реакции
167
Баллы
39
( хотя для людей, качающих софт ,по идее, нет разницы между 1.5 и 20 мб)
Ну не сказал бы. Если у человека очень медленный интернет, он пока 20мб скачает, передумает 8 раз, и в итоге ничего не запустит. Пока будет загружать, успеет рассмотреть сайт, найдет какой косяк.
Если файл весит 50кб, дело пару секунд, он и не поймет ничего.
На мобильном трафике это особенно актуально.
 
Последнее редактирование:

Fireburn

RAID-массив
Пользователь
Регистрация
15.09.2019
Сообщения
86
Реакции
145
Баллы
39
Ну не сказал бы. Если у человека очень медленный интернет, он пока 20мб скачает, передумает 8 раз, и в итоге ничего не запустит. Пока будет загружать, успеет рассмотреть сайт, найдет какой косяк.
Если файл весит 50кб, дело пару секунд, он и не поймет ничего.
На мобильном трафике это особенно актуально.
Трафик десктоп Виндовс, после начала скачивания сразу шел редирект на официальный сайт.ком
А вот то, что паблишер неизвестен - отсутствует валидный сертификат и то, что крипт или сам силлер стучал крайне плохо это, имхо, не менее важно. Но и не исключаю того, что сам инжект довольно незатейлив и так сейчас не проливают
 

RedBear

HDD-drive
Пользователь
Регистрация
12.05.2019
Сообщения
38
Реакции
141
Баллы
41
Telegram
Jabber

Paramedic

RAM
Модератор
Регистрация
25.11.2019
Сообщения
104
Реакции
65
Баллы
23
криптовать нужно исходя из самого софта. если твой софт написан на дотнете, то соответственно и криптовать его лучше дотнетом. аналогично с нативом. можно и наоборот, но это уже извращения.
 

Fireburn

RAID-массив
Пользователь
Регистрация
15.09.2019
Сообщения
86
Реакции
145
Баллы
39
Вообще то есть большая разница между С и C#.

Ну вот другой криптор меня нуба с толку сбил, сказав ерунду) Уже понял, что есть три языка: С, С# и С++

криптовать нужно исходя из самого софта. если твой софт написан на дотнете, то соответственно и криптовать его лучше дотнетом. аналогично с нативом. можно и наоборот, но это уже извращения.
У ТП стиллера спросил, как оказалось, что лучший вариант С или С++
Крит был сделан на С. В виду отстутствия возможности и дальше тестировтаь стиллер, сейчас так и не смогу сказать в чем же была проблема - стиллер или криптор
 

InWMZ

HDD-drive
Пользователь
Регистрация
26.09.2019
Сообщения
46
Реакции
21
Баллы
9
Telegram
В 99% случаях на личном опыте трабла в крипте...
 

Fireburn

RAID-массив
Пользователь
Регистрация
15.09.2019
Сообщения
86
Реакции
145
Баллы
39
это просто, просто пздц
Окей, по моей логике юзер должен был с полной уверенностью качать утилиту для Винды, которая сама по себе весит 18 метров. + 1.5 метра крипт. Что в данной цепочке являлось фатальным? Размер самого файла: белого софта 18 метров + крипт 1.5 для юзеров был бы не не приемлемым? Или сам размер слишком большой для адекватной работы стиллера?
Иными словами: большой размер критичен с технической тсороны вопроса или социальной инженерии?
 
Последнее редактирование:

ridealang

RAID-массив
Пользователь
Регистрация
27.10.2019
Сообщения
59
Реакции
26
Баллы
18
Окей, по моей логике юзер должен был с полной уверенностью качать утилиту для Винды, которая сама по себе весит 18 метров. + 1.5 метра крипт. Что в данной цепочке являлось фатальным? Размер самого файла: белого софта 18 метров + крипт 1.5 для юзеров был бы не не приемлемым? Или сам размер слишком большой для адекватной работы стиллера?
Иными словами: большой размер критичен с технической тсороны вопроса или социальной инженерии?
1.5 MB крипт? Где ты видел такие стабы? Попробуй даже самого дешевогопаблик криптера на С/C++ и стаб будет в десятки, а то и сотни раз меньше
 

AsHkERE

RAM
Пользователь
Регистрация
06.04.2019
Сообщения
147
Реакции
45
Баллы
26
Telegram
Jabber
1.5 MB крипт? Где ты видел такие стабы? Попробуй даже самого дешевогопаблик криптера на С/C++ и стаб будет в десятки, а то и сотни раз меньше
да мораль.такова что 2мб на зависимости разные уходит
 

Haunt

RAID-массив
Пользователь
Регистрация
07.11.2019
Сообщения
91
Реакции
82
Баллы
18
Серверсайд клоакинг а-ля на основе asn/ip/юзерагента та ещё х#йня. Лучший клоакинг с помощью javascript реализуется. Тут ты можешь зарезать посетителя если у него js движка нет, или navigator тебе и е понравился. Или крутить колесико загрузки на своём ленде до тех пор пока юзер не зажжет onmousemove event столько раз, сколько тебе нужно. Selenium гриды или всякие там пупитеры тоже можно выпаливать как это делают антифрод решения. При чем с помощью js ты можешь делать динамический контент странице - бот зайдёт а там то кроме пустого дива в который смаппится основной контент по условию, который прописан в обфусцированном js по сути нихера и нет. А тупо как блектдс давить белых юзеров и пропускать ботов сомнительное решение.
Ошибку которую ты сделал во втором случае - нет ехе, нет геморроя с ev сертами и сертами в принципе. Смотри в сторону дропперов.
Дропперы решают проблему о которой тут ерепенятся половина форума. О май гад, размер не тот. Передумает качать. Так сделай дроппер на JScript в 500б-1кб который при запуске докачает остальное тело в бекграунде, нашли бл#ть проблему.
 

Fireburn

RAID-массив
Пользователь
Регистрация
15.09.2019
Сообщения
86
Реакции
145
Баллы
39
Серверсайд клоакинг а-ля на основе asn/ip/юзерагента та ещё х#йня. Лучший клоакинг с помощью javascript реализуется. Тут ты можешь зарезать посетителя если у него js движка нет, или navigator тебе и е понравился. Или крутить колесико загрузки на своём ленде до тех пор пока юзер не зажжет onmousemove event столько раз, сколько тебе нужно. Selenium гриды или всякие там пупитеры тоже можно выпаливать как это делают антифрод решения. При чем с помощью js ты можешь делать динамический контент странице - бот зайдёт а там то кроме пустого дива в который смаппится основной контент по условию, который прописан в обфусцированном js по сути нихера и нет. А тупо как блектдс давить белых юзеров и пропускать ботов сомнительное решение.
Ошибку которую ты сделал во втором случае - нет ехе, нет геморроя с ev сертами и сертами в принципе. Смотри в сторону дропперов.
Дропперы решают проблему о которой тут ерепенятся половина форума. О май гад, размер не тот. Передумает качать. Так сделай дроппер на JScript в 500б-1кб который при запуске докачает остальное тело в бекграунде, нашли бл#ть проблему.
По поводу первого пункта - все зависит от средств и целей. Почти все кроме Гугла - отлично клоачится на Пыхе. Благо время, деньги и специалиста по фронту искать не надо, уже есть готовые и что самое главное - бесплатные решения. Главное знать где их найти. Если заморочиться -то и с ДжС можно решить обход модерации. Были бы спецы и средства.
Про второй пункт хотелось бы услышать чуть более. Буду признателен
 

Haunt

RAID-массив
Пользователь
Регистрация
07.11.2019
Сообщения
91
Реакции
82
Баллы
18
Про второй пункт хотелось бы услышать чуть более. Буду признателен
Так а что говорить.
var obj = new ActiveXObject(’WScript.Shell’);
obj.Exec(‘your.exe’)
Только перед этим скачай или тащи с собой в массиве байт ехе. Потом в Exec передаёшь путь к exe.
Это вариант jscript дроппера без наворотов и обфускации.
А ещё bat/hta/vbs/chm есть..
Связка из hta->jscript->exe обходит алерт хрома. Без ev сертов и траст домена. Ага.
 

kronos_

HDD-drive
Пользователь
Регистрация
11.11.2019
Сообщения
31
Реакции
5
Баллы
8
Не смотря на наличие подобных тем, найти партнера который размется этим практически нереально.
 
Верх