История одного админа - Максим Абрамов
Шрифт:
Интервал:
Закладка:
Прошло, наверное, часа четыре. Фокс первый раз откинулся на спинку стула и потер глаза.
– Нужно еще редбулла, – пробормотал он, – и поссать.
Вернувшись из туалета, опять уселся за комп, прихлебывая из банки энергетик. Я помогал ему ментально. Ну, я надеюсь, что помогал.
Еще через часа два, заваривая чай, я услышал радостный вопль.
– Да, сука, да, – орал Леха, – Мааааакс!
– Я здесь. Получилось? – прибежал я.
– Да, смотри, все взлетело. Теперь, я смогу обрушить их клиента и закрепиться на контроллере. Ну а дальше дело техники. 30% сделано. Теперь надо писать троян.
– Я могу чем-то помочь?
– Пока не знаю. Но давай я буду проговаривать вслух, а ты будешь меня поправлять.
– Конечно! Я только «за». Я уже устал втыкать в монитор, понимая лишь половину того, что проиходит.
– Только, мне нужно еще редбулла.
И мы уселись за нашего троянца. Работа продвигалась медленно. Леха периодически залипал на каком-то процессе, а я, чтобы его не отвлекать, сидел тихо и старался не мешать. Но даже само наблюдение за тем, как на экране появляются символы кода меня завораживало. Даже я, человек не очень опытный в Python’е, учился видеть через код и вот уже вместо непонятных символов я ясно понимал, где Фокс делает цикл, а где просто запрашивает ввод для приглашения.
Глубокой ночью, когда энергетик уже перестал помогать, Леха щелкнул на клавишу сохранения и встал из-за компа.
– Ну что, наш троянчик для удаленного доступа движется. Но, по-моему, надо поспать.
– Троян удаленного доступа…Remote Access Trojan или сокращенно RAT – крыса. Прикольно?
– Хм, и правда прикольно. Если получится огонь, то потом и название придумаем. Вдруг разлетится по сети.
Уставшие, мы разошлись по комнатам. Хотелось проснуться пораньше. Предстоял еще один день кодинга. Я радовался, что сумел заинтересовать Леху. Для него это был вызов, и он его принял.
****
RAT мы писали несколько дней. Через дня три я уже совершенно потерялся не то что в днях неделях, я уже с трудом понимал какой месяц вообще и сколько прошло. У Фокса была странная привычка, которая помогала ему быть продуктивнее – он задергивал жалюзи, исключая проникновение света и убирал все часы из поля зрения. Это помогало ему отрываться от работы только тогда, когда он уже совершенно валился с ног.
– А то, смотришь в окно, видишь там уже вечер, и организм сам начинает клонится ко сну, – объяснял он, – а если время теряется, то и непонятно.
Я соглашался. Продуктивность Фокса была мне наруку. Также он бросил клич на своем форуме в ДаркНете и периодически заглядывал туда, собирая материал и черпая новые идеи.
И вот, наконец Леха громко хлопнул в ладоши.
– Готово! У нас полный набор необходимых функций.
– Мне кажется, что ты какой-то сверх человек, – вымолвил я, – написать ТАКУЮ программу за несколько дней….
– Ну, вообще у меня было много наработок. Я же не с нуля ее писал. Можно сказать, что многие функции я уже прописывал, выполняя некоторые контракты. Ну и ребята помогли. Но это лирика. Иди покажу, что у нас есть.
– Давай, – меня даже немного затошнило. Наверное, выброс адреналина.
И Леха стал по очереди показывать возможности и их реализацию на практике. На подопытном ноутбуке, мы полностью провели атаку на приложение чата, закрепились в специально созданном нами виртуальном домене и потом через групповые политики также установили RAT. И вот, после перезагрузки, политики были применены и Леха получил удаленный доступ к нашему компьютеру. Фокс организовал все функции, которые мы хотели. Каждый набранный символ сразу же записывался в отдельный файл, который ложился на специально подготовленный для этих целей сервер. Наш сервер! Мы видели удаленный рабочий стол и могли им управлять. У нас был доступ к реестру атакуемой машины, и мы могли менять файл hosts52.
– Ну, просто бомба, – заключил я, после окончания презентации
– Или пушка, – улыбался в ответ Леха.
– Может так и назовем?
– Как? Пушка? Чета не очень!
– А как? О! Давай «Метеор»!
– Нравится…надо придать эпичности! «светлый метеор»
– Bright Meteor!
– Точно! BM RAT! БиЭмРАТ – звучит, космически!
У нас все было готово к взлому Управления Железных Дорог РФ. И мы не стали откладывать это событие. Право нажатия на «Enter» (а именно это действие запускало процесс), было великодушно предоставлено мне. И вот наш метеор – «взлетел». Фокс уселся за свой комп, а я уставился в ноут. Нужно было следить за получаемыми от нашего крысеныша логами. Именно там я надеялся найти всю необходимую информацию.
Глава 26
На нас обрушился просто шквал информации. В Управлении работало около 100 человек и кроме рабочих вопросов, были еще и группы по интересам, где иногда просто мозг взрывался от спама. Пару раз Леха гаденько хихикал и тыкал пальцем в экран. Это было уже третий раз и каждый раз свидетельствовало об одном и том же: кто-то смотрел порно на рабочем месте.
Несколько дней мы только тем и занимались, что наблюдали за сотрудниками управления. Результатом этих наблюдений, стал вывод, что в Управлении активно используется программа SAP R353. Учитывая, что наш «метеор» обладал функцией кейлогера, мы отслеживали пользователей, которые уходили на обед (о чем они договаривались в чате) и затем подключались к их компам. Дальше мы начинали ползать по SAP, пытаясь выяснить для чего именно используется эта система. В результате нескольких рейдов, мы пришли к выводу, что для всего. Туда заносились все бизнес-процессы. Начиная от приема на работу нового сотрудника, и заканчивая информацией о том во сколько будет планерка диспетчеров. Учитывая, что такое количество данных было консолидировано в одном месте, нами было принято решение, изучить R3 досконально.
И опять потянулись минуты, часы, дни. Я не вылезал из-за компа. Как и Леха я подсел на энергетики и поглощал их банками, один за другим. Иногда чередовал с кофе. Леха был вынужден вернуться к работе. Он и так потратил на меня огромное количество времени. Но тем не менее, часик-другой в день, он выискивал и тоже садился за анализ. Я же просто тонул в объемах информации. Разобраться в немецкой ERP системе было очень даже не просто. Но я терпеливо и дотошно изучал каждый лог файл, который получал от «БиЭм». Через несколько дней такого анализа я заметил странную особенность. Некоторые данные, как будто перезаписывались заново. А те, например, которые были занесены вчера, на следующий день просто пропадали. Чаще всего такие инциденты замечались