Статья Боремся с утечкой трафика на винде.

  • Автор темы Bypass
  • Дата начала
Bypass

Bypass

Well-known member
02.02.2018
451
561
Сейчас мы будем лишать девственности Билли возможности утечки нашего трафика на сервера мелкомегких их же оружием.
Всю операцию буду проводить на виртуальной машине, хостовая машина выступит в роли стенда для снифинга и выявление утечки трафика с виртуальной машины.

Запускаем на виртуалке чистую вин 7 или 10.
идем в настройки фаера по пути Панель управления\Система и безопасность\Брандмауэр Windows и приступаем к настройке.

Включаем файрвол если был отключен.
Заходим в свойства, выставляем в вкладках: Профиль домена,Частный профиль,Общий профиль - вход. подключения: Блокировать (по умолчанию)
Исход. подключение: Блокировать
И так во всех 3-х вкладках
Применяем

1.PNG


мы заблокировали абсолютно весь инет трафик

Попробуем запустить браузер и зайти на любую страницу, убедимся что доступ в инет будет закрыт.

2.PNG

Теперь нам нужно решить какие приложения в нашем списке доверенных
мой список короткий

1) Браузер
2) Торернт
3) Месенджер
4) Виртуалбокс
И доступ svhost'y к автоматической коррекции времени на сервер майкрософта.

И так первым делом откроем доступ в инет браузеру:

Жмем в настройках Правила для исходящих соединений > создать правило > для программы > указываем путь до исполняемого файла > разрешить подключение
> Галки оставляем > даем любое имя


Обновляем адрес в браузере получаем доступ
3.PNG


И так с каждой программой которой мы хотим пустить в сеть.

Теперь у нас кроме браузера не один сервис не может вылезти без нашего ведома в инет.
По желанию- разрешим процессу svhost чтобы он мог синхронизироваться с сервером времени.

Добавляем правило и в свойствах настроем следующее пункты:

Путь %SystemRoot%\System32\svchost.exe

Вкладка:Протокол и порты: Тип udp

Cпец порты: 123

Вкладка Область
вносим эти айпишки
216.228.192.69
132.163.96.3
66.199.22.67

Мне хватает этих ip чтобы синхронизировать время, синхронизация идет перебором этих адресов.

4.PNG

5.PNG


Теперь нам нужно убедиться что трафик не пойдет налево, ведь это виндовс он может сам жить своей жизнью. Нужен независимый снифер который будет снифать процесс виртуалки.

Для этого на хостовой машине настроил фильтр захвата трафика только виртуалбокса с сохранением лога каждую секунду.
Перезагрузил виртуалку и стал наблюдать.

После перезагрузки сетевой активности обнаружено не было, зашел на виртуальную систему в браузер и увидел сетевую активность только по тем адресам на которые я попал через браузер.
Screenshot.png


Закрыл браузер и оставил на сутки под наблюдение.

Вы можете наблюдать месяцами ) я например наблюдаю несколько лет так как у меня есть отдельный стенд под это дело. За два года не было замечено и байта ушедшего дяде Билли.

Какую выгоду мы поимели- Отрезали все шпионские модули, антивирус нам стал ненужен, если даже мы подсадим трой он не достучится, если конечно при запуске вы сами не дадите ему админ прав и он пропишется в правилах.

Файлы подозрительные тестирую на виртуалке если все нормально пересаживать на хостовую.
Обновления на винду раз в полгода скачиваю и ставлю руками.

Что я понял, Винда решето, но в умелых руках и х.. балалайка.

Никогда не доверял антивирусам и файрволам особенно сделанных в России о которых потом пестрят в новостях...

Если моя статейка зайдет следующая будет о том как настроить такую блокировку вместе с впн, что даст нам иммунитет от слива трафика налево при разрыве с впн с помощью штатного файрвола.
 
mrOkey

mrOkey

Red Team
14.11.2017
678
739
Я вот читаю читаю про то как разные люди пишут о том как окна починить. Мне вот интересно зачем решать проблемы винды, если можно поднять шлюз и хорошо настроить iptables?! Всё.
 
V

Valkiria

Я вот читаю читаю про то как разные люди пишут о том как окна починить.
Мы не пишем, как починить окна.
В постоянной починке нуждается Линукс ))
Окна из коробки работают отлично, в отличие от Линукс.
Для меня борьба с утечкой трафика в Окнах - это обыкновенная азартная игра, не более.

Статью выше я бы назвала "КАК правильно настраивать брандмауер, встроенный в виндовс".
Но НЕ "Боремся с утечкой трафика на винде"
Возможно, на седьмой версии Окон этот способ и прокатит, но я в этом не уверена.
Утечка трафика гарантирована, просто автор его не обнаружил ))

На десятой версии окон такой способ ничего блокировать не будет.
Даже беглое ознакомление с содержанием говорит о том, что автор не блокирует трафик.
Вот некоторые замечания.
Виртуальная машина VmWare - это не один исполняемый файл, а совокупность огромного числа исполняемых файлов.


Автор в своей статье выпускает в Инет только vmware.exe - это ГЛУПоСТЬ,
Для выхода в инет Виртуальной машины VmWare грамотным решением будет открыть файерволл только для vmnat.exe
Примерно вот так это должно выглядеть


Статья НЕ НРАВИТСЯ !
Для грамотной блокировки утечки трафика нужно воспользоваться вот этой статьёй
ОБСУЖДЕНИЕ. Укрощение операционных систем семейства Windows.
и вот этой видеоинструкцией.
 
Последнее редактирование модератором:
K

kamaz

все в поте лица пытаются чтто заакрыть запретить и т.д. а ведь зайдут они в дугуюдверь так сидьно не дооценивания мекрасофт.
 
V

Valkiria

все в поте лица пытаются чтто заакрыть запретить и т.д. а ведь зайдут они в дугуюдверь так сидьно не дооценивания мекрасофт.
Кто "они" и в какую "другую дверь" зайдут ?
"Другие двери" в равной степени существуют в каждой операционной системе.
Windows в этом отношении ничем не отличается от Linux или Андроид.
 
K

kamaz

Кто "они" и в какую "другую дверь" зайдут ?
"Другие двери" в равной степени существуют в каждой операционной системе.
Windows в этом отношении ничем не отличается от Linux или Андроид.
а мы сдесь о пришельцах разгавариваем тады ОНи
 
Bypass

Bypass

Well-known member
02.02.2018
451
561
Мы не пишем, как починить окна.
В постоянной починке нуждается Линукс ))
Окна из коробки работают отлично, в отличие от Линукс.
Для меня борьба с утечкой трафика в Окнах - это обыкновенная азартная игра, не более.

Статью выше я бы назвала "КАК правильно настраивать брандмауер, встроенный в виндовс".
Но НЕ "Боремся с утечкой трафика на винде"
Возможно, на седьмой версии Окон этот способ и прокатит, но я в этом не уверена.
Утечка трафика гарантирована, просто автор его не обнаружил ))

На десятой версии окон такой способ ничего блокировать не будет.
Даже беглое ознакомление с содержанием говорит о том, что автор не блокирует трафик.
Вот некоторые замечания.
Виртуальная машина VmWare - это не один исполняемый файл, а совокупность огромного числа исполняемых файлов.


Автор в своей статье выпускает в Инет только vmware.exe - это ГЛУПоСТЬ,
Для выхода в инет Виртуальной машины VmWare грамотным решением будет открыть файерволл только для vmnat.exe
Примерно вот так это должно выглядеть


Статья НЕ НРАВИТСЯ !
Для грамотной блокировки утечки трафика нужно воспользоваться вот этой статьёй
ОБСУЖДЕНИЕ. Укрощение операционных систем семейства Windows.
и вот этой видеоинструкцией.
а может все таки там virtualbox? не? еще прошу заметить что на хостовой машине я не блокирую ничего все заблокировано в самой виртулке ) для чего была взята виртуалка это для наглядность как проснифать виртуальную машину на которой установлена винда, что на 7 что на 8 что на 10 по этой статье все работает одинаково. Ты не отклюешь слежение полностью через svhost посмотри сколько сервисов ходит и сколько там адресов, Тебе совет не читай бегло, если я чем то тебя зацепил смотри в суть того что я доношу а не на меня.
 
Последнее редактирование:
V

Valkiria

Я не хочу в дальнейшем что-то доказывать тебе в области блокировки трафика.

Для блокировки трафика Windows недостаточно пользоваться встроенным в Windows фаерволлом.
Ведь он даже не обнаруживает все исполняемые виртуальной машины, выходящие в инет.
Он не обладает этими функциями, о каком полноценном брандмауре может идти речь ?
В статье ты описал процесс настройки брандмауера, но не блокировки трафика.

Я уверена, что твоё утверждение о том, что данный способ блокирует все коннекты с виртуалки - не соответствует истине.
Откровенно говоря, я не представляю, как ты на практике осуществляешь этот процесс.
Сомневаюсь не в том, что ты его не осуществил: наверняка ты установил и виртуалку, и снифер, и что-то там запретил.
Но на практике твой снифер должен фиксировать Куеву тучу этих пакетов, у тебя глаза должны разбегаться от их количества )
Ведь в троянить должна и хостовая, и гостевая машины одновременно.
Либо твой снифер такой-же дырявый, что и используемый тобою брандмауер и не способен анализировать пакеты,
либо ты что-то недопонимаешь.
 
Bypass

Bypass

Well-known member
02.02.2018
451
561
Я не хочу в дальнейшем что-то доказывать тебе в области блокировки трафика.

Для блокировки трафика Windows недостаточно пользоваться встроенным в Windows фаерволлом.
Ведь он даже не обнаруживает все исполняемые виртуальной машины, выходящие в инет.
Он не обладает этими функциями, о каком полноценном брандмауре может идти речь ?
В статье ты описал процесс настройки брандмауера, но не блокировки трафика.

Я уверена, что твоё утверждение о том, что данный способ блокирует все коннекты с виртуалки - не соответствует истине.
Откровенно говоря, я не представляю, как ты на практике осуществляешь этот процесс.
Сомневаюсь не в том, что ты его не осуществил: наверняка ты установил и виртуалку, и снифер, и что-то там запретил.
Но на практике твой снифер должен фиксировать Куеву тучу этих пакетов, у тебя глаза должны разбегаться от их количества )
Ведь в троянить должна и хостовая, и гостевая машины одновременно.
Либо твой снифер такой-же дырявый, что и используемый тобою брандмауер и не способен анализировать пакеты,
либо ты что-то недопонимаешь.
Какие тучи пакетов) если на виртуалке закрыто все полностью обсолютно. Открыт только браузер который юзает http/s трафик ) какие пакеты откуда они берутся то ) снифер ловит только те которые проходят от виртуалки до хоствой машины. Ты лучше чем спорить сделай так и потом мне покажи вот мол пакет вот он прошел тогда другой разговор а сейчас обычная женская демагогия получается. Уж извините меня пришлось запускать такой снифер а не брать лог вайршарка и постить тут на 20 страниц. Снифер юзайте какой вам по душе. Хоть на уровне роутера. Я заюзал его лишь для статьи. Я явно понимаю )) мес) не?
 
Последнее редактирование:
Bypass

Bypass

Well-known member
02.02.2018
451
561
Это тебя убедит ?
нет мне нужно чтобы в виртуальной машине было заблокировано все, а вайршарк запущен на хостовой

---- Добавлено позже ----

Человек просто думает что пользуясь одним браузер, трафик идет только с браузера
а откуда он еще может быть? не локальный который, кто его генерит? если все заблочено только единственный исполняемый файл может генерить его и это браузер.
p.s честно не ожидал что люди с нормальной репутацией не знают и не могут понять основ ) я шокирован если честно.
 
Последнее редактирование:
Bypass

Bypass

Well-known member
02.02.2018
451
561
конфиг файра плиз экспортируй сюда и в вайршарке локалку ненужно снифать а нужно виртуальный адаптер через него траф ходит, локалку ты снифишь это хорошо конечно ) но нам ненужна сейчас хостовая, так как наблюдаем виртуальную машину.
Можно знаешь даже как сделать я завтра накачу в виртуалку еще виртуалку с вин 10 будет первая виртуалка хостовая я на нее дам тебе тимку и мы вместе снифнем вторую виртуалку с 10кой) гуд?
 
Последнее редактирование:
V

Valkiria

конфиг файра плиз экспортируй сюда и в вайршарке локалку ненужно снифать а нужно виртуальный адаптер через него траф ходит, локалку ты снифишь нам ненужна сейчас хостовая, так как наблюдаем виртуальную машину.
Ой, мама, я кем я общаюсь ))
Вся моя локалка - это лишь один мой комп, подключенный к роутеру через сетевую карту.
Мой анализатор пакетов отслеживает трафик, проходящий через сетевую карту компьютера.
Очевидно, что трафик виртуалки гарантированно проходит через него, больше некуда ему деваться ))

Такое впечатление, что это не ты а я написала статью.
Пусть будет по-твоему, у тебя член толще ))
Я гарантирую, что описанный тобою способ не блокирует исходящий от Окон трафик: Окна как троянили, так и будут троянить.
Хочешь обсудить мой способ блокировки трафика ? Оставляй свои умозаключения здесь.
ОБСУЖДЕНИЕ. Укрощение операционных систем семейства Windows.
 
Bypass

Bypass

Well-known member
02.02.2018
451
561
Ой, мама, я кем я общаюсь ))
Вся моя локалка - это лишь один мой комп, подключенный к роутеру через сетевую карту.
Мой анализатор пакетов отслеживает трафик, проходящий через сетевую карту компьютера.
Очевидно, что трафик виртуалки гарантированно проходит через него, больше некуда ему деваться ))

Такое впечатление, что это не ты а я написала статью.
Пусть будет по-твоему, у тебя член толще ))
Я гарантирую, что описанный тобою способ не блокирует исходящий от Окон трафик: Окна как троянили, так и будут троянить.
Хочешь обсудить мой способ блокировки трафика ? Оставляй свои умозаключения здесь.
ОБСУЖДЕНИЕ. Укрощение операционных систем семейства Windows.
"Очевидно, что трафик виртуалки гарантированно проходит через него, больше некуда ему деваться ))"
так это понятно что ходит через карту только как ты мне предлагаешь по картинке выявить траф который генерирует виртуальная машина ) Нет не хочу твой способ он не гарантированый, утилитами и блокировкой ip адресов не поможет я в свое время блочил подсети и под 1к адресов и все равно какой нибудь появлялся через несколько дней новый, нужно блочить все ПОЛНОСТЬЮ. Пусть там винда усерается и генерит ip адреса. svhost'y перекрыт доступ так же как при выключенном инете. Поэтому этот способ для меня выход. Этот способ жесткий и хладнокровный. Заставляющий железку делать так как мне угодно. Все блочим и сами решаем что должно ходить в инет а что нет. svhost постоянно ломиться в инет он бы и генерил кучу пакетов а так как он задушен то в снифере спокойна все кроме пакетов от браузера. Он локальный траф не снеферит а снеферит только лишь один процес который и открывает порты и ломиться по адресам. У виртуалбоска он один, В общем смотрите сами господа как вам, есть такая поговорка кто как хочет так и дро...
 
Последнее редактирование:
  • Нравится
Реакции: ALF
V

Valkiria

так это понятно что ходит через карту
То тебе дай это, то тебе подай что-то другое ))
Ты мне клоуна стал напоминать.
только как ты мне предлагаешь по картинке выявить траф который генерирует виртуальная машина )
Я тебе ничего не предлагаю.
Блокировала весь тафик хостовой машины.
Оставила только трафик гостевой машины, его и анализирую.

Я устала от бестолкового общения с тобой.
 
  • Нравится
Реакции: Remir и n01n02h
Bypass

Bypass

Well-known member
02.02.2018
451
561
То тебе дай это, то тебе подай что-то другое ))
Ты мне клоуна стал напоминать.
Я тебе ничего не предлагаю.
Блокировала весь тафик хостовой машины.
Оставила только трафик гостевой машины, его и анализирую.

Я устала от бестолкового общения с тобой.
ты устала от неконструктивного диалога. Ты пытаешься манипулировать, у тебя нет аргументации и ты выпускаешь оскорбления на меня, на мне это не будет работать, а вот ты палишся очень не грамотно ведешь себя, ты немного спустись на землю и начинай общаться на человеческом языке. Ты женщина мне с тобой демагогию разводить не в кайф. Конструктивно общаемся а по шаблонам ты клоун дурак и т.д будешь с другими общаться.

"То тебе дай это, то тебе подай что-то другое" - всего лишь конфиг и не то и не другое.
Я тебе ничего не предлагаю. - тебе в этом случае нечего предложить.
А я тебе предложил по человечески тимку и вместе все посмотреть. Наглядно лучше доходит.
На этой ноте извольте тоже откланяться мадам ) Было весело пообщаться.
 
Последнее редактирование:
Remir

Remir

Well-known member
05.11.2017
209
339
Вы можете наблюдать месяцами ) я например наблюдаю несколько лет так как у меня есть отдельный стенд под это дело. За два года не было замечено и байта ушедшего дяде Билли.
Ой ли? Ты этого просто не видишь. И не тем смотришь.
Отрезали все шпионские модули, антивирус нам стал ненужен, если даже мы подсадим трой он не достучится, если конечно при запуске вы сами не дадите ему админ прав и он пропишется в правилах.
Это откровенная глупость. Троян первым делом если не отключит это встроенное недоразумение, именуемое брандмауэром, то пропишет правила откроет себе порт сам. Достаточно командной строки, *.bat & *.cmd":
netsh advfirewall set allprofiles state off
И он "потух"
Netsh advfirewall firewall add rule name="HTTP" protocol=TCP localport=21 action=allow dir=IN
и мы открыли входящие по 21 порту
netsh advfirewall firewall add rule name="Port range" protocol=UDP localport=XXXX-YYYY action=allow dir=OUT
и распахнулись ворота для исходящего UDP-трафика в диапазоне от ХХХХ по УУУУ :)
Никогда не доверял антивирусам и файрволам особенно сделанных в России
Ну и напрасно. А они "стучат" куда меньше.

Кстати, тот же "Каспер" в модификации "Internet Security" попросту отключает встроенного бездельника, перехватывая его функции уже при установке. А что мешает это сделать трояну? А вот наоборот картины я еще не наблюдал (чтобы встроенный не позволял что-то поставить свое).
но в умелых руках и х.. балалайка.
Или в первом дело, или во втором, но балалайка у тебя пока не получилась.
 
Bypass

Bypass

Well-known member
02.02.2018
451
561
Ой ли? Ты этого просто не видишь. И не тем смотришь.

Это откровенная глупость. Троян первым делом если не отключит это встроенное недоразумение, именуемое брандмауэром, то пропишет правила откроет себе порт сам. Достаточно командной строки, *.bat & *.cmd":
netsh advfirewall set allprofiles state off
И он "потух"
Netsh advfirewall firewall add rule name="HTTP" protocol=TCP localport=21 action=allow dir=IN
и мы открыли входящие по 21 порту
netsh advfirewall firewall add rule name="Port range" protocol=UDP localport=XXXX-YYYY action=allow dir=OUT
и распахнулись ворота для исходящего UDP-трафика в диапазоне от ХХХХ по УУУУ :)

Ну и напрасно. А они "стучат" куда меньше.

Кстати, тот же "Каспер" в модификации "Internet Security" попросту отключает встроенного бездельника, перехватывая его функции уже при установке. А что мешает это сделать трояну? А вот наоборот картины я еще не наблюдал (чтобы встроенный не позволял что-то поставить свое).

Или в первом дело, или во втором, но балалайка у тебя пока не получилась.
В статье написано - (если даже мы подсадим трой он не достучится, если конечно при запуске вы сами не дадите ему админ прав и он пропишется в правилах). Если у тебя ума хватает запускать трои на свой машине то эта тема вообще не для тебя. Ставь касперского ) я тебе рекомендую просто с его кристально репутацией. А вот насчет балалайки ты вывод рано делаешь так как я не пользуюсь средствами защиты уже лет как 5. Трояны где вы ау??? может ты мне подкинешь? пореверсим на досуге ) ты забыл написать о поднятии прав чтобы команды сработали должно быть проникновение потом поднятие прав минимум до админа. Так что пока балалайка ))
 
Последнее редактирование:
  • Нравится
Реакции: ALF и anddron
Мы в соцсетях: