• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Мамкин хакер тоже может быть угрозой

Недавно мой коллега спросил у меня, а занимался ли я когда-нибудь Red Team’ингом? Я ответил, что «Да», но ничего не сказал конкретного. Вначале написания этой статьи я бы хотел упомянуть, что всё, что вы увидите далее – не имеет призыва к действию и носит только ознакомительный характер. Любая кража - данных, денег или интеллектуальной собственности влечет за собой уголовную ответственность.

Немного о себе. Я работаю инженером кибер безопасности (blue team). Я не занимаюсь профессионально взломом, а лишь изучаю поведение противника, чтобы лучше его узнать. Как хакер я полное дно, это надо понимать, так как просто нет временем и задач на взлом. Я как раз таки «Мамкин хакер». И цель этой статьи показать, что даже мамкин хакер может быть потенциально опасен. Эта лишь один из случаев моей практики по взлому который наглядно показывает, что для того чтобы украсть данные достаточно минимальных знаний и смекалки.

В этой статье не будет ничего про pentest и описания различных утилит для взлома. Только социальная инженерия. Именно в этом случае социальная инженерия имеет очень важную роль. Поехали! Первым делом я зашёл в современный даркнет, он же Телеграм и скачал слитую базу. Этой базой оказалась база учёток сайта tecwallet.com. Данная площадка является платформой для продажи авторских курсов по разным направлениям. Слита эта база была в сентябре 2021 года. Примерно в это время я её и скачал. Открыв её я увидел примерно такую картину:

Screenshot from 2021-11-29 12-54-46.png


Пароли зашифрованы...или нет? 32 символа, нет спец символов, стало всё понятно – скорее всего это хэширование md5. Декриптор подтвердил мои догадки. После расшифровки паролей следующим вопросом был - как мне тестировать все эти учётки? Файл насчитывает более 4000 записей. Я заметил, что помимо распространенных почтовых сервисов в логине пользователя присутствуют также учётки домена tecwallet.com.

Screenshot from 2021-11-29 12-57-06.png


Именно эти учётки и вызывают у злоумышленника больший интерес, так как они могут содержать чувствительные данные или полезную информацию для плохих парней.

Моей целью было посмотреть, что же полезное может украсть злоумышленник. Логинившись под этими учётками я находил немало потенциально полезной информации. Давайте рассмотрим один из этих примеров.

Screenshot from 2021-09-07 13-06-45-1.png


Оказавшись на главной странице я увидел, что у данного персонажа можно изучить профиль, почитать его сообщения, а также посмотреть в левом меню чем обладает «жертва».

Изучение профиля

Screenshot from 2021-09-07 13-15-38-1.png


Изучив профиль я заметил, что вошел под аккаунтом некого IT Trainer. «Будет чем поживиться» – подумал я.



Чтение личных сообщений

Screenshot from 2021-09-07 13-15-03.png


Мы видим много непрочитанных сообщений. Я не читаю личную переписку, но злоумышленник может оказаться не такой принципиальный как я и получить возможно полезную информацию из личных сообщений.



Кража интеллектуальной собственности

Ну раз человек является IT тренером, наверняка у него есть авторские курсы по IT. Бинго!

Screenshot from 2021-09-07 13-08-49.png


Screenshot from 2021-09-07 13-08-35.png


Screenshot from 2021-09-07 13-09-11.png


Все его труды злоумышленник может просто скачать, тем самым сведя его старания к нулю. Или может сам посмотреть и набраться опыта :) Помимо этого тут есть купоны на приобретения его курсов

Screenshot from 2021-09-07 13-10-55.png


Кража денег

К сожалению информация о выручке за проданные курсы и доступ к самому кошельку также есть из личного кабинета.

Screenshot from 2021-09-07 13-07-33-1.png


Здесь мы видим, что есть информация о доступных средствах в размере $181, и вывести их можно в один клик.

Помимо приведенной выше информации была и другая, однако я посчитал, что она не несёт пользы для злоумышленника и не стал отображать её в статье.

Этим примером я хотел лишь показать, что информационная безопасность играет важную роль в современных реалиях и для того, чтобы увести данные иногда достаточно быть обычным «мамкиным хакером», которому не требуются знания программирования для написания умных скриптов, не требуется знания и опыт работы со специализированными утилитами для взлома и даже банальный брутфорс не требуется использовать. Скачать "утечку" или купить её будет вполне достаточно.

Каждый год утекают сотни терабайтов информации в открытый доступ. То Linkedin взломают, то у Яндекса утечка внутренних данных, и таких случаев сотни, а то и тысячи ежегодно. Я не знаю как именно утекла данная база в открытый доступ. Был ли это взлом с помощью sql injection, или проникновение в организацию и взлом сервера базы данных изнутри, а может банальный инсайдерский слив админом имеющий доступ к базе данных, но хотел бы поделиться базовыми советами с читателем и начинающими специалистами в области ИБ:

  1. Храните данные в зашифрованном виде, чтобы при утечки данных их сложно было расшифровать
  2. Не стоит давать всем админам доступ до базе данных. Для каждого админа создавать индивидуальную учётку, чтобы проще было расследовать инцидент при его возникновении
  3. SIEM – это основа любого SOC и наши глаза и уши. SIEM – must have для каждой крупной организации в которой есть департамент информационной безопасности.
  4. PAM (privileged access management) – класс решений, который позволяет следить и управлять привилегированными пользователями.
 
Последнее редактирование модератором:

k0lob0k

One Level
10.04.2019
1
3
BIT
0
В этой статье не будет ничего про pentest и описания различных утилит для взлома. Только социальная инженерия. Именно в этом случае социальная инженерия имеет очень важную роль.

Хорошая статья, но imho, про социальную инженерию тут ничего нет.
 
  • Нравится
Реакции: migu, Lampa и D3L1F3R

nejikir

One Level
14.09.2020
3
18
BIT
0
Хорошая статья, но imho, про социальную инженерию тут ничего нет.
Спасибо за обратную связь. Вы наверное правы, социальной инженерии оказалось намного меньше чем я планировал изначально в своём воображении. Разве что сокращение времени на перебор всех учёток и концентрация на внутренних УЗ.
 

mcfly

Green Team
08.09.2016
615
619
BIT
257
Вопрос! Неужто так лего можно было сбрутить md пятку я не думаю что были пароли 12345?
 

nejikir

One Level
14.09.2020
3
18
BIT
0
Хорошая статья, но imho, про социальную инженерию тут ничего нет.
Спасибо за обратную связь. Вы наверное правы, социальной инженерии оказалось намного меньше чем я планировал изначально в своём воображении. Разве что сокращение времени на перебор всех учёток и концентрация на внутренних УЗ.
Вопрос! Неужто так лего можно было сбрутить md пятку я не думаю что были пароли 12345?
К сожалению удалось взломать не все пароли, однако как показала практика было много достаточно простых паролей без спец символов. Этого было достаточно
 
  • Нравится
Реакции: mcfly

bor0KA

One Level
23.01.2020
8
6
BIT
6
Статья интересна и для Redов (как с правильными знаниями находить варианты решения поставленной цели) и для Blue (показывает что беспечность и видимая защищённость - одни из основных ошибок безопасности).
Спасибо
 

HellaHillz

Green Team
19.01.2020
39
1
BIT
20
Говорю как мамкин хакер - с названием статьи согласен. Как эволюционировать до ламера подскажите (небольшой оффтоп, не бейте)
 

Pernat1y

Red Team
05.04.2018
1 443
135
BIT
0
Говорю как мамкин хакер - с названием статьи согласен. Как эволюционировать до ламера подскажите (небольшой оффтоп, не бейте)
До ламера эволюционировать не стоит.
А так, читай доки, смотри курсы, учи линух и что-то типа Python.
 
  • Нравится
Реакции: HellaHillz
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!