• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Второй шанс: надежда после отсидки, обреченная история цикличной безысходности

Учти - преступник тот, кто пойман,
А кто капкан лишь ставил - хитрец.
Глуп тот, кто заметать следы не может,
И тот дурак, что сам в ловушку полез.

Аноним.​


Второй шанс: надежда после отсидки, обреченная история цикличной безысходности

Заглавие

Приветствую, друзья дорогие, речь заведем сегодня мы о времени, а именно о том, сколько его уже утекло. Ведь, если вспомнить, с момента публикации первой сюжетной статьи прошло уже полгода, а вроде бы и совсем недавно действия творились эти. Если осознание Вам не пришло само , то поясню я быстренько - это будет что-то наподобие юбилейного выпуска писаний рода подобного, где мы раскроем субъекта первоначального чуточку лучше, а по пути и продемонстрируем несколько вещиц интересных.

Дисклеймер

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.

Начало положено этому карнавальному калейдоскопу персонажей было эксцентричным видом человечушки, взор которому был залеплен узами мнимой любви. Ослепленный герой-любовник так и не смог определить время, когда им была пересечена линия невозврата, как уже можно было догадаться, после пересечения этой черты - дороги обратно нет, мир не станет прежним. Будьте осторожней. А давайте-ка вспомним классику и дадим этому персонажу второй шанс: надежда после отсидки, обреченная история цикличной безысходности.

Типичное, ничем не примечательное утро общежития, описанию подлежит весь этот хаос лишь одним словосочетанием - безудержная анархичная суета всех сует.
В чертовски грязной комнате с облупленными стенами, на маленькой сетчатой кровати, лежал студент, но только былой, всё это уже в прошлом, поглощенный размышлениями о своих проступках, а после и, хоть и небольшом, но всё же тюремном сроке. Тяжелый липкий воздух, отдающий вязкостью пыли, не стал ему помехой, отдав последние крупицы за него, восполнила радость Алексея - собственное пространство.

“Купить покушать нет на что, с универа исключили, чёрт… Как же я был глуп, эти шесть месяцев уничтожили всё. Нужны деньги. Горбатиться на стройке - не вариант, нужно что-то придумать. Может всё таки это?”

Продолжая истязать себя мыслями, Алексей и сам не заметил, как сон затащил его в свои объятия. Проснувшись, он твердо решил, что попробует срубить на первое время денег тем, от чего его жизнь и пошла под откос. Деваться было некуда. Составив краткий план, он приступил к делу, сперва перечитав его:
  1. Новая жизнь: используем старое в иной интерпретации
  2. Лирическое отступление: борьба и удаление
  3. Былые познания: подменяем все и всех
  4. Итоги

Новая жизнь: используем старое в иной интерпретации

Итак, перво-наперво наш герой скачивает и устанавливает VM Virtualbox на свой новый, но уже достаточно древний ноутбук, что ему удалось выкупить у какого-то школотрона, который просто хотел срубить денег на первом попавшемся, задача не могла не увенчаться успехом, коль появился Алексей на поле этой битвы денежной.

Выбор персонажа пал именно на программу виртуализации по причине простоты и удобства в использовании одновременном рядом с гражданской системой. После установки нашей ОС для пентеста, Алексей принялся вспоминать старые затеи со спуффингом и перехватом пакетов, был он чертовски хорош в этом деле, как показало прошлое, слишком хорош, чтобы оставаться незамеченным. Естественно, не без уроков, вынесенных с имевшегося опыта, он приступает тестировать всё это дело, но все его планы и амбиции были разбиты одной незамысловатой засадой.

Screenshot_2.png

Виртуальная система находилась в другой, точнее в своей виртуальной сети, абсолютно не замечая других пользователей, подключенных к одному роутеру. Без особого труда персонажу удалось это решить, зайдя в настройки сети машины, он выставляет тип сети, как “сетевой мост”, а в дополнительном тип адаптера - “паравиртуальная сеть”. Перезапустив всё это дело, можем лицезреть наличие в одной подсети трёх машин: роутера, виндоуса и кали, но это пригодится чуть-чуть позже. А команда:
Код:
ifconfig

Показывает подключение к сети eth0 с адресом уже не 10.202… и так далее, а 192.168.43.143, что даёт надежду на успех.

Казалось бы прошло два года с момента, когда эта вещица являлась актуальной и представляла опасность для мира окружающего, думаете что-то изменилось? Если вы подумали о том, что нет - вы правы. Верная мысль до той степени, что становится даже страшно, да, оно детектится несколькими десятками антивирусов, разве это помеха? Алексей имел мысли аналогичные, потому и решил испробовать на практике. Ведь логи в любом виде есть ценной информацией, за которую можно выручить неплохие деньги.

Потому парнишка быстро устанавливает в свою систему следующие пакеты для работы репозитория, имя которому sAINT:
Код:
apt install maven default-jdk default-jre openjdk-8-jdk openjdk-8-jre -y

Здесь возможный казус в отсутствии одного с пакетов для Кали, потому альтернативой будет это:
Код:
sudo apt update && sudo apt install openjdk-11-jdk openjdk-11-jre openjdk-11-source  -y

Затем Леха устанавливает зависимости, надобные для компиляции в exe формат:
Код:
apt install zlib1g-dev libncurses5-dev lib32z1 lib32ncurses6 -y

А после копирует сам репозиторий и запускает настройку:
Код:
git clone https://github.com/tiagorlampert/sAINT.git
cd sAINT
chmod +x configure.sh
./configure.sh

Заметив несколько ошибок во время выполнения этого скрипта, он всё таки решается запустить утилиту:
Код:
java -jar sAINT.jar

Screenshot_2021-02-14_18_39_59.png

Всё работает и неплохо, задав нужные конфигурации, Алешенька видит ошибку компиляции кейлоггера, что связана с отсутствием пакета mvn, решение этой дилеммы было найдено ним в установке недостающих пакетов:
Код:
 pip install maven

После Алексей проводит повторный запуск и попытку создать файл-логгер, которая на этот раз тотальным успехом увенчалась.

(Автор не видит смысла расшифровывать каждую имеющеюся опцию отдельно, ибо там и так все предельно просто и понятно, даже если вы не в особых ладах с английским. Использовать свою основную почту не советую, также после этого нужно будет перейти по ссылке, что останется после сборки логгера, в настройки безопасности гугл аккаунта, где разрешить неизвестным приложениям проводить манипуляции. )

Также он приметил, что для работы этой штуки нужен установленный Java, потому он решил схитрить: так как репозиторий достаточно старый, Леха решает запустить онлайн криптор, первый из списка в поиске, и выгрузить наш логгер туда.

Следующим, выходя из его размышлений, нужно сделать небольшую склеечку. Для сего дельца наш умелец решает использовать первый попавшийся джойнер с гитхаба, а под руку следующее чудо попалось - F-Society-Freaks/exeJoinerX .

Программка работает с под виндоус, потому, жаждущий материального благополучия, Алексей перекидывает все нужные файлы на основную тачку, где и проводит склейку с пакетом-установщиком java для виндоус.

Лирическое отступление: борьба и удаление

Интересным фактом является то, что у большинства моих знакомых любой антивирус отсутствует, забавно, но я и сам говорю, что стационарные программы по борьбе с вредоносным ПО бесполезные и лишь тратят ресурс нашего же оборудования на пустой мониторинг. Услыхав это, каждый принимает за истину , не обращая внимания на последующие мои слова, ведь я твержу, что портативный сканер, с хорошей базой и процентом определяемых угроз, нужен и должен быть неотъемлемой составляющей программного обеспечения. Шаблон существует лишь для примера, никак не для слепого наследования, думайте собственной головой, ведь на то вы и люди...

Итак, к чему это я, а к тому, что процент определения склеенного и перекриптованного кейлоггера составил 4/56, то есть он достаточно мал. Потому давайте поговорим о том, как убрать эту херобору с нашей системы. Достаточно просто, если уж на то пошло, процесс не закрывается от открытия диспетчера задач, как это делается с процессами скрытых майнеров и других, более сложных кейлоггеров, потому нетрудно кликнуть по нему и перейти в папку, где хранятся файлы вредоноса, завершить процесс а после уже и удалить. Всё просто. Обратно в сюжет.

Былые познания: подменяем все и всех

Итак, Алексей, являясь “мастером” подмены и перехвата трафика начинает своё грязное дело. Суть операции слегка изменилась с тех времен, но не кардинально, потому наш герой быстро допёр что к чему и как, изначально запустив процесс подбора пароля к одной из беспроводных сетей, что имеют неплохой сигнал на его базе. (Операцию описывать смысла нет, так как она уже была представлена в одной из моих недавних статей, ссылку оставлю в конце).

Сперва наш любимец переводит свою виртуальную машину в режим форвардинга, то есть пересылки пакетов:
Код:
echo "1" > /proc/sys/net/ipv4/ip_forward

После запускает простой инструмент для АРП спуффинга - ettercap, на самом деле можно было и показать это дело на другом примере, но не станем отходить от канонов, установленных первой статьей об этом:
Код:
ettercap -G

Затем, механически заученными движениями, он начинает поиск устройств в сети, в нашем случае список обнаружил три девайса, один из которых роутер.

После перехода во вкладочку хостов, Алексей обозначает айпи роутера как жертву 1, а тех, на которых атака нацелена как жертву 2. Перейдя в раздел MITM, выбирает пункт ARP Poisoning, при учете, что галочка на против “Sniff remote connect” уже стоит.

Screenshot_2021-02-14_17_45_48.png

Далее делом запускаем всеми нами хорошо знакомый Burp, переходим во вкладку прокси и создаём новый слушатель, установив айпи атакующего и порт 8080 , ставим галку в подменю “Request handling” напротив пункта “Support invisible proxy”. После стоит поставить и убрать выделение напротив нашего прокси-слушателя, дабы активировать. После активируем в подменюшках прокси “intercept Client request” пунктики с оператором “and”, аналогичные манипуляции проводим в следующем.

Перейдя во вкладку “http history” в идеальном раскладе прошлого, Леха бы уже видел трафик, но теперь история другая. Проведя некоторые эксперименты, герой дошёл к тому, что порт нужно пробросить после активации слушателя, а “Intercept” выключать и вовсе не стоит в некоторых случаях, но лучше проверять по ходу дела. Всем известная команда для открытия нужного порта:
Код:
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080

Теперь начинается самое интересное, так как перехват идёт только незащищенных пакетов с сайтов, где сертификат отсутствует, процесс может быть долгим и изнурительным, но невелика потеря, ибо даже некоторые крупные порталы, имеющие колоссальную аудиторию, могут не иметь этого же самого сертификата.

Screenshot_2021-02-14_17_45_38.png

Сначала Алексей решает потанцевать с подменой трафика, для этого он специально нашел крупный интернет-ресурс, на котором перехват идёт. Путем нехитрой социальной инженерии он заставляет жертву перейти по ссылке, где и скачать русификатор для популярной игрушки. Но это справедливо и для простого мониторинга с последующей быстрой заменой пакета. Перехватив пакеты страницы скачивания он ищет ссылку непосредственно на сам файл , в нашем случае это будет “ ” . Для начала Леха решается найти файлообменник, где можно было бы сделать идентичный формат, дабы сама ссылка сразу вела на файл и скачивание начиналось мгновенно.

Момент с поиском предлагаю упустить. Затем он копирует оригинал и идёт в подменю “Options”, где находит параметры “Match and replace”, после добавляет, используя кнопочку “Add” новую переменную в разделе “response body”, там где “Match” Леха вписывает заменяемое, а там где “replace” то, на что нужно заменить. В итог мы получаем неплохой такой пакет, где под тем же названием, что и изначально. Палится лишь в коде элемента.

Screenshot_2021-02-14_17_48_31.png

Также Леха заметил, что не на всех ресурсах проходит замена именно ссылки, кое-где происходит подмена всего, вместе с изначальным названием. То есть мы получаем левую и всем видную ссыль, потому было придумано следующие решение им.

Он быстро переходит обратно в Кали, где устанавливает следующий репозиторий:
Код:
git clone https://github.com/jaykali/maskphish
cd maskphish
bash maskphish.sh

Screenshot_2021-02-15_23_53_26.png

Затем вбиваем целевую URL, выбираем на что она будет походить и вуаля.

Screenshot_2021-02-16_00_21_45.png

Виндоус может запрашивать обновления для своих приложений с ресурсов, где отсутствует шифрование, это не касается системных приложений Майкрософт. Зная это, наш злой гений терпеливо выжидает пока какое-то приложение у кого-то что-то да запросит, точнее только начнет проверку наличие новой версии.

После Лехе лишь стоит дождаться нужного пакета, заменить установленную версию на более новую, если стоит и так обновленная и подменить ссылку на скачивание, путем, который уже был описан выше, но на примере подмены ссылки на сайте. Это то же самое.

Продолжение следует, история Алексея лишь начинается.

Итоги

А в итог-то что? Некоторые приложения до сих пор используют незащищенные ресурсы для обновлений. Банальным примером есть эмулятор Gameloop, который пытался обновиться, а в итог скачал RMS… Что делать и как быть? Не обновлять и качать самому? Пользоваться лишь сайтами с сертификатом или расширениями для браузеров, которые шифруют ваш трафик? Оно-то так, но от части, если углубиться, то существует утилита httpmitm, рассмотрение которой я упустил в данной статье, ибо она отказывается работать корректно на вируталке, но при правильном использовании запросто перехватывает абсолютно весь трафик. Поговорим об этом позже. Всем добра и благ, будьте счастливы.
Статья по беспроводным сетям.
 
Последнее редактирование:

Full-R

Заблокирован
06.09.2020
72
39
BIT
0
Изредка думаю эмулировать сервер сбербанка через андроид путем блокировки антенны ведёрком для шампанского и выхлопать банкомат...
 
  • Нравится
Реакции: DeathDay

thisis I_am

Заблокирован
18.02.2021
28
1
BIT
0
Изредка думаю эмулировать сервер сбербанка через андроид путем блокировки антенны ведёрком для шампанского и выхлопать банкомат...
Специально для пользователя Full-R требуются курсы актёрского мастерства.
Скучно, девочки ) В. Путин.
 
  • Нравится
Реакции: DeathDay

z3r0c10wn

Grey Team
04.09.2017
229
295
BIT
135
Кликбейтовое название статьи! Но однозначно лайк - подача просто великолепна!
 
  • Нравится
Реакции: DeathDay

henry057

Green Team
02.03.2020
189
18
BIT
0
Опустил маленькую деталь для того, чтобы приходили сообщения на gmail для sAINT нужно в нужно включить доступ, а так статья как всегда на высшем уровне, будет ждать ещё хацкерских изделий от автора)
 
  • Нравится
Реакции: DeathDay

DeathDay

Green Team
18.04.2019
163
1 122
BIT
286
Опустил маленькую деталь для того, чтобы приходили сообщения на gmail для sAINT нужно в нужно включить доступ, а так статья как всегда на высшем уровне, будет ждать ещё хацкерских изделий от автора)
Не упустил. " Использовать свою основную почту не советую, также после этого нужно будет перейти по ссылке, что останется после сборки логгера, в настройки безопасности гугл аккаунта, где разрешить неизвестным приложениям проводить манипуляции. "
 
  • Нравится
Реакции: Mr Zet и henry057
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!