Перейти к публикации
1
1
1
1
1
Granato

История о точечном взломе

Рекомендованные сообщения

Привет всем старым и не очень (как я) подписчикам Теневой Стороны. Хочу поделится с вами историей моего похищения мамкиной карты данных, которая изменила мои интересы раз и навсегда.

e3f3a6b3ea486fcc11736.jpg
 

Вступление

Начнем с того, что на дворе был 2016 год, а я все же пытался прожить за счет фриланса. Ко мне время от времени обращался клиент для рассылки «легального спама». Естественно он таким не был, ведь даже после беглого осмотра письма становилось понятно, что заказчик хочет по-тихому получить контроль над нужными ему компьютерами. Уверенности в том, что это так добавлял его запрет на запуск файла и предупреждение АВ, который идентифицировал .scr как вредоносный. 

Человек все также хорошо платил, но местами я предлагал поправить его письмо, чтобы повысить отклик, за который получал приличные бонусы. В то же время меня начали интересовать атаки с использованием вредоносов, фишинга для получения дорогостоящей информации (именно большие деньги начали мотивировать меня). Первое что я прочел это книга Митника, статьи по теме АРТ, смысл и инструменты которых приходилось гуглить. И так появилось желание.. Желание изучать и изучать. Не считая себя ламером я понял, что таким являюсь.

Прошло еще немного времени и тогда я освоил основные понятия. Благо, что источников изучения информации было предостаточно, а желания хоть отбавляй. Я набрался уверенности и решил обсудить с заказчиком возможность сотрудничества по теме взломов. Его реакция была негативной, но мои записки (о том, как использовать все умные слова вместе и в какой очередности) убедили, а как результат я получил тестовую цель. 

 

Первые шаги

Поставленное задание выглядело следующим образом. Имеется средняя компания, которая занимается реализацией попкорна. (имена изменены)

Цель - получить документы, которые есть у бухгалтеров.

Исходная информация - название компании и линк на их сайт.

Условия - финансирование от заказчика, «тихое» исполнение работы, вознаграждение в размере 800 рублей долларов. В долгих размышлениях я сформировал следующий порядок действий, который менялся по ходу работы.

 

1. Найти все публичные почты, которые размещены на их домене

Я решил, что стоит попробовать забраться через «парадный» вход. На сайте нашел контакты сотрудников, ответственных за прием на работу, интервью, сотрудничество в разных направлениях. План нарисовался почти мгновенно:

  • представиться журналистом одной из газет и предложить интервью о развитии компании. Конечно, газета была реальной, но мой домен, на котором размещались условия сотрудничества был со сниффером
  • такой же вариант с резюме и сотрудничеством

User agent ответственных за сотрудничество со СМИ оказался Safari/MacOS, мое предложение о сотрудничество не дошло до отправителя (email не существует), а вариант с резюме получил отказ без перехода по линку. Также замечу, что рассылку делал с интервалом в несколько дней, чтобы не вызвать подозрения. Но замечательная опция «Свойства письма» все же принесла пользу.

Итог №1 Получил диапазон рабочих IP.

 

2. Поиск через социальные сети

К сожалению, этот вариант не дал желаемого результата. Не было групп, активных обсуждений, а нужное место работы не было найдено у пользователей.

Итог №2 Ничего

 

3. Взлом официального сайта

После безуспешных попыток взломать почтовый сервер (сделано еще до меня и мною тоже), их сайт был отдан под взлом нескольким хакерам. В итоге, один из них порадовал наличием шелла с правами на редактирование. Следующий порядок действий:

  • установка сниффера (с целью узнать кто заходит в рабочее время)
  • анализ бд выявил парочку email с невалидными паролями
Итог №3 Спустя 3-4 дня было замечено 13 посетителей с подходящим ip адресом и только 6 с нужным user agent (вин 7/10)

 

4. Первое заражение

Видя, что есть нужные ip с нужной ОС было подготовлено:

  • фейковое обновление шрифтов браузера, которое показывается после преобразования страницы в крякозябры и срабатывает при нужных параметрах, которые указаны выше
  • чистота файла 0/40
Итог №4 :
  • заражено 2 компьютера (один умер почти сразу), второй принадлежал секретарю
  • получено данные для подключения к почтовому серверу из браузера (хвала Аллаху стиллеру)
  • доступ к мылу позволил стянуть с книги всех пользователей в формате фио/должность/мыло/телеф
  • узнал о наличии корп лицензии teamviewer

 

5. Финальный аккорд

Тут стало понятно, что я близок к успеху, но мне надо было добраться к бухгалтерам. Мои действия:

  • выбран главных бухгалтер и совершен ему звонок о возможном сбое в работе почтового сервера и просьбой обратится по этому телефону, если что случится
  • сделан флуд почты (на 2-й день после телефонной беседы) и через 20 минут после ее активизации был получен звонок с просьбой о помощи
  • запущен тимвивер, через файловый менеджер которого перенес и запустил файл, остановил флуд, почистил почту простеньким скриптом (который выдал за этот файл)
Итог №5: пока скрипт работал, вирус уже успешно установился и начал поиски документов

*Этот метод был взят у Митника, хотя сейчас имея определенные знания можно было сделать проще, но это уже совсем другая история.

 

0bc56482eaeba58fcec2d.jpg
 

Немного выводов:

  1. Ищите нестандартные пути подхода
  2. Помните, что человек главная уязвимость
  3. Ищите альтернативные методы заражения (для экономии вложений)
  4. Регулярно читайте статьи об АРТ
  5. Тренируйтесь на тестовых целях (которые конечно можно монетизировать)

В конце я получил долгожданную оплату и последующее сотрудничество, которое через некоторое время разорвалось в связи с тем, что планы на будущую работу у заказчика и у меня были очень разными. В любом случае нам было не по пути, потому что он знал меня в то время, когда анонимность для меня не была строгим правилом, а только лишней тратой денег. Надеюсь, что кому-то моя история будет полезной или как минимум интересной, большое спасибо Марку за то, что предоставил такую возможность. Всем респект!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...