Blogbejegyzések

Logitech Spotlight Plus vásárlása miatt hozzám került egy Prezi for Business féléves voucher. PowerPoint-alapú cégnél dolgozva ezt a hajamra kenhetem, viszont március 31-én lejár, akkor meg már valaki használja inkább fel.

Az első kommentben érkező jelentkezőnek elküldöm PM-ben, plz csak olyan jelentkezzen akinek még nem volt fizetős Prezi accountja. (Nekem mindegy lenne, csak a vouchert nem lehet majd beváltani.)

Ez is egy régebbi eset lesz amiről most írni fogok. Egy Navy Federal Phishing oldalról lesz szó.

Ebbe az esetben a phishing emailben eyg short URL link volt: bit.ly/29omxTa. A short URL-eknél van egy kis trükk hogy ha '+' jelet raksz a végére akkor egész sok megmutatja a statisztikát róla és kiderül mennyien s mikor kattintottak rá. Ez most egy friss kép:

Itt látható hova irányított át, viszont onnan tovább irányított egy másik oldalra ami a phishing oldal volt. Ez sokszor bevett szokás hogy nem közvetlen oda irányítanak. A profibb phisherek ezt azért csinálják hogy szűrjék az embereket, ergo csak az fog tudni az oldalukra menni aki ezen a domainen át ment. Szóval validálják az http referert. Bár ez ritka, de célzott phisheléseknél elő szokott fordulni.

Ebben az esetben nem volt meg a phishing KIT, viszont ide nem is úgy jött fel a phisher mint az előző példámnál. Találtam két webshell-t is az oldalon és azon át néztem meg hogy hova küldi az ellopott adatokat. Nem is értem minek használt kettőt, lehet már más is járt ott előtte.

Itt ugye több info is van, elsőnek hogy hova küldte el a lopott adatokat illetve hogy van egy megjegyzés hogy milyen "Cyber Army" tagja a webshell készítője. Ez persze nem jelenti azt hogy az elkövető is tagja, de ettől még információ ami lehet hasznos lehet később.
Mint látható a logban, szerepel benne 2 email cím a $send alatt és van egy ami csak mint megjegyzés, vagy esetleg valaki szignója. Most nem akarok belemenni hogy a 'b13x1' és a 'box13.rezult' az eléggé hasonlít egymásra hogy lehetséges ugyanarról az emberről beszélünk.
Mivel 3 email cím van mind a hárómról a szokásos OSINT, facebook, skype, google+, yahoo, google, stb stb.. Ami van azt végignézed. Mivel az email cím neve is elég egyedi így az is elég jó keresési pont, még akkor is ha van esély arra hogy az false útra visz. Így is úgy is meg kell nézni hogy van e rá eredmény szóval én így is tettem. Nem elfelejteni hogy mindig keresünk a publikus postok között is hisz ez is nyom lehet, és ebben az esetben az volt az egyik fő pont:


Mondjuk a neve fake az látható de ettől függetlenül visszajött pár érdekes adat hogy miket csinál, illetve az email címe is mint kontakt info. És persze van a profilja amit át tudunk nézni hogy ki postolta ezt. Itt találhatunk a srácról képet (lehet nem saját képei hanem másé, bár nekem elég valósnak tűnnek reverse image search se találta meg őket) illetve pár olyan kép ami elég árulkodó lehet. De kitakarom mivel nem 100%os validáció.


Ezeken a képen több info is van számunkra, a legelsőn a böngészőből nem takarta ki a live-os email címét, szóval azonnal egy plusz nyom. Illetve látható spammel és van egy másik nickje is. A spammerbe amit kiküld épp linkedin phishinget küld ki ha jobban megnézzük, az email és a html szöveg is eről árulkodik.
Na de menjünk tovább hisz van egy új email címünk, keressünk erre is pontosan úgy mint eddig. És gyorsan lesz is egy találat:

Illetve használjuk a password reminder cselt, és ez ki is dobja hogy a 2 email cím összefügg hisz az a backup emailje, illetve kiad egy újat amiről nem tudjuk hogy mi. De az első nekünk már elég, ha kiegészítjük a hiányzó részt akkor az Ő email címét adja vissza.

És akkor egy összegzés, a valószínűsíthető adatokról. Több képet nem akartam már beszurni hogy Ő miért tagja az Error 404 black teamnek az is ugyanígy kijön a keresésekkel. Valami másra akarok koncentrálni amit leírtam egy régebbi cikkemben.

Mint látható megjelöltem 2 ismerősét akik érdekesebbek lehetnek. Ugyanazt a "2 gyűrűs" módszert használtam amit már leírtam. Ismerőseinek az ismerőseit is megnéztem. Szóval volt pár nap.

Szóval az egyik érdekes ismerőse, az első képen összeszedve hogy mennyi oldalt deface-elt, Nick neve, hova van hozzáférése. Aztán egy kis SQLi bemutató és egy balance a végére amiről nem tudjuk vlaid e. Szerintem azért elég ígéretes.
És a másik érdekes ismerőse akik épp egy botnet controllert tesztel illetve a nickjére azért van több találat is.

Mivel mostanában előkerült egy nevesebb gyártó okostelefonjaival kapcsolatban némi akku mizéria, gondoltam miért ne alapon megnézem az én telefonom akkuja hogy áll.
2017 Áprilisában vásároltam egy Oukitel K6000 Pro-t, amiben egy 6000 mAh-s akku van. Mivel rendelkezem egy okos kis mérőeszközzel, ami méri a rajta átfolyó áramot/feszültséget és ebből számol egy okosat, így egyszerűen a mérőeszközön keresztül rádugtam a 31%-os töltöttségi szinten álló telefont a töltőre, majd miután 100%-ra töltött, leolvastam a kijelzőről, mennyi mA-t sikerült az akkuba belepumpálni. A mért végeredmény pedig 4612 mAh.

A Spectre/Meltdown kapcsán sokakban merülhet fel, hogy microcode-ot kellene frissíteni, amit sok helyen le is írnak, hogy hogy kell, na de, hogy lehetne egyszerűen csak lekérdezni a jelenleg futó verziót hogy eldönthessük tényleg kell-e frissítenünk? Egy szervernél nem feltétlenül mindegy, hogy megúszunk-e egy rebootot mert a megfelelő microcode van fent. Meglepő módon nekem úgy tűnik, hogy frissíteni egyszerűbb mint lekérdezni a jelenlegi verziót. :)

Sok leírásban szerepel, hogy frissítés után a dmesg-en látod az eredményt. Pl:

# dmesg  | grep microcode
[    0.000000] microcode: microcode updated early to revision 0x3b, date = 2017-11-17
[    9.183970] microcode: sig=0x306f2, pf=0x4, revision=0x3b
[    9.184041] microcode: Microcode Update Driver: v2.2.

t = " hello 'there ok \"ho\nhh\" ' ciao \"eeee \" \" yessss 'aaa' \" %%55+ "

p t.shellsplit

=> ["hello", "there ok \"ho\nhh\" ", "ciao", "eeee ", " yessss 'aaa' ", "%%55+"]

Ezen is #FreeBSD fut - #Stormshield SN510 #UTM #firewall pic.twitter.com/7fy4FpzVSb

— Gabor Micsko (@gmicsk0) January 16, 2018 #onhup

Remekül működik RPi 1 -re kötve + temper-poll (temper-python) + munin.
És ismét van kerti hőmérőm.

Adott egy futtatható bináris, amit nem csomagkezelőből telepítettünk. Nem akar elindulni a hiányzó függőségek miatt, de mivel nem csomagból van így a szükséges csomagokat max. úgy lehet összeszedni, hogy objdump-pal kiolvassuk a libeket, aztán egyesével megnézetjük a csomagkezelővel, hogy melyik csomag tartalmazza azt. Ezt én most automatizáltam magamnak (Debian-ra), akinek kell viheti, átírhatja másik csomagkezelőre, mittudomén...

Mai nap jött a hír hogy "Komoly biztonsági incidens egy magyar kormányzati informatikai rendszerben".
Hát a címet nem kommentelném mert aki írta gondolom nem értelmezte azt amit talált.

Pár perc keresgélés után meg lehet találni azt amiről ők írnak, de a twitter pastebin bot is kidobta és ki is tweetelte. Illetve psbdmp.ws is összeszedte és kategórizálta.
Nem linkelem be közvetlen mert aki akarja megkeresi, illetve ha linekelem tuti lesz olyan aki azt írja hogy ez full topsecret info és jajj.
Szóval több kérdés is felmerül, ki csinálta? Miért csinálta? Honnan lopta? Milyen adatok?

Nem tudom, hogyan kerültem ide, de érdekes dolgok vannak itt, például:

https://sourceforge.net/blog/introducing-the-new-sourceforge/

https://ma.ttias.be/im-taking-break-cron-weekly/

Új #Intel #CPU #microcode csomag érkezett az #Ubuntu 17.10-be! pic.twitter.com/dg0abR3aZr

— Gabor Micsko (@gmicsk0) January 14, 2018

jelenlegi laptopom egy Fujitsu Lifebook LH532-es.

Intel Core i3-2348m-es CPU (2.3 GHz, 4 mag)
8 GB RAM
120 GB SSD
1366x768 kiejlző
Intel HD3000 és Nvidia GT620m VGA
webcamera, bluetooth
2.4 GHZ-es N-es Wi-Fi

Első laptopom, amit mai napig őrizgetek pedig:

Toshiba Satellite L40-es

Intel Pentium T3200-as CPU (2 GHz, 2 mag)
2 GB RAM
120 GB SSD - miután átraktam
1280x800-as kijelző
Intel i965 VGA
2.4 GHz-es G-s Wi-Fi

Manapság a legtöbb op.rendszer már csak 64 bites, szerencsére azért akadnak kivételek. Jó ideje használom a Budgie Desktop-ot, mert nekem bejött. Solus alatt leginkább.

Valamelyik nap unatkoztam és gondoltam megpróbálok megint megkeresni valakit aki rosszat csinált. Kiindulási pontom megint az rghost.st volt, itt általában elég sok dolog van fent amivel lehet mit kezdeni. Így futottam bele ebbe ami azóta sajnos már töröltek: (http://rgho.st/82XjjKQ6T)

Mint látszik ez egy bank phishing collection. Van benne minden amit éppen talált az ember. Mikor átnéztem a kódokat egy email cím volt ami jó nyom lehetett illetve egy nick.

Az email cím alapján gyorsan le is jött hogy van egy facebook regelve az email címmel, illetve még skype is volt mellé. A profil neve "Albert Hexor" volt, nem tudom valódi e de annyira ne mis érdekelt. Elkezdtem átnézni a facebookját mik vannak fent.

Igen jól látod a srác feltöltött egy screenshot-ot a mailboxbol ahova gyűjti az adatokat phishingből. Igen ez tök béna dolog mert minek tölti fel? Mondjuk mivel látszik kamu profil így gondolom csak a hírnév van mögötte hogy szeretne menő lenni ismerősök között stb... Az emailben amiket kapott látszik hogy valakinek benne van a nickje aki a phishing kit-et csinálta anno. Ezt bele szokták írni mert elvileg ez jó hírnév. Viszont amit észrevettem hogy van valaki aki kommentelt a képhez pont ezt kiemelve. Nem is kellett több átnéztem az Ő profilját is mik vannak fent. Eleve a facebook nickje megegyezett azzal ami a phishing kit-ben van.

A nick mivel elég egyedi össze is gyűjtöttem pár infot róla zone-h.org on van 3 deface-mentje is (nem mintha nagy szám lenne). Itt van pár kép még fent amik érdekesek:


Na de most gondolod ezeket hogy találtam hisz nincs is fent a profilján? Itt én egy kis cselt szoktam alkalmazni ami régen mondjuk jobban működött de sajnos facebook azóta csiszolta.
A lényege hogy ha US settings-el használod a facebookot akkor kapsz egy olyan opciót hogy tudsz keresni fotóra külön. (Lehet azóta már implementálták más régióra is).
Ezt úgy kell elképzelni hogy én postolok a facebookra egy képet és megjelölöm rajta a Bélát. Béla üzenőfalára kikerül a kép mint "Photos of you". Béla leveszi ezt az üzenőfaláról mert nagyon ciki kép és nem akarja hogy más is meg tudja nézni. De hiába veszi le a faláról a kép feltöltése nem általa történt szóval nem az Ő beállított szabályai alá fog kerülni a kép, hanem annak a beállításait fogja használni aki feltöltötte. Na és én pont ezt használtam ki ezzel a kereséssel! Olyan képekre kerestem amiket róla töltöttek fel vagy be van rajta jelölve de még sincs rajta a profilján. Ha nem hiszed el próbáld ki valaki profilján. Vannak limitációji mint pl sajnos nem egyedi ID alapján keres hanem text alapján. :( Szóval ha Kovács Bélára keresel így akkor az nem biztos hogy sikeres lesz. Illetve az arra is vonatkozik ha valaki postolt valamit egy csoportba ami publikus akkor onnan is kikeresi a textet. Szóval látod a képen hogy az egyik az egy post a "Random Anonisma" csoportba ahol épp eladni próbálja a phishing oldalait. De legyen konkrét példa egy másik spammer-ről ahol ez elég látványos:
URL https://www.facebook.com/chblf

Dolgoznom kell rajta, hogy meglássam a lényeges különbséget a macskatartás, a kávéfüggőség és a szerelem között. Biztos, hogy kell, mert szerintem az utóbbi kevésbé irritatív az első kettőhöz képest. Megpróbálok rászokni a kávéra, és örömmel folytatnám úgy a mondatot, hogy újdonsült koffeinmámoromban még ma éjszaka összefogdosok pár macskát a környékről, de a koffein nem hat rám, s így ma éjjel a macskákra sem. Szóval nem lesz könnyű ráérezni a különbségekre.

Mivel a macskatartók és a kávéfüggők nem erre a kontentre számítottak, itt egy régi videó, amiben valóban megmenekül egy cica: https://www.youtube.com/watch?v=E606E-3NaTM. Persze tudjuk jól, hogy ezt a videót az orosz vezető rendelte meg, hogy jobb színben tüntesse fel Oroszországot, de azért mégis csak aranyosnak látszik, ami néha jó. Bár lehet, hogy a "russian driver" mást jelent.

Szerk.:

Ez csak egy rövid bejegyzés lesz mivel az előző részbe belefért elég sok dolog.

A lényege az lenne ennek a résznek hogy sokszor nem olyan egyszerű mint ahogy látszik. Így hogy leírtam lépésről lépésre úgy tűnik mintha mindig jó helyre nyúlt volna az ember, mindig jó helyen kereste volna az adatokat, és pontosan azt találta volna meg amit kellett. Azt azért tudni kell hogy sokszor kerül az ember zsákutcába és nem talál infót, aztán egyik napról a másikra eszébe jut valami új dolog hogy hogy lehetne még keresgélni. Van mikor hetek/hónapok is eltelnek mire meglesz az ember, de ami még többször van az az hogy egyszerűen nem találod meg azt akit keresel. Sajnos ez a dolog ilyen, nem tudsz mindenkit megtalálni, sőt a negyedét se az adott eseteknek. Mindig lesznek nálad okosabbak vagy szerencsésebbek.

Aki nem olvasta az előző részt annak ajánlom, mert lesz pár dolog amire hivatkozni fogok. https://hup.hu/node/157320

Ebben a részben megpróbálunk a phisherek elé kerülni mielőtt még a támadást indítják. Ez az én logikám és ahogy csináltam.

Hogy lehet ezt megelőzni vagy legalább előttük járni? Próblájunk azokra koncentrálni akik a cégünk customerjeit akarják támadni, hogy fog phishleni?
Nagy valószínűséggel létrehoz egy hasonló domaint mint az eredeti szóval példának: ha van cégünk www.belabankja.com akkor le kellene kérdeznem minden olyan domaint ami hasonló.

Itt nézhetünk Entropy távolságokat a mi domainünktől. Szóval ezek körül bármi lehet:

www.belabankja.top
www.b3labankja.com
www.belabankja.tw
www.bela8ankja.com

https://12043493396308891114[.]googlegroups[.]com/attach/80bbc4a0f6aa8/rootbyte.html?part=0.1&view=1&vt=ANaJVrHr8Pktu-elvUZr1oxU9zHkpQWMMI7Eg2vJUIcw-WQEttiXR8ljepBdyNeqKh7Y3jxcwS81s00v8PWoEJ5Cz3C8klVf0sqFQZrnoF5QlE65K6-9svo

Ez picit komplexebb valakinek, van akinek meg alap dolog. A story lényege az hogy anno eldöntöttem hogy sokat fogok phishingel foglalkozni és próbálok valami olyat csinálni amit eddig mások kevesen. Mert hogy is néz ki egy mai phishing solution? Fogod blokkolja a levelet és blokkolja az URL-t ennyi. Ebből hogy tudsz valami olyat csinálni ami látványos is és felfigyelnek rá.
Az én megoldásom ez lett:

Elkezdtem az elejétől végéig átgondolni hogy néznek ki a phishing támadások, fogtam és mindent lemodeleztem. Mindent megcsináltam én magam is élőben, nem tesztkörnyezetben. Igen regisztráltam kamu domain, igen leklónoztam oldalt, és igen linkedin-ről generáltam le a targeteket vagy free email listából.
Szóval nálunk eleve működött a cégnél egy nagy email solution ami azt csinálta hogy minden bejövő levélben átírta a linket egyedire, és ha a linkre kattintottál akkor tudták hogy ki volt aki azt az URL-t megnyitotta.

https://forum.lede-project.org/t/announcing-the-openwrt-lede-merge/10217

Spectre
Javascript
Malvertising

Emlékszünk még James Damore úrra? Ő volt az aki úgy negyed évvel ezelőtt, hirtelen munkanélküli lett, mert véletlenül olyant mert írni, hogy egy technológiai cégnek a dolgozók szakmai kompetenciáját kellene figyelembe venni felvételnél, a neme, bőrszíne vagy szexuális identitása helyett, meg hasonlóképp kéne gondolkodni az előléptetéseknél és a többi. Akkoriban születtett is bejegyzég erről, és felmerült bennem a gondolat, hogy jön még kutyára villamos. Ugyanis, egy ennyire nyílt, liberális, és tolerális képet mutató cégnél erősen lóláb kategória, pont egy nem "deviáns" dolgozó kirúgása, csak mert a cég fókuszának és integritásának megtartására próbálta felhívni a figyelmet.
Nos, az érzésem, bejött. 2018 január 8.-án a Dhillon Law Group csoportos keresetet adott be a Google ellen James Damore képviseletében. A kereset, munkahelyei zaklatás, munkahelyi diszkrimináció, zaklatás és megtorlás megakadályozása, tisztességtelen üzleti gyakorlat, stb. pontokból áll.
Ízlelgessük egy kicsit. Adott egy makulátlan előéletű, szakmailag kiemelkedő (több alkalommal is dícséretben részesült), magasan képzett alkalmazott, aki a világ egyik legtoleránsabb, szellemiségben és minden tekintetben a legmodernebbnek számító technológiai cégnél dolgozik. Egy ilyen esetben az ember azt várná, hogy a korábban felvetett kérdésben értelmes vita alakul ki, melynek az eredménye a cég üzleti céljára történő fókuszálásának a megerősödése.
Csakhogy ezen alkalmazott egyetlen apró hibája, hogy fehér, középkorú, heteroszexuális, férfi, és ezzel vörös posztó minden "ideológiailag más" beállítottságú munkatársa szemében. Az eredmény, a munkatárs megalázása és eltávolítása.
Kérdés, hogyan tud kijönni ebből arcvesztés nélkül a Google? A beadott kereset 160 oldalában, van minden ami egy jó munkaügyi perhez szükséges és a legkellemetlenebb, hogy ezek mindegyike alaposan meg van támogatva belső email és fórum bejegyzések másolataival.
És a dolog kellemetlenebb oldala, hogy a per elvesztése esetén precedenst teremt további perek számára, amiből, a nyilatkozatok alapján, legalább tucatnyi van betárazva az ügyvédeknél.
Itt még egy pillanatra kitérnék, az ügy kapcsán publikáló médiumok érdekes, visszatérő húzására. Egytől egyik próbálják a hír élét tompítani azzal, hogy a nőket fizetés szempontjából érő diszkrimináció miatt a Googlével szemben, folyamatban van egy másik per is.
Szóval, érdeklődve fogom várni a per eredményét, mert úgy érzem erősen ki fog hatni mind a Google-hez jelentkezők számában és összetételében, mind az amerikai technológiai szektor gender és diverzitáskérdésekhez való hozzáállására.

Még szeptember közepén vettem egy nBase EH-35ND3-as USB keret, ami tegnapig bírta a szolgálatot. Ez idő alatt aktívan volt használva, lényegében éjjel nappal lógott a házi szerveremen extra tárhelyet biztosítva.

És ez nem az első ilyen kütyü, ami relatív gyorsan adta be a papucsot nálam. Ráadásul amíg üzemel is csak a gond van, ez a négyzet alakú USB csatlakozó minden, csak nem megbízható. Annyitól, hogy kicsit arrébb teszem a keretet az asztalon hajlamos megszakadni a kapcsolat.

Persze él a mondás, miszerint olcsó húsnak híg a leve, és lehet meg kellene próbálkoznom egyszer egy drágább típussal, de valamiért az az érzésem, hogy végső soron csak többet fizetnék ugyanazért a vacakért. Most is ezt tettem, bőven lett volna olcsóbb alternatíva.

Ezek közül egyik sem lett jelentve senkinek. (csak MMC de az lényegtelen)

A következő pár sorban ismét gyerekekről lesz szó akik nem tudják mit tesznek, vagy nem tudják milyen következménye van dolgoknak. Elvégre accountot lopnak el amiért más pénzt fizetett.
Mivel nagyon népszerű a minecraft és rengeteg fiatal játszik vele ezért pár fiatal elkezdett trollkodni vele és megpróbálják egymás jelszavát vagy mások jelszavát ellopni. Bevallom őszintén én soha nem hallottam az MCMester-ről míg nem találtam rengeteg infostealert ami ezeket a jelszavakat lopja el.
Példa: