Noob "Hacker" gépén

Mint azt ígértem lesz egy ilyen cikk is. Nem is feltétlen nevezném hackernek hiába ment be jópár céghez és küldött ki virusok százaiz, csak a kíváncsiság volt bennem hogy mégis mit csinálhat egy ilyen ember. És meglepő de ezt a hibát elég sokan elkövetik ami a következő leírásban lesz.

Nem is szeretném leírni hogy milyen mintából indultam ki és a felesleges dolgokat. Inkább csak arra próbálok koncentrálni hogy mit csinált és hogyan, illetve ha vannak kisebb "trükkök" hogy lehet több infot megtudni dolgokról.

Ebben az esetben az adott domainen WhoisGuard volt. Itt annyi cselt használtam hogy nem csak a mostani bejegyzést néztem meg hanem a régebbieket is. Szóval whois history. Sajnos elég sokan ezt elfelejtik, illetve itt is benne van hogy lehet más ember regisztrálta újra, ergo bizonyítani kell hogy ez ugyanaz az ember mint eki előtte regisztrálta a domaint.
Elkezdtem adatokat lekérni az adott domainre hogy volt e esetleg ide menő forgalom ami érdekes lehet, vagy esetleg használták e mint C&C server, vagy bármi más ami info lehet.
Megcsináltam a tipikus régebben leírt dolgokat hogy van e más domain regisztrálva általa, social network footprinting és így tovább.
Egész sok malware mintát átnéztem ami az adott domainhez csatlakozott, és logolt be. Illetve találtam hotmail phishinget is az oldalán.

Na akkor a picit érdekesebb dolog. Ilyenkor az ember megpróbálja beazonosítani hogy milyen a C2 server. Ezt néha már megszokásból egyszerű, de vannak ahol nem oylan egyértelmű. Ebben az esetben egy keyBase-ről beszélünk még a régiebbi verziók körül. Gondolom ez volt ingyen ezt töltötte le.
Én azt szoktam csinálni az ilyen esetekben hogy megpróbálom én is megszerezni a C2-t valahonnan az internetről. Localhoston hostolom és megnézem hogy néz ki, mi van benne, hogy épül fel stb. Utánna összeállítok egy listát a mappaszerkezetéről, megismerem mit hogyan tölt fel, esetleg találsz sérülékenységet is.
Fogtam és BURP-be betöltöttem az összes publikus lehetséges file-t és foldert ami létezhet és megnéztem hogy létezik e a támadónál is. Minden stimmelt így gyorsan kiderült hogy sokat nem változtatott rajta ergo ugynazokkal a beállításokkal megy neki is. (Az újabb verzidós keybase-ben vannak változtatások felépítés tekintetében, azért csináltam ezt)
Az első ami ilyen by default az hogy mikor a malware feltelepül a gépedre csinál róla print screent X időnként és feltölti a C2-re. Ez a folder browse-olható by default. De nem úgy kell lelképzelni hogy van a www.malwareXYXYX.com/keybase/ és akkor látod a képeket. Nem lehet így "odalépegetni". Ehhez elsőnek tudnod kell az adott keybase user nevét, illetve hogy hol kezeli a képeket. Szóval www.malwareXYXYX.com/usernev/webpanel/Screens/
Ez létezett is, láttam hogy az adott user alatt milyen screen capture van. De ezen felül még van 2 sebezhetőség ebben a verzióban, az egyik az egy SQLI a másik pedig egy file upload vul. Persze mivel etikusak vagyunk nem csináltunk semmi ilyet de azért jó fejben tartani, ki tudja mikor lesz rá szükség.

Megnéztem a képeket amik voltak és akkor lehetett látni hogy kiket fertőzött meg.
Aztán próbáltam más usert is kipörgetni (dirbuster/burp) hátha többen vannak. És akkor jött egy másik user ami alatt érdekes képek voltak. Most azt fogják mondani hogy elég béna az ember, amugy igen elég béna, de a saját gépén is tesztelte anno a malware-t. Ergo látam a saját gépéről is képeket. Ez amugy nem annyira ritka dolog azoknál akik keybast használnak. Illetve ha nem kezdem el pörgetni hogy van másik user is akkor sose derül ki.
Na de hogy legyen most már kép tartalom is itt van pár printscreen a gépéről.







Pár hely ahonnan adatokat lopott:


És igen, ennyire egyszerű sok helyen megugrani a securityt. Sajnálatos, de látjátok itt sem kellett "okosnak" lennie és mégis bejutott cégekhez és emberekhez.
De ez a kép is egész érdekes volt, miért kellett neki. Később kiderült, de azt sajnos nem oszthatom meg.

Magáról az emberről aki elkövette direkt nem raktam be képet, mert itt az érdekelt inkább hogy mit csinál a gépén. Aki meg megnézi a desktopját az látni fogja. :) De logikus full profil van róla otthoni IP címen át forum regek telefonszám minden.

Note: a következő cikkben szerintem az lesz hogy a béna ember is sokat tud keresni.

( Nyosigomboc v | 2018. 01. 18., cs – 23:49 )

A desktopjan azok a 128-cal es 124-gyel kezdodo kepek nem rola vannak?
Amugy az utleveleset azert ki lehet talalni, hogy nem csak azert kellett neki, mert arrol irt hazidolgozatot.

"De ezen felül még van 2 sebezhetőség ebben a verzióban, az egyik az egy SQLI a másik pedig egy file upload vul. Persze mivel etikusak vagyunk nem csináltunk semmi ilyet de azért jó fejben tartani..."
El tudsz kepzelni olyan lehetseges forgatokonyvet, hogy elmegy a rendorsegre, es feljelent erte? Vagy ennek mi az oka?

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

( aga_et v | 2018. 01. 19., p – 01:01 )

Tetszik ez a pro haxxor siries :)

☆☼♫♪♫♪☼☆
AGA@
Fork portal és az egyik logóm :)

( pehsa | 2018. 01. 19., p – 08:09 )

Imádom a blogjaidat! Rengeteget tanulni belőle!

Amin viszont mindig meglepődök, hogy a YouTube/Google miért nem csinál egy szűrést, hogy ne lehessen feltölteni tutorial-okat kifejezetten Hack/Crack eszközökhöz? Így ennyi erővel mondhatnám, hogy ha elkövetek valami hasonlót, akkor a YouTube a társam volt ebben, mert onnan van az információ, hogy mit és hogyan kellett csinálni. Meg Google találatokat is kivenni, vagy ne első oldalra tenni az ilyen témával foglalkozó oldalakat.

Sok kis ScriptKiddie mind YouTube/Google páros mellett csinálja a hülyeségeket.

Könyörgöm, ezek eszközök, - azaz, lehet jó célra is használni ezeket. - Valahonan el kell indulniuk, meg kell tanulniuk a szakmát. (Közben majd lehet őket profilozni, katalogizálni.) - Ha minden "csendben" tudtunkon kívül, a háttérben történik, a jövőre vonatkoztatva az lenne a legrosszabb...
Nem mellesleg.., a G. elsők között értesül a kis zsenikről, lehet küldeni nekik direktben az állásajánlatot.

Hozzáteszem, - én is értékelem, - végre valami izgalmas, "praktisch"..!

Persze, értem én hogy a legtöbb ilyen eszköz nem csak kár okozására jó, hanem akár sebezhetőség felderítésében, de ahhoz olyan kezekben kell lennie, aki ilyen céllal használja.

Jó, maradjanak a Tutorial-ok, de azok is legalább oktató céllal lennének, nem egyből olyan címekkel, hogy hogyan törd fel az iskola rendszerét, vagy hogyan lopjál kártya adatokat.

Két gyors keresést csináltam YouTube-on az első dolgokkal amik az eszembe jutottak:
email/SMS bomb: Ezt hogy lehetne bármi jóra használni? Nem bírok normális szituációt elképzelni, amikor ezek fehér/szürke kalaposaknak jók lehetnek.

how to hack the school computers: Ez okés, ad egy kis alapot, de a negyedik találat: hogyan módosítsd a jegyeidet az iskola rendszerében. Alapjáraton az iskola házirendjét sérti ha a diák olyat csinál a gépen, amit nem kellene, hát még a jegyei átírása.

A bűnelkövetés döntése az emberi döntések szabadságához hozzátartozik. Jól működő társadalomban, a bűnelkövető elnyeri méltó "jutalmát". (Van aki saját, van akik más kárán tanul.) Aki másén az leginkább úgy, hogy tudomást szerez a hogyanokról. A legsötétebb bűnelkövetések tárgyszerű ismerete még nem kell, hogy bűnelkövetővé tegyen valakit. (Ahhoz személyiségtorzulásokra is szüség van. Az meg önmagában hordozza a rosszat, valamilyen bűnelkövetés lehetőségét. Előre nehezen kivédhető dolog, sajnos.)

(Leginkább a nevelés segíthetne ebben, de annak nem lehet hatékony eszköze a rossztól való teljes elzárás.)

Szerintem a "hack" világának megismerése minden számítógéppel komolyabban foglalkozó ember lételeme, mivel mindannyiunk, azaz gépeink ellen naponta születnek újabb, ilyen jellegű "merényletek". - Sokszor hivatalos (lsd, pl. NSA és társai,) forrásokból is. - Az ismeretek kellenek(-nének) a jogos önvédelemhez.

( end | 2018. 01. 19., p – 09:48 )

Vajon, ha már kiindulásképpen W7-re "szavazott".., pl. Wireshark, v. nmap, v. hasonló miért nincs kinn?
(Webcam Companion..!???) Csak nekem tűnik merész vállalkozásnak erről az "alapról" "hack"-olgatni? Vagy ez csak egy "remote"-képernyőfotó megtévesztésképpen, ill. "áldozati bárányé"?

Akkora rumli van a desktop-on, hogy a Skype ikonon kívül van egy külön Skype shortcut ikon is. Biztos nem találta. Ha Földes András írna róla az index-en, akkor ez az ember egy számítástechnikai zsenivé avanzsálna. Ijesztő, hogy milyen emberek képesek voice tutorial-okkal felhozni magukat olyan szintre, hogy ártsanak. Szalon idióta ugrik be asszociációként. És közben másokat már azért le tud húzni.

A desktop-on lévő képekről meg egy korábbi defcon classic előadás jut eszembe:
https://youtu.be/U4oB28ksiIo?t=10m14s

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( pepo v | 2018. 01. 22., h – 11:04 )

Felháborítóan okádék a helyesírásod. Írásjelek nélkül nehéz értelmezni, mit akarsz írni. Az olvasódat igazán megtisztelhetnéd azzal, hogy nem rá bízod az irományod megfejtését. Na, kidühöngtem magam, folytatom a kódvisszafejtést.

"Felháborítóan okádék a helyesírásod."

vs

"Nagyon jókat írsz, de a helyesíráson, struktúráltságon javíthatnál, hogy könnyebben értelmezhető legyen".

Vagyis, lehet úgy is kritizálni, hogy nem beletaposol a másik arcába, hanem konstruktívan tereled a jó irányba.

Ha már szóbakerült... a helyesírási hibák inkább elgépelésnek tűnnek. Ami zavaróbb, az a sok esetben... mondjam, hogy primitív stílus? Valahogy olyan érzésem van, mintha egy tizenéves, kizárólag a gépek feltörésével foglalkozó, minden egyebet mellőző gyerek írásait olvasnám.
Esetleg egy idegen anyanyelvű emberét, aki viszonylag jól megtanult magyarul.
Ettől függetlenül, a posztjainak többsége érdekes.

( th v | 2018. 01. 22., h – 11:49 )

Jók az írásaid, újabban mindig belenézek a blogokba ;)
--
TH