![]() |
ls -1PartnerünkHUP tweetjeiNépszerű témákNépszerű fórum témákÚj felhasználók
|
Phishing - Digitális Nyomozás - avagy hogy járj a támadó előtt P1Ez picit komplexebb valakinek, van akinek meg alap dolog. A story lényege az hogy anno eldöntöttem hogy sokat fogok phishingel foglalkozni és próbálok valami olyat csinálni amit eddig mások kevesen. Mert hogy is néz ki egy mai phishing solution? Fogod blokkolja a levelet és blokkolja az URL-t ennyi. Ebből hogy tudsz valami olyat csinálni ami látványos is és felfigyelnek rá. Elkezdtem az elejétől végéig átgondolni hogy néznek ki a phishing támadások, fogtam és mindent lemodeleztem. Mindent megcsináltam én magam is élőben, nem tesztkörnyezetben. Igen regisztráltam kamu domain, igen leklónoztam oldalt, és igen linkedin-ről generáltam le a targeteket vagy free email listából. Random Példa: Ergo mivel ez kifejezetten 1 usernek legenerált URL tudni fogják hogy rákattintottak e. (most nem megyek bele mi van ha átküldöd más usernek is a levelet) Én ezeket az adatokat elkezdtem exportálni, szóval minden olyan URL-t megkaptam ami malicious-nek lett tag-elve és elkezdtem egyenként megvizsgálni őket. Ebben ugye tudom nincs lefedve az hogy mi van ha nem jelzett rá hogy malicious. Valahol el kell kezdeni én így kezdtem :) Később kitérek a maradékra is! Nézzük végig hogy melyik mi, saját magamnak neveztem el őket :). Ha nem látszik minden oszlop akkor itt a Full size URL: https://i.imgur.com/GU1SNcG.jpg Illetve ugye logikus hogy érdekel a phishing levél hogy nézett ki amire rákattintottak: Honnan tudtam hogy hova küldik el a lopott adatokat?
Megjegyezném van olyan aki local logba logol nem küldi el emailben, de az is kiderül a forrásból. Erre később lett 1 script ami megnézi automatán ezeket, szóval visszalépeget a mappák között és foldernév.ZIP-re keres,vagy ha van dir browsing akkor azt a zip-et tölti le. Illetve hogy legyen okos és fejlődjön a dolog a letöltött phishingKIT-ek alapján az összes eddigi filenevet megpróbálja hogy fent van e. Ergo ha az van az URLben hogy hXXp://mentariilmukarawang.sch.id/wp/drug/bela/anna.php ettől függetlenűl meg fogom nézni azt is hogy tegnap ugyanezt a phishing kitet GDOC.zip vagy doc.zip néven találtam meg. És ez is hatalmas előny volt mert hiába csinált XY nevű foldert a serveren ha a ZIP fileneve megmaradt. Ki szeretném emelni hogy nem kell mindennek 100%-osan pontosnak lennie, elsőre nem tudsz vele lefedni mindent mert lehetetlen. Szóval egy Phishing KIT-et használhat több ember, logikus, de engem nem ez a része érdekelt. Én azt próbáltam kideríteni hogy ki az aki mögötte van illetve kimutatni hogy milyen phishingből jön a legtöbb amire rákattint a cégnél dolgozó. Meg persze mutatni kellett a felső vezetésnek hogy "kik támadnak minket". Mi az a pont ahol nyomot kell hogy hagyjanak a támadók? Nekik a lopott adat az érték ergo az adatok visszakerülése az egy biztos pont. Email cím eléggé jónak tűnik. Én ezt nem úgy próbáltam hogy az email címeket elkezdem egyenként visszanézni én azt egy későbbi fázisban csináltam, én elsőnek csoportosítani próbáltam hogy meglegyen hogy kire vadászok. Fogtam és az adatbázis amit csináltam és elkezdtem szűrni az azonos phishingekre. Pl.:Ahol a phishing levél hasonló és a feltört oldal joomla, és akiknek kiküldték a levelet az mind X departmneten dolgozik, és a phishing KIT felépítése ugyanaz. Vegyük példának az egyik ilyen csoportot ami nálam "rghost Russia Group + Group 25". Itt a phishing KIT, szóval mindegyik folder szerkezete ugyanaz és próbáltam minél hosszabb egyedi részt találni benne hogy hátha az majd segít, illetve látható a dwsync.xml tartalma ahol érdekes hogy meg van adva pár backup elérés valamiért. Ezt akkor még nem tudtam miért. Számomra az így elég egyedinek tűnt. Utána a mappaszerkezet alapján mint mondtam próbáltam kereséseket hisz elég egyedinek tűnik."/Google_docs_files/_notes/dwsync.xml" Ebből már látom okés elég sok ilyen feltört oldal van, persze a google nem listáz mindent de én ebből már tudtam hogy itt is meg fogom találni a phishing KIT-et és lesz benne email cím ami nekem nyom lehet később :) Aztán keresgélés közben egy érdekes google hintre találtam: óó szóval ehhez a hosting szolgáltatóhoz töltik fel támadás előtt a phishing KIT-eket? Logikus nem akarod az ottohni gépeden át feltölteni ide, kell valami hosting. Ez az ember az rghostingot választotta. Viszont akkor most már tudok keresgélni rghostingon ilyen phishing KIT-ekre. Csináljunk már egy listát belőle, hisz itt látni hányszor lett feltöltve és mikor, illetve látom a zip-elt nevet is ergo tudom upgrade-elni a toolom ami a phishing KIT-eket keresi az oldalakon. Ennél több van egy részét osztom csak meg: Okés akkor most van elég infó erről, nézzük meg az összes csoportot egyenként. (Most nem írom le az összeset csak egyet hogy lássátok mi a logikai menete). Három részt terveztem, ez a P1. P2-ben lesz hogy még hogy tudunk ehhez hozzáadni és a phishing támadás előtt megtalálni a támadót, illetve a P3-ban lesz egy olyan rész ahol az adott adatok alapján konkrét személyig visszapörgetjük ki volt a tettes. Lesznek noobok és kevésbé noobok. :) Note: biztos sok ember van aki nem így csinálná hanem jobban, illetve van sok dolog amit nem írtam le az átfedések között mert nagyon hosszú lenne. Én így csináltam.
»
|
KeresésNavigációBelépésÁllásajánlatok
HWSWFriss blogbejegyzésekHUP napi hírlevélInformációKövess minket! |
Koszi az ujabb disszertaciot! Nagyon jo a blogod.
--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald
Egy dolog nem vilagos:
Ugye ezeket a phising oldalakat, mindenfele tamadasokat, fergeket, meg egyebeket nem epp torvenytisztelo allampolgarok csinaljak. Ha tudsz kodolni, ismered az aktualis exploitokat (nem kell 0-day, nem mindenki foltozza be idoben a mar publikaltakat sem, es ez epp eleg), akkor csinalhatsz olyan programot, ami ezeket a gepeket/tartalomkezeloket vegigfertozi (egymasrol masolva, nem kell hozza kozponti gep). Innentol van egy botneted, amit felhasznalhatsz spamre, phisingre, DDoS-ra, gyujthet sajat magatol adatot (a vegigfertozott gepek sem uresek), stb., az adatok mehetnek peer-to-peer modon, macskas kepekbe tett szteganografiaval, C&C lehet szinten p2p, vagy valami kelloen "artatlan" publikus szolgaltatas (pl. twittert szerettek egy idoben, ahhoz meg ugyis lop idegen accot). Ezernyi modja van annak, hogy soha az eletbe ne kapjak el a keszitot (es ha megis gyanuba keveredik, soha nem bizonyitjak ra), csak egy kis kreativitas kell hozza.
Szoval miert igy csinaltak?
--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald
Ennek több oka is van, szerintem a fő dolog az az hogy a piac diktálja a trendet, a piac pedig a pénz. Elég nagy piaca van a phishingnek, aztán kártya adatokat adnak el, csinálnak kamu kártyát cashoutolnak máshol. Ebből látnak pénzt. Tele van a net olyan oldalakkal ahol lopott adatokat adnak el és eléggé fénykorukat élik. De amugy van egy nagyon blachat írás az a neve "BankPredators Fraud Manual". Ott leírják pontról pontra hogy csinálnak belőle pénzt, hogy használnak milyen rdp-t, mi a default settings a bankoknál login location-re. Nagyon meredek egy manual.

sub
sub
Nagyon jó cikk :)
Egy észrevételem volna a formázáshoz: Raktál a cikkbe pár nagyobb képet. Ezek az oldaltörzsnél szélesebbek, a kilógó rész nem látszik (ahogy írtad is). Esetleg érdemes lehet ezen képek helyére thumbnail-t rakni, és azt linkké alakítani ami a teljes képre mutat új ablakban.
Itt egy jó írás hogy tudsz imgur-ra feltöltött képekhez thumbnail urleket generálni: https://thomas.vanhoutte.be/miniblog/imgur-thumbnail-trick/
Köszi, igazad van :) Jövőben így csinálom majd.