Phishing - Digitális Nyomozás - avagy hogy járj a támadó előtt P1

 ( rodneymullen2 | 2018. január 13., szombat - 1:42 )

Ez picit komplexebb valakinek, van akinek meg alap dolog. A story lényege az hogy anno eldöntöttem hogy sokat fogok phishingel foglalkozni és próbálok valami olyat csinálni amit eddig mások kevesen. Mert hogy is néz ki egy mai phishing solution? Fogod blokkolja a levelet és blokkolja az URL-t ennyi. Ebből hogy tudsz valami olyat csinálni ami látványos is és felfigyelnek rá.
Az én megoldásom ez lett:

Elkezdtem az elejétől végéig átgondolni hogy néznek ki a phishing támadások, fogtam és mindent lemodeleztem. Mindent megcsináltam én magam is élőben, nem tesztkörnyezetben. Igen regisztráltam kamu domain, igen leklónoztam oldalt, és igen linkedin-ről generáltam le a targeteket vagy free email listából.
Szóval nálunk eleve működött a cégnél egy nagy email solution ami azt csinálta hogy minden bejövő levélben átírta a linket egyedire, és ha a linkre kattintottál akkor tudták hogy ki volt aki azt az URL-t megnyitotta.

Random Példa:
bejövő levélben ezt küldték: http://abri.une.edu.au/online/cgi/2Dbin/i4.dll
Átmegy az email solution-ön és így érkezik meg a userhez: https://emailsolution.com/v2/url?u=http-3A__abri.une.edu.au_online_cgi-2Dbin_i4.dll-3F1-asdfasdfdasfasfdasf

Ergo mivel ez kifejezetten 1 usernek legenerált URL tudni fogják hogy rákattintottak e. (most nem megyek bele mi van ha átküldöd más usernek is a levelet)
Logikus hogy erre építettek egy megoldást hogy elkezdenek URL-eket malicious-be sorolni és akkor kiderül az is hogy a multban ki kattintott olyan URL-re ami problémás lehet.

Én ezeket az adatokat elkezdtem exportálni, szóval minden olyan URL-t megkaptam ami malicious-nek lett tag-elve és elkezdtem egyenként megvizsgálni őket. Ebben ugye tudom nincs lefedve az hogy mi van ha nem jelzett rá hogy malicious. Valahol el kell kezdeni én így kezdtem :) Később kitérek a maradékra is!
Szóval ezeket az adatokat én feldolgoztam és csináltam belőle egy saját adatbázist ami így nézett ki (Az akik megkapták mezőt és az időt kitöröltem a listából):

Nézzük végig hogy melyik mi, saját magamnak neveztem el őket :). Ha nem látszik minden oszlop akkor itt a Full size URL: https://i.imgur.com/GU1SNcG.jpg
Original URL: Ez már az az URL amit dekódoltam hogy tudjam mire kattintott
Redirected URL Landing page: Ez az ahova megérkezel a linkre kattintás után. Ez azért van mert sok olyan van ahol visitorokat küldenek 15 átirányításon át oldalakra hogy növeljék az adott reklámok bevételeit.
Removed?: Ez csak annyi hogy él e még az oldal vagy file, ergo nem késtünk le a partyról.
Infection Vector: Phishing/Scam/Flase Positive/Malware/Defaced Site....
Stolen Data: Itt ugye az érdekelt hogy milyen adatot akarnak ellopni. Igyekeztem úgy leírni hogy később tudjak szűrni hogy hátha van átfedés.
Phishing KIT: itt azt hasonlítottam össze hogy melyik phishing oldal hogy néz ki. Nem csak arra kell gondolni hogy maga a kinézet de leszedtem a képeket, megnéztem a méretezését, kódot összehasonlítottam, mappaszerkezetet hasonlítottam stb. Erre ki fogok térni jobban hogy hogy tudtam összekötni dolgokat.
Vulnerability: sok phisher oldalakon keres sérülékenységet botokkal és ezek megnézik hogy sérülékeny e az oldal egy adott támadásra. A legtöbb esetben CMS sérülékenység lesz. Ezt ránézésre vagy wappalyzer-el megmondod.
Compromised or Registered: Ugye két fajta módja van a phishing content hostolásának. Vagy regelnek egy domaint vagy feltörnek egy adott oldalt.
Registered email / Stolen data sent: itt a whois infó hogy ki regelte az oldalt, vagy ha meg tudom szerezni a phishing KIT-et akkor hogy hova küldte el a lopott adatokat.
Ezen felül még volt egy ahol gyűjtöttem a KIT-eket csak simán hogy hogy néznek ki:

Illetve ugye logikus hogy érdekel a phishing levél hogy nézett ki amire rákattintottak:

Honnan tudtam hogy hova küldik el a lopott adatokat?
Elsőnek logikus hogy a legtöbbször olyan oldalt törnek fel ami eleve sose volt patchelve és rendesen configolva, szóval sokszor van hogy DIR browsing és látom a file-okat.
És hát a támadónak is valahogy át kell mozgatni a phishing oldalt ezért fogja és becsomagolja ZIP vagy RAR vagy Tar.gz. Logikus ha esetleg látom hogy van DIR browsing fogom és letöltöm a csomagolt filet és megnézem hova küldik az adatokat, de ez elég kevés esetben van valljuk be. Hogy lehet máshogy megszerezni? Mikor saját magam modeleztem a phishinget én is rájöttem pár dologra hogy mit rontok el és hátha ők is elrontják. Én fogtam és script-el átmásolta a ZIP-et, kicsomagoltam és dobtam egy ready üzit ha sikeres volt.
Legyen egy most is live példa: hXXp://mentariilmukarawang.sch.id/wp/drug/
Itt nem látod hogy fent a forráskód hiába van DIR browsing illetve ha nem lenne ugyanott lennél. Ezért én abbol indultam ki mikor a gépemen összecsomagoltam a phishing KIT-et akkor logikusan foldername.zip lett a végeredmény. Feltöltöttem, kicsomagoltam ott. Amennyiben csak ennyit csináltam akkor léteznie kell ezek közül valamelyiknek ha a KIT fent van:
hXXp://mentariilmukarawang.sch.id/wp/drug.zip
hXXp://mentariilmukarawang.sch.id/wp.zip
És létezik is letöltöd és megnézed hova küdlte el. (letöltheted nincs benne virus)

Megjegyezném van olyan aki local logba logol nem küldi el emailben, de az is kiderül a forrásból. Erre később lett 1 script ami megnézi automatán ezeket, szóval visszalépeget a mappák között és foldernév.ZIP-re keres,vagy ha van dir browsing akkor azt a zip-et tölti le. Illetve hogy legyen okos és fejlődjön a dolog a letöltött phishingKIT-ek alapján az összes eddigi filenevet megpróbálja hogy fent van e. Ergo ha az van az URLben hogy hXXp://mentariilmukarawang.sch.id/wp/drug/bela/anna.php ettől függetlenűl meg fogom nézni azt is hogy tegnap ugyanezt a phishing kitet GDOC.zip vagy doc.zip néven találtam meg. És ez is hatalmas előny volt mert hiába csinált XY nevű foldert a serveren ha a ZIP fileneve megmaradt.
Erre a legtöbben azt mondják hogy "jajj ez tök nem valós" meg "csak a bénák csinálnak ilyet".
Az én statisztikáim alapján amiket elemeztem kb 2000 eset 10%-ban meg tudtam mondani hogy hova mennek a lopott adatok. Az szerintem az azért elég jó a 0%-hoz képest. Főleg mikor elő kell adni hogy sikeres e a projekt. És lesz ez még sikeresebb még csak most ugrottunk neki.

Ki szeretném emelni hogy nem kell mindennek 100%-osan pontosnak lennie, elsőre nem tudsz vele lefedni mindent mert lehetetlen. Szóval egy Phishing KIT-et használhat több ember, logikus, de engem nem ez a része érdekelt. Én azt próbáltam kideríteni hogy ki az aki mögötte van illetve kimutatni hogy milyen phishingből jön a legtöbb amire rákattint a cégnél dolgozó. Meg persze mutatni kellett a felső vezetésnek hogy "kik támadnak minket".

Mi az a pont ahol nyomot kell hogy hagyjanak a támadók? Nekik a lopott adat az érték ergo az adatok visszakerülése az egy biztos pont. Email cím eléggé jónak tűnik. Én ezt nem úgy próbáltam hogy az email címeket elkezdem egyenként visszanézni én azt egy későbbi fázisban csináltam, én elsőnek csoportosítani próbáltam hogy meglegyen hogy kire vadászok. Fogtam és az adatbázis amit csináltam és elkezdtem szűrni az azonos phishingekre. Pl.:Ahol a phishing levél hasonló és a feltört oldal joomla, és akiknek kiküldték a levelet az mind X departmneten dolgozik, és a phishing KIT felépítése ugyanaz. Vegyük példának az egyik ilyen csoportot ami nálam "rghost Russia Group + Group 25".
Hogy tudtam összekötni őket? Itt sem kell mindent összekötni mert engem nem érdekel hogy az minden egyes phishinget ugyanaz az ember csinálta vagy nem. Direkt azért adtam ilyen feltételt a keresésemnek ami elég sok mindent lefed. A végére úgyis a szitában marad valamelyik ember.
Szóval rghost group kinézete mindig azonos, mindig ugyanazok az emailek jönnek, mindig kb ugyanazok a targeted emberek. Elkezdtem a felépítésüket nézegetni (130+ kit) hogy van e benne valami olyan egyedi amivel azt tudom mondani hogy ezt márpedig szinte tuti hogy ugyanaz az ember vagy csoport követte el.

Itt a phishing KIT, szóval mindegyik folder szerkezete ugyanaz és próbáltam minél hosszabb egyedi részt találni benne hogy hátha az majd segít, illetve látható a dwsync.xml tartalma ahol érdekes hogy meg van adva pár backup elérés valamiért. Ezt akkor még nem tudtam miért. Számomra az így elég egyedinek tűnt. Utána a mappaszerkezet alapján mint mondtam próbáltam kereséseket hisz elég egyedinek tűnik."/Google_docs_files/_notes/dwsync.xml"

Ebből már látom okés elég sok ilyen feltört oldal van, persze a google nem listáz mindent de én ebből már tudtam hogy itt is meg fogom találni a phishing KIT-et és lesz benne email cím ami nekem nyom lehet később :) Aztán keresgélés közben egy érdekes google hintre találtam:

óó szóval ehhez a hosting szolgáltatóhoz töltik fel támadás előtt a phishing KIT-eket? Logikus nem akarod az ottohni gépeden át feltölteni ide, kell valami hosting. Ez az ember az rghostingot választotta. Viszont akkor most már tudok keresgélni rghostingon ilyen phishing KIT-ekre. Csináljunk már egy listát belőle, hisz itt látni hányszor lett feltöltve és mikor, illetve látom a zip-elt nevet is ergo tudom upgrade-elni a toolom ami a phishing KIT-eket keresi az oldalakon. Ennél több van egy részét osztom csak meg:

Okés akkor most van elég infó erről, nézzük meg az összes csoportot egyenként. (Most nem írom le az összeset csak egyet hogy lássátok mi a logikai menete).
Elkezdtem nézni a Group 25-öt teljesen ugyanezzel a logikával, felépítés, milyen levelet küldenek ki ami eléggé hasonló volt sokszor az rghost-osra.
És lám-lám mit találtam, Ő is az rghostra tölti fel a phishing KIT-eket támadás előtt. De volt egy másik nagyon hasonló dolog, az egyik email cím ahova a lopott adatokat küldik az ugyanaz volt. Ez azért elég nagy átfedés. Így már összeállt a kép hogy miért hasonlóak az emailek amiket küldenek, miért töltik fel ugyanoda a phishing KIT-et, és hiába néztek kis máshogy az oldalak tudtam ugyanazok vannak mögötte.

Három részt terveztem, ez a P1. P2-ben lesz hogy még hogy tudunk ehhez hozzáadni és a phishing támadás előtt megtalálni a támadót, illetve a P3-ban lesz egy olyan rész ahol az adott adatok alapján konkrét személyig visszapörgetjük ki volt a tettes. Lesznek noobok és kevésbé noobok. :)

Note: biztos sok ember van aki nem így csinálná hanem jobban, illetve van sok dolog amit nem írtam le az átfedések között mert nagyon hosszú lenne. Én így csináltam.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Koszi az ujabb disszertaciot! Nagyon jo a blogod.

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

Egy dolog nem vilagos:
Ugye ezeket a phising oldalakat, mindenfele tamadasokat, fergeket, meg egyebeket nem epp torvenytisztelo allampolgarok csinaljak. Ha tudsz kodolni, ismered az aktualis exploitokat (nem kell 0-day, nem mindenki foltozza be idoben a mar publikaltakat sem, es ez epp eleg), akkor csinalhatsz olyan programot, ami ezeket a gepeket/tartalomkezeloket vegigfertozi (egymasrol masolva, nem kell hozza kozponti gep). Innentol van egy botneted, amit felhasznalhatsz spamre, phisingre, DDoS-ra, gyujthet sajat magatol adatot (a vegigfertozott gepek sem uresek), stb., az adatok mehetnek peer-to-peer modon, macskas kepekbe tett szteganografiaval, C&C lehet szinten p2p, vagy valami kelloen "artatlan" publikus szolgaltatas (pl. twittert szerettek egy idoben, ahhoz meg ugyis lop idegen accot). Ezernyi modja van annak, hogy soha az eletbe ne kapjak el a keszitot (es ha megis gyanuba keveredik, soha nem bizonyitjak ra), csak egy kis kreativitas kell hozza.

Szoval miert igy csinaltak?

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

Ennek több oka is van, szerintem a fő dolog az az hogy a piac diktálja a trendet, a piac pedig a pénz. Elég nagy piaca van a phishingnek, aztán kártya adatokat adnak el, csinálnak kamu kártyát cashoutolnak máshol. Ebből látnak pénzt. Tele van a net olyan oldalakkal ahol lopott adatokat adnak el és eléggé fénykorukat élik. De amugy van egy nagyon blachat írás az a neve "BankPredators Fraud Manual". Ott leírják pontról pontra hogy csinálnak belőle pénzt, hogy használnak milyen rdp-t, mi a default settings a bankoknál login location-re. Nagyon meredek egy manual.

sub

sub

Nagyon jó cikk :)

Egy észrevételem volna a formázáshoz: Raktál a cikkbe pár nagyobb képet. Ezek az oldaltörzsnél szélesebbek, a kilógó rész nem látszik (ahogy írtad is). Esetleg érdemes lehet ezen képek helyére thumbnail-t rakni, és azt linkké alakítani ami a teljes képre mutat új ablakban.

Itt egy jó írás hogy tudsz imgur-ra feltöltött képekhez thumbnail urleket generálni: https://thomas.vanhoutte.be/miniblog/imgur-thumbnail-trick/

Köszi, igazad van :) Jövőben így csinálom majd.