Phishing - Digitális Nyomozás - avagy hogy járj a támadó előtt P2

 ( rodneymullen2 | 2018. január 13., szombat - 4:02 )

Aki nem olvasta az előző részt annak ajánlom, mert lesz pár dolog amire hivatkozni fogok. https://hup.hu/node/157320

Ebben a részben megpróbálunk a phisherek elé kerülni mielőtt még a támadást indítják. Ez az én logikám és ahogy csináltam.

Hogy lehet ezt megelőzni vagy legalább előttük járni? Próblájunk azokra koncentrálni akik a cégünk customerjeit akarják támadni, hogy fog phishleni?
Nagy valószínűséggel létrehoz egy hasonló domaint mint az eredeti szóval példának: ha van cégünk www.belabankja.com akkor le kellene kérdeznem minden olyan domaint ami hasonló.

Itt nézhetünk Entropy távolságokat a mi domainünktől. Szóval ezek körül bármi lehet:

www.belabankja.top
www.b3labankja.com
www.belabankja.tw
www.bela8ankja.com

... és még sok sok más lehetőség. Itt sem tudunk minden lefedni hisz ha valaki jön hogy www.onlinebelabankja.com azt nem fogjuk megtalálni ezzel a módszerrel. De talán egy picit tudunk rajta segíteni, írni fogok erről is.

Ezekhez a legenerálásokhoz én DNStwist-et szoktam használni, de vannak más megoldások is:

Elindítjuk ezt azokra a domainekre amiket szeretnénk. www.belabankja.com, de hogy ennek több értelme legyen és megfogjunk még lehetséges domaineket ki kell egészíteni.

www.onlinebelabankja.com; www.loginbelabankja.com; www.online-belabankja.com; www.login-belabankja.com... stb. Ez ugye a cégtől függ mivel foglalkozik.
Fogjuk a domaineket és csinálunk belőle egy adatbázist mint ahogy tettük a phishinges résznél.

Itt egy régi kép a PUBLIKUS előadásomból (fent van prezin is, otthoni fejlesztés, bármi más bankra megírható) amit példaként fogok használni, csak sima whois infokat kérek le domainekhez hisz az egy jó kiindulópont lehet.:

Tudom már most páran kaparják a fejüket hogy "de kitöltik a whois infot kamu adatokkal és kész". Ki fogok erre is térni nyugalom, van olyan eset mikor hiába ad meg kamu email címet vagy telefonszámot vagy van rajta whois guard, vagy váltogatja az emaileket, akkor is meg lehet találni.

Ott tartottunk hogy a DNStwist után lesz egy adatbázisunk a domainekről, amiket már megvettek. Most le kellene szűrni hogy melyik potencionális target számunka, ergo van rá esély hogy phishing támadást indítnak róla. Itt végig kell gondolnunk mi történhet a domainekkel. Van mikor nem fogják soha semmi rosszra használni, van aki kereskedik vele, van aki poénból veszi meg, van aki csak 3 hónappal rá hostol rá bármit is. Szóval Én itt az időt választottam mint logikai kulcs, monitorozni fogjuk a domaineket mikor történik változás rajtuk.

Ötlet: fogom és minden domaint megnyitok minden nap 80 és 443-as porton(tudom lehet máshol is http service). Csinálok róla egy print screent és mindig összehasonlítom az előző napival.

Miért ezt válaszottam és miért nem hasonlítom össze forráskód szinten? Mert milyen egy hostong oldal? Tele van reklámokkal amik mindig mások ergo nekem az nem jó hogy jelezzen a legkisebb diferenciára, akkor minden false positive lenne. Próbáltam azt is hogy képeket lementem base64-be és azokat hasonlítom össze. Zsákutca.

Így jött ez a megoldás, printscreen X napon; print screen Y napon; és mi változott X és Y között azt pirossal kiemeli. Ergo minden nap végig fogom lapozni őket kézzel hogy lássam a diferenciát, de 5 percet megér, és nem kell böngészőben nyitogatni.
(ha nem fér ki az oldalra a teljes méretért meg kell nyitni külön oldalon)

Ezzel most már át tudok nézni akár 5 perc alatt 500 domaint. Szóval fogtam és ráengedtem a domainekre és napi 2x lefuttattam hogy lássam mikor van változás az oldalon.
És pár nappal később végre jött az első érdekes eredmény ahol ezt láttam:

Azért valljuk be mintha valami történne a domain-en. Így elkezdtem nyomozni utánna hogy ki és miért csinálja. Elég volt ez a jel hogy mappák kreálódtak "érdekes" néven.

Ilyenkor szerintem az az alap dolog hogy megnézzük a domain whois-t.

Ezekből mennyi info az ami számunkra érdekes lehet? MINDEN. Az is információ ha valami hamis információ, sokszor segítségedre lehet. Ezt később elmagyarázom hogy miért.
Elsőnek elkezdi az ember megnézni az email címet, hisz az egy elég egyedi azonosító (már ha publikus). Én elsőnek egy keresést szoktam csinálni hogy hány másik domain lett még regisztrálva ezzel az email címmel (legtöbben ezt csinálják).

Ezekből azért látni hogy ennek az emailnek elég érdekes multja van lehetséges hogy csinált már phishinget vagy bármi mást.

Akkor kezdődjön hogy az email címet elkezdjük megnézni social network-ökön, vagy bármi site-on. Itt én át szoktam menni minden egyes oldalon ami információt adhat: Google, Facebook, Skype, Google+, instagram stb... Tényleg mindenhol ahol lehetséges. A mi esetünkben én facebook-al kezdtem, elsőnek arra kerestem hogy valaki regisztrált e már a facebook-ra ezzel az email címmel, utánna pedig hogy volt e bárki olyan aki postolta ezt az email címet. Facebook publikus postok között fog keresni, lehetséges benne lesz, de lehet hogy nem. És le lehet iltani azt is hogy email alapján ne találjanak meg vagy telefonszám alapján, de ezt elég kevesen szokták használni. Szóval simán bedobom az email címet a search bar-ba és kidobja:

Az első találat mint látni egy sima csoportba írás hogy valaki válal Web Design stb és látjuk az email címet. Okés, ez azért valljuk be nem nagyon áll meg egy törvényszék előtt hogy valaki kipostolta. Ez még édes kevés ahhoz hogy bármi is legyen belőle, illetve ugye nekem a fő cél hogy minél több infóm legyen az emberről. De a lényeg van 3 kiindulási pontunk, egy email cím, egy név, és egy telefonszám. Mivel látom hogy Nigériai ezért azonnal megnézem skypeon mivel ott nagyon népszerű az app:

Szóval most van 3 skype account aminek köze van hozzá, illetve plusz infonak van 3 usernevem amit használt.
Ezzel a skype részét most lezárom és meglátjuk mit találok még. Van egy kis csel amit szoktam használni az a "password reminder". Ebben az esetben felmentem yahoo-ra és password remindert kértem és mindig nyomtam a gombot hogy semmit nem tudok. Ez alapján azért kidob elég sok infót mind a google, mind a yahoo és jó pár szolgáltató (ha be van állítva).

Kapok egy telefonszám töredéket, ami sajnos nem azonos azzal a telefonszámmal amit az elején találtunk(de eltároljuk mert lehet szükség lesz rá), illetve egy backup email címet. Viszont ez érdekesnek tűnik, ismerős nekem ez az email...

Szóval ezzel lett plusz 1 email címünk, illetve tudjuk mit használ backup emailnek. Ezzel is azt teszem mint az előző email címmel. Van facebook profilja? Regisztrált domaineket? Insta? Bármi?

1 kamu facebook account ami azért néha tud segíteni, illetve egy domain lista hogy miket regisztrált. Érdekes, ezek sem a tipikus domain regisztrációk.
Természetesen nem csak ezeket de az összes domaint amit regisztrált megnéztem manuálisan. Ha már nem ért az oldal akkor Archive.org és lekértem a régi oldalt. Információt kerestem mik voltak a domainen. És belefutottam valami nagyon érdekesbe az egyik domainen, amit nem gondoltam volna észreveszek. (mikor az investigation volt a domain online volt).

https://web.archive.org/web/20161021104430/http://autocatconstructions.com/

Na kinek tűnik fel mi az ami érdekes itt? Mi a nyom az oldalon? Talán a "Powered by" rész? Most akkor gondoljunk vissza mikor hirdette hogy vállal weblap készítést. És ez a név eléggé hasonlít az Ő nevére. Talán van egy kamu cége? Vagy igazi cég?
Hát természetesen Google, archive.org megkeresem milyen infó van a weblapról.

https://web.archive.org/web/20160205135206/http://richiesolutions.com/contact.html

itt azért már szinte minden megvan róla, tényleg volt egy cége, a név is stimmel, a telefonszám is stimmel a yahoos azonosítóhoz hisz 95-re végződik. illetve a 11-es végű is azonos azzal amit Ő megadott anno még facebookon hogy melót vállal. illetve mivel megvan a teljes telefonszám azt is be lehet dobni a facebook keresőbe és kidobja hogy ki használta regisztrációhoz (ezt kevesen tudják). A bal alsó képhez nem fűzök kommentet. :)

Elég sok minden megvan az emberről, de ez nekem még mindig kevés! Tutira van több, tudni akarok róla mindent.
Azt tudjuk le lehet kérdezni hogy mennyi domaint regeltek az adott email címmel, én ajánlom azt is sokszor hogy ugyanezt csináljuk meg mindenre! Címre, telefonszámra, névre, minden ami van. És itt térek rá vissza: hiába adott meg hamis infókat, hamis nevet, akkor is van nyoma. hisz ebből találtam meg dolgokat róla.

Itt jött az újabb átfedés, megvan még egy email cím, még több domain amit regisztrált! És itt a vége? Nem még mindig nem, tuti van még valami, csak keresni kell.

Jéé talán malware dolgokhoz is köze volt (IceIX) ? :)

Mivel lett ugye új email cím, ezzel összeért a kör.

És akkor minden infó ami megvan róla, mert hát így csibészes a report:

Szóval a tettes még meg sem támadta a céget, épp csak regisztrált egy domaint és elkezdett rajta létrehozni dolgokat, de mi már konkrétan tudjuk ki Ő és mi a múltja. Szerintem ez azért elég jó GOAL. Persze, lehet mondani hogy jaj de könnyű megtalálni és csak egy béna emberke, de akkor miért nem találta meg más?

Miért én takedownoltam a dolgait elsőnek?

Persze ettől függetlenül nem volt valami sophisticated de a mai világban sokszor nincs is rá szükség, hisz soha nem kapják el őket.
Én most csak egy esetet mutattam be a a sokból illetve direkt olyanra koncentráltam ahol a phishing megoldáshoz tartozó investigation tartozik.

NOTE: a 3. email címes rész lenyomozását kihagytam meg pár dolog mert már így is annyira hosszú a cikk hogy senki nem fogja elolvasni. :)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

like +1

+1

+∞

Nehogy abbahagyd a postokat! :)

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Nagyon jó, mintha a krebsonsecurity-n olvastam volna.

Köszi a cikket, és jöhet a 2. email címes rész lenyomozása, mert van, aki végiolvasta :-)

Bizony. Kétszer is, mert annyira tetszett... :)

+1

Huha. Ez amolyan braindump ha jol latom. Dolgoztal 8 evet valahol, koccoltal,
es most mielott uj faba vagnad a fejszedet, amolyan rendszerezett visszaemlekezes.

Ezzel mindossze annyi a problema, hogy 2 het alatt lenyomod es kifulladtal.
Meg lehet ertekesebb annal (mivel biztonsagi temakor), hogy nem a nagyvilag ele tarod ki.

Ez lesz a midlife krizis:), csak ne egesd fol magad mogott az osszes hidat:)

Egyebkent erdekes anyag.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Mivel most kezdtem el írni ezeket a blogokat így gyorsan jöttek miről kellene írni. Azért egész sok évre visszafele vannak adatok. De sajnos igazad van, előbb-utóbb kevesebb bejegyzés lesz.
De mindig vannak azok a dolgok amiket az ember már nem feltétlen oszt meg mert nem lehet vagy mert nem kellene.

Jó cikk.

A screenshotok összehasonlításának automatizálására nagyon egyszerűen össze lehet kalapálni parancssoros, opencv alkalmazásokat. Simán kijelölöd az oldalon a számodra érdekes területeket (login mező, dirlist sora, stb) és ezekre hív összehasonlítási függvényeket és ezeknek a kimenetét vizsgálod valamilyen küszöbértékre.

--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Sajnos ezt nem ismertem. Lehet megérne egy próbát, Köszönöm a tippet!
Most jelenleg amugy ezt használja: www.imagemagick.org szóval pirosal kiemeli hogy mi a különbség és akkor lapozok csak az eredmények között. Voltak problémák hogy nem azonos méretű képek összehasonlítása stb.. de igyekeztem kiküszöbölni.

OpenCV-nek jóval alacsonyabb az erőforrásigénye (natív kódba forgatva, lehetséges vele közel valósidejű képfeldolgozás) és rendelkezik analítikus függvényekkel. Tehát, nem kell manuálisan ellenőrizned a piros kiemelést, ha valamilyen terület kijelölése meghalad egy értéket, automatikusan végre tud hajtani adott feladatot. Hasonlóképp, képes nem azonos méretű képeket feldolgozni, mert lehetőség van adott képinformáción transzformációs vagy filterezési műveleteket végrehajtani.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Ezt folytasd! Kiraly cikk. Jo valos szakmai kontentet is olvasni, a napi apple bulvar rovat mellett

+1
--
ne terelj

Nekem is tetszenek az írásaid, tanulságosak. Egy kérdésem van csak: megvan az úriember, oké. Hogyan tovább? Értesíted a nigériai rendőrséget? Vagy más szervezetet? Vagy csak tudod, hogy ő szerzi meg az ügyfeleid adatait, és ennyi? (Ez több kérdés, de érted.)

--
Debian - The "What?!" starts not!
http://nyizsa.blogspot.com

Hát az esetek 99%ban soha semmi nem történik. Volt egy srác aki amerikai vízumot hamisított (róla talán írok is majd) és annyi lett hogy blacklistre rakták ha utazna USA-ba, és ennyi. Szóval nem érdekli őket. De ha ugyanez van Angolal vagy Németel akkor sincs sokkal több dolog.
Ha pénzügyi csalás van és elvisznek X összeget akkor is ugyanez a helyzet, a biztosító fizet szóval jobb ha nem találod meg őket, mert ha megvan a tettes akkor nem fizet a biztosító.
Sajnos ez a valóság.