2012. december 28., péntek

GatherNetworkInfo.vbs

Ma átfuttattam az autoruns.exe-t a gépen (letölthető innen : http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx ) és találtam a Task-ok között egy GatherNetworkInfo.vbs elnevezésű programot. Először azt gondoltam, hogy valami kártékony dolog, de aztán rákeresve kiderült, hogy nem az, hanem a Miscrosoft Windows 7 része. (Ettől persze még elég gyanús program és első ránézésre kémprogramnak tűnik :) Nagyon érdekes kis script. Akinek Windows 7-e van érdemes megnéznie. A system32 könyvtárban van és egy sima vbs script. Egy ilyen program akkor jöhet jól, ha valahol adatgyűjtést kell végezni de nincs rá sok idő. A program szinte minden értékes adatot összegyűjt a gépről ami a hálózattal kapcsolatos és ezeket a config alkönyvtárban különböző file-okban helyezi el. XP alatt nem tudom, hogy lefut-e de kis módosításokkal biztos ott is működésre lehet bírni, ha kapásból nem is futna le.
Bővebb infó itt :
http://www.verboon.info/index.php/2011/06/the-gathernetworkinfo-vbs-script/

Akinek XP-je van az nem tudom, hogy honnan tölthetné le a programot (talán a Microsoft oldaláról...)

Nagyon komolyan megírt kis script, egy kis átalakítással (egy kis .bat program pl) meg lehet csinálni, hogy a végeredményt egy titkosított (vagy titkosítatlan) zip file-ba tegye. És már csak ezt a zip file-t kell elérhetővé tenni. De ez is megoldható, mert wrapperrel a zip file-t hozzá lehet kapcsolni bármilyen állományhoz. Pl pdf-ekhez, doksikhoz, képekhez, exe-khez, zip-ekhez....

Csak egy példa : Kap valaki egy önkicsomagoló exe-t, ami nem csak kicsomagolja magát, hanem lefuttatja pl a getherinfo.vbs-t és az adatokat egy tömörített file-ba teszi, majd az így kapott állományt hozzá kapcsolja egy file-hoz amit előre beállítottak.(Persze ennek a file-nak léteznie kell az adott gépen) Már csak az kell, hogy az adott helyről elküldjék az adott file-t.
(Ami lehet tömörítve és titkosítva, hogy a neten keresztül ne tudjanak hozzáférni. És ha titkosítva van, akkor gyakorlatilag nem lehet megnézi, hogy mi van benne....) végülis ftp-vel és weben keresztül is elküldheti magának azösszegyűjtött adatokat valaki de ahhoz már egy kicsit többet kell programozgatni...

Persze azt is lehet, hogy a program megnézi, hogy milyen képek vannak a gépen és mindegyikhez hozzámásolja magát (ez elég primitív megoldás lenne) mivel ezek szöveges állományok és nem regények, gyanítom, hogy tömörítve nem lehet túl nagy méretű az így kapott információ. Ha meg titkosítva van, akkor pedig még fel sem nagyon lehet ismerni, hogy mi az.

Mindenesetre az adathalászat egyik eszköze lehet és nekem eléggé gyanús is a dolog, hogy minek tesznek egy ilyen felturbózott programot gyanútlan felhasználók gépeire. Mivel maga a program elméletileg sosem fut le alaphelyzetben és egy mezei felhasználó nem is tudja bekapcsolni egykönnyen, hogy lefusson. Akkor meg minek ?

Azt hiszem ez volt az idei utolsó bejegyzésem. Ezúton Boldog új Évet Kívánok mindenkinek.

2012. december 12., szerda

Hax.Tor.Hu

Ez ugyan egy régi site, de ma ezzel szórakoztam :


Jó kis feladványok, ajánlom mindenkinek aki érdeklődik kicsit a hackelés iránt :)

Update (dec. 15. szombat) :)


Vasárnap + hétfő :




Kedd :
Szerda :
Csütörtök:

2012. december 10., hétfő

Facebook jelszó megszerzése Imposterrel.

Egy kicsit el vagyok havazva mostanában, de ezt a videót belinkelem ide : Nem én készítettem.


Az XSS Shell támadásról akarok egy részletesebb anyagot összeállítani, de most egyéb munkáim is lettek így nem nagyon haladok vele....

2012. december 4., kedd

WPA2 feltörése windows alatt

Az alábbi videóban bemutatom, hogy hogyan lehet a 4 lépéses handshake-t CommView-el megszerezni. Ehhez nem kell virtuális gép és usb-s kártya. Windows alatt is működik.



Első lépésben el kell indítani a commview-t. (Ezt olyan hálókártyával lehet megtenni amit a Commview támogat. Ezeknek a listáját meg lehet találni a honlapjukon) El kell kezdeni a csomagok gyűjtését, majd a Node reassociation opciót kell választani. Itt ki kell választani a megfelelő AP-t amire el akarjuk küldeni a disassociate csomagot. Majd várni kell, hogy a kliensünk megjelenjen a listában. amint megjelent a kliens el tudjuk küldeni a csomagot és a gyűjtött forgalmat elmentjük egy file-ba. Ezután ki is léphetünk a CommView-ből mert nem lesz rá többet szükség. Az elmentett file-t az aircrcack-ng gui-val megnyitjuk és beállítunk egy jelszó szótárat, majd elindítjuk a tesztelést.

Sokan azt képzelik, hogy a sebesség a lényeg, pedig tévednek. A példában körülbelül 3000 ezer szót tesztel a program másodpercenként ami azt jelenti, hogy két perc alatt több mint háromszázezer lehetőséget futtat át a vizsgálaton.

Nem a gyorsaság a lényeg, hanem az, hogy a jelszó szótár tartalmazza-e a helyes jelszót vagy sem.  Ha nem tartalmazza, akkor mindegy milyen gyorsan fut le a vizsgálat. A dolog lényege nem a gyorsaság, hanem a helyes algoritmus amivel a jelszó szótárat előállítjuk. Ugyanis a jelszóban nem csak szavak lehetnek, hanem számok és speciális jelek is. Ezért fontos, hogy szisztematikusan kell a jelszó szótárt felépíteni. Több lépésben kell esetleg tesztelni. Először alap jelszavakat, utána szavak és számok kombinációját, majd speciális jelekkel megtűzdelt változatokat kell vizsgálni.

WPA2 esetén azt sem árt figyelembe venni, hogy a jelszavaknak van minimális és maximális hossza. Ami ezeken kívül esik azokat fölösleges vizsgálni, mert nem lehet rájuk egyezés.

Az igazi kihívás ennél a vizsgálatnál nem a 4utas kézfogás megszerzése, hanem egy olyan algoritmus kieszelése amire a legtöbb jelszó előbb-utóbb illeszkedne. Azonban, ha a jelszó értelmetlen krix-krax, akkor ezzel a módszerrel nem lehetséges megszerezni. (Az ilyen krix-kraxot viszont megjegyezni nem lehet, tehát más úton hozzá lehet jutni mivel ilyen esetekben a felhasználók nem gépelgetik be a megjegyezhetetlen kódot minden esetben, hanem automatikus kapcsolódást állítanak be amin keresztül lehet másfajta teszteléseket végezni.

2012. december 3., hétfő

Néhány érdekes szoftver

Beálltam a Hacking-lab-hoz önkéntesnek (valójában az történt, hogy megnézték a videómat amit egy hacking-lab-os feladványról készítettem és tetszett nekik és invitáltak, hogy csatlkozzam az önkéntesek táborához - és mivel most nincs különsebb dolgom szívesen csatlakoztam a csapatukhoz)

A munka során volt alkalmam pár olyan dolgoggal megismerkedni, ami nem hétköznapi.
Itt van mindjárt a Scapy. Ez egy nagyon komoly kis program. Nem nagyon részletezném, hogy mit tud. ( google és search Scapy) A lényeg, hogy hálózati csomagokat lehet vele manipulálni nagyon kényelmesen. De tud hálózaton sniffírozni is, sőt csomag replay-t is. (Újra tudunk küldeni elfogott csomagokat megváltoztatott paraméterekkel.) De már eltárolt csomgokat is meg lehet vele nézegetni / analizálni. Tcpdump-al vagy wireshark-al elmentett forgalmakat kianalizálni. Analizálás után pedig mindenféle csomag manipulációkat végrehajtani. Nagyon hasznos kis program. (A forráscímtől kezdve a különböző flageken át nagyon sok mindent lehet benne állítgatni) Mivel scriptnyelven van ngyon könnyű programozni. Például több száz (ál) port scan-t lehet vele emulálni, különböző címekről...de szinte bármit le lehet benne programozni.

Amivel pedig most fogok ismerkedni egy feladat kapcsán az a tcpick és az SSH decryptor.

Néhány olyan fogást is sikerült eltanulnom itt, amire magamtól nem biztos, hogy rájöttem volna. Egyelőre nagyon élvezem ezt a fajta munkát. Minden nap tanulok valami újat. Olyat, amit konkrétan használnom is kell. (Egyik feladvány kapcsán pl tanultam egy ügyes trükköt arra, hogy lehet szoftverekben Sorozatszámokat (belépési kódokat) keresni.) de a mostani SSH forgalom visszafejtő eljárás se piskóta....

Nemsoká teszek majd fel pár videót is a korábbi dolgokkal kapcsolatban, csak ezek most nem youtube formátumban vannak így a youtobe-on keresztül nem lehet feltölteni őket úgyhogy más megoldás kell a publikálásukra.

(A sanboxie-ről akartam még egy hosszabb bejegyzést, de sajnos nem volt még időm alaposan megnézni. Akinek addig is van kedve az töltse le : Sandboxie. elég jónak tűnik.... A lényege, hogy egy védett környezetben lehet a böngészőt működtetni úgy, hogy se vírusok se kémprogramok se egyebek nem tudják megfertőzni a gépet mégis meg lehet nézni, hogy mit csinálnak)

2012. november 18., vasárnap

Videók

Jó ideje nem írtam már ide új bejegyzést. Ennek az oka, hogy töménytelen sok videót készítettem az elmúlt néhány napon. (Már most több száz megányi anyag lett és még nincs vége)

Teljesen átlag emberek számára emészthető és érthető formában lesznek bemutatva a különböző jelszó megszerzési és az ezek ellen való védekezési technikák. Az anyag szép lassan készül és ha összeáll tálalható formában, akkor elérhető lesz. Videós ismertetők és hosszabb-röidebb leírások. Azok is alkalmazhatják ezeket a módszereket és védelmeket akik nem értenek különösebben a számítógépekhez. A videók készítésének a célja az  volt, hogy ezek az ismeretek olyanokhoz is eljussanak akik nem feltétlenul számítógép guru-k. De persze haladóbbak is fognak találni benne 1-2 trükköt amit esetleg eddig még nem ismertek.

A videók készítéséhez rengeteg anyagot gyűjtöttem be a netről és ez folyamatosan tart most is, számos dolgot kipróbáltam (és csak azok kerülnek bemutatásra amik valóban működnek és a lehető legegyszerűbb használni őket). Mivel nagyon sok munkám van benne csak bizonyos részek lesznek ingyenesen elérhetőek. A többihez valami jelképes összeg fejében lehet majd csak hozzáférni. Ez az összeg csak egy jelképes dolog lesz figyelembe véve, hogy egy hozzá nem értőnek mennyit kellene vesződnie a neten különféle fórumokat bújva és leírásokat olvasva, hogy eredményre jusson.

Emiatt és azért is, mert általában ami ingyen van azt kevésbé becsülik meg az emberek valami díj lesz cserébe viszont nagyon részletes leírások és videók lesznek mindenről. Ráadásul az anyag folyamatosan bővülni fog. Frissítésekkel, esetleges új módszerek bemutatásával, stb. Minden módszer ki lett próbálva mielőtt bekerült volna az anyagba. Vagyis ez egy gondosan összeválogatott anyag. A legalkalmasabb programok használatának bemutatásával és a módszerek pontos ismertetésével.

Aki rendelkezni fog ezen ismeretekkel az mindenképpen sokkal nagyobb biztonságban lesz, mint aki híján van ezeknek az ismereteknek. Gyakorlatilag bárki tudni fogja, hogy a saját jelszavait hogyan védje, hogy ne kerülhessen illetéktelenek kezébe,illetve azt is tudni fogja, hogy a párja, gyereke, beosztottja, stb jelszavait milyen módszer használatával lehetne megszerezni - ha szükség volna rá.

Amit jelszavakról tudni lehet vagy kell az benne lesz ebben a csomagban.

2012. november 11., vasárnap

A jelszó doktor válaszol.

Találtam pár bejegyzést a jogi fórumon és úgy éreztem, hogy ide kívánkozik az oldalra. Jelszó dokit is meg szerettem volna kérdezni erről, de sajnos az e-mail címen nem elérhető.

Innen a bejegyzések :

http://www.jogiforum.hu/forum/17/29583.0.0

DE EZ "csak" VÉTSÉG....magyarul ha feltöröd a párod fiókját és megbuksz esetleg a párod feljelentést tesz akkor behívnak és ha vagy olyan amatőr hogy bevallod akkor kapsz egy bírói figyelmeztetést,legrosszabb esetben egy 20 ezres csekket...
Viszont az esetek 90%-ában nem tudják bizonyítani hogy abban az időben percre pontosan ki ült a gép előtt,csak ha bevallod...
lekérik az internet szolgáltatótól a logolást és kb. 3 -4 hónap múlva hívnak be a rendőrségre...(tapasztalat).Ott felteszik a kérdést hogy ki ült pl. 2011 júni.14.-én 12 óra körül a gépednél...? Te emlékezni fogsz? nem hinném...
A másik hogy legtöbbünk használ wifit...Megmondod hogy nincsen lekódolva így bárki használhatja,persze ez nem működik ha saját párodat töröd fel,de ha én aki nem is ismeri simán mondhatom...amúgy meg high anonym proxy alól csinál mindent az ember így sokkal nehezebb kideríteni hogy a "kis bolygónkon" honnan is léptek be a fiókjába...
Lehet ezt ragozni csak éppen fölösleges...


--------------------

Kéne nekik elvileg de tesznek rá magasról...
1 hónap múlva kap az illető egy levelet hogy sajnálják a "tettes" nem beazonosítható,se helyileg se személy szerint...akkor bukik ezzel az ember ha közeli ismerős-haragos-családtag-üzlettárs stb. és a másik fél bevallja...
De ha teszem azt Te Bp.-ti vagy és van egy Szegedi haverod aki feltöri az asszonyod fiókját,majd megbukik a dolog és az asszony feljelentést tesz,akkor behívják majd a haverodat is(ha ő az előfizető a net szolgáltatásnál) és az első kérdés hogy ismeri-e az asszonyt?Persze megmondja hogy nem... az asszony se fogja ismerni a szegedi haverodat így nincsen közös szál,nincsen értelme a törésnek,ergó a szegedi haverod azzal le is védi magát ha mond egy wifi-s sztorit hogy nem biztonságos a wifije így bárki lophatta...sőt abban az időben ő mit tudom én Japánba volt vagy akár hol...
Sőt bonyolítható ha teszem azt a barátod nem otthon csinálja meg a dolgot hanem egy netkávézóba...akkor a netkávézó tulajt hívják be és ennyi...illetve a net előfizetőjét...
De ha utol is érik az embert azt tudni kell hogy a rendőröknek minden kétséget kizáróan bizonyítani kell hogy abban a percben Te ültél a gép előtt...ha ez nem megy(és általában nem) akkor lezárják...(még ha esetleg tisztában van is vele hogy te lehettél)
Ha high anonim proxy alól csinálod akkor nagyon megnehezíted a munkájukat,ha sima proxy alól akkor az könnyebben lenyomozható de mondom,legtöbbször ha nem történt egyéb bűncselekmény akkor semmi extra nem történik....


----------------------

thomaser, akkor az öcséd a számítástechnikai rendszer és adatok elleni bűncselekményt követte el. Azzal, hogy a jelszavat megváltoztatta, már a minősített eset állapítható meg, ennek ellenére szerintem megússza megrovással vagy pénzbüntetéssel, amennyiben feljelentést tesznek és bebukik.

----------------------

 Azért ez elég lehangoló, hogy a rendőrség ilyen esetekben gyakorlatilag nem sok mindent tud tenni....

Épp ezért felmerült bennem a gondolat, hogy igény esetén esetleg tudok olyan védelmet kialakítani az ügyfél adatainak a védelmében amit nem nagyon törnek fel. Sem Jelszódoki sem más képzett hackerek nem fogják tudni megszerezni az adatokat informatikai módszerekkel...

2012. november 6., kedd

Gmail vagy facebook fiók feltöréséért börtön

Az alábbi cikket ajánlom minden érdeklődő figyelmébe :

http://www.origo.hu/techbazis/20121105-gmail-facebook-feltoreset-akar-bonrton-is-kiszabhato.html

Családon belüli jelszóval való visszaélést is bünteti a törvény. Amennyiben a sértett feljelentést tesz a rendőrségen az elkövetőre lesúlyt a törvény szigora. A cikkben szó van arról is, hogy pl a facebook-nál beállítható néhány biztonsági funkció amelyek megléte esetén a próbálkozó nagyon hamar lebukik! A gmailnél is van egyébként egy history amiben lehet látni, hogy az utóbbi pár belépés honnan (melyik ip címről) történt. Gyanú esetén érdemes ezeket megnézni.

(Ezért mielőtt valaki ilyeneken töri a fejét nem árt annak sem utánanézni, hogy milyen egyéb lehetőségei vannak. Ugyanis a jogtalan belépést a rendszer regisztrálja és mindenképpen nyoma lesz... Más kifinomultabb technikákat sokkal nehezebb észrevenni illetve még nehezebb egyáltalán bizonyítani, hogy az adatokhoz hozzáfért valaki, és ha igen, akkor ki. Ezek ellen is lehet azonban védekezni, de ez már egy picit több odafigyelést és tudást igényel.)

Itt van még egy link az esetről :

http://www.internet-ugyved.com/email-fiok-hackeles-buncselekmeny.html

Összefoglalva : mindenki jól gondolja meg, hogy valóban az-e a megoldás, hogy mások fiókjába belépve jut információhoz, mert adott esetben rosszabbul járhat mintha nem tudott volna belépni...

Bár.....

Itt a blogon találtam a következőket is :

Idézet innen : http://www.internet-ugyved.com/facebook-jog.html (Az oldal alján)

Aki jogtalan haszonszerzés céljából, vagy jelentős érdeksérelmet okozva él vissza személyes adattal, az akár egy évig terjedő szabadságvesztéssel is büntethető - áll Hüttl Tivadar, a Társaság a Szabadságjogokért nevű civil szervezet adatvédelmi és információsszabadság programvezetőjének az [origo]-hoz eljuttatott levelében. A kulcsmomentum, hogy jelentős érdeksérelem esete áll-e fenn, ennek eldöntése a bírói gyakorlatra van bízva, és Hüttl szerint meglehetősen kidolgozatlan, hogy mit is jelent ez pontosan.

Komment: volt alkalmam hasonló ügyekben eljárni sértetti oldalon...név nélkül idéznék egy eljáró rendőrtisztet, aki annyit mondott nekem, amikor egy konzultáción a jelentős érdeksérelem pontosabb meghatározásához értünk, hogy "akkor beszélhetünk jelentős érdeksérelemről, amikor a fél Dunántúl lakosságának személyes adatait értinti a bűncselekmény"...így szerintem sok esetben a bírói gyakorlat már nem is játszik szerepet, mivel a nyomozó hatóság (rendőrség, ügyészség) sokkal hamarabb eldönti azt, hogy lesz-e ügy ebből a "hatalmas" érdeksérelemből, amit a zaklató elszenvedett...a nyilatkozó által hibátlanul idézett Btk. tényállásba (visszaélés személyes adattal) pont azért került bele a "jelentős érdeksérelem", mint tényállási elem, hogy ne indulhasson minden jogosulatlan adatkezelés esetén büntetőeljárás.


No komment...

2012. november 4., vasárnap

Web Sniffer

Az oldal számlálója elérte a 200000-et. Ennek örömére bemutatok egy olyan technikát, ami jól jöhet néha. Web sniffing. A Web tartalmat menet közben tároljuk el. Ez annyiban más mint a klónozás, hogy itt egy külső program tárolja le az elemeket egy megfelelő struktúrába miközben mi böngészgetünk a neten és nem közvetlenül a weblapról töltjük le őket egy külön programmal. A klónozást ötvözve a websniffing-el már nagyon jó eredményeket lehet elérni.
Ezt lehet egyébként még sok mindenre használni : védett tartalmak letöltésére pl. Ami letöltődik a gépünkre a hálózaton keresztül azt a sniffirózó program mindenképpen elmenti. Bármilyen trükk van a html-ben alkalmazva. Persze lehet, hogy a letöltött adatot kapásból még nem lehet felhasználni, de kis trükközéssel minden információ kinyerhető belőle. Arra is jó egy ilyen sniffírozó, hogy rejtett letöltéseket kiszúrjon. Pl : programok nemkívánatos webes tevékenységét. Trójaiak, vírusok, kémprogramok is kiszűrhetőek vele, amennyiben webes forgalmat használnak. Arra is lehet használni, hogy olyan oldalakat vagy oldalrészeket klónozzunk vele, ahol belépés lenne szükséges (ezeket a sima klónozó programok nem tudják kezelni.)

Természetesen SAJÁT gépen adatgyűjtésre is lehet használni. Gép bekapcsolásakor el kell indítani és mindent letárol egy külön helyre, ami a gépünkre letöltődött.... Ez azt jelenti, hogy ha valaki belép valahova és megnéz valamit (mindegy, hogy a böngészőben milyen trükköket használ és hogyan próbálja álcázni a ténykedését) az adatforgalma precízen tárolva lesz..... Jelszavakat ugyan ílyen módon nem lehet megszerezni, viszont minden ami szemmel láthatóan megjelenik egy oldalon, az letöltődik és később visszanézhető.....


2012. október 31., szerda

Ingyen tréning

A következő oldalt teljesen véletlenül találtam :

http://www.innobuzzonline.com/index.html

A lényeg, hogy van Trial verziója a tréning programjuknak, ami TELJESEN INGYENES! Csak regisztrálni kell e-mailben és az első két fejezetet ingyen végig lehet csinálni.

Oktató videók, meg minden. Tök kezdőknek nagyon hasznos! Mivel vannak videók és mutogatva van benne minden nem szükséges hozzá túl nagy angol tudás.

Akit érdekelnek az alapok, annak nem haszontalan megnézni...

(Én is találtam az anyagok között egy-két jó trükköt )

Kliens oldali Pen Test

Miután eljutottam egy bizonyos szintig a kliens felderítő scripttel, elkezdtem utánanézni, hogy nincs-e véletlenül ilyesfalyta tool készlet már készen. Persze, van. Évek óta :) Sebaj, mert azért miközben ezzle szórakoztam egy csomó dolgot megtudtam a JavaScript-ről és a Java-ról, úgyhogy nem volt elpocsékolt idő. A felderítő script egyébként mindössze annyit csinál, hogy egy előtét lap alapján eldönti, hogy a kliensnél engedélyezve van-e a JavaScript és ez alapján két különböző oldalra dobja tovább a felhasználót. A javascript nélküli kliensről nem sok mindent lehet megtudni, csak amit a UserAgent mezőben mondott, viszont ahol a javascript engedélyezve van, ott azért ki lehet szedni a kliensből további információkat. Mivel már vannak készen ilyen jellegű programok, ezért nem álltam neki lefejleszteni ezeket mégegyszer, inkább majd szépen letöltöm őket és kipróbálom, hogy melyik mit tud, mikor lehet használni. Amit én készítettem, az mindössze annyit csinál, hogy végez egy előzetes felmérést a kliensről. Milyen op. rendszer, milyen böngésző, mi van engedélyezve mi nincs. Amennyiben a javascript engedélyezve van, akkor lehet további adatok begyűjtésével próbálkozni, ahol pedig nincs javascript, ott más módszert kell keresni további adatok gyűjtéséhez. Mondjuk annyi előnye van ezeknek a kis scripteknek, hogy ezeket fel lehet tenni bármilyen free web szerverre (ahol van php) és off-line tudja a kliensek adatait gyűjtögetni, míg a készített tool-okat csak a saját gépünkön (vagy a saját wwebszerverünkön - ha van ilyen) tudjuk futtatni és csak úgy, ha nálunk folyamatosan futnak a programok. Vagyis egyik inkább on-line adatgyűjtésre való, míg a másik mehet off-line-ban is. Szélesebb körű adatgyűjtésre valószínűleg jobb az off-line módszer, célzottabb vizsgálatokhoz pedig az on-line verziók.

Sokat ezekről a jó kis kliens oldali pen teszt eszközökről nem is írnék, mert ezt már megtették előttem mások. Íme egy rendkívül jó könyv a témáról :

"XSS ATTACKS - cross site scripting exploits and defense"
http://www.scribd.com/doc/89091513/105/AttackAPI

Ebben meg  van említve az AttackApi és a BEEF ami két nagyon hasznos kliens oldali biztonsággal kapcsolatos program. Ezeket hamarosan ki fogom próbálni labor környezetben, és talán csinálok róla 1-2 videót.

Ha ez megvan, akkor azt fogom kitalálni, hogy valós helyzetben hogy lehetne használni ezeket a kütyüket. Pl egy igazi black-box teszt használatakor, alkalmazottak elleni kliens felderítés, ill. egyéb támadási lehetőségek. Itt ugyebár a webhost-os megoldás nem játszik, mert ezeket a programokat a saját gépen kell futtatni. Tehát meg kell oldani valahogy, hogy a mailben elküldött url mindig a mi gépünkre mutasson. Ezt valószínűleg valamilyen dns machinációval meg lehet csinálni. Ennek majd utánanézek. Egyébként ezek az eszközök nagyon durvák :) Youtube-on vagy máshol -  nem emlékszem már - láttam egy videót, ahol a támadó facebookon küldött egy linket az áldozatnak, az rákattintott, aztán néhány mozdulat múlva már át is vette az irányítást az áldozat gépe fölött....de ezen kívül még számos érdekes feature van a programokban :)
Ebben az esetben nem kell e-mailekkel vacakolni, elég facebookon keresztül elküldeni egy linket, és a tool-ok megpróbálják kielemezni a kliens oldal adatait. És természetesen, ha található valamilyen kis rés, akkor metasploittal akár át is lehet venni az áldozat kliense fölött a teljes irányítást.

2012. október 27., szombat

Private browsing & cache timing attack.

A cache timing féle támadással szórakozom pár napja (jobban mondva azzal szórakozom, hogy hogy lehet a browser history-t lekérdezni szerver oldalon. A régi technika csak IE 8.0 és az alatt működik, Firefox-nál és Chrome-nál már régen nem megy ez a támadás úgyhogy a cache-olvasásos ellenőrzést tesztelgetem - hogy lehetne felhasználni kliens felderítésre. (ahol a CSS féle technika nem működik)
Az alábbi videó azt mutatja meg, hogy mennyire nem hatásos a privát böngésző indítása ez ellen a támadás ellen.....Ha valaki már 2 oldalt meglátogat (és az egyiket ilyen figyelő program van elrejtve) akkor nem lehet benne biztos, hogy a meglátogatott oldalai titokban maradnak mások előtt... :)
Egyelőre ez ellen még nincs hatékony védekezés. Illetve van : másik gép (virtuális) és másik böngésző használata párhuzamosan. Egyikben az érzékeny adatok, a másikban a többi nézelődés.
Van egy még egyszerűbb védekezés : Javascript letiltása. Tanácsos feltenni a Noscript plugint. És ilyen esetekben használni.


Itt van egy nagyon jó cikk a Böngésző támadások elleni védekezésről :

https://blog.whitehatsec.com/web-browser-defense-in-depth-3-layers-is-good-5-is-better/

A blog is nagyon jó (igen részletes és magas színvonalú írások vannak rajta)

2012. október 26., péntek

Kliens info

Tegnap egész nap a kliens oldali lekérdezésekkel szórakoztam és kezd fejlődni a dolog. Össze fogok állítani egy komplett információ feltérképező tool-t ami több mindent meg fog mondani az oldalt meglátogató személyről. Ez hasznos lehet bárkinek aki meg szeretne tudni ismerőséről ezt-azt.
Tulajdonképpen csak passzív felderítés, illetve annyiban nem, hogy az illetőt rá kell valahogy venni, hogy a feltérképező oldalra menjen - de ez talán nem olyan nehéz. A tool készletet bárhova fel lehet tenni és aki odamegy,arról összegyűjti az információkat. Persze aki kellően óvatos arról túl sok mindent nem lehet kideríteni, de az átlagos felhasználóról azért igen sokat.

Erről a PET portálon van is egy nagyon jó kis tanulmány.

http://pet-portal.eu/files/articles/2012/boda/Bongeszofuggetlen-rendszerujjlenyomat.pdf




És ebben a könyvben is van nagyon sok hasznos információ ezekről a dolgokról :

http://www.scribd.com/archive/plans?doc=56018172

Mivel a felhasználók (átlag felhasználókról beszálünk) 90%-nál vagy a Java vagy a flash engedélyezve van ezért Java-s és flash-es változatot fogok készíteni. (meg persze amit lehet azt php-val és javascript-el fogom összeszedni) Például lekérdezehető lesz, hogy a célszemély privát böngészőt használ-e vagy sem. Ha nem, akkor pedig lekérdezhető lesz, hogy bizonyos helyeket vajon gyakran látogat-e. (Társkereső és egyéb olyan helyek lesznek összegyűjtve, amik érdekelhetik a partnert) Persze a lista szabadon bővíthető.(Erre a browser history - előzmények - lekérdezésére a CSS helyett van egy másik módszer - cache timer - ami egyelőre kiiktathatatlan - inkább feature, mint hiba - ezért valószínű, hogy ez a lekérdezés még egy jó ideig használható lesz.)

Aztán a phishing támadáshoz is fogok készíteni egy tool-t amiben e-mail template-k lesznek, és videóban szépen lépésről lépésre meg lesz mutatva, hogy mit kell csinálni, hogy működjön is a dolog.
Ez főleg azoknak készül, akik nem igen értenek a számítógéphez és nem akarnak jelszótörő programokkal bíbelődni. Persze van akinél ez a phishing módszer nem működik, ott továbbra is a többi más módszerrel lehet próbálkozni, de megvalósítását tekintve ez igényel a legkevesebb felkészültséget és gyakorlatilag szinte bárki meg tudja csinálni aki alap szinten tudja kezelni a saját gépét. (És ebben még az is a jó, hogy akármekkora távolságból is működik és nem kell különösebb hozzáférés a másik gépéhez)

2012. október 24., szerda

A megszerzett adatok elemzése

Néha a blog hasonlít egy Tarantiono filmhez, mert össze vissza ugrálok a gondolatmenetben és az időben. Ez azért van, mert amit éppen fontosnak tartok azt írom le. Szóval nézzük most a megszerzett adatok kielemzését. Az első adat az IP cím. Ebből következtetni lehet, hogy az illető a saját címét használja-e vagy proxy-t. Nem lehet 100%-osan megállapítani, de azért érdemes megnézni, hogy az ip cím hova mutat. Ezt az információt egy további támadás elemzése előtt még fel lehet használni.
A következő mezők, operációs rendszer típusa, 32 vagy 64 bites. Ez is egy fontos információ mert vannak programok amik csak XP-n vagy csak Win7 alatt futnak és nem is mindegyik tud 64 bites gépen elindulni. Ha olyan programot küldünk valakinek, ami el sem indul, akkor nem sok eredményre jutunk. Az is egy fontos információ, hogy a vizsgált port open vagy closed állapotban van-e. Amennyiben nyitva van, akkor akár egy ősrégi netapi támadással is be lehet menni a gépre. Ha zárva van, akkor valószínűleg be van kapcsolva a tűzfal vagy egy Wifi/kábeles router mögül használják a netet. (Ezt is ki lehet deríteni - erről is lesz szó később) Aztán jön a böngésző verziója. Ha régi, akkor meg lehet próbálni az autopwn támadást. Ha friss, akkor a feltelepített pluginokat kell megnézni. Ha van Java, akkor további információhoz lehet jutni JavaApplet alkalmazásán keresztül. Ha engedélyezve van az ActiveX, akkor annak a segítségével lehet még több információt kicslogatni a kliensből. Ha van flash plugin, akkor flash lapon keresztül lehet támadást intézni vagy további információkat megszerezni. Ha van pdf plugin, akkor pdf-be rejtett payload-al lehet próbálkozni. Ha vannak a pluginek mellett bővítmények (addonok, extensionok) is telepítve, akkor esetleg egy általunk készített vagy preparált addon telepítésére is rá lehet bírni a felhasználót aminek a segítségével megint csak hozzá tudunk férni még több információhoz.(kicsit sok lett a Ha :) Azt is meg tudjuk állapítani, hogy valaki privát böngészó módot használ-e vagy sem és ha nem, akkor konkrétan kiválasztott webhelyeket vajon meglátogatta-e már vagy sem.

Nézzünk pár képet az idelátogató felhasználók böngésző használatáról :









(Látható, hogy elég sok böngésző verzió ellen lehetne sikeres támadásokat kivitelezni, de a legtöbben a Chrome 22.0-t ill a Firefox legújabb verzióit használják. )


 Ha semmiképp nem tudunk a közelébe férkőzni az adatoknak, akkor nem marad más hátra mint, hogy egy jól megtervezett phishing-el szerezzünk jelszót email fiókhoz és/vagy egyéb webes alkalmazáshoz (pl: facebook) és ezen keresztül lehet információkat szerezni. Az így begyűjtött információk segítségével egyéb támadásokat lehet megtervezni. Pl elküldünk egy programra mutató linket, amiben egy módosított kód fut. Olyan link kell legyen, ami nagyon érdekli az illetőt. Valami titkos leírás, egy jó játék (esetleg annak kiegészítője) rég keresett cd album, film, stb. Hogy ez mi azt az előzetes felmérés alapján lehet kideríteni. Kellő felderítés nélkül ugyanis az így elküldött linkek a kukában landolnak , olvasás nélkül törlődnek. A távolról történő támadásoknál az esetek nagy részében igen nehéz dolga van a támadónak, mert több védelmi réteget is ki kell játszani ahhoz, hogy információkhoz jusson. Ez nehéz, de nem lehetetlen. Minél több védelmi réteget használ valaki annál nehezebb behatolni a rendszerébe. A káros kód az egyik védelmen átjut, de egy másikon elbukik. A következő cikkben tovább finomítjuk az információ szerzési módszerünket és célzott adathalászatot végzünk adott böngésző típusokra. Külön kell kezelni az IE a Firefox és a Chrome használatát (ezeket használják a legtöbben) amennyiben valaki más verziót használ, ellene nehezebb adathalászatot végezni, de persze ott sem lehetetlen. ezzel nem igen foglalkoznék, mert elég ritka és nem éri meg a fáradtságot. Az emberek zöme az említett 3 böngésző közül az egyiket használja tehát erre fogom fókuszálni a technikákat.

2012. október 23., kedd

Kliens elleni támadások

Készítettem két alap támadásról egy kis ismertetőt. Ezek ugyan általában nem működnek, de ha mégis, akkor nagyon gyorsan célba lehet jutni velük. Az első csak kikapcsolat tűzfalnál megy, ami azért szerintem manapság már nem gyakori a másodikhoz meg elavult böngésző kell - ez sem általános mostanság. A teljesség kedvéért azért feltettem. Ezek alap dolgok, ismerni célszerű mert van, hogy ez is elég a sikerhez. Csak a meterpreter shell-ig készült az ismertető, mert a további lépések már részletesebb ismertetést igényelnek így ezzel majd később foglalkozom. Most inkább bemutatok majd még pár lehetőséget amit ki lehet használni a SET és a Metasploit segítségével. Kliens elleni támadások különféle módszerei. Általában meterpreter shell-ig vagy csak egy sima shell-ig fognak tartani a támadások, mert különben nagyon hosszú lenne a videó egyben.
Azt, hogy a meterpreter shell-el mit lehet kezdeni egy külön ismertetőben ki lesz fejtve később.

Íme a két alap támadás :



Facebook jelszó lopás script kiddie módra.

A Social Engineering Toolkit-et ötvözve a korábban részletezett phishing email technikákkal nagyon egyszerűvé válik az áldozatunk jelszavainak megszerzése.
Mindössze annyi dolgunk van, hogy készítsünk egy tiny url-t ami a mi ip címünkre mutat és azt kell egy megfelelő levélbe ágyazva elküldeni az áldozat e-mail címére. Ha rákattint megjelenik neki a bejelentkező kép és vélhetően be fogja gépelni a belépési adatait.
Azért mutatom be több oldalon is a módszert,mert azért mindegyiknek van szépséghibája. Az egyiknél nem jelennek meg az első oldalon a képek, a másik meg nem dobja tovább a usert a sikertelen kísérlet után, a gmail-os template meg már egy kicsit "rozsdás", frissíteni kéne. De egyébként maga az elv szinte bármelyik oldalra működik ahol belépési adatokat visznek be a felhasználók. (ha ez a sima módszer nem menne, akkor pedig még mindig lehet egy preparált - általunk összetákolt - belépő oldalt használni, ami működni fog) Íme :


A továbbiakban a metasploit és a SET egyéb lehetőségeit fogom megnézni. Mit lehet kezdeni egy jó url-el amire rákattint az óvatlan felhasználó. A mostbemutatott módszer működik úgy is, ha a felhasználónál be van kapcsolva a tűzfal, antivírus szoftver van feltelepítve és nem tárolja a gépen a jelszavait. Csak annyit kell elérnünk, hogy rákattintson a küldött linkre...

2012. október 22., hétfő

Kliens információ begyűjtése

A kliens elleni támadás következő lépése az információk begyűjtése. Ennek a lényege, hogy egy email-t kell küldeni az áldozat e-mail címére amire majd valószínűleg rákattint. A demóban most csak egy üres oldalra jut a felhasználó, miután a kattintást elvégezte de valójában bármilyen oldalra tovább lehetne küldeni, így a támadásból nem észlelne sok mindent. A példában három különböző böngészővel is kipróbáltam az adatgyűjtő oldalt. A beszerzett információkat ki kell értékelni és ez alapján lehet felkészülni a valódi támadásra. Amennyiben van sérülékeny pontja az áldozatnak, akkor a következő e-mailben már a támadást lehet kivitelezni, amennyiben még nincs gyenge pont akkor további specifikus vizsgálatot kell végrehajtani. Ez attól függ, hogy az illető milyen környezetben tevékenykedik. Milyen operációs rendszert használ, milyen böngészőt, mi van ott engedélyezve, stb. Internet Explorer esetén a vbscript használata és az activex ad egy kis mozgásteret, illete univerzálisan Java Appleteken keresztül is lehet dolgokkal próbálkozni amennyiben a java engedélyezve van. Vagy a pdf olvasó illetve a flash player bővítményen keresztül is meg lehet kísérelni támadásokat. Ha egyik se megy, akkor pedig még mindig meg lehet próbálni rávenni a felhasználót, hogy egy böngésző bővítményt telepítsen. (Ehhez persze már tudni kell, hogy melyik böngészőt használja) Amennyiben valahol sikerül egy rést találni és bejutunk a gépére a nehézségek csak ezután kezdődnek.
Meg kell állapítani, hogy milyen vírusirtó van a gépen és milyen egyéb védelmek (Windows tűzfal, Personal tűzfal, Spyware-ek, antimalware programok) A további akciókat ezen védelmek megkerülésével kell végrehajtani. Esetleg meg lehet kísérelni ideiglenesen kikapcsolni egyik másik védelmi rendszert - amíg a hosszú távú hatástalanítása vagy megkerülése nem megoldott. De ezekről majd csak később lesz szó. Most nézzük, hogy a kliens információk begyűjtése hogy történik :


Gmail furcsaságok

Ma próbáltam egy kis phishing tesztet elvégezni két gmail-os accounttal, de egész érdekes eredményre jutottam : (egy csomó időm elment vele, mire rájöttem, hogy mi a helyzet)

Saját e-mail címemre mindent átküldött gond nélkül gyorsan.
Más e-mail címére viszont valami szűrő alapján megakadályozza az átküldést. Eltartott egy daraig mire rájöttem, hogy mi nem tetszik a gmail szűrőnek...

Mindenesetre,ha a célszemélynek gmail-es e-mail címe van, akkor az ilyen phishing leveleket lehet, hogy meg sem kapja...(ezért is célszerű előtte teszteket végrehajtani amennyiben ez lehetséges...)

Eltartott egy darabig mire rájöttem, hogy az url-t blokkolja a gmail még ip cím alapján is. Így a jól megkreált facebookos templateket nem küldi át a rendszer.

De sebaj, mert épp erre van a short url szolgáltatás. :)




A template-ben át kell írni az összes hivatkozást a short url-es változatra és valószínűleg működni fog. El lehetne szórakozni vele egy darabig, mire kideríteném, hogy pontosan mit szűr a gmailes filter, de most nem ez a lényeg. (Viszont ez a lépés is egy fontos pont, ahol elbukhat a próbálkozás. amennyiben nincs kellően felderítve a victim környezete nem ér célba a phishing levél...)

2012. október 21., vasárnap

Facebook template létrehozása

Az alábbi videóban bemutatom, hogy milyen egyszerű létrehozni egy facebook template-t , egy létező e-mailt alapul véve, módosítani és elküldeni. Ezeket a templateket fel fogom majd a képzeletbeli támadásban használni az áldozat ellen.  Íme :


Sok magyarázatra szerintem nem szorul a dolog. A következő lépés, hogy elküldjük a template-t az áldozat e-mail címére. Előtte azonban még létre kell hozni a clientinfo4.php scriptet. Ha ez kész , utána bemutatom, hogy hogy lehet többféle módon is elküldeni a phishing mailt. Ezzel a módszerrel bármilyen oldalt le lehet "klónozni" és a hamis tartalmat el lehet küldeni az áldozatnak. A template úgy van megpreparálva, hogy teljesen mindegy, hogy mire kattint a user mindig az általam készített felderítő oldalra fog érkezni. A következő lépésben megcsinálom a client4.php-t hogy a lehető legtöbb információt be lehessen gyűjteni valakiről aki az oldalra téved. Az információk birtokában pedig meg lehet kezdeni a támadás-t. A támadáshoz is a most készített facebook template-ket fogom majd használni. Többet is csináltam, így lehet váltogatni.

2012. október 20., szombat

Advanced Phising attack - plan

No. Elérkezett az ideje, hogy egy komolyabb sorozatba kezdjek. Ez nem egy öt perces projekt lesz és el fog tartani egy darabig amire minden eshetőséget kivesézek. Az anyagokat megpróbálom videón prezentálni a könyebb érthetőség kedvéért. Persze lesz hozzá némi magyarázat is, de megpróbálok majd minél érthetőbben dolgozni a felvételeken. A támadásoknál inkább arra fogok kitérni, hogy milyen védelemmel lehet esetleg az adott akciót meggátolni.

A terv nagyvonalakban a következő lenne:

Kliens felderítés (ez attól függően, hogy hogy sikerül összehozni, egy kettő vagy több videó lesz.) A felderítés lépései lesznek benne megörökítve. Milyen adatokat kell megtudni a kliensről, ami alapján el lehet tervezni egy támadást.Operációs rendszer típusa, böngésző típusa, bővítmények verziója, ip cím, tűzfal, antivírus védelem, stb. (Mivel ez az egész támadás alapja ezzel el fogok időzni egy kicsit.) Mondhatnám azt is, hogy ezen áll vagy bukik maga a támadás, mert egy ismert hibát kihasználni már jóval egyszerűbb feladvány mint magára a hibára rábukkanni. És mivel itt kliens oldali hibákról beszélünk ezért kicsit más módszereket kell alkalmazni mint egy szerver sebezhetőség vizsgálatnál.(de az elvek hasonlóak) Mivel a fejem nem káptalan és én is tévedhetek, lehet, hogy az idő előrehaladtával a felderítésre vissza-vissza fogok térni (mikor rájövök, hogy egy fontos lépés kimaradt ami a támadás kivitelezéséhez alapvetően szükséges lenne :)

A felderítés eredménye alapján többféle támadási módszer lesz bemutatva. Lesznek operációs rendszer hibáját kihasználó támadások, böngésző bővítmény elleni támadás, böngésző bővítmény telepítéses támadás, remote keylogger telepítés, remote access trojan telepítés, javascript, activex-en keresztüli támadások, stb...(megpróbálok mindent összegyűjteni amit csak el lehet képzelni)

Ehhez eléggé fel kell készülni, teszt e-mail címeket és teszt virtuális környezeteket létrehozni, azokat a megfelelően bekonfigurálni, a támadásokat alaposan megtervezni, kivitelezni, felvenni videóra összevágni, zenét alátenni, stb. Ez egy komolyabb projekt lesz ami akár több hónapig is elhúzódhat.
Szeretnék minden egyes lépést alaposan kidolgozni és körbejárni. Az elkövetkezendőkben ezzel fogok foglalkozni - ha csak közbe nem jön valami.

Ez a terv:) de ahogy mondani szokás: "Ember tervez, Isten végez" - úgyhogy majd meglátjuk, hogy meddig sikerül eljutni.

UPDATE:

Ezekre a linkekre most bukkantam - nagyon idevágó információkat tartalmaznak : (Böngésző felderítéssel kapcsolatban)

https://blog.whitehatsec.com/i-know-a-lot-about-your-web-browser-and-computer/

http://www.visiblerisk.com/blog/2012/7/2/passive-browser-fingerprinting.html

http://marcoramilli.blogspot.hu/2008/05/client-fingerprint.html

http://www.computec.ch/projekte/browserrecon/?s=documentation

http://browserspy.dk/

http://www.youtube.com/watch?v=Cyu8_AUe7CA

http://www.cio.wisc.edu/Born_LockDown2011.pdf

https://panopticlick.eff.org/browser-uniqueness.pdf 

http://www.w2spconf.com/2011/papers/jspriv.pdf

http://defcon.org/images/defcon-17/dc-17-presentations/defcon-17-egypt-guided_missiles_metasploit.pdf

--------------------------------

http://www.offensive-security.com/metasploit-unleashed/Browser_Autopwn

2012. október 18., csütörtök

Mobile forensic

Ez a törölt sms-es írás folytatása. Kipróbáltam a TULP2G-t. Windows7 alatt a következő hibára futottam : http://sourceforge.net/tracker/index.php?func=detail&aid=2783478&group_id=119389&atid=683845 Sajnos ezt azóta se javították...(Majd lehet, hogy utánaolvasok - de most nincs időm erre)  A program a virtuális gépen futó XP-n viszont szépen elindult. A bökkenő csak az, hogy itt viszont nem tudtam a telefonnal kapcsolatba kerülni. Elvileg Bluetooth-on vagy IRDA-n keresztül tudna kapcsolódni a program a készülékhez vagy pedig a SIM kártyát egy pcsc kártyaolvasóba helyezve tudnánk valamiféle műveleteket végrehajtani. Sajnos csak kártya méretű olvasóm volt így a SIM kártyát nem tudtam - egyelőre - beletenni. Emiatt még nem tudtam igazán tesztelni a szoftver, hogy mit tud. A sim kártya olvasási problémát meg fogom oldani és van egy asztali gép is itt amin XP van így azon a bluetooth-os kapcsolatot ki lehet majd próbálni.

Közben letöltöttem a Santoku Linux elnevezésű Mobile Forensic eszközt is, amit szintén ki fogok próbálni.(Bár úgy látom, hogy ez olyan telefonokhoz jó, ami momentán nincs nekem :)  Kiírom DVD-re és a Live verziót próbálom ki, mert már nem nagyon van a gépemen üres hely egy 40 Gb-os virtuális gépre. Ez ha jól látom USB-n kapcsolódott készülékekhez használható. (majd meglátjuk...)

Kipróbáltam a Mobil!Edit Lite verzióját - letöltöttem a legújabb verziót, drivereket, mindenféléket, de az itthoni készülékek közül egyiket se volt képes felismerni se USB kábellel összekötve se Bluetooth-on keresztül.(ennyit akkor erről).

A BitPim is szépen installálódott, de az meg csak CDMA kompatibilis készülékekkel működik és per pillanat egy sincs itthon :) úgyhogy ezt majd később kipróbálom, ha sikerül egy megfelelő készülékre szert tenni.

A következő szoftver a Gammu volt amit kipróbáltam. Vagyis csak megnéztem, mert törölt SMS-eket nem tud visszaállítani, így nem is mélyedtem el benne (bár nagyon kidolgozott kis program!)

A többi program meg amik vannak főleg SIM kártya recovery-re való - azokat ki se próbáltam, mert a mostani telefonokban már nem a sim kártyán vannak az üzenetek, hanem a telefon memóriakártyáján/memóriájában. (Sim sms recoveryre több tucat megoldás van, free programok is)

Itt pedig találtam egy komoly kémprogramot is :
http://spyphonelove.com/index.php?id=7#thecommand 199 euró ami több mint 50 ezer forint, de cserébe elég sok mindent tud...(akinek ilyen megoldás kell érdemes megnézni, hogy mit tud a szoftver ELÉG DURVA!)

Összefoglalva a Nokia symbian-os telefonom SEHOGY nem sikerült törölt SMS-eket visszafejteni. (kipróbáltam még egy direkt Nokiára készült sms recovery-t is,- külön IMEI számra szignózva, de az se tudott előhozni semmit, sőt az FExplorert is kipróbáltam, de az meg nem fért hozzá a private könyvtárhoz és trükközni kellett volna még vele) Ez jó hír, mert ezek szerint ez másnak se menne :) Viszont kicsit csalódott vagyok, mert azért ennél többre számítottam :) Androidos, iPhone-os és minden egyéb készülékre talán működnének a fent tesztelt módszerek, de sajnos éppen Nokiával ezek nem működnek. (Egy plusz pont a Nokiá-nak!) Viszont rengeteg egyéb más gyártó készülékével elboldogulnék ezek után ;)

A híváslistával is lehetne vacakolni (törölt híváslista visszaállítása, és effélék) de egyelőre elég volt ennyi most a Mobile Forensic-ből.

Azért arra felhívnám mindenkinek a figyelmét, hogy ha SIM kártyán tárolja az sms-eket azt azért nem árt néha tényleg kinullázni, mert a sima törlés után még visszaállíthatóak ezek az üzenetek. És ha rossz kezekbe kerülnek esetleg az adatok az problémák forrása lehet...Erről most videók nem készülnek, mert ahány mobil annyi féleképpen lehet vele szórakozni és a youtube-on amúgy is vannak ilyen támájú anyagok.

Inkább visszatérek a phishing-hez. Eszembe jutott még egy pár dolog amit phishing támadásnál ki lehetne használni, erről fogok nemsokára egy bővebb bejegyzésben megemlékezni.

2012. október 17., szerda

Ghost In The Net

Ip cím elrejtése a neten : (Ghost in the net)

Tails, Linux Liberte vagy a Whonix segítségével. (TOR hálózaton keresztül)


2012. október 16., kedd

Browser Logger

Igazából ez a bejegyzés csak egy kis gondolatébresztő akar lenni. Olyan esetekben használható, amikor a keylogger valamiért nem működik. Amikor a keylogger nem tudja elfogni a bevitt adatokat. Ebben az esetben még mindig lehetséges elfogni az elküldött tartalmat.

Több lehetőség is van erre. Az egyik a proxy használata. Beállítunk egy állandó proxy-t és minden forgalom azon keresztül fog menni. És természetesen az átmenő forgalmat elmentjük egy file-ba. Ennek a megoldása nem olyan triviális de azért megoldható.
Egy ingyenes megoldás itt van erre :
http://www.fiddler2.com/fiddler2/
(Erről is kéne majd egy rövid oktató videót csinálnom, hogy ezt hogy kell beállítani, hogy működjön)
A módszer gyakorlatilag MINDEN webböngészővel kompatibilis ami lehetőséget ad proxy beállítására. Ez elsősorban olyan gépek esetén jöhet szóba ami felett teljes kontrollal rendelkezünk vagy amihez hozzá tudunk férni valahogy távolról admin joggal.
A dolog lényege, hogy a böngésző minden forgalmat az általunk felparaméterezett proxy-hoz küld és az továbbítja a célgép felé és közben tárolja a kéréseket. Még ki kell tesztelni, hogy https esetén hogy működik a dolog, azt is megfelelően képes e tárolni (plain-textben) de elméletileg működhet a módszer.

A második módszer lehet a böngésző kiterjesztés. Olyan kiterjesztést kell installálni a böngészőhöz, ami menti az adatokat egy megadott helyre. Ez sajnos böngésző specifikus (nem minden böngészőhöz van ilyen bővítmény) viszont cserébe még elküldés előtt el tudja fogni az információt így https használata esetén is jól működik. Google Crome-hoz itt egy ilyen bővítmény :
https://github.com/ethanl/connect-browser-logger
Itt egy a Firefox-hoz:
https://addons.mozilla.org/en-us/firefox/addon/keylogger-220858/

A harmadik lehetőség egy preparált böngésző lenne. Ehhez a forráskódot kell megszerezni és át kell egy kicsit preparálni, hogy ne teljesen úgy működjön,ahogy alapvetően kéne neki.  Ehhez már komoly hozzáértés kell. (De nem elképzelhetetlen, hogy már vannak ilyen preparált böngészők...azokat kell megtalálni és feltelepíteni.)

Van egy negyedik megoldás is, itt bukkantam rá :
http://hacking2all.blogspot.hu/2010/03/firefox-keylogger-from-true-hacking-to.html
A lényege, hogy a böngészőben beégetve van a jelszótárolás - így nem lehet kikapcsolni. Vagyis mindenképpen el fogja tárolni a jelszót, ha akarja a user ha nem :) (illetve nem is ajánlja fel azt a lehetőséget, hogy ne tárolja el.) Ez természetesen működhet Chrome is IE esetén is, csak ott meg kell találni, hogy hol kell beállítani, hogy automatikusan tárolja és ne kérdezzen rá.

További előnyei ezeknek a megoldásoknak, hogy az Antivírus szoftverek nem nagyon képesek megfogni egy ilyen programot, mivel teljesen normális működés ha valaki egy helyi proxyt vagy egy böngésző bővítményt használ...a módosított böngészőről nem is beszélve. Az is jó benne, hogy a felhasználó nyugodtan böngészhet privát módban (és hiheti azt, hogy nyom nélkül tud böngészgetni) a forgalom mégis tárolva lesz...

Amennyiben azt szeretnénk, hogy viszont a mi böngészésünk mentes legyen ezektől a lehetőségektől, akkor célszerű letölteni egy portable firefox-ot vagy chroom-ot és azt használni, mert ilyenkor ez a feltelepített böngészőtől teéjesen függetlenül képes futni és kikerüli az ott beállított logolást és proxyt.

Ezeket a plusz telepítéseket megtalálni nem egyszerű egy mezei felhasználó számára, úgyhogy ha fent vannak akkor sokáig hatékonyak tudnak lenni. Ez a megoldás kiküszöböli azt a problémát is, hogy a felhasználó jelszótitkosítással vagy a keylogger kicselezésével bűvészkedik. Ugyanis a böngésző már a valódi jelszót fogja elküldeni a szerver felé és ezt tudja elfogni a proxy vagy a bővítmény.

2012. október 15., hétfő

Törölt sms visszaállítása

Az alábbi bejegyzést a törölt sms visszaállításáról fogom írni. Erre akkor lehet szükség, ha az egymás mellett élő felek valamiért nem bíznak egymásban és szeretnének többet megtudni a partnerükről. Ezt az életösztön és a fajfenntartás után a sorban harmadikként követő ösztön a kíváncsiság okozza. Bizony, a kíváncsiság ősi ösztön, állatokban is megvan és bizony bennük is elég erős. Egyszóval kíváncsiak vagyunk a törölt sms tartalmára illetve, hogy vissza lehet-e állítani. A probléma eléggé összetett, mivel nagyon sok féle telefon létezik és a különböző készülékeken más-más operációs rendszer található.

Megpróbáltam alaposan utánanézni a témának és összeszedni a szükséges információkat. Sajnos kipróbálni mindent képtelenség lenne, mert nem rendelkezem az összes készüléktípussal - de annyi idővel se amíg a próba eltartana - így csak néhány dolgot tudok részletesen bemutatni a többit mindenki próbálja meg maga kitapasztalni. Mindenesetre felsorolok néhány programot és elérhető forrást ahol utána lehet nézni ezeknek a dolgoknak.

Azért is jó ezeket ismerni, mert amikor törlünk egy sms-t a telefonunkból akkor az még nem feltétlenül tűnt is el onnan végleg - vagyis visszaállítható. Tehát célszerű ismerni azt a módszert is amivel végképp törölni tudjuk az sms üzeneteket. Ez a végképp eltörölni, nemcsak olyan esetben hasznos, mikor a társunkkal szemben vagyunk bizalmatlanok, hanem lopás esetére is! Az ellopott készülékünkből ugyanis nagyon sok mindent ki tudnak deríteni rólunk. Ugyanakkor az SMS levéltitoknak minősül vagyis a jogtalan hozzáférés jogi következményeket von maga után.

Itt egy általános leírás a témáról :

http://en.wikipedia.org/wiki/Mobile_device_forensics

Itt egy összefoglaló doksi :

http://csrc.nist.gov/publications/nistir/nistir-7250.pdf

Leírások :
http://www.solidforensics.com/42/cell-forensic-extration-tools/
http://www.forensickb.com/2008/11/my-current-impression-of-cell-phone.html


Pár Free tool :

https://github.com/KatanaForensics/LanternLite/downloads iPhone,iPad,iPadTouch,Android
http://www.bitpim.org/#download LG, Motorola, Samsung
https://viaforensics.com/products/tools/  Android
http://tulp2g.sourceforge.net/faq.html
http://miatforensics.org/index.php?option=com_content&view=article&id=70&Itemid=53 Symbian & Windows Mobile
http://sourceforge.net/projects/iphoneanalyzer/ iPhone

SIM kártya recovery toolok :
http://www.redferret.net/?p=15483
http://www.dekart.com/products/card_management/sim_manager/
http://www.freepartitionrepair.com/freepartitionrepair/simcard.html

Nokia symbian tool :
http://www.nokiaprogramok.hu/modules.php?name=letoltesek&op=show&id=35206

Tehát több lehetőség is kínálkozik. egyrészt a törölt sms visszaállítása sim kártyáról - ha ez lehetséges, vagy ha ez nem megoldás, akkor a készüléknek megfelelő free vagy fizetős tool használata. A Fizetős Mobile forensic toolok nagyon jók, de nagyon drágák úgyhogy aki nem engedheti meg magának, az próbálkozzon meg az ingyenes példányokkal eredményre jutni.

(Első lépésben a saját készülékünkön érdemes kipróbálni, hogy milyen adatokhoz tudna hozzáférni valaki, aki hozzájuthat valahogy a készülékhez. .... pl míg mi alszunk.... ;)

Egy konkrét példán is be fogom mutatni a fentieket, de ahhoz előbb még telepíteni kell a szoftvereket és még egy sim kártya olvasót is be kell szereznem valahonnan.

2012. október 14., vasárnap

OSINT + Mantra + OWASP ZAP

A következő videó egy kis OSINT demó akar lenni.

Az OSINT-ről itt van néhány magyar nyelvű cikk :

http://biztonsagpolitika.hu/?id=16&aid=936&title=A_j%C3%B6v%C5%91_h%C3%ADrszerz%C3%A9se?_Az_OSINT_-_Ny%C3%ADlt_Forr%C3%A1s%C3%BA_Inform%C3%A1ci%C3%B3szerz%C3%A9s

http://osint.gportal.hu/gindex.php?pg=20205665&nid=3319427

http://www.mkih.hu/osint.shtml

A példában a www.hacktivity.com oldalt használtam, de akármilyen vállalat, vállalkozás vagy konkrét személy esetén fel lehet használni az alábbi módszert.
Azért jó ismerni ezeket a módszereket és szoftvereket, mert ezekkel nagyon gyorsan lehet információkat begyűjteni egy vállakozásról vagy egy személyről. És ezek az információk teljesen szabadon elérhetőek - bárki számára. Nem mindegy, hogy valaki hol mikor mit ír, milyen álláspontot véd, milyen információkat ad meg magáról.

A védekezés egyik lehetséges módja, ha téves információkat adunk meg ott ahol egyébként az adott információ az oldal szempontjából irreleváns. Például megadjuk a születési adatainkat,de nem helyesen. Ez esetben aki kutat utánunk elbizonytalanodik, hogy melyik adat is a helyes. De általánosságban véve ez ellen védekezni nem nagyon lehet. Adataink többfelé tárolva vannak és aki rászánja az időt az össze tud gyűjteni rólunk mindenfélét. Érdeklődési kört, beállítottságot, hozzáállást bizonyos kérdésekhez, stb. Persze nem öncélúan, hanem egy ellenünk készülő social engineering vagy phishing támadáshoz lehet ezeket az információkat felhasználni.

Íme a videó :


2012. október 7., vasárnap

Mantra

Ezt a kis oktató videót muszáj belinkelnem ide : Nem én készítettem :)


Windows alapú penetration teszt szoftver. Nagyon sok használható feature van benne.
Le kell töltenem és ki kell próbálnom :)

Ezt az oldalt pedig a phishing részhez ajánlom :

http://www.sptoolkit.com/download/

2012. október 6., szombat

client_info2

Az előző client_info.php programot célszerű úgy átalakítani, hogy több elágazás legyen benne. Külön érdemes kezelni az MSIE böngészőt a többitől és a firefox-ot az extensionok miatt megint érdemes külön megnézni. Előtte érdemes egy op-rendszer elágazást is végezni, hogy csak windows esetén menjen tovább a vizsgálat.

Azaz három ágra kell bontani a részletesebb tájékozódást :
  • Microsoft Internet explorer használata
  • Firefox használata
  • Minden egyéb böngésző használata 
Itt megnézheti mindenki a saját böngészőjét, hogy elég biztonságos-e :

https://browsercheck.qualys.com/

Nálam mind a három böngészőben (Firefox, Chrome, IExplorer) talált hibát :) (alkalomadtán ki is javítom ezeket a problémákat)
Mindenesetre átlag felhasználó nem foglalkozik ilyesmikkel tehát elég valószínű, hogy egy alapos vizsgálat találni fog a böngészőjében valami sebezhetőséget amit egy rosszindulatú támadó ki is tudna használni. A talált hibától függ, hogy milyen módszert alkalmaz valaki a támadás során.

A qualys-éhoz hasonló elemző scriptet érdemes beszerezni vagy elkészíteni (persze csak annak aki ezzel foglalkozik hivatásszerűen - etikus hackerek, pentesztelők, IT biztonsági szakértők) Ezzel ugyanis egy teszt elvégzésekor elég jól fel lehet fedni a kliens oldalon fellelhető hiányosságokat.
Ugyanis a támadók a leginkább itt fognak próbálkozni és nem a jól védett tűzfalak környékén.

MSIE esetén az ActiveX-el és VBscript futtatásával lehet még próbálkozni (több információ szerzéséhez), A Firefox esetén még a kiegészítők környékén érdemes vizsgálódni illetve általánosan minden nem MSIE böngészőnél a pluginokat kell megnézni, hogy a verziójuk up-to-date-e.

Itt van egy jó kis plugin detector :

https://developer.mozilla.org/en-US/docs/DOM/window.navigator.plugins

Firefox extension detector :

http://www.guyfromchennai.com/?p=104

Ennyit a phising támadásról. Ha lesz majd időm csinálok egy szemléltető videót ahol egy ilyen támadás összes lépése be van mutatva. De ez nem 5 perc lesz... sok előkészület kell hozzá és alaposan meg kell tervezni. Hogy életszagú legyen, két külön gép kellene hozzá egy amelyik az áldozatot imitálja és egy támadó gép.(két külön internet eléréssel) Lehet, hogy majd egyszer megcsinálom, de ez tényleg több napi munka lenne...

2012. október 5., péntek

client_info.php

Íme a client_info.php file, amivel információkat tudunk lekérdezni a kliensről : (kicsit átírtam az előző login.php file-t :)


Az érdemi részbe (a body tagek közé) természetesen azt írunk amit akarunk - vagy amit kell.

Előtte a Browser.php filet töltsük fel ugyanoda innen :

http://code.google.com/p/phpbrowscap/downloads/list

Elméletileg működnie kellene a sima get_browser() függvénynek is, ha a php.ini-ben ez a változó rendesen be van állítva. Nálam nem működött, és a szerver oldalon nem is tudom ezt módosítani ezért kellett trükközni egy kicsit. (létre kellett hozni egy írható könyvtárat is (6-ik sorban van használva). A lekérdezés kimenete valami ilyesmi lesz :

browser_name : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1
browser_name_regex : ^mozilla/5\.0 \(.*windows nt 6\.1.*wow64.*\).*gecko/.*firefox/15\..*$
browser_name_pattern : Mozilla/5.0 (*Windows NT 6.1*WOW64*)*Gecko/*Firefox/15.*
Parent : Firefox 15.0
Platform : Win7
Platform_Version : 6.1
Win32 : 
Win64 : 1
Comment : Firefox 15.0
Browser : Firefox
Version : 15.0
MajorVer : 15
MinorVer : 0
Frames : 1
IFrames : 1
Tables : 1
Cookies : 1
JavaScript : 1
JavaApplets : 1
CssVersion : 3
Alpha : 
Beta : 
Win16 : 
BackgroundSounds : 
VBScript : 
ActiveXControls : 
isMobileDevice : 
isSyndicationReader : 
Crawler : 
AolVersion : 0

Az alábbi adatokra van szükségünk :
  • Operációs rendszer típusa (32/64 bites)
  • Böngésző típusa és verziószáma
  • Engedélyezve van-e a Java ill. a javascript
  • Engedélyezve van-e az ActiveX (MSIE böngésző esetén)
A fenti példában pl kiderül, hogy a kliens 64 bites windows7 és firefox 15.0-ás böngésző, amiben a javascript engedélyezve van és a JavaApplet is engedélyezve van és lehetőségünk van az iframe-k használatára és a cookie-k is engedélyezettek.

A további információkat javascripttel kell lekérdezni, ami történhet egy lépésben is, ha van egy vizsgálat és a program javascript engedélyezése esetén további adatokat próbál meg összegyűjteni a kliensről. Itt most hosszan lehetne tovább sorolni, hogy az itteni információk után merre érdemes elindulni. Ha pl engedélyezett az ActiveX és a böngésző MSIE, akkor azon belül még sok mindent le lehet kérdezni az kliensről, stb. De ha pl mobiltelefon a kliens, akkor más dolgokkal kell próbálkozni.
Lehet egy gyors port scan-t is futtatni, néhány kritikus portra azt ellenőrizendő, hogy van-e tűzfal a gép előtt, ill. be van-e a gépen kapcsolva a tűzfal. De ez már attól is függ, hogy milyen kliens platformmal állunk szembe. A példánknál maradva a következőt látjuk : A platform windows7, tehát a backdoor-t erre kell kihegyezni. Ráadásul 64 bites úgyhogy érdemes erre is figyelni. Ezen kívül engedélyezve van a JavaApplet, esetleg azon keresztül lehet valamilyen visszafelé hatoló támadást kivitelezni. Ha a böngésző verziója nem a legfrisebb lenne, akkor böngésző elleni támadást is meg lehet próbálni - de manapság már elég ritka az ősrégi böngésző használata.

A következő lépésben már érdemes a saját web oldalunkra irányítani az áldozatot, mert így sokkal nagyobb mozgásterünk lesz. Eddig tulajdonképpen csak a felderítés és az információszerzés történt meg. Ha az eredmény nem volt megfelelő, akkor esetleg újra meg lehet ismételni egy másik linkkel az információszerzést.

Advanced phishing attack - V. Információ gyűjtés

Az információgyűjtést többféle módon is elvégezhetjük. Amennyiben free webhostingot használunk, akkor oda elhelyezhetünk egy php scriptet ami megpróbálja a lehető legtöbb információt begyűjteni a rácsatlakozó kliensről. Ip cím, böngésző típusa, verziója, operációs rendszer típusa, javascript lekérdezések és az eredmények tárolása egy file-ba.
Amennyiben a saját gépünkre mutat az elküldött link, akkor itt futtathatunk passzív os fingerprintet és egyből tudunk egy portscannert is futtatni az adott ip címre sebezhetőségek után kutatva. (bár ez a legtöbb esetben nem jár eredménnyel, mert már a legalapvetőbb otthoni routerek is meggátolják a portscan-t illetve ha be van kapcsolva a windows tűzfal, akkor se fogunk látni semmit. De mindenesetre egy próbát megér.)
Ezt a lépést megfelelően elő kell készíteni, mert nem lehet sokszor megismételgetni. Egy alkalommal kell a lehető legtöbb információt begyűjteni a kliensről.

Az információ gyűjtését egy célzott php kóddal a legcélravezetőbb megoldani. Készíteni fogok majd egyet és kiteszem ide. Addig is meg lehet próbálkozni a Piwik-el. Ez ugyan ágyúval verébre történő dolog, de lehet, hogy gyorsabb megcsinálni mint előállítani a php file-t és kiértékelni az adatait.
A Piwik-et fel kell tenni bármelyik free webhost-ra, be kell konfigurálni, majd a kérdéses oldalra fel kell tenni a javasript futtatóját. Ezután már csak várni kell, hogy az áldozat rákattintson az oldalunkra.

A példa kedvéért erre az oldalra feltettem, hogy aki idejön meg tudja nézni, hogy mit lehet látni ezen keresztül :



http://allasszerzo.hu/piwik/index.php?module=CoreHome&action=index&idSite=2&period=day&date=today#module=Live&action=getVisitorLog&idSite=2&period=day&date=today

Látható, hogy nem cak azt tudja megmondani, hogy melyik internetszolgáltatótól jött a kliens, de még a telepített bővítményeket is ! (Az ip cím csak itt nem látszik, egyébként természetesen azt is meg tudja mutatni.) A Piwik haználata kicsit túlzásnak tűnik, de kétségtelen, hogy a célnak megfelel. elég sok mindent összegyűjt a kliens gépről. Pont annyi információt mint amire szükségünk lehet. Operációs rendszer típusa, böngésző típusa, verziója, telepített bővítmények listája, stb.

(Ha valakit érdekel, hogy az ő gépéről mit tud megmondani a piwik, akkor csak meg kell keresnie magát a listában - időpont szerint :)

Advanced phishing attack - IV. Válaszra bírás.

Milyen módon lehet valakit válaszadásra késztetni ?
- Olyan kérdést feltenni amire nemleges a válasz. PL : Te vagy az a .... aki .... ? Ha nem kérlek válaszolj egy szimpla NEM-el, mert nekem nagyon fontos lenne , .....
- Olyan ajánlatot küldeni amire a válasz nemleges. pl: Akar-e ön .... ? Amennyiben az ajánlat nem érdekli kérem küldjön egy sime NEM választ. ellenkező esetben küldöm az ajánlatunk további részleteit egy hosszabb levélben...
- Nem ismered véletlenül a .... ? Ha nem, akkor kérlek válaszolj egy sima NEM-el, mert nekem fontos lenne ....
- stb....

Több olyan szituációt el lehet képzelni amikor az illető válaszolni kénytelen a levélre de csak nagyon röviden. Erre gyakorlatilag bárkit rá lehet venni egy kis kreativitással. Amennyiben válaszol, abban az esetben némi információt lehet szerezni a levelezési környezetéről. használ-e külön klienst vagy a weben levelez, stb. Ez a lépés elsősorban azért fontos, mert előkészíti a következő lépéshez a terepet. Ugyanis lehetséges, hogy egy ember több gépet is használ folyamatosan. Bent a cégnél egy asztali gépet / laptopot vagy az okostelefonját vagy az otthoni gépét. A válasz időpontjából lehet következtetni rá, hogy honnan jött a válasz. Munkahelyről vagy otthonról, esetleg az is látszik, hogy telefonról vagy számítógépről. Ennek alapján el lehet dönteni , hogy a következő levelet mikor érdemes küldeni (pl ha azt akarjuk, hogy az otthoni gépéről válaszoljon, akkor lehet, hogy célszerű munkaidő után küldeni a levelet feltételezve, hogy még aznap válasz érkezik rá.) Ha csak több nap után érkezik válasz abból pedig arra lehet következtetni, hogy nem mindennap olvassa el az illető a postafiókját. Lehet, hogy ezt a lépést esetleg meg kell ismételni , hogy még több információhoz jussunk.

A klikkelésre bírás is ehhez hasonlóan működik. Valami olyasmit kell küldeni a felhasználónak amire nagy eséllyel rá fog klikkelni.
Pl : Az ön e-mail címével feliratkoztak erre és erre a levelezési listára. Amennyiben ez az ön tudta  és beleegyezése nélkül történt az alábbi linkre kattintva tud leiratkozni:.  link.
blablabla

A különböző variációk helyett inkább azt nézzük majd meg a következő bejegyzésben, hogy az ilyen linken minek kell lennie amivel információhoz tudunk jutni. Feltételezve, hogy a levél jó időben érkezik és az áldozat azon a gépen fog klikkelni aminek az irányítását meg akarjuk szerezni. (Ez nem mindegy, hogy az otthoni gépe a céges gépe vagy pedig az okostelefonja...)

Advanced phishing attack - III. Teszt (SPAM) levél

A teszt levél tulajdonképpen csak azt a célt szolgálja, hogy megtudjuk az adott e-mail cím tényleg létezik-e és az oda küldött levelek nem pattannak-e vissza valamilyen hibaüzenettel. (pl betelt a kvóta vagy nincs ilyen felhasználó, esetleg más fontos hibaüzenet)

A célrendszer felderítéséhez ilyenkor meg lehet próbálni a spam helyett egy biztosan nem létező cím-re is küldeni egy levelet, hogy látni lehessen a levelező szerver milyen választ ad ilyenkor.

Fontos, hogy olyan címről kell küldeni a levelet amire a kapott választ el is tudjuk olvasni. Erre létre lehet hozni egy különálló e-mail címet valahol.
El lehet szórakozni azzal, hogy a levél eleve a spam tárolóban landoljon (olyan tartalommal kell küldeni ami biztosan spam-nak lesz minősítve és a felhasználó nem is értesül róla vagy olvasatlanul kitörli.) Ez csak arra jó, hogy nem kelt gyanút. A legfontosabb, hogy a teszt levél ne teszt levélnek, hanem spam-nak tűnjön. Egy teszt gyanús lehet míg egy spam levéllel senki nem fog különsebben foglalkozni.

Advanced phishing attack - II. Felderítés

A felderítésről sok szót nem érdemes vesztegetni , egyszerűen rá kell keresni az adott e-mail címre a különböző keresőkben és ha van valami találat azt ki kell értékelni. A következő lépés, hogy megpróbáljuk analizálni az e-mail címet. A felhasználói név (username) elárulhat bizonyos dolgokat az áldozatról. (pl név, becenév születési idő, kedvenc hobby, stb) Az, hogy mit választ valaki nick névnek egy e-mail címbe (amit minden nap használ) elérul róla egy-két dolgot. Tart-e valamit fontosnak amit visszatükröz a nevében van-e valami speciális érdeklődési köre, stb. Az e-mail cím második része (a @ utáni) pedig elárulja, hogy hol van a postafiókja melyik szolgáltatónál. Itt két eset lehetséges : publikus szolgáltató vagy nem publikus (céges) levelező rendszer. Amennyiben publikus szolgáltartóról van szó célszerű nyitni oda egy e-mail fiókot, hogy lássuk azt a felületet amit feltehetően a felhasználó is használ levelezéskor. Megtudhatunk pár dolgot ezzel kapcsolatban. elérési lehetőségeket (csak webes mail vagy pop3-on , imapon is elérhető?) tárhely korlát, kinézet, feature-k, stb. Ráadásul itt is működik a "hasonlóság" pszichológiája. Ha egy freemail-esnek küldünk levelet egy szintén freemail-es címről ezzel máris azt sugalljuk, hogy van bennünk valami közös. Ha más nem, akkor az, hogy a levelező szolgáltatónk megegyezik. Ezeket az információkat különböző trükkökkel lehet felhasználni social engineeringben. Amennyiben a levelezési cím nem publikus - vagyis céges, akkor ezek a feature-k nem használhatóak helyette azt kellene kideríteni, hogy az adott céges levelező milyen alapokon működik (outlook, exchange  vagy más gyakori vállalati levelező rendszer) ennek is célszerű utánajárni még az elején. A második része az e-mail címnek azt is elárulja nekünk, hogy hol lehet a levelező szerver. Ha pl .com-ra végződik, akkor feltehetően külföldi illetőségű a cég ha pedig .hu-ra végződik, akkor valószínű, hogy magyar székhelyű céggel van dolgunk. Mivel nem a levelezőszerver a célpont ennek sok jelentősége nincs, de ez is egy részlet amit érdemes tudni. (PL: más törvények vonatkozhatnak egyik, ill a másik szolgáltatóra mert más-más országban van a működtető cég székhelye)

UPDATE : Figyelem, az oldalon beizzítottam egy számlálót (Piwik) és azt jelzi, hogy a klienseken engedélyezve van a Java. Ezt hamar ki kellene kapcsolni, mert a Java-ban van egy security hole amit tudomásom szerint eddig még nem orvosoltak vagyis azon keresztül lehet támadni a klienseket. Tehát azt javaslom az idelátogatóknak, hogy a Java-t kapcsolják ki a böngészőben! Ha nem tudja valaki, hogy hogy kell, akkor google-ban keressen rá...

Advanced phishing attack. - I. Lépések

A következőkben egy advanced phishing támadás lehetséges lépéseit fogom bemutatni. Hogyan lehet egy ilyen támadást végrehajtani és mi szükséges ehhez.

FIGYELEM ! A valóságban egy ilyen támadás végrehajtása törvénybe ütköző cselekmény! 

Az itt közreadott információk elsősorban oktató célzattal születtek, hogy az ilyenfajta támadások ellen védekezni lehessen valahogy.

A korábbi "phishing alapok" című írásban láthattuk, hogy milyen egyszerű egy klón oldalt létrehozni és azon keresztül milyen egyszerű jelszó tartalomhoz hozzájutni. Ebben a bejegyzésben egy összetett támadás lépései lesznek vázolva.

A támadás célja megszerezni az irányítást az áldozat gépe fölött. Bejutni a gépre és ott backdoor-t vagy rootkitet elhelyezni és teljes ellenőrzés alá venni a számítógépet. Ez egy bonyolult támadás és sok minden kell hozzá. Elsősorban INFORMÁCIÓ. Információk kellenek az áldozat-ról, hogy a támadást kivitelezni lehessen. Az első és legalapvetőbb információ az e-mail cím. Amennyiben nem ismert az áldozat e-mail címe nem lehet neki e-mailt küldeni és így nem is tud a támadó célzott támadást kivitelezni. E-mail cím nélkül is lehet támadásokat véghezvinni, de azok általában nem célzottak, hanem bárki ellen irányulnak aki letölt egy káros szoftvert vagy rákattint egy fertőzött weboldalra. Ezzel most nem foglalkozom csak a célzott támadással ahhoz pedig minimálisan egy e-mail cím szükséges.

A támadás lépései :
  1. E-mail cím megszerzése
  2. Felderítés (e-mail címre rákeresés a keresőkben)
  3. Teszt (SPAM) e-mail küldése (e-mail cím helyességének ellenőrzése, ill qouta,stb vizsgálat)
  4. Válaszra bírás (olyan e-mailt kell küldeni amire az áldozat feltehetőleg válaszol)
  5. Kattintásra bírás (olyan e-mailt kell küldeni amiben szereplő linkre rákattint az áldozat)
  6. Információk rendszerezése, célzott támadás megtervezése
  7. Célzott támadás. Attachmentben történő küldéssel vagy link-kattintásos módszerrel.
A fentiekből mindegyik lépés szükséges de a legfontosabb talán az amikor távolról próbáljuk meg felderíteni az áldozat erőforrásait. 

A célzott támadás többféle módon is  kivitelezhető. Az egyik lehetőség, hogy reverse_tcp kapcsolattal visszaküldjük az áldozatot a gépünkre. Erre példa a link-kattintásos módszer, amikor olyan linket küldünk a levélben amire rákattintva a mi oldalunkra jut az áldozat és itt különböző módszerekkel lehet támadásokat intézni a gépe ellen. Ennek kivitelezése a korábban összegyűjtött információktól függ. Lehet a böngészőt támadni, vagy ha nincs tűzfal mögött a gép akkor közvetlenül a gépet. Amennyiben a böngészőjén nincs hiba és tűzfal mögött van, akkor csak az attachment-ben küldött programmal lehetséges támadást intézni. Illetve ekkor még mindig meg lehet próbálkozni böngésző-pluginbe rejtett támadással de ez nagymértékben függ attól, hogy milyen böngészőt használ az áldozat. Az attachmentben küldött programnak mindenképpen olyannak kell lennie, amit a vírusirtók nem blokkolnak és ami vagy nyit egy kaput a gépen vagy nyit egy állandó reverse_tcp_shell kapcsolatot a mi gépünkre. Itt a fő problémát a kliens beépített tűzfal és a telepített vírusirtó okozhatja. A tűzfal blokkolhatja kifelé a kapcsolódást illetve a vírusirtó likvidálhatja a küldött programot. Az egyszerűség kedvéért én csak Windows operációs rendszerű gépekkel fogok foglalkozni de természetesen a lépések ugyanúgy működhetnek Mac és Linux esetén is (ezt meghagyom másoknak), sőt okostelefonokra androidra és tabletpc-re is végre lehet hajtani a támadást. (Ezekkel én most nem foglalkozom) Az 1. és a 2. lépésről sok különöset nem írok, mivel ezek triviális dolgok. A 3. lépésről is csak annyit érdemes megjegyezni, hogy itt csak azt derítjük ki, hogy létezik-e az adott e-mail és nincs-e betelve a postafiók kvótája, stb) A 4. lépéről pedig annyit kell tudni, hogy egy olyan hangvételű levelet kell küldeni (bármi lehet az) amire mindenképpen reagálni akar az áldozat. Lehet egy "Köszönöm", egy "Nem óhajtom" vagy bármi a reakció a lényeg, hogy olyan üzenetre van szükség amire mindenképpen szükségét érzi reagálni. Az 5-ös lépés is ehhez hasonlóan olyan levél kell legyen amire feltehetőleg a reakció a levélben történő linkre való rákattintás lesz. Majd próbálok a bemutatóban példákat felhozni hogy világosabb legyen, hogy miről van szó.

Advanced Hacking Lab

A mostani bejegyzés a firewalking-ról és egy kicsit még az OS fingerprinting-ről szól. A kísérletezéshez fel kell állíítani egy olyan laborkörnyezetet ahol a valósághoz közeli állapotok vannak. Egy tűzfal, egy belső gép, ill egy külső gép. Ez egy nagyon leegyszerűsített infrastruktúra.
A videó bemutatja, hogy hogy kell egy ilyen labor környezetet létrehozni és használni. Az ASA firewall beállításának parancsaira nem térek ki, de ezt meg lehet találni ASA dokumentációkban.
A példában routed firewall módban fut a tűzfal. Nincs NAT, csak egy sima szabály van befelé a 80-as és a 443-as portra és kifelé pedig teljes ip elérhetőség a külső hálózatra. A firewalking lényege tulajdonképpen csak annyi, hogy a tcp portscan-re adott válaszból lehet következtetni a tűzfal szabályokra. Ahol Sin-ack a válasz, ott át van engedve a forgalom és a cél ip címen figyel a szolgáltatás, ahol reset a válasz, ott át van engedve a forgalom, de a cél ip címen zárva van a port, ahol pedig nem jön válasz az a port filterezve van a tűzfalon vagy a cél ip címen nincs gép.
A példában a 443-as port reset válasza az érdekes, mert ez azt jelenti, hogy a tűzfalon át van engedve a kérés de a cél gépen nincs ilyen port nyitva. ennek oka kettő lehet : Ott maradt egy tűzfal szabály az adott gépre, de közben a szolgáltatást leállították vagy a tűzfal szabály nem egy gépre vonatkozik és más ip címekre lehet próbálgatni a bejutást az adott porton.A való életben a 25-ös (smtp) és/vagy az 53-as (udp/tcp ~ dns) porttal lehet kísérletezni, de a 80-as és 443-as port is érdekes lehet web szolgáltatások felderítése céljából.Ezzel a módszerrel ottfelejtett szabályokat vagy nem körültekintően végzett beállítások nyomán keletkező hézagokat lehet felfedni.

Az OS fingerprintnek pedig megmutatom egy olyan alkalmazási lehetőségét, amikor a tűzfal mögül jön a gép a mi gépünkre és annak az operációs rendszerét szeretnénk megtudni. ez esetben azt kell elérni, hogy az illető gép a mi gépünkre küldjön csomagokat. Erre való az XSS. XSS-ről majd a phishing kapcsán egy bővebb bejegyzésben meg fogok emlékezni. Szóval a tűzfal mögül jön a gép és annak az operációs rendszeréről szeretnénk megtudni minél többet. Ennek egyik módja az itt bemutatott módszer. Persze a való életben ehhez fix ip cím kell és az, hogy a gépek működjenek amikor jön a távoli gépről a kérés.


2012. október 2., kedd

Aktív - Passzív OS fingerptinting tool : Net-SinFP3

A multkor már bemutattam egyet (p0f) amit az nmap mellett lehet használni. Most flinstalláltam a Net-Sinfp3 csomagot. Nagyon hatékony kis tool főleg aktív módban működik jól,mert passzív módban nekem főleg az én gépemet tudta detektálni amiről futtattam a kéréseket :) Elegendő a target hoston egyetlen egy nyitott port és háromféle kérésből próbálja meg megállapítani az op.rendszer típusát.

Itt a link a tool-hoz :
http://www.networecon.com/blog/2012/09/21/SinFP3-operating-system-fingerprinting-tool-released/

Itt a leírása :
http://patriceauffret.com/files/publications/jcv.pdf

Az installálásnál a cpan Net::Libdnet-el kell egy kicsit trükközni :

http://www.perlmonks.org/?node_id=689417

dpkg -L libdumbnet-dev
cp /usr/include/dumbnet.h /usr/include/dnet.h
cp /usr/lib/libdumbnet.so /usr/lib/libdnet.so

Ez után már megy a modulok installálása és a perl Makefile.PL , majd simán fel tudjuk installálni.

Aktív módban futtatva :
sinfp3.pl  -target 192.168.75.101 -port 80 -input-ipport -verbose 1 -active-1
sinfp3.pl  -target 192.168.75.101 -port 80 -input-ipport -verbose 1 -active-2
sinfp3.pl  -target 192.168.75.101 -port 80 -input-ipport -verbose 1 -active-3 (<-ez a default)

Passzív módban :

sinfp3.pl -mode-passive -device eth1 -search-passive -input-sniff -verbose 1

Nagyon használható kis tool.

A pfsense-t beazonosította FreeBSD-nek, a Kioptrix3-at pedig linux 2.6.20-nak azonosította (100%-os becsléssel) és valóban a gépen 2.6.24-es linux van. (A Backtrack-emet pedig linux 3.0.0/3.2.0-nak <- az 3.2.6-os volt)

2012. szeptember 30., vasárnap

Phishing V. - Test the login page

Az alábbi ismeretek oktatási céllal készültek. Ha valaki olyan módon használja fel az ismereteket ami kárt okoz másoknak akkor a következményekért magának kell vállalnia a felelősséget.

Ebben a videóban bemutatom, hogy hogy lehet egy klónozott oldalt feltölteni egy free webhost szerverre és körülbelül milyen módosításokat célszerű elvégezni az eredeti forráson, hogy helyesen működjön az oldal. Az első, hogy azt az oldalt kell módosítanunk, ahol a belépés történik. Ez általában a főoldal vagy a login.html vagy más hasonló lap. Itt a vezérlést át kell adni az általunk készített programnak. Az általunk készített program (a pédában login.php) kiírja egy fájlba a begépelt adatokat - és néhány más paramétert - majd megpróbálja auto submit-al továbbküldeni az adatokat az eredeti oldalra. Biztonság kedvéért betettem egy redirect meta hivatkozást ami 15 másodperc után mindenképpen átküldi a felhasználót az eredeti bejelentkező oldalra. Ezzel a phisingnek ez a része el is készült. Van egy oldalunk ami másolata az eredetinek és ha valaki begépel valamit és megnyomja a belépés gombot, akkor az adatok lementődnek egy fájlba. Íme a videó :



A következő lépés az lenne, hogy az adott linket elküldjük a felhasználónak. Ehhez url obfuscation-t kellene alkalmazni. Ezt részletesen leírják itt :

http://www.pc-help.org/obscure.htm

A fentiekből is látszik, hogy nem olyan túl bonyolult készíteni egy ilyen oldalt - gyakorlatilag bármilyen weboldal lemásolható és hamisítható ilyen módon. Az url elrejtésére más egyéb módszerek is akadnak - az url mező eltüntetése, vagy hamis url mező képként való megjelenítése, stb. Átlagos felhasználót nagyon könnyen megtévesztik ezek a módszerek.

Ezt a phishing módszert lehet máshogyan is alkalmazni. Amennyiben nem valamilyen begépelt adatokra vagyunk kíváncsiak, akkor elég, ha a bejelentkező lapot írjuk át oly módon, hogy az automatikusan továbbküldi a felhasználót egy másik oldalra ahol egy php script megpróbál minél több információt legyűjteni a kliensről. Ip cím, op rendszer, böngésző típusa, verziója, stb. ezt az információt pedig egy kidolgozottabb támadásra tudná egy támadó felhasználni...

Védekezésre meg lehet próbálni úgynevezett anti-phishing szoftvereket, plugineket, stb használni de a legjobb, ha a levélben kapott linkeket alaposan megvizsgáljuk és csak óvatosan kattintgatunk...