2012. október 31., szerda

Ingyen tréning

A következő oldalt teljesen véletlenül találtam :

http://www.innobuzzonline.com/index.html

A lényeg, hogy van Trial verziója a tréning programjuknak, ami TELJESEN INGYENES! Csak regisztrálni kell e-mailben és az első két fejezetet ingyen végig lehet csinálni.

Oktató videók, meg minden. Tök kezdőknek nagyon hasznos! Mivel vannak videók és mutogatva van benne minden nem szükséges hozzá túl nagy angol tudás.

Akit érdekelnek az alapok, annak nem haszontalan megnézni...

(Én is találtam az anyagok között egy-két jó trükköt )

Kliens oldali Pen Test

Miután eljutottam egy bizonyos szintig a kliens felderítő scripttel, elkezdtem utánanézni, hogy nincs-e véletlenül ilyesfalyta tool készlet már készen. Persze, van. Évek óta :) Sebaj, mert azért miközben ezzle szórakoztam egy csomó dolgot megtudtam a JavaScript-ről és a Java-ról, úgyhogy nem volt elpocsékolt idő. A felderítő script egyébként mindössze annyit csinál, hogy egy előtét lap alapján eldönti, hogy a kliensnél engedélyezve van-e a JavaScript és ez alapján két különböző oldalra dobja tovább a felhasználót. A javascript nélküli kliensről nem sok mindent lehet megtudni, csak amit a UserAgent mezőben mondott, viszont ahol a javascript engedélyezve van, ott azért ki lehet szedni a kliensből további információkat. Mivel már vannak készen ilyen jellegű programok, ezért nem álltam neki lefejleszteni ezeket mégegyszer, inkább majd szépen letöltöm őket és kipróbálom, hogy melyik mit tud, mikor lehet használni. Amit én készítettem, az mindössze annyit csinál, hogy végez egy előzetes felmérést a kliensről. Milyen op. rendszer, milyen böngésző, mi van engedélyezve mi nincs. Amennyiben a javascript engedélyezve van, akkor lehet további adatok begyűjtésével próbálkozni, ahol pedig nincs javascript, ott más módszert kell keresni további adatok gyűjtéséhez. Mondjuk annyi előnye van ezeknek a kis scripteknek, hogy ezeket fel lehet tenni bármilyen free web szerverre (ahol van php) és off-line tudja a kliensek adatait gyűjtögetni, míg a készített tool-okat csak a saját gépünkön (vagy a saját wwebszerverünkön - ha van ilyen) tudjuk futtatni és csak úgy, ha nálunk folyamatosan futnak a programok. Vagyis egyik inkább on-line adatgyűjtésre való, míg a másik mehet off-line-ban is. Szélesebb körű adatgyűjtésre valószínűleg jobb az off-line módszer, célzottabb vizsgálatokhoz pedig az on-line verziók.

Sokat ezekről a jó kis kliens oldali pen teszt eszközökről nem is írnék, mert ezt már megtették előttem mások. Íme egy rendkívül jó könyv a témáról :

"XSS ATTACKS - cross site scripting exploits and defense"
http://www.scribd.com/doc/89091513/105/AttackAPI

Ebben meg  van említve az AttackApi és a BEEF ami két nagyon hasznos kliens oldali biztonsággal kapcsolatos program. Ezeket hamarosan ki fogom próbálni labor környezetben, és talán csinálok róla 1-2 videót.

Ha ez megvan, akkor azt fogom kitalálni, hogy valós helyzetben hogy lehetne használni ezeket a kütyüket. Pl egy igazi black-box teszt használatakor, alkalmazottak elleni kliens felderítés, ill. egyéb támadási lehetőségek. Itt ugyebár a webhost-os megoldás nem játszik, mert ezeket a programokat a saját gépen kell futtatni. Tehát meg kell oldani valahogy, hogy a mailben elküldött url mindig a mi gépünkre mutasson. Ezt valószínűleg valamilyen dns machinációval meg lehet csinálni. Ennek majd utánanézek. Egyébként ezek az eszközök nagyon durvák :) Youtube-on vagy máshol -  nem emlékszem már - láttam egy videót, ahol a támadó facebookon küldött egy linket az áldozatnak, az rákattintott, aztán néhány mozdulat múlva már át is vette az irányítást az áldozat gépe fölött....de ezen kívül még számos érdekes feature van a programokban :)
Ebben az esetben nem kell e-mailekkel vacakolni, elég facebookon keresztül elküldeni egy linket, és a tool-ok megpróbálják kielemezni a kliens oldal adatait. És természetesen, ha található valamilyen kis rés, akkor metasploittal akár át is lehet venni az áldozat kliense fölött a teljes irányítást.

2012. október 27., szombat

Private browsing & cache timing attack.

A cache timing féle támadással szórakozom pár napja (jobban mondva azzal szórakozom, hogy hogy lehet a browser history-t lekérdezni szerver oldalon. A régi technika csak IE 8.0 és az alatt működik, Firefox-nál és Chrome-nál már régen nem megy ez a támadás úgyhogy a cache-olvasásos ellenőrzést tesztelgetem - hogy lehetne felhasználni kliens felderítésre. (ahol a CSS féle technika nem működik)
Az alábbi videó azt mutatja meg, hogy mennyire nem hatásos a privát böngésző indítása ez ellen a támadás ellen.....Ha valaki már 2 oldalt meglátogat (és az egyiket ilyen figyelő program van elrejtve) akkor nem lehet benne biztos, hogy a meglátogatott oldalai titokban maradnak mások előtt... :)
Egyelőre ez ellen még nincs hatékony védekezés. Illetve van : másik gép (virtuális) és másik böngésző használata párhuzamosan. Egyikben az érzékeny adatok, a másikban a többi nézelődés.
Van egy még egyszerűbb védekezés : Javascript letiltása. Tanácsos feltenni a Noscript plugint. És ilyen esetekben használni.


Itt van egy nagyon jó cikk a Böngésző támadások elleni védekezésről :

https://blog.whitehatsec.com/web-browser-defense-in-depth-3-layers-is-good-5-is-better/

A blog is nagyon jó (igen részletes és magas színvonalú írások vannak rajta)

2012. október 26., péntek

Kliens info

Tegnap egész nap a kliens oldali lekérdezésekkel szórakoztam és kezd fejlődni a dolog. Össze fogok állítani egy komplett információ feltérképező tool-t ami több mindent meg fog mondani az oldalt meglátogató személyről. Ez hasznos lehet bárkinek aki meg szeretne tudni ismerőséről ezt-azt.
Tulajdonképpen csak passzív felderítés, illetve annyiban nem, hogy az illetőt rá kell valahogy venni, hogy a feltérképező oldalra menjen - de ez talán nem olyan nehéz. A tool készletet bárhova fel lehet tenni és aki odamegy,arról összegyűjti az információkat. Persze aki kellően óvatos arról túl sok mindent nem lehet kideríteni, de az átlagos felhasználóról azért igen sokat.

Erről a PET portálon van is egy nagyon jó kis tanulmány.

http://pet-portal.eu/files/articles/2012/boda/Bongeszofuggetlen-rendszerujjlenyomat.pdf




És ebben a könyvben is van nagyon sok hasznos információ ezekről a dolgokról :

http://www.scribd.com/archive/plans?doc=56018172

Mivel a felhasználók (átlag felhasználókról beszálünk) 90%-nál vagy a Java vagy a flash engedélyezve van ezért Java-s és flash-es változatot fogok készíteni. (meg persze amit lehet azt php-val és javascript-el fogom összeszedni) Például lekérdezehető lesz, hogy a célszemély privát böngészőt használ-e vagy sem. Ha nem, akkor pedig lekérdezhető lesz, hogy bizonyos helyeket vajon gyakran látogat-e. (Társkereső és egyéb olyan helyek lesznek összegyűjtve, amik érdekelhetik a partnert) Persze a lista szabadon bővíthető.(Erre a browser history - előzmények - lekérdezésére a CSS helyett van egy másik módszer - cache timer - ami egyelőre kiiktathatatlan - inkább feature, mint hiba - ezért valószínű, hogy ez a lekérdezés még egy jó ideig használható lesz.)

Aztán a phishing támadáshoz is fogok készíteni egy tool-t amiben e-mail template-k lesznek, és videóban szépen lépésről lépésre meg lesz mutatva, hogy mit kell csinálni, hogy működjön is a dolog.
Ez főleg azoknak készül, akik nem igen értenek a számítógéphez és nem akarnak jelszótörő programokkal bíbelődni. Persze van akinél ez a phishing módszer nem működik, ott továbbra is a többi más módszerrel lehet próbálkozni, de megvalósítását tekintve ez igényel a legkevesebb felkészültséget és gyakorlatilag szinte bárki meg tudja csinálni aki alap szinten tudja kezelni a saját gépét. (És ebben még az is a jó, hogy akármekkora távolságból is működik és nem kell különösebb hozzáférés a másik gépéhez)

2012. október 24., szerda

A megszerzett adatok elemzése

Néha a blog hasonlít egy Tarantiono filmhez, mert össze vissza ugrálok a gondolatmenetben és az időben. Ez azért van, mert amit éppen fontosnak tartok azt írom le. Szóval nézzük most a megszerzett adatok kielemzését. Az első adat az IP cím. Ebből következtetni lehet, hogy az illető a saját címét használja-e vagy proxy-t. Nem lehet 100%-osan megállapítani, de azért érdemes megnézni, hogy az ip cím hova mutat. Ezt az információt egy további támadás elemzése előtt még fel lehet használni.
A következő mezők, operációs rendszer típusa, 32 vagy 64 bites. Ez is egy fontos információ mert vannak programok amik csak XP-n vagy csak Win7 alatt futnak és nem is mindegyik tud 64 bites gépen elindulni. Ha olyan programot küldünk valakinek, ami el sem indul, akkor nem sok eredményre jutunk. Az is egy fontos információ, hogy a vizsgált port open vagy closed állapotban van-e. Amennyiben nyitva van, akkor akár egy ősrégi netapi támadással is be lehet menni a gépre. Ha zárva van, akkor valószínűleg be van kapcsolva a tűzfal vagy egy Wifi/kábeles router mögül használják a netet. (Ezt is ki lehet deríteni - erről is lesz szó később) Aztán jön a böngésző verziója. Ha régi, akkor meg lehet próbálni az autopwn támadást. Ha friss, akkor a feltelepített pluginokat kell megnézni. Ha van Java, akkor további információhoz lehet jutni JavaApplet alkalmazásán keresztül. Ha engedélyezve van az ActiveX, akkor annak a segítségével lehet még több információt kicslogatni a kliensből. Ha van flash plugin, akkor flash lapon keresztül lehet támadást intézni vagy további információkat megszerezni. Ha van pdf plugin, akkor pdf-be rejtett payload-al lehet próbálkozni. Ha vannak a pluginek mellett bővítmények (addonok, extensionok) is telepítve, akkor esetleg egy általunk készített vagy preparált addon telepítésére is rá lehet bírni a felhasználót aminek a segítségével megint csak hozzá tudunk férni még több információhoz.(kicsit sok lett a Ha :) Azt is meg tudjuk állapítani, hogy valaki privát böngészó módot használ-e vagy sem és ha nem, akkor konkrétan kiválasztott webhelyeket vajon meglátogatta-e már vagy sem.

Nézzünk pár képet az idelátogató felhasználók böngésző használatáról :









(Látható, hogy elég sok böngésző verzió ellen lehetne sikeres támadásokat kivitelezni, de a legtöbben a Chrome 22.0-t ill a Firefox legújabb verzióit használják. )


 Ha semmiképp nem tudunk a közelébe férkőzni az adatoknak, akkor nem marad más hátra mint, hogy egy jól megtervezett phishing-el szerezzünk jelszót email fiókhoz és/vagy egyéb webes alkalmazáshoz (pl: facebook) és ezen keresztül lehet információkat szerezni. Az így begyűjtött információk segítségével egyéb támadásokat lehet megtervezni. Pl elküldünk egy programra mutató linket, amiben egy módosított kód fut. Olyan link kell legyen, ami nagyon érdekli az illetőt. Valami titkos leírás, egy jó játék (esetleg annak kiegészítője) rég keresett cd album, film, stb. Hogy ez mi azt az előzetes felmérés alapján lehet kideríteni. Kellő felderítés nélkül ugyanis az így elküldött linkek a kukában landolnak , olvasás nélkül törlődnek. A távolról történő támadásoknál az esetek nagy részében igen nehéz dolga van a támadónak, mert több védelmi réteget is ki kell játszani ahhoz, hogy információkhoz jusson. Ez nehéz, de nem lehetetlen. Minél több védelmi réteget használ valaki annál nehezebb behatolni a rendszerébe. A káros kód az egyik védelmen átjut, de egy másikon elbukik. A következő cikkben tovább finomítjuk az információ szerzési módszerünket és célzott adathalászatot végzünk adott böngésző típusokra. Külön kell kezelni az IE a Firefox és a Chrome használatát (ezeket használják a legtöbben) amennyiben valaki más verziót használ, ellene nehezebb adathalászatot végezni, de persze ott sem lehetetlen. ezzel nem igen foglalkoznék, mert elég ritka és nem éri meg a fáradtságot. Az emberek zöme az említett 3 böngésző közül az egyiket használja tehát erre fogom fókuszálni a technikákat.

2012. október 23., kedd

Kliens elleni támadások

Készítettem két alap támadásról egy kis ismertetőt. Ezek ugyan általában nem működnek, de ha mégis, akkor nagyon gyorsan célba lehet jutni velük. Az első csak kikapcsolat tűzfalnál megy, ami azért szerintem manapság már nem gyakori a másodikhoz meg elavult böngésző kell - ez sem általános mostanság. A teljesség kedvéért azért feltettem. Ezek alap dolgok, ismerni célszerű mert van, hogy ez is elég a sikerhez. Csak a meterpreter shell-ig készült az ismertető, mert a további lépések már részletesebb ismertetést igényelnek így ezzel majd később foglalkozom. Most inkább bemutatok majd még pár lehetőséget amit ki lehet használni a SET és a Metasploit segítségével. Kliens elleni támadások különféle módszerei. Általában meterpreter shell-ig vagy csak egy sima shell-ig fognak tartani a támadások, mert különben nagyon hosszú lenne a videó egyben.
Azt, hogy a meterpreter shell-el mit lehet kezdeni egy külön ismertetőben ki lesz fejtve később.

Íme a két alap támadás :



Facebook jelszó lopás script kiddie módra.

A Social Engineering Toolkit-et ötvözve a korábban részletezett phishing email technikákkal nagyon egyszerűvé válik az áldozatunk jelszavainak megszerzése.
Mindössze annyi dolgunk van, hogy készítsünk egy tiny url-t ami a mi ip címünkre mutat és azt kell egy megfelelő levélbe ágyazva elküldeni az áldozat e-mail címére. Ha rákattint megjelenik neki a bejelentkező kép és vélhetően be fogja gépelni a belépési adatait.
Azért mutatom be több oldalon is a módszert,mert azért mindegyiknek van szépséghibája. Az egyiknél nem jelennek meg az első oldalon a képek, a másik meg nem dobja tovább a usert a sikertelen kísérlet után, a gmail-os template meg már egy kicsit "rozsdás", frissíteni kéne. De egyébként maga az elv szinte bármelyik oldalra működik ahol belépési adatokat visznek be a felhasználók. (ha ez a sima módszer nem menne, akkor pedig még mindig lehet egy preparált - általunk összetákolt - belépő oldalt használni, ami működni fog) Íme :


A továbbiakban a metasploit és a SET egyéb lehetőségeit fogom megnézni. Mit lehet kezdeni egy jó url-el amire rákattint az óvatlan felhasználó. A mostbemutatott módszer működik úgy is, ha a felhasználónál be van kapcsolva a tűzfal, antivírus szoftver van feltelepítve és nem tárolja a gépen a jelszavait. Csak annyit kell elérnünk, hogy rákattintson a küldött linkre...

2012. október 22., hétfő

Kliens információ begyűjtése

A kliens elleni támadás következő lépése az információk begyűjtése. Ennek a lényege, hogy egy email-t kell küldeni az áldozat e-mail címére amire majd valószínűleg rákattint. A demóban most csak egy üres oldalra jut a felhasználó, miután a kattintást elvégezte de valójában bármilyen oldalra tovább lehetne küldeni, így a támadásból nem észlelne sok mindent. A példában három különböző böngészővel is kipróbáltam az adatgyűjtő oldalt. A beszerzett információkat ki kell értékelni és ez alapján lehet felkészülni a valódi támadásra. Amennyiben van sérülékeny pontja az áldozatnak, akkor a következő e-mailben már a támadást lehet kivitelezni, amennyiben még nincs gyenge pont akkor további specifikus vizsgálatot kell végrehajtani. Ez attól függ, hogy az illető milyen környezetben tevékenykedik. Milyen operációs rendszert használ, milyen böngészőt, mi van ott engedélyezve, stb. Internet Explorer esetén a vbscript használata és az activex ad egy kis mozgásteret, illete univerzálisan Java Appleteken keresztül is lehet dolgokkal próbálkozni amennyiben a java engedélyezve van. Vagy a pdf olvasó illetve a flash player bővítményen keresztül is meg lehet kísérelni támadásokat. Ha egyik se megy, akkor pedig még mindig meg lehet próbálni rávenni a felhasználót, hogy egy böngésző bővítményt telepítsen. (Ehhez persze már tudni kell, hogy melyik böngészőt használja) Amennyiben valahol sikerül egy rést találni és bejutunk a gépére a nehézségek csak ezután kezdődnek.
Meg kell állapítani, hogy milyen vírusirtó van a gépen és milyen egyéb védelmek (Windows tűzfal, Personal tűzfal, Spyware-ek, antimalware programok) A további akciókat ezen védelmek megkerülésével kell végrehajtani. Esetleg meg lehet kísérelni ideiglenesen kikapcsolni egyik másik védelmi rendszert - amíg a hosszú távú hatástalanítása vagy megkerülése nem megoldott. De ezekről majd csak később lesz szó. Most nézzük, hogy a kliens információk begyűjtése hogy történik :


Gmail furcsaságok

Ma próbáltam egy kis phishing tesztet elvégezni két gmail-os accounttal, de egész érdekes eredményre jutottam : (egy csomó időm elment vele, mire rájöttem, hogy mi a helyzet)

Saját e-mail címemre mindent átküldött gond nélkül gyorsan.
Más e-mail címére viszont valami szűrő alapján megakadályozza az átküldést. Eltartott egy daraig mire rájöttem, hogy mi nem tetszik a gmail szűrőnek...

Mindenesetre,ha a célszemélynek gmail-es e-mail címe van, akkor az ilyen phishing leveleket lehet, hogy meg sem kapja...(ezért is célszerű előtte teszteket végrehajtani amennyiben ez lehetséges...)

Eltartott egy darabig mire rájöttem, hogy az url-t blokkolja a gmail még ip cím alapján is. Így a jól megkreált facebookos templateket nem küldi át a rendszer.

De sebaj, mert épp erre van a short url szolgáltatás. :)




A template-ben át kell írni az összes hivatkozást a short url-es változatra és valószínűleg működni fog. El lehetne szórakozni vele egy darabig, mire kideríteném, hogy pontosan mit szűr a gmailes filter, de most nem ez a lényeg. (Viszont ez a lépés is egy fontos pont, ahol elbukhat a próbálkozás. amennyiben nincs kellően felderítve a victim környezete nem ér célba a phishing levél...)

2012. október 21., vasárnap

Facebook template létrehozása

Az alábbi videóban bemutatom, hogy milyen egyszerű létrehozni egy facebook template-t , egy létező e-mailt alapul véve, módosítani és elküldeni. Ezeket a templateket fel fogom majd a képzeletbeli támadásban használni az áldozat ellen.  Íme :


Sok magyarázatra szerintem nem szorul a dolog. A következő lépés, hogy elküldjük a template-t az áldozat e-mail címére. Előtte azonban még létre kell hozni a clientinfo4.php scriptet. Ha ez kész , utána bemutatom, hogy hogy lehet többféle módon is elküldeni a phishing mailt. Ezzel a módszerrel bármilyen oldalt le lehet "klónozni" és a hamis tartalmat el lehet küldeni az áldozatnak. A template úgy van megpreparálva, hogy teljesen mindegy, hogy mire kattint a user mindig az általam készített felderítő oldalra fog érkezni. A következő lépésben megcsinálom a client4.php-t hogy a lehető legtöbb információt be lehessen gyűjteni valakiről aki az oldalra téved. Az információk birtokában pedig meg lehet kezdeni a támadás-t. A támadáshoz is a most készített facebook template-ket fogom majd használni. Többet is csináltam, így lehet váltogatni.

2012. október 20., szombat

Advanced Phising attack - plan

No. Elérkezett az ideje, hogy egy komolyabb sorozatba kezdjek. Ez nem egy öt perces projekt lesz és el fog tartani egy darabig amire minden eshetőséget kivesézek. Az anyagokat megpróbálom videón prezentálni a könyebb érthetőség kedvéért. Persze lesz hozzá némi magyarázat is, de megpróbálok majd minél érthetőbben dolgozni a felvételeken. A támadásoknál inkább arra fogok kitérni, hogy milyen védelemmel lehet esetleg az adott akciót meggátolni.

A terv nagyvonalakban a következő lenne:

Kliens felderítés (ez attól függően, hogy hogy sikerül összehozni, egy kettő vagy több videó lesz.) A felderítés lépései lesznek benne megörökítve. Milyen adatokat kell megtudni a kliensről, ami alapján el lehet tervezni egy támadást.Operációs rendszer típusa, böngésző típusa, bővítmények verziója, ip cím, tűzfal, antivírus védelem, stb. (Mivel ez az egész támadás alapja ezzel el fogok időzni egy kicsit.) Mondhatnám azt is, hogy ezen áll vagy bukik maga a támadás, mert egy ismert hibát kihasználni már jóval egyszerűbb feladvány mint magára a hibára rábukkanni. És mivel itt kliens oldali hibákról beszélünk ezért kicsit más módszereket kell alkalmazni mint egy szerver sebezhetőség vizsgálatnál.(de az elvek hasonlóak) Mivel a fejem nem káptalan és én is tévedhetek, lehet, hogy az idő előrehaladtával a felderítésre vissza-vissza fogok térni (mikor rájövök, hogy egy fontos lépés kimaradt ami a támadás kivitelezéséhez alapvetően szükséges lenne :)

A felderítés eredménye alapján többféle támadási módszer lesz bemutatva. Lesznek operációs rendszer hibáját kihasználó támadások, böngésző bővítmény elleni támadás, böngésző bővítmény telepítéses támadás, remote keylogger telepítés, remote access trojan telepítés, javascript, activex-en keresztüli támadások, stb...(megpróbálok mindent összegyűjteni amit csak el lehet képzelni)

Ehhez eléggé fel kell készülni, teszt e-mail címeket és teszt virtuális környezeteket létrehozni, azokat a megfelelően bekonfigurálni, a támadásokat alaposan megtervezni, kivitelezni, felvenni videóra összevágni, zenét alátenni, stb. Ez egy komolyabb projekt lesz ami akár több hónapig is elhúzódhat.
Szeretnék minden egyes lépést alaposan kidolgozni és körbejárni. Az elkövetkezendőkben ezzel fogok foglalkozni - ha csak közbe nem jön valami.

Ez a terv:) de ahogy mondani szokás: "Ember tervez, Isten végez" - úgyhogy majd meglátjuk, hogy meddig sikerül eljutni.

UPDATE:

Ezekre a linkekre most bukkantam - nagyon idevágó információkat tartalmaznak : (Böngésző felderítéssel kapcsolatban)

https://blog.whitehatsec.com/i-know-a-lot-about-your-web-browser-and-computer/

http://www.visiblerisk.com/blog/2012/7/2/passive-browser-fingerprinting.html

http://marcoramilli.blogspot.hu/2008/05/client-fingerprint.html

http://www.computec.ch/projekte/browserrecon/?s=documentation

http://browserspy.dk/

http://www.youtube.com/watch?v=Cyu8_AUe7CA

http://www.cio.wisc.edu/Born_LockDown2011.pdf

https://panopticlick.eff.org/browser-uniqueness.pdf 

http://www.w2spconf.com/2011/papers/jspriv.pdf

http://defcon.org/images/defcon-17/dc-17-presentations/defcon-17-egypt-guided_missiles_metasploit.pdf

--------------------------------

http://www.offensive-security.com/metasploit-unleashed/Browser_Autopwn

2012. október 18., csütörtök

Mobile forensic

Ez a törölt sms-es írás folytatása. Kipróbáltam a TULP2G-t. Windows7 alatt a következő hibára futottam : http://sourceforge.net/tracker/index.php?func=detail&aid=2783478&group_id=119389&atid=683845 Sajnos ezt azóta se javították...(Majd lehet, hogy utánaolvasok - de most nincs időm erre)  A program a virtuális gépen futó XP-n viszont szépen elindult. A bökkenő csak az, hogy itt viszont nem tudtam a telefonnal kapcsolatba kerülni. Elvileg Bluetooth-on vagy IRDA-n keresztül tudna kapcsolódni a program a készülékhez vagy pedig a SIM kártyát egy pcsc kártyaolvasóba helyezve tudnánk valamiféle műveleteket végrehajtani. Sajnos csak kártya méretű olvasóm volt így a SIM kártyát nem tudtam - egyelőre - beletenni. Emiatt még nem tudtam igazán tesztelni a szoftver, hogy mit tud. A sim kártya olvasási problémát meg fogom oldani és van egy asztali gép is itt amin XP van így azon a bluetooth-os kapcsolatot ki lehet majd próbálni.

Közben letöltöttem a Santoku Linux elnevezésű Mobile Forensic eszközt is, amit szintén ki fogok próbálni.(Bár úgy látom, hogy ez olyan telefonokhoz jó, ami momentán nincs nekem :)  Kiírom DVD-re és a Live verziót próbálom ki, mert már nem nagyon van a gépemen üres hely egy 40 Gb-os virtuális gépre. Ez ha jól látom USB-n kapcsolódott készülékekhez használható. (majd meglátjuk...)

Kipróbáltam a Mobil!Edit Lite verzióját - letöltöttem a legújabb verziót, drivereket, mindenféléket, de az itthoni készülékek közül egyiket se volt képes felismerni se USB kábellel összekötve se Bluetooth-on keresztül.(ennyit akkor erről).

A BitPim is szépen installálódott, de az meg csak CDMA kompatibilis készülékekkel működik és per pillanat egy sincs itthon :) úgyhogy ezt majd később kipróbálom, ha sikerül egy megfelelő készülékre szert tenni.

A következő szoftver a Gammu volt amit kipróbáltam. Vagyis csak megnéztem, mert törölt SMS-eket nem tud visszaállítani, így nem is mélyedtem el benne (bár nagyon kidolgozott kis program!)

A többi program meg amik vannak főleg SIM kártya recovery-re való - azokat ki se próbáltam, mert a mostani telefonokban már nem a sim kártyán vannak az üzenetek, hanem a telefon memóriakártyáján/memóriájában. (Sim sms recoveryre több tucat megoldás van, free programok is)

Itt pedig találtam egy komoly kémprogramot is :
http://spyphonelove.com/index.php?id=7#thecommand 199 euró ami több mint 50 ezer forint, de cserébe elég sok mindent tud...(akinek ilyen megoldás kell érdemes megnézni, hogy mit tud a szoftver ELÉG DURVA!)

Összefoglalva a Nokia symbian-os telefonom SEHOGY nem sikerült törölt SMS-eket visszafejteni. (kipróbáltam még egy direkt Nokiára készült sms recovery-t is,- külön IMEI számra szignózva, de az se tudott előhozni semmit, sőt az FExplorert is kipróbáltam, de az meg nem fért hozzá a private könyvtárhoz és trükközni kellett volna még vele) Ez jó hír, mert ezek szerint ez másnak se menne :) Viszont kicsit csalódott vagyok, mert azért ennél többre számítottam :) Androidos, iPhone-os és minden egyéb készülékre talán működnének a fent tesztelt módszerek, de sajnos éppen Nokiával ezek nem működnek. (Egy plusz pont a Nokiá-nak!) Viszont rengeteg egyéb más gyártó készülékével elboldogulnék ezek után ;)

A híváslistával is lehetne vacakolni (törölt híváslista visszaállítása, és effélék) de egyelőre elég volt ennyi most a Mobile Forensic-ből.

Azért arra felhívnám mindenkinek a figyelmét, hogy ha SIM kártyán tárolja az sms-eket azt azért nem árt néha tényleg kinullázni, mert a sima törlés után még visszaállíthatóak ezek az üzenetek. És ha rossz kezekbe kerülnek esetleg az adatok az problémák forrása lehet...Erről most videók nem készülnek, mert ahány mobil annyi féleképpen lehet vele szórakozni és a youtube-on amúgy is vannak ilyen támájú anyagok.

Inkább visszatérek a phishing-hez. Eszembe jutott még egy pár dolog amit phishing támadásnál ki lehetne használni, erről fogok nemsokára egy bővebb bejegyzésben megemlékezni.

2012. október 17., szerda

Ghost In The Net

Ip cím elrejtése a neten : (Ghost in the net)

Tails, Linux Liberte vagy a Whonix segítségével. (TOR hálózaton keresztül)


2012. október 16., kedd

Browser Logger

Igazából ez a bejegyzés csak egy kis gondolatébresztő akar lenni. Olyan esetekben használható, amikor a keylogger valamiért nem működik. Amikor a keylogger nem tudja elfogni a bevitt adatokat. Ebben az esetben még mindig lehetséges elfogni az elküldött tartalmat.

Több lehetőség is van erre. Az egyik a proxy használata. Beállítunk egy állandó proxy-t és minden forgalom azon keresztül fog menni. És természetesen az átmenő forgalmat elmentjük egy file-ba. Ennek a megoldása nem olyan triviális de azért megoldható.
Egy ingyenes megoldás itt van erre :
http://www.fiddler2.com/fiddler2/
(Erről is kéne majd egy rövid oktató videót csinálnom, hogy ezt hogy kell beállítani, hogy működjön)
A módszer gyakorlatilag MINDEN webböngészővel kompatibilis ami lehetőséget ad proxy beállítására. Ez elsősorban olyan gépek esetén jöhet szóba ami felett teljes kontrollal rendelkezünk vagy amihez hozzá tudunk férni valahogy távolról admin joggal.
A dolog lényege, hogy a böngésző minden forgalmat az általunk felparaméterezett proxy-hoz küld és az továbbítja a célgép felé és közben tárolja a kéréseket. Még ki kell tesztelni, hogy https esetén hogy működik a dolog, azt is megfelelően képes e tárolni (plain-textben) de elméletileg működhet a módszer.

A második módszer lehet a böngésző kiterjesztés. Olyan kiterjesztést kell installálni a böngészőhöz, ami menti az adatokat egy megadott helyre. Ez sajnos böngésző specifikus (nem minden böngészőhöz van ilyen bővítmény) viszont cserébe még elküldés előtt el tudja fogni az információt így https használata esetén is jól működik. Google Crome-hoz itt egy ilyen bővítmény :
https://github.com/ethanl/connect-browser-logger
Itt egy a Firefox-hoz:
https://addons.mozilla.org/en-us/firefox/addon/keylogger-220858/

A harmadik lehetőség egy preparált böngésző lenne. Ehhez a forráskódot kell megszerezni és át kell egy kicsit preparálni, hogy ne teljesen úgy működjön,ahogy alapvetően kéne neki.  Ehhez már komoly hozzáértés kell. (De nem elképzelhetetlen, hogy már vannak ilyen preparált böngészők...azokat kell megtalálni és feltelepíteni.)

Van egy negyedik megoldás is, itt bukkantam rá :
http://hacking2all.blogspot.hu/2010/03/firefox-keylogger-from-true-hacking-to.html
A lényege, hogy a böngészőben beégetve van a jelszótárolás - így nem lehet kikapcsolni. Vagyis mindenképpen el fogja tárolni a jelszót, ha akarja a user ha nem :) (illetve nem is ajánlja fel azt a lehetőséget, hogy ne tárolja el.) Ez természetesen működhet Chrome is IE esetén is, csak ott meg kell találni, hogy hol kell beállítani, hogy automatikusan tárolja és ne kérdezzen rá.

További előnyei ezeknek a megoldásoknak, hogy az Antivírus szoftverek nem nagyon képesek megfogni egy ilyen programot, mivel teljesen normális működés ha valaki egy helyi proxyt vagy egy böngésző bővítményt használ...a módosított böngészőről nem is beszélve. Az is jó benne, hogy a felhasználó nyugodtan böngészhet privát módban (és hiheti azt, hogy nyom nélkül tud böngészgetni) a forgalom mégis tárolva lesz...

Amennyiben azt szeretnénk, hogy viszont a mi böngészésünk mentes legyen ezektől a lehetőségektől, akkor célszerű letölteni egy portable firefox-ot vagy chroom-ot és azt használni, mert ilyenkor ez a feltelepített böngészőtől teéjesen függetlenül képes futni és kikerüli az ott beállított logolást és proxyt.

Ezeket a plusz telepítéseket megtalálni nem egyszerű egy mezei felhasználó számára, úgyhogy ha fent vannak akkor sokáig hatékonyak tudnak lenni. Ez a megoldás kiküszöböli azt a problémát is, hogy a felhasználó jelszótitkosítással vagy a keylogger kicselezésével bűvészkedik. Ugyanis a böngésző már a valódi jelszót fogja elküldeni a szerver felé és ezt tudja elfogni a proxy vagy a bővítmény.

2012. október 15., hétfő

Törölt sms visszaállítása

Az alábbi bejegyzést a törölt sms visszaállításáról fogom írni. Erre akkor lehet szükség, ha az egymás mellett élő felek valamiért nem bíznak egymásban és szeretnének többet megtudni a partnerükről. Ezt az életösztön és a fajfenntartás után a sorban harmadikként követő ösztön a kíváncsiság okozza. Bizony, a kíváncsiság ősi ösztön, állatokban is megvan és bizony bennük is elég erős. Egyszóval kíváncsiak vagyunk a törölt sms tartalmára illetve, hogy vissza lehet-e állítani. A probléma eléggé összetett, mivel nagyon sok féle telefon létezik és a különböző készülékeken más-más operációs rendszer található.

Megpróbáltam alaposan utánanézni a témának és összeszedni a szükséges információkat. Sajnos kipróbálni mindent képtelenség lenne, mert nem rendelkezem az összes készüléktípussal - de annyi idővel se amíg a próba eltartana - így csak néhány dolgot tudok részletesen bemutatni a többit mindenki próbálja meg maga kitapasztalni. Mindenesetre felsorolok néhány programot és elérhető forrást ahol utána lehet nézni ezeknek a dolgoknak.

Azért is jó ezeket ismerni, mert amikor törlünk egy sms-t a telefonunkból akkor az még nem feltétlenül tűnt is el onnan végleg - vagyis visszaállítható. Tehát célszerű ismerni azt a módszert is amivel végképp törölni tudjuk az sms üzeneteket. Ez a végképp eltörölni, nemcsak olyan esetben hasznos, mikor a társunkkal szemben vagyunk bizalmatlanok, hanem lopás esetére is! Az ellopott készülékünkből ugyanis nagyon sok mindent ki tudnak deríteni rólunk. Ugyanakkor az SMS levéltitoknak minősül vagyis a jogtalan hozzáférés jogi következményeket von maga után.

Itt egy általános leírás a témáról :

http://en.wikipedia.org/wiki/Mobile_device_forensics

Itt egy összefoglaló doksi :

http://csrc.nist.gov/publications/nistir/nistir-7250.pdf

Leírások :
http://www.solidforensics.com/42/cell-forensic-extration-tools/
http://www.forensickb.com/2008/11/my-current-impression-of-cell-phone.html


Pár Free tool :

https://github.com/KatanaForensics/LanternLite/downloads iPhone,iPad,iPadTouch,Android
http://www.bitpim.org/#download LG, Motorola, Samsung
https://viaforensics.com/products/tools/  Android
http://tulp2g.sourceforge.net/faq.html
http://miatforensics.org/index.php?option=com_content&view=article&id=70&Itemid=53 Symbian & Windows Mobile
http://sourceforge.net/projects/iphoneanalyzer/ iPhone

SIM kártya recovery toolok :
http://www.redferret.net/?p=15483
http://www.dekart.com/products/card_management/sim_manager/
http://www.freepartitionrepair.com/freepartitionrepair/simcard.html

Nokia symbian tool :
http://www.nokiaprogramok.hu/modules.php?name=letoltesek&op=show&id=35206

Tehát több lehetőség is kínálkozik. egyrészt a törölt sms visszaállítása sim kártyáról - ha ez lehetséges, vagy ha ez nem megoldás, akkor a készüléknek megfelelő free vagy fizetős tool használata. A Fizetős Mobile forensic toolok nagyon jók, de nagyon drágák úgyhogy aki nem engedheti meg magának, az próbálkozzon meg az ingyenes példányokkal eredményre jutni.

(Első lépésben a saját készülékünkön érdemes kipróbálni, hogy milyen adatokhoz tudna hozzáférni valaki, aki hozzájuthat valahogy a készülékhez. .... pl míg mi alszunk.... ;)

Egy konkrét példán is be fogom mutatni a fentieket, de ahhoz előbb még telepíteni kell a szoftvereket és még egy sim kártya olvasót is be kell szereznem valahonnan.

2012. október 14., vasárnap

OSINT + Mantra + OWASP ZAP

A következő videó egy kis OSINT demó akar lenni.

Az OSINT-ről itt van néhány magyar nyelvű cikk :

http://biztonsagpolitika.hu/?id=16&aid=936&title=A_j%C3%B6v%C5%91_h%C3%ADrszerz%C3%A9se?_Az_OSINT_-_Ny%C3%ADlt_Forr%C3%A1s%C3%BA_Inform%C3%A1ci%C3%B3szerz%C3%A9s

http://osint.gportal.hu/gindex.php?pg=20205665&nid=3319427

http://www.mkih.hu/osint.shtml

A példában a www.hacktivity.com oldalt használtam, de akármilyen vállalat, vállalkozás vagy konkrét személy esetén fel lehet használni az alábbi módszert.
Azért jó ismerni ezeket a módszereket és szoftvereket, mert ezekkel nagyon gyorsan lehet információkat begyűjteni egy vállakozásról vagy egy személyről. És ezek az információk teljesen szabadon elérhetőek - bárki számára. Nem mindegy, hogy valaki hol mikor mit ír, milyen álláspontot véd, milyen információkat ad meg magáról.

A védekezés egyik lehetséges módja, ha téves információkat adunk meg ott ahol egyébként az adott információ az oldal szempontjából irreleváns. Például megadjuk a születési adatainkat,de nem helyesen. Ez esetben aki kutat utánunk elbizonytalanodik, hogy melyik adat is a helyes. De általánosságban véve ez ellen védekezni nem nagyon lehet. Adataink többfelé tárolva vannak és aki rászánja az időt az össze tud gyűjteni rólunk mindenfélét. Érdeklődési kört, beállítottságot, hozzáállást bizonyos kérdésekhez, stb. Persze nem öncélúan, hanem egy ellenünk készülő social engineering vagy phishing támadáshoz lehet ezeket az információkat felhasználni.

Íme a videó :


2012. október 7., vasárnap

Mantra

Ezt a kis oktató videót muszáj belinkelnem ide : Nem én készítettem :)


Windows alapú penetration teszt szoftver. Nagyon sok használható feature van benne.
Le kell töltenem és ki kell próbálnom :)

Ezt az oldalt pedig a phishing részhez ajánlom :

http://www.sptoolkit.com/download/

2012. október 6., szombat

client_info2

Az előző client_info.php programot célszerű úgy átalakítani, hogy több elágazás legyen benne. Külön érdemes kezelni az MSIE böngészőt a többitől és a firefox-ot az extensionok miatt megint érdemes külön megnézni. Előtte érdemes egy op-rendszer elágazást is végezni, hogy csak windows esetén menjen tovább a vizsgálat.

Azaz három ágra kell bontani a részletesebb tájékozódást :
  • Microsoft Internet explorer használata
  • Firefox használata
  • Minden egyéb böngésző használata 
Itt megnézheti mindenki a saját böngészőjét, hogy elég biztonságos-e :

https://browsercheck.qualys.com/

Nálam mind a három böngészőben (Firefox, Chrome, IExplorer) talált hibát :) (alkalomadtán ki is javítom ezeket a problémákat)
Mindenesetre átlag felhasználó nem foglalkozik ilyesmikkel tehát elég valószínű, hogy egy alapos vizsgálat találni fog a böngészőjében valami sebezhetőséget amit egy rosszindulatú támadó ki is tudna használni. A talált hibától függ, hogy milyen módszert alkalmaz valaki a támadás során.

A qualys-éhoz hasonló elemző scriptet érdemes beszerezni vagy elkészíteni (persze csak annak aki ezzel foglalkozik hivatásszerűen - etikus hackerek, pentesztelők, IT biztonsági szakértők) Ezzel ugyanis egy teszt elvégzésekor elég jól fel lehet fedni a kliens oldalon fellelhető hiányosságokat.
Ugyanis a támadók a leginkább itt fognak próbálkozni és nem a jól védett tűzfalak környékén.

MSIE esetén az ActiveX-el és VBscript futtatásával lehet még próbálkozni (több információ szerzéséhez), A Firefox esetén még a kiegészítők környékén érdemes vizsgálódni illetve általánosan minden nem MSIE böngészőnél a pluginokat kell megnézni, hogy a verziójuk up-to-date-e.

Itt van egy jó kis plugin detector :

https://developer.mozilla.org/en-US/docs/DOM/window.navigator.plugins

Firefox extension detector :

http://www.guyfromchennai.com/?p=104

Ennyit a phising támadásról. Ha lesz majd időm csinálok egy szemléltető videót ahol egy ilyen támadás összes lépése be van mutatva. De ez nem 5 perc lesz... sok előkészület kell hozzá és alaposan meg kell tervezni. Hogy életszagú legyen, két külön gép kellene hozzá egy amelyik az áldozatot imitálja és egy támadó gép.(két külön internet eléréssel) Lehet, hogy majd egyszer megcsinálom, de ez tényleg több napi munka lenne...

2012. október 5., péntek

client_info.php

Íme a client_info.php file, amivel információkat tudunk lekérdezni a kliensről : (kicsit átírtam az előző login.php file-t :)


Az érdemi részbe (a body tagek közé) természetesen azt írunk amit akarunk - vagy amit kell.

Előtte a Browser.php filet töltsük fel ugyanoda innen :

http://code.google.com/p/phpbrowscap/downloads/list

Elméletileg működnie kellene a sima get_browser() függvénynek is, ha a php.ini-ben ez a változó rendesen be van állítva. Nálam nem működött, és a szerver oldalon nem is tudom ezt módosítani ezért kellett trükközni egy kicsit. (létre kellett hozni egy írható könyvtárat is (6-ik sorban van használva). A lekérdezés kimenete valami ilyesmi lesz :

browser_name : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1
browser_name_regex : ^mozilla/5\.0 \(.*windows nt 6\.1.*wow64.*\).*gecko/.*firefox/15\..*$
browser_name_pattern : Mozilla/5.0 (*Windows NT 6.1*WOW64*)*Gecko/*Firefox/15.*
Parent : Firefox 15.0
Platform : Win7
Platform_Version : 6.1
Win32 : 
Win64 : 1
Comment : Firefox 15.0
Browser : Firefox
Version : 15.0
MajorVer : 15
MinorVer : 0
Frames : 1
IFrames : 1
Tables : 1
Cookies : 1
JavaScript : 1
JavaApplets : 1
CssVersion : 3
Alpha : 
Beta : 
Win16 : 
BackgroundSounds : 
VBScript : 
ActiveXControls : 
isMobileDevice : 
isSyndicationReader : 
Crawler : 
AolVersion : 0

Az alábbi adatokra van szükségünk :
  • Operációs rendszer típusa (32/64 bites)
  • Böngésző típusa és verziószáma
  • Engedélyezve van-e a Java ill. a javascript
  • Engedélyezve van-e az ActiveX (MSIE böngésző esetén)
A fenti példában pl kiderül, hogy a kliens 64 bites windows7 és firefox 15.0-ás böngésző, amiben a javascript engedélyezve van és a JavaApplet is engedélyezve van és lehetőségünk van az iframe-k használatára és a cookie-k is engedélyezettek.

A további információkat javascripttel kell lekérdezni, ami történhet egy lépésben is, ha van egy vizsgálat és a program javascript engedélyezése esetén további adatokat próbál meg összegyűjteni a kliensről. Itt most hosszan lehetne tovább sorolni, hogy az itteni információk után merre érdemes elindulni. Ha pl engedélyezett az ActiveX és a böngésző MSIE, akkor azon belül még sok mindent le lehet kérdezni az kliensről, stb. De ha pl mobiltelefon a kliens, akkor más dolgokkal kell próbálkozni.
Lehet egy gyors port scan-t is futtatni, néhány kritikus portra azt ellenőrizendő, hogy van-e tűzfal a gép előtt, ill. be van-e a gépen kapcsolva a tűzfal. De ez már attól is függ, hogy milyen kliens platformmal állunk szembe. A példánknál maradva a következőt látjuk : A platform windows7, tehát a backdoor-t erre kell kihegyezni. Ráadásul 64 bites úgyhogy érdemes erre is figyelni. Ezen kívül engedélyezve van a JavaApplet, esetleg azon keresztül lehet valamilyen visszafelé hatoló támadást kivitelezni. Ha a böngésző verziója nem a legfrisebb lenne, akkor böngésző elleni támadást is meg lehet próbálni - de manapság már elég ritka az ősrégi böngésző használata.

A következő lépésben már érdemes a saját web oldalunkra irányítani az áldozatot, mert így sokkal nagyobb mozgásterünk lesz. Eddig tulajdonképpen csak a felderítés és az információszerzés történt meg. Ha az eredmény nem volt megfelelő, akkor esetleg újra meg lehet ismételni egy másik linkkel az információszerzést.

Advanced phishing attack - V. Információ gyűjtés

Az információgyűjtést többféle módon is elvégezhetjük. Amennyiben free webhostingot használunk, akkor oda elhelyezhetünk egy php scriptet ami megpróbálja a lehető legtöbb információt begyűjteni a rácsatlakozó kliensről. Ip cím, böngésző típusa, verziója, operációs rendszer típusa, javascript lekérdezések és az eredmények tárolása egy file-ba.
Amennyiben a saját gépünkre mutat az elküldött link, akkor itt futtathatunk passzív os fingerprintet és egyből tudunk egy portscannert is futtatni az adott ip címre sebezhetőségek után kutatva. (bár ez a legtöbb esetben nem jár eredménnyel, mert már a legalapvetőbb otthoni routerek is meggátolják a portscan-t illetve ha be van kapcsolva a windows tűzfal, akkor se fogunk látni semmit. De mindenesetre egy próbát megér.)
Ezt a lépést megfelelően elő kell készíteni, mert nem lehet sokszor megismételgetni. Egy alkalommal kell a lehető legtöbb információt begyűjteni a kliensről.

Az információ gyűjtését egy célzott php kóddal a legcélravezetőbb megoldani. Készíteni fogok majd egyet és kiteszem ide. Addig is meg lehet próbálkozni a Piwik-el. Ez ugyan ágyúval verébre történő dolog, de lehet, hogy gyorsabb megcsinálni mint előállítani a php file-t és kiértékelni az adatait.
A Piwik-et fel kell tenni bármelyik free webhost-ra, be kell konfigurálni, majd a kérdéses oldalra fel kell tenni a javasript futtatóját. Ezután már csak várni kell, hogy az áldozat rákattintson az oldalunkra.

A példa kedvéért erre az oldalra feltettem, hogy aki idejön meg tudja nézni, hogy mit lehet látni ezen keresztül :



http://allasszerzo.hu/piwik/index.php?module=CoreHome&action=index&idSite=2&period=day&date=today#module=Live&action=getVisitorLog&idSite=2&period=day&date=today

Látható, hogy nem cak azt tudja megmondani, hogy melyik internetszolgáltatótól jött a kliens, de még a telepített bővítményeket is ! (Az ip cím csak itt nem látszik, egyébként természetesen azt is meg tudja mutatni.) A Piwik haználata kicsit túlzásnak tűnik, de kétségtelen, hogy a célnak megfelel. elég sok mindent összegyűjt a kliens gépről. Pont annyi információt mint amire szükségünk lehet. Operációs rendszer típusa, böngésző típusa, verziója, telepített bővítmények listája, stb.

(Ha valakit érdekel, hogy az ő gépéről mit tud megmondani a piwik, akkor csak meg kell keresnie magát a listában - időpont szerint :)

Advanced phishing attack - IV. Válaszra bírás.

Milyen módon lehet valakit válaszadásra késztetni ?
- Olyan kérdést feltenni amire nemleges a válasz. PL : Te vagy az a .... aki .... ? Ha nem kérlek válaszolj egy szimpla NEM-el, mert nekem nagyon fontos lenne , .....
- Olyan ajánlatot küldeni amire a válasz nemleges. pl: Akar-e ön .... ? Amennyiben az ajánlat nem érdekli kérem küldjön egy sime NEM választ. ellenkező esetben küldöm az ajánlatunk további részleteit egy hosszabb levélben...
- Nem ismered véletlenül a .... ? Ha nem, akkor kérlek válaszolj egy sima NEM-el, mert nekem fontos lenne ....
- stb....

Több olyan szituációt el lehet képzelni amikor az illető válaszolni kénytelen a levélre de csak nagyon röviden. Erre gyakorlatilag bárkit rá lehet venni egy kis kreativitással. Amennyiben válaszol, abban az esetben némi információt lehet szerezni a levelezési környezetéről. használ-e külön klienst vagy a weben levelez, stb. Ez a lépés elsősorban azért fontos, mert előkészíti a következő lépéshez a terepet. Ugyanis lehetséges, hogy egy ember több gépet is használ folyamatosan. Bent a cégnél egy asztali gépet / laptopot vagy az okostelefonját vagy az otthoni gépét. A válasz időpontjából lehet következtetni rá, hogy honnan jött a válasz. Munkahelyről vagy otthonról, esetleg az is látszik, hogy telefonról vagy számítógépről. Ennek alapján el lehet dönteni , hogy a következő levelet mikor érdemes küldeni (pl ha azt akarjuk, hogy az otthoni gépéről válaszoljon, akkor lehet, hogy célszerű munkaidő után küldeni a levelet feltételezve, hogy még aznap válasz érkezik rá.) Ha csak több nap után érkezik válasz abból pedig arra lehet következtetni, hogy nem mindennap olvassa el az illető a postafiókját. Lehet, hogy ezt a lépést esetleg meg kell ismételni , hogy még több információhoz jussunk.

A klikkelésre bírás is ehhez hasonlóan működik. Valami olyasmit kell küldeni a felhasználónak amire nagy eséllyel rá fog klikkelni.
Pl : Az ön e-mail címével feliratkoztak erre és erre a levelezési listára. Amennyiben ez az ön tudta  és beleegyezése nélkül történt az alábbi linkre kattintva tud leiratkozni:.  link.
blablabla

A különböző variációk helyett inkább azt nézzük majd meg a következő bejegyzésben, hogy az ilyen linken minek kell lennie amivel információhoz tudunk jutni. Feltételezve, hogy a levél jó időben érkezik és az áldozat azon a gépen fog klikkelni aminek az irányítását meg akarjuk szerezni. (Ez nem mindegy, hogy az otthoni gépe a céges gépe vagy pedig az okostelefonja...)

Advanced phishing attack - III. Teszt (SPAM) levél

A teszt levél tulajdonképpen csak azt a célt szolgálja, hogy megtudjuk az adott e-mail cím tényleg létezik-e és az oda küldött levelek nem pattannak-e vissza valamilyen hibaüzenettel. (pl betelt a kvóta vagy nincs ilyen felhasználó, esetleg más fontos hibaüzenet)

A célrendszer felderítéséhez ilyenkor meg lehet próbálni a spam helyett egy biztosan nem létező cím-re is küldeni egy levelet, hogy látni lehessen a levelező szerver milyen választ ad ilyenkor.

Fontos, hogy olyan címről kell küldeni a levelet amire a kapott választ el is tudjuk olvasni. Erre létre lehet hozni egy különálló e-mail címet valahol.
El lehet szórakozni azzal, hogy a levél eleve a spam tárolóban landoljon (olyan tartalommal kell küldeni ami biztosan spam-nak lesz minősítve és a felhasználó nem is értesül róla vagy olvasatlanul kitörli.) Ez csak arra jó, hogy nem kelt gyanút. A legfontosabb, hogy a teszt levél ne teszt levélnek, hanem spam-nak tűnjön. Egy teszt gyanús lehet míg egy spam levéllel senki nem fog különsebben foglalkozni.

Advanced phishing attack - II. Felderítés

A felderítésről sok szót nem érdemes vesztegetni , egyszerűen rá kell keresni az adott e-mail címre a különböző keresőkben és ha van valami találat azt ki kell értékelni. A következő lépés, hogy megpróbáljuk analizálni az e-mail címet. A felhasználói név (username) elárulhat bizonyos dolgokat az áldozatról. (pl név, becenév születési idő, kedvenc hobby, stb) Az, hogy mit választ valaki nick névnek egy e-mail címbe (amit minden nap használ) elérul róla egy-két dolgot. Tart-e valamit fontosnak amit visszatükröz a nevében van-e valami speciális érdeklődési köre, stb. Az e-mail cím második része (a @ utáni) pedig elárulja, hogy hol van a postafiókja melyik szolgáltatónál. Itt két eset lehetséges : publikus szolgáltató vagy nem publikus (céges) levelező rendszer. Amennyiben publikus szolgáltartóról van szó célszerű nyitni oda egy e-mail fiókot, hogy lássuk azt a felületet amit feltehetően a felhasználó is használ levelezéskor. Megtudhatunk pár dolgot ezzel kapcsolatban. elérési lehetőségeket (csak webes mail vagy pop3-on , imapon is elérhető?) tárhely korlát, kinézet, feature-k, stb. Ráadásul itt is működik a "hasonlóság" pszichológiája. Ha egy freemail-esnek küldünk levelet egy szintén freemail-es címről ezzel máris azt sugalljuk, hogy van bennünk valami közös. Ha más nem, akkor az, hogy a levelező szolgáltatónk megegyezik. Ezeket az információkat különböző trükkökkel lehet felhasználni social engineeringben. Amennyiben a levelezési cím nem publikus - vagyis céges, akkor ezek a feature-k nem használhatóak helyette azt kellene kideríteni, hogy az adott céges levelező milyen alapokon működik (outlook, exchange  vagy más gyakori vállalati levelező rendszer) ennek is célszerű utánajárni még az elején. A második része az e-mail címnek azt is elárulja nekünk, hogy hol lehet a levelező szerver. Ha pl .com-ra végződik, akkor feltehetően külföldi illetőségű a cég ha pedig .hu-ra végződik, akkor valószínű, hogy magyar székhelyű céggel van dolgunk. Mivel nem a levelezőszerver a célpont ennek sok jelentősége nincs, de ez is egy részlet amit érdemes tudni. (PL: más törvények vonatkozhatnak egyik, ill a másik szolgáltatóra mert más-más országban van a működtető cég székhelye)

UPDATE : Figyelem, az oldalon beizzítottam egy számlálót (Piwik) és azt jelzi, hogy a klienseken engedélyezve van a Java. Ezt hamar ki kellene kapcsolni, mert a Java-ban van egy security hole amit tudomásom szerint eddig még nem orvosoltak vagyis azon keresztül lehet támadni a klienseket. Tehát azt javaslom az idelátogatóknak, hogy a Java-t kapcsolják ki a böngészőben! Ha nem tudja valaki, hogy hogy kell, akkor google-ban keressen rá...

Advanced phishing attack. - I. Lépések

A következőkben egy advanced phishing támadás lehetséges lépéseit fogom bemutatni. Hogyan lehet egy ilyen támadást végrehajtani és mi szükséges ehhez.

FIGYELEM ! A valóságban egy ilyen támadás végrehajtása törvénybe ütköző cselekmény! 

Az itt közreadott információk elsősorban oktató célzattal születtek, hogy az ilyenfajta támadások ellen védekezni lehessen valahogy.

A korábbi "phishing alapok" című írásban láthattuk, hogy milyen egyszerű egy klón oldalt létrehozni és azon keresztül milyen egyszerű jelszó tartalomhoz hozzájutni. Ebben a bejegyzésben egy összetett támadás lépései lesznek vázolva.

A támadás célja megszerezni az irányítást az áldozat gépe fölött. Bejutni a gépre és ott backdoor-t vagy rootkitet elhelyezni és teljes ellenőrzés alá venni a számítógépet. Ez egy bonyolult támadás és sok minden kell hozzá. Elsősorban INFORMÁCIÓ. Információk kellenek az áldozat-ról, hogy a támadást kivitelezni lehessen. Az első és legalapvetőbb információ az e-mail cím. Amennyiben nem ismert az áldozat e-mail címe nem lehet neki e-mailt küldeni és így nem is tud a támadó célzott támadást kivitelezni. E-mail cím nélkül is lehet támadásokat véghezvinni, de azok általában nem célzottak, hanem bárki ellen irányulnak aki letölt egy káros szoftvert vagy rákattint egy fertőzött weboldalra. Ezzel most nem foglalkozom csak a célzott támadással ahhoz pedig minimálisan egy e-mail cím szükséges.

A támadás lépései :
  1. E-mail cím megszerzése
  2. Felderítés (e-mail címre rákeresés a keresőkben)
  3. Teszt (SPAM) e-mail küldése (e-mail cím helyességének ellenőrzése, ill qouta,stb vizsgálat)
  4. Válaszra bírás (olyan e-mailt kell küldeni amire az áldozat feltehetőleg válaszol)
  5. Kattintásra bírás (olyan e-mailt kell küldeni amiben szereplő linkre rákattint az áldozat)
  6. Információk rendszerezése, célzott támadás megtervezése
  7. Célzott támadás. Attachmentben történő küldéssel vagy link-kattintásos módszerrel.
A fentiekből mindegyik lépés szükséges de a legfontosabb talán az amikor távolról próbáljuk meg felderíteni az áldozat erőforrásait. 

A célzott támadás többféle módon is  kivitelezhető. Az egyik lehetőség, hogy reverse_tcp kapcsolattal visszaküldjük az áldozatot a gépünkre. Erre példa a link-kattintásos módszer, amikor olyan linket küldünk a levélben amire rákattintva a mi oldalunkra jut az áldozat és itt különböző módszerekkel lehet támadásokat intézni a gépe ellen. Ennek kivitelezése a korábban összegyűjtött információktól függ. Lehet a böngészőt támadni, vagy ha nincs tűzfal mögött a gép akkor közvetlenül a gépet. Amennyiben a böngészőjén nincs hiba és tűzfal mögött van, akkor csak az attachment-ben küldött programmal lehetséges támadást intézni. Illetve ekkor még mindig meg lehet próbálkozni böngésző-pluginbe rejtett támadással de ez nagymértékben függ attól, hogy milyen böngészőt használ az áldozat. Az attachmentben küldött programnak mindenképpen olyannak kell lennie, amit a vírusirtók nem blokkolnak és ami vagy nyit egy kaput a gépen vagy nyit egy állandó reverse_tcp_shell kapcsolatot a mi gépünkre. Itt a fő problémát a kliens beépített tűzfal és a telepített vírusirtó okozhatja. A tűzfal blokkolhatja kifelé a kapcsolódást illetve a vírusirtó likvidálhatja a küldött programot. Az egyszerűség kedvéért én csak Windows operációs rendszerű gépekkel fogok foglalkozni de természetesen a lépések ugyanúgy működhetnek Mac és Linux esetén is (ezt meghagyom másoknak), sőt okostelefonokra androidra és tabletpc-re is végre lehet hajtani a támadást. (Ezekkel én most nem foglalkozom) Az 1. és a 2. lépésről sok különöset nem írok, mivel ezek triviális dolgok. A 3. lépésről is csak annyit érdemes megjegyezni, hogy itt csak azt derítjük ki, hogy létezik-e az adott e-mail és nincs-e betelve a postafiók kvótája, stb) A 4. lépéről pedig annyit kell tudni, hogy egy olyan hangvételű levelet kell küldeni (bármi lehet az) amire mindenképpen reagálni akar az áldozat. Lehet egy "Köszönöm", egy "Nem óhajtom" vagy bármi a reakció a lényeg, hogy olyan üzenetre van szükség amire mindenképpen szükségét érzi reagálni. Az 5-ös lépés is ehhez hasonlóan olyan levél kell legyen amire feltehetőleg a reakció a levélben történő linkre való rákattintás lesz. Majd próbálok a bemutatóban példákat felhozni hogy világosabb legyen, hogy miről van szó.

Advanced Hacking Lab

A mostani bejegyzés a firewalking-ról és egy kicsit még az OS fingerprinting-ről szól. A kísérletezéshez fel kell állíítani egy olyan laborkörnyezetet ahol a valósághoz közeli állapotok vannak. Egy tűzfal, egy belső gép, ill egy külső gép. Ez egy nagyon leegyszerűsített infrastruktúra.
A videó bemutatja, hogy hogy kell egy ilyen labor környezetet létrehozni és használni. Az ASA firewall beállításának parancsaira nem térek ki, de ezt meg lehet találni ASA dokumentációkban.
A példában routed firewall módban fut a tűzfal. Nincs NAT, csak egy sima szabály van befelé a 80-as és a 443-as portra és kifelé pedig teljes ip elérhetőség a külső hálózatra. A firewalking lényege tulajdonképpen csak annyi, hogy a tcp portscan-re adott válaszból lehet következtetni a tűzfal szabályokra. Ahol Sin-ack a válasz, ott át van engedve a forgalom és a cél ip címen figyel a szolgáltatás, ahol reset a válasz, ott át van engedve a forgalom, de a cél ip címen zárva van a port, ahol pedig nem jön válasz az a port filterezve van a tűzfalon vagy a cél ip címen nincs gép.
A példában a 443-as port reset válasza az érdekes, mert ez azt jelenti, hogy a tűzfalon át van engedve a kérés de a cél gépen nincs ilyen port nyitva. ennek oka kettő lehet : Ott maradt egy tűzfal szabály az adott gépre, de közben a szolgáltatást leállították vagy a tűzfal szabály nem egy gépre vonatkozik és más ip címekre lehet próbálgatni a bejutást az adott porton.A való életben a 25-ös (smtp) és/vagy az 53-as (udp/tcp ~ dns) porttal lehet kísérletezni, de a 80-as és 443-as port is érdekes lehet web szolgáltatások felderítése céljából.Ezzel a módszerrel ottfelejtett szabályokat vagy nem körültekintően végzett beállítások nyomán keletkező hézagokat lehet felfedni.

Az OS fingerprintnek pedig megmutatom egy olyan alkalmazási lehetőségét, amikor a tűzfal mögül jön a gép a mi gépünkre és annak az operációs rendszerét szeretnénk megtudni. ez esetben azt kell elérni, hogy az illető gép a mi gépünkre küldjön csomagokat. Erre való az XSS. XSS-ről majd a phishing kapcsán egy bővebb bejegyzésben meg fogok emlékezni. Szóval a tűzfal mögül jön a gép és annak az operációs rendszeréről szeretnénk megtudni minél többet. Ennek egyik módja az itt bemutatott módszer. Persze a való életben ehhez fix ip cím kell és az, hogy a gépek működjenek amikor jön a távoli gépről a kérés.


2012. október 2., kedd

Aktív - Passzív OS fingerptinting tool : Net-SinFP3

A multkor már bemutattam egyet (p0f) amit az nmap mellett lehet használni. Most flinstalláltam a Net-Sinfp3 csomagot. Nagyon hatékony kis tool főleg aktív módban működik jól,mert passzív módban nekem főleg az én gépemet tudta detektálni amiről futtattam a kéréseket :) Elegendő a target hoston egyetlen egy nyitott port és háromféle kérésből próbálja meg megállapítani az op.rendszer típusát.

Itt a link a tool-hoz :
http://www.networecon.com/blog/2012/09/21/SinFP3-operating-system-fingerprinting-tool-released/

Itt a leírása :
http://patriceauffret.com/files/publications/jcv.pdf

Az installálásnál a cpan Net::Libdnet-el kell egy kicsit trükközni :

http://www.perlmonks.org/?node_id=689417

dpkg -L libdumbnet-dev
cp /usr/include/dumbnet.h /usr/include/dnet.h
cp /usr/lib/libdumbnet.so /usr/lib/libdnet.so

Ez után már megy a modulok installálása és a perl Makefile.PL , majd simán fel tudjuk installálni.

Aktív módban futtatva :
sinfp3.pl  -target 192.168.75.101 -port 80 -input-ipport -verbose 1 -active-1
sinfp3.pl  -target 192.168.75.101 -port 80 -input-ipport -verbose 1 -active-2
sinfp3.pl  -target 192.168.75.101 -port 80 -input-ipport -verbose 1 -active-3 (<-ez a default)

Passzív módban :

sinfp3.pl -mode-passive -device eth1 -search-passive -input-sniff -verbose 1

Nagyon használható kis tool.

A pfsense-t beazonosította FreeBSD-nek, a Kioptrix3-at pedig linux 2.6.20-nak azonosította (100%-os becsléssel) és valóban a gépen 2.6.24-es linux van. (A Backtrack-emet pedig linux 3.0.0/3.2.0-nak <- az 3.2.6-os volt)