2012. október 24., szerda

A megszerzett adatok elemzése

Néha a blog hasonlít egy Tarantiono filmhez, mert össze vissza ugrálok a gondolatmenetben és az időben. Ez azért van, mert amit éppen fontosnak tartok azt írom le. Szóval nézzük most a megszerzett adatok kielemzését. Az első adat az IP cím. Ebből következtetni lehet, hogy az illető a saját címét használja-e vagy proxy-t. Nem lehet 100%-osan megállapítani, de azért érdemes megnézni, hogy az ip cím hova mutat. Ezt az információt egy további támadás elemzése előtt még fel lehet használni.
A következő mezők, operációs rendszer típusa, 32 vagy 64 bites. Ez is egy fontos információ mert vannak programok amik csak XP-n vagy csak Win7 alatt futnak és nem is mindegyik tud 64 bites gépen elindulni. Ha olyan programot küldünk valakinek, ami el sem indul, akkor nem sok eredményre jutunk. Az is egy fontos információ, hogy a vizsgált port open vagy closed állapotban van-e. Amennyiben nyitva van, akkor akár egy ősrégi netapi támadással is be lehet menni a gépre. Ha zárva van, akkor valószínűleg be van kapcsolva a tűzfal vagy egy Wifi/kábeles router mögül használják a netet. (Ezt is ki lehet deríteni - erről is lesz szó később) Aztán jön a böngésző verziója. Ha régi, akkor meg lehet próbálni az autopwn támadást. Ha friss, akkor a feltelepített pluginokat kell megnézni. Ha van Java, akkor további információhoz lehet jutni JavaApplet alkalmazásán keresztül. Ha engedélyezve van az ActiveX, akkor annak a segítségével lehet még több információt kicslogatni a kliensből. Ha van flash plugin, akkor flash lapon keresztül lehet támadást intézni vagy további információkat megszerezni. Ha van pdf plugin, akkor pdf-be rejtett payload-al lehet próbálkozni. Ha vannak a pluginek mellett bővítmények (addonok, extensionok) is telepítve, akkor esetleg egy általunk készített vagy preparált addon telepítésére is rá lehet bírni a felhasználót aminek a segítségével megint csak hozzá tudunk férni még több információhoz.(kicsit sok lett a Ha :) Azt is meg tudjuk állapítani, hogy valaki privát böngészó módot használ-e vagy sem és ha nem, akkor konkrétan kiválasztott webhelyeket vajon meglátogatta-e már vagy sem.

Nézzünk pár képet az idelátogató felhasználók böngésző használatáról :









(Látható, hogy elég sok böngésző verzió ellen lehetne sikeres támadásokat kivitelezni, de a legtöbben a Chrome 22.0-t ill a Firefox legújabb verzióit használják. )


 Ha semmiképp nem tudunk a közelébe férkőzni az adatoknak, akkor nem marad más hátra mint, hogy egy jól megtervezett phishing-el szerezzünk jelszót email fiókhoz és/vagy egyéb webes alkalmazáshoz (pl: facebook) és ezen keresztül lehet információkat szerezni. Az így begyűjtött információk segítségével egyéb támadásokat lehet megtervezni. Pl elküldünk egy programra mutató linket, amiben egy módosított kód fut. Olyan link kell legyen, ami nagyon érdekli az illetőt. Valami titkos leírás, egy jó játék (esetleg annak kiegészítője) rég keresett cd album, film, stb. Hogy ez mi azt az előzetes felmérés alapján lehet kideríteni. Kellő felderítés nélkül ugyanis az így elküldött linkek a kukában landolnak , olvasás nélkül törlődnek. A távolról történő támadásoknál az esetek nagy részében igen nehéz dolga van a támadónak, mert több védelmi réteget is ki kell játszani ahhoz, hogy információkhoz jusson. Ez nehéz, de nem lehetetlen. Minél több védelmi réteget használ valaki annál nehezebb behatolni a rendszerébe. A káros kód az egyik védelmen átjut, de egy másikon elbukik. A következő cikkben tovább finomítjuk az információ szerzési módszerünket és célzott adathalászatot végzünk adott böngésző típusokra. Külön kell kezelni az IE a Firefox és a Chrome használatát (ezeket használják a legtöbben) amennyiben valaki más verziót használ, ellene nehezebb adathalászatot végezni, de persze ott sem lehetetlen. ezzel nem igen foglalkoznék, mert elég ritka és nem éri meg a fáradtságot. Az emberek zöme az említett 3 böngésző közül az egyiket használja tehát erre fogom fókuszálni a technikákat.

Nincsenek megjegyzések:

Megjegyzés küldése

Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.