2012. október 20., szombat

Advanced Phising attack - plan

No. Elérkezett az ideje, hogy egy komolyabb sorozatba kezdjek. Ez nem egy öt perces projekt lesz és el fog tartani egy darabig amire minden eshetőséget kivesézek. Az anyagokat megpróbálom videón prezentálni a könyebb érthetőség kedvéért. Persze lesz hozzá némi magyarázat is, de megpróbálok majd minél érthetőbben dolgozni a felvételeken. A támadásoknál inkább arra fogok kitérni, hogy milyen védelemmel lehet esetleg az adott akciót meggátolni.

A terv nagyvonalakban a következő lenne:

Kliens felderítés (ez attól függően, hogy hogy sikerül összehozni, egy kettő vagy több videó lesz.) A felderítés lépései lesznek benne megörökítve. Milyen adatokat kell megtudni a kliensről, ami alapján el lehet tervezni egy támadást.Operációs rendszer típusa, böngésző típusa, bővítmények verziója, ip cím, tűzfal, antivírus védelem, stb. (Mivel ez az egész támadás alapja ezzel el fogok időzni egy kicsit.) Mondhatnám azt is, hogy ezen áll vagy bukik maga a támadás, mert egy ismert hibát kihasználni már jóval egyszerűbb feladvány mint magára a hibára rábukkanni. És mivel itt kliens oldali hibákról beszélünk ezért kicsit más módszereket kell alkalmazni mint egy szerver sebezhetőség vizsgálatnál.(de az elvek hasonlóak) Mivel a fejem nem káptalan és én is tévedhetek, lehet, hogy az idő előrehaladtával a felderítésre vissza-vissza fogok térni (mikor rájövök, hogy egy fontos lépés kimaradt ami a támadás kivitelezéséhez alapvetően szükséges lenne :)

A felderítés eredménye alapján többféle támadási módszer lesz bemutatva. Lesznek operációs rendszer hibáját kihasználó támadások, böngésző bővítmény elleni támadás, böngésző bővítmény telepítéses támadás, remote keylogger telepítés, remote access trojan telepítés, javascript, activex-en keresztüli támadások, stb...(megpróbálok mindent összegyűjteni amit csak el lehet képzelni)

Ehhez eléggé fel kell készülni, teszt e-mail címeket és teszt virtuális környezeteket létrehozni, azokat a megfelelően bekonfigurálni, a támadásokat alaposan megtervezni, kivitelezni, felvenni videóra összevágni, zenét alátenni, stb. Ez egy komolyabb projekt lesz ami akár több hónapig is elhúzódhat.
Szeretnék minden egyes lépést alaposan kidolgozni és körbejárni. Az elkövetkezendőkben ezzel fogok foglalkozni - ha csak közbe nem jön valami.

Ez a terv:) de ahogy mondani szokás: "Ember tervez, Isten végez" - úgyhogy majd meglátjuk, hogy meddig sikerül eljutni.

UPDATE:

Ezekre a linkekre most bukkantam - nagyon idevágó információkat tartalmaznak : (Böngésző felderítéssel kapcsolatban)

https://blog.whitehatsec.com/i-know-a-lot-about-your-web-browser-and-computer/

http://www.visiblerisk.com/blog/2012/7/2/passive-browser-fingerprinting.html

http://marcoramilli.blogspot.hu/2008/05/client-fingerprint.html

http://www.computec.ch/projekte/browserrecon/?s=documentation

http://browserspy.dk/

http://www.youtube.com/watch?v=Cyu8_AUe7CA

http://www.cio.wisc.edu/Born_LockDown2011.pdf

https://panopticlick.eff.org/browser-uniqueness.pdf 

http://www.w2spconf.com/2011/papers/jspriv.pdf

http://defcon.org/images/defcon-17/dc-17-presentations/defcon-17-egypt-guided_missiles_metasploit.pdf

--------------------------------

http://www.offensive-security.com/metasploit-unleashed/Browser_Autopwn

Nincsenek megjegyzések:

Megjegyzés küldése

Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.