- 15
- 8
- 2 Окт 2018
Для просмотра ссылки Войди или Зарегистрируйся
Я рад представить сегодняшнюю тему «Как поиметь плохих парней и мафию, используя JavaScript ботнет». Сначала я хочу представить себя и мою страну – я Чема Алонсо, работаю в маленькой компании под названием Informatica64. Я также занимаюсь безопасностью Microsoft и живу в Испании.
Если вы ещё не были в Испании, то обязательно должны её посетить, здесь есть множество мест, заслуживающих внимания. Это Мадрид, город, который никогда не спит, вы видите его на первом слайде, он меньше, чем Нью-Йорк. Это Барселона со своим удивительным храмом Святого Семейства, и, конечно же, Памплона, где люди убегают от разъярённых быков. Здесь всего одно правило: если ты пьян, не беги! А так всё просто: вы просто должны бежать быстрее, чем бык.
Если вам нравятся особые праздники, то вот битва томатов Томатина. Я не уверен насчёт истории этого обычая, но вам всего лишь требуется кидаться помидорами, и это довольно интересно. Да, такова Испания!
Давайте начнём нашу тему. Она довольно проста: создайте ботнет, и всё. Кто из вас подумывал о том, чтобы создать ботнет? А кто его реально создал? Так, понятно, только я. Идея создания ботнета довольно интересна, но я ленивый человек. Я из Испании, поэтому это нормально. Кроме того, у нас нет денег, у нас не было «дня зеро», мы не ФБР или АНБ, которые могут бесплатно пользоваться сетями, и мы не Google, Apple или Microsoft, чьё оборудование существует по всему миру.
Если подумать, это довольно распространённая в интернете тема. Индустрия вредоносного программного обеспечения широко распространилась за последние 5-10 лет с помощью мошеннических антивирусов и трюков социальной инженерии, так почему бы ботнету не сделать подобный трюк?
В основе ботнета заключена идея атаки «человек посередине» с использованием перехвата сообщений между клиентом и сервером. Достаточно захватить канал, и мы получаем тотальный контроль. Можно использовать различные сценарии сетевого захвата: ARP-спуфинг, мошеннический DHCP в сетях с поддержкой IPv4 или IPv6, спуфинг ICMPv6, атака SLAAC, спуфинг DNS и так далее.
Мы опубликовали новый инструмент для атак «человек посередине» под названием Evil FOCA, один клик – и всё готово. И конечно, если вы можете настроить DNS, то можете совершить атаку «человек посередине».
Существуют сложности, потому что вам приходится иметь дело с большим количеством интернет-провайдеров и большим количеством сетей. Одним из наиболее используемых приёмов несколько лет назад стал способ «человек в браузере», это некое расширение технологии атаки «человек посередине».
В течение длительного времени русская хакерская школа успешно использовала этот приём при помощи Internet Explorer 6 с известным плагином Browser Helper Objects (BHO), компонентом Active X, который позволял открывать файлы, изначально предназначающиеся только для браузера. Они создавали вредоносные программы, маскирующиеся под BHO. Это позволяло получить доступ ко всем данным, перехватывать вводимые с клавиатуры пароли и коды, в первую очередь для соединений между банковскими учреждениями. Поэтому этот банковский троян стали называть «Русские в моём браузере IE».
Это очень распространённый способ атаки путём конфигурирования специального троянского XML-файла, простой, но отлично работающий.
Итак, нам нужно было написать такой код, который бы не обнаруживался антивирусными системами, но мы решили, что для нас это очень сложно. Поэтому мы решили использовать так называемый «отравленный кэш браузера», или атаку способом «JavaScript посередине» и назвали её «человек во вкладке». Идея довольно простая.
Если вы не в состоянии контролировать весь браузер, то можно запустить JavaScript в одной пользовательской вкладке, при этом вы сможете проделать множество вещей. Вы сможете получить доступ к коду, модифицировать HTML, получить доступ к полям форм, вы можете управлять вкладкой и так далее.
Особенностями атаки «JavaScript посередине» являются:
Существует очень известный проект – фреймворк эксплойтов браузера BEEF. Он позволяет проделывать множество интересных вещей, например, вставлять маленький кусочек кода JavaScript в браузер пользователя, чтобы отравить кэш.
Проблема заключается в том, что нам нужно сконфигурировать его в интернете, что довольно сложно, если нужно заразить множество сетевых ботов. Так что наша идея была более простой — создать ботнет JavaScript при помощи Scratch.
Исходя из идеи среды, которая конкретно заражает файл JavaScript, мы в первую очередь решили, что лучшим способом создания ботнета будет, если боты осуществят принцип «proprio motu», то есть «по собственной инициативе», не используя «человека посередине», а используя самих пользователей. Мы решили сосредоточиться на сети TOR и прокси-серверах, используемых в Интернете.
Идея этой сети проста – если вы последний на линии, то можете получить доступ ко всему контенту, перехватывая все соединения.
Для ее реализации мы собрали машину, которая была ”человеком посередине", и зарегистрировали её как узел TOR и как анонимный прокси сервер, и в обоих случаях проработали какое-то время. Тем не менее, мы должны сказать, что наша вредоносная активность в качестве узла TOR была обнаружена, что привело к игнорированию нашего IP-адреса.
Для реабилитации нам предложили пройти тесты, создать тестовую сессию и так далее, что показалось нам слишком сложным, ведь мы же испанцы. Поэтому следующей вещью, которую мы сделали, было создание собственного прокси сервера. Это достаточно просто, потому что прокси имеет не такую большую инфраструктуру, как TOR, это всего лишь автономный сервер, к которому пытаются присоединится пользователи.
Мы изучили в интернете все руководства по анонимного прокси-сервера и поняли, что это готовая схема «человек посередине». Создав прокси-сервер, через который люди пытаются соединится с интернетом, мы получили возможность собирать все данные и инфицировать все браузеры.
Первое, что мы сделали, это арендовали прокси-сервер в интернете. Конечно, мы подумали о его функциях, нам не нужен был «игрушечный» сервер с Pirate Bay или Amazon, мы помнили про Wikileaks, но нам не нужен был и мегамощный сервер. И ещё мы решили, что лучше пусть он находится в стране, где нет законов. Мы решили арендовать сервер в Афганистане, Иране, Казахстане или в Испании (аплодисменты и смех в зале).
После того, как мы арендовали сервер, мы принялись его настраивать. Это должен был быть простой сервер на основе Apache и SQUID прокси. Далее при помощи этого сервера мы собирались инфицировать все файлы JavaScript одним маленьким кусочком кода, занимающим всего пару строк.
Как только пользователь подсоединялся к нашему серверу, мы заходили на сайт и получали страницу ответа, которая содержала файл JavaScript. Мы возвращали пользователю практически оригинал JavaScript, добавив в него всего 2 строчки «полезной нагрузки». При этом мы не хотели использовать такую известную в интернете вещь, как BEEF, а просто вставляли две строчки кода во все файлы JavaScript, которые проходили через наш прокси-сервер.
Всё, что нам нужно было сделать, показано на следующем слайде.
Мы сконфигурировали «полезную нагрузку» в нашем SQUID прокси и удалили в файле-конфигураторе Apache-сервера политику истечения срока действия, потому что после того, как JavaScript инфицировал браузер, эта «инфекция» должна была остаться там навсегда.
Далее мы создали собственно скрипт, показанный на следующем слайде, который заражает файлы JavaScript.
Мы копировали файлы, добавляли в них скрипт pasarela.js и отсылали эти обновлённые файлы клиентам на IP-адрес с помощью print «http:// ……». Это очень маленький кусочек кода, полный уязвимостей, но он работает. Сам скрипт под названием Pasarela, который копировался во все файлы JavaScript, выглядит так, как показано на следующем слайде. Всё что он делает – это загружает отравленный payload.php с вредоносного сервера и сообщает о своей идентификации, загружая изображения с jsonip.php.
В коде можно было посмотреть, был ли создан элемент или нет. Цель состоит в том, чтобы не запускать pasarela.js более одного раза на одной странице. Поскольку мы как порядочные люди не хотели причинить вред пользователям, мы опубликовали на главной странице сервера следующее обращение ко всем клиентам, которые собирались воспользоваться услугами нашего прокси-сервера.
«ВНИМАНИЕ! Этот прокси-сервер используется для исследований в области интернет-безопасности. Все файлы JavaScript будут заражены и все ваши данные будут собраны. Если вы хотите оставаться в безопасности, не используйте этот прокси-сервер. Если вы это делаете, то не посылайте конфиденциальную информацию. Если вы всё-таки решили им пользоваться, учтите, что делаете это на свой страх и риск».
Если вы не хотите потерять свой пароль или свои персональные данные, не пользуйтесь нашим сервером! Это очень хорошая политика безопасности. Более-менее аналогичную политику безопасности используют в армии – вы видите похожее предупреждение на сайте Инженерного корпуса армии США, так что мы поступили вполне законно.
Итак, мы опубликовали свой прокси-сервер в интернете и написали, что это открытый прокси, и что каждый может добавить свой прокси в нашу базу данных. Вы видите, что у нас есть вкладки со списками разных прокси, сортировка их по стране, по порту, есть вкладка избранных прокси.
Идея заставить «плохих парней» пользоваться нашим вредоносным прокси-сервером была очень проста: мы зарегистрировали его в одном списке прокси-серверов. Уже давно и во многих сайтах и блогах, рекомендуется использование прокси серверов для получения анонимного IP-адреса, что является общим для многих из нас. Мы выбрали сайт случайным образом и зарегистрировали IP-адрес с портом 31337, чтобы привлечь немного больше внимания.
Эти сайты со списками прокси-серверов выполняют тестирование безопасности новых прокси-серверов, но тест не так сложен, как в сети TOR. На самом деле, дело не в том, зарегистрирован прокси-сервер для проведения тестов или нет, но как только он попадает в такой список протестированных серверов, тут же подключаются сотни сайтов и приложений, которые загружают эти списки без какой-либо проверки безопасности.
Достаточно просто пройти первый тест, например, тест соединения и функциональности, и «магия Интернета» сделает так, что ваш IP-адрес в качестве доверенного появляется на тысячах сайтов, что и произошло с нашим IP-адресом. На следующем слайде показано, что наш мошеннический IP- адрес появился на тысячах сайтов.
Вы видите, что наш IP-адрес появился в выдаче поискового запроса 1110 раз, потому что все прокси-серверы начали копировать самих себя. Потому что если вы разместите свой IP-адрес в списке одного прокси-сервера, все остальные прокси-серверы начинают копировать эти списки. Это весело, потому что однажды это принесёт вам много всякой всячины.
Далее мы создали «полезную нагрузку» для кражи кукиз. Мы не хотели иметь дело с защищёнными кукиз, а использовали только HTTP-кукиз. Мы копировали обычные, незащищённые кукиз и отправляли их в панель управления.
Мы также использовали небольшую «полезную нагрузку» для добывания полей форм, мы использовали заполненную пользователем информацию и так же посылали её в нашу панель управления.
Вот, собственно, и всё — теперь можно было наслаждаться плодами нашего труда. Однажды мы даже смогли мобилизовать 5000 ботов. Проведя анализ соединений, мы установили, что большинство машин нашего ботнета располагались в России, Бразилии, Мексике и Индонезии, где услуги прокси-серверов пользуются большим спросом. Нам не потребовалось платить за это, не нужно было создавать никаких специальных полиморфных вредоносных программ, достаточно было опубликовать в интернете один-единственный IP-адрес сервера. Ну, вы знаете, мы же из Испании.
Вопрос заключался в том, кто же пользуется такого рода услугами? Сколько человек в этом зале пользуется услугами прокси-серверов в интернете? Итак, если вы хотите анонимности, используете один прокси-сервер. Если вы хотите ещё больше анонимности, используйте больше, чем один прокси-сервер, так вы сможете заразить больше, чем 1 прокси-сервер (смех в зале).
Идея была в том, что те, кто пользуется такими серверами, несомненно, плохие люди. Например, известная всем мафия скамеров «нигерийского принца».
Надпись на табличке: «Королевский банк Нигерии». Спамер-скамер: «Я отправил электронные письма всем, кого только смог найти, мой Принц, но никто не хочет помочь вам избавиться от ваших денег».
В первую очередь мы хотели собрать данные плохих людей, которые делают плохие вещи. Итак, нам удалось собрать всю информацию нигерийских скамеров, включая имена пользователей и пароли. Но мы их об этом предупреждали, так что всё законно.
Как только мы получили пароли, мы зашли в почтовые ящики этих людей, и там я нашёл одного из моих любимых спамеров-скамеров, имевшего почтовый ящик [email protected].
Этот парень создал целую спамерскую компанию, чтобы дурить людей, предлагая им сделать специальную визу для получения работы в Великобритании, за это он просил по 275 фунтов. На следующем слайде приведено электронное письмо, в котором он просил денег.
Оно выглядит совсем как официальное письмо. Конечно, в мире было много разумных людей, которые отвечали ему: «хорошо, но сначала покажите мне эту работу, а потом я пришлю вам деньги». Таким образом, если кто-то из получателей спама подозревал в нём мошенника, он не настаивал и принимался за других клиентов. В конце концов, они посылали ему всю информацию, необходимую для получения визы, все персональные данные – вы можете видеть сканы их документов на следующем слайде.
Это и резюме, и страницы паспорта, и фотографии высокого качества для оформления паспорта в Великобритании и даже отпечатки пальцев, требующиеся для получения рабочей визы в Великобритании. Очень много людей отправили ему эти данные, и это самый простой способ кражи конфиденциальной информации, который я встречал в жизни. Если у вас есть такие данные, то вы запросто можете создать своего собственного «мула» для выполнения мошеннических банковских операций.
Еще один из моих любимых аккаунтов в социальной сети, с сайта знакомств – вот этот парень, вернее, вот эта девушка. Скажите честно, ребята – кто из вас думает, что такая девушка станет искать парня для занятий сексом в сети интернет?
Это с самого начала вызвало у нас большие подозрения, поэтому мы решили раздобыть имя пользователя и пароль от этого профиля. Как видите, эта Axionqueen пишет, что она ищет парня для свиданий или серьёзных отношений, ей около 30 лет и она живёт в Келлере, штат Техас. Но дело в том, что мы обнаружили совсем другой профиль в другой социальной сети, где эта «королева» живёт уже в Окленде в Новой Зеландии, и ей 31 год, и так далее. А затем мы обнаружили ещё и третий профиль той же девушки на сайте PlanetaLove USA, где указано, что она живёт в Линчбурге, штат Вирджиния и интересуется мужчинами от 39 до 60 лет.
Нет ли здесь кого-нибудь из Вирджинии, кто встречал бы эту девушку?
Но самое интересное, что другой профиль того же пользователя выглядел совершенно по другому. На этот раз наша девушка была из Германии.
И тогда мы решили проникнуть в почтовый ящик этого пользователя и ознакомиться с его письмами. Естественно, это был парень, а не девушка.
Этот парень хранил все чаты с теми, кого заинтересовал профиль этой девушки. На этом слайде приведён мой любимый чат, kkbill1980 – это тот, кто выдаёт себя за девушку, а fiat176puntо – его жертва. «kkbill1980: привет, сладенький! — fiat176puntо: привет, моя сладкая мышка!», ну и так далее, очень весёлый чат.
Дальше в чате они обсуждают детали своих любовных отношений, и самая интересная деталь — это 700 евро, которые жертва должна прислать своей «сладкой мышке» будто бы на бронирование отеля во время поездки фальшивой девушки в Германию.
А дальше поклонник пишет, что этой ночью послал своей возлюбленной «полностью обнажённую фотографию», на что она отвечает: «о, малыш, это прекрасно»!
Суть в том, что этот парень-скамер одновременно общался со множеством людей с помощью фальшивых профилей девушек на сайтах знакомств и вымогал у своих жертв под тем или иным предлогом деньги. Однако где-то в середине чата этот парень «прокололся», видимо, перепутав открытые вкладки, и принялся писать на немецком.
В его почтовом ящике всё было идеально систематизировано, и он хранил все свои чаты в специальной папке, с которой продолжал работать и сейчас. Мы решили разыскать в переписке все упоминания о мужчинах, которые собирались воспользоваться Western Union для пересылки денег своей «возлюбленной», и нашли 158 таких сообщений.
На следующем слайде приведён образец переписки этой девушки и жертвы. Тут снова упоминаются фотографии — девушка спрашивает, почему мужчина не прислал ей обещанные «голые» фотографии. А тот отвечает, что он не знает почему, но менеджер в банке сказал ему, что по указанному адресу переслать деньги невозможно, поэтому пусть девушка даст ему какой-нибудь другой адрес.
Это вызвано тем, что профиле девушки был указан фейковый адрес, который, видимо, не устроил банковского служащего. На что фальшивая девушка рассерженно отвечает: «fuck, прекрати играть со мной в игры! Я дала тебе правильный адрес, так что забери деньги из банка и пришли их мне через Western Union, а иначе забудь обо всём и перестань играть в игры с моим сердцем»!
В общем, можете себе представить, что это была за переписка. И эта схема работала, потому что для пересылки денег через Western Union достаточно указать всего лишь город и имя получателя перевода, а затем сообщить ему секретный код.
Следующим случаем, который нас заинтересовал, стал мошенник, связанный с собаками. Нам стало интересно, что же такого он делает с собаками, если для своей деятельности ему понадобился анонимный прокси–сервер?
Мы, как обычно, решили использовать его имя пользователя и пароль, чтобы проникнуть в его почтовый ящик. И там мы обнаружили нечто тяжёлое, поэтому если вы любите животных, не смотрите на следующую картинку. На следующем слайде мы даже разместили такое предупреждение: «Внимание! Эта картинка может больно ударить по вашим чувствам!». А вот, собственно, и сама картинка.
Он размещал этого фейкового йоркширского терьера, фейкового, потому что он размещал одну и ту же собаку на продажу по всему миру, так что это самый рентабельный йорк на земле. Он помещал эту картинку и делал на этом деньги, так как всех соблазняла дешевизна породистой собаки и они совершали предоплату.
Нам, естественно, попадались и психопаты. На этом слайде показана панель управления, на которой видно, как парень с одного IP-адреса постоянно искал на сайте video.xnxx.com видеоматериалы на тему «мать», «изнасилование сестры», «насильственное изнасилование», «насилие» и тому подобное. Мы решили сообщить его IP-адрес местной полиции, потому что этот парень явно ненормальный.
Итак, множество людей стремятся к анонимности в интернете, поэтому первое, что они делают – это проверяют свою анонимность. Но проблема в том, что используя прокси, вы анонимны для конечной страницы, но не для самого прокси-сервера. Например, вы утверждаете, что ваш IP-адрес находится в США, мы смотрим на ваш реальный IP-адрес и убеждаемся, что это так или не так. Никакой анонимности на прокси-сервере!
Ещё один вид анонимной интернет активности привлёк наше внимание, когда мы обнаружили человека, который делал деньги на том, что читал сообщения в блогах. Это такой бизнес – вы читаете посты в блогах людей по всему миру, и они вам за это платят. В течение месяца этот человек заработал целых $24, так что это тоже хороший бизнес. Мы назвали это явление «Странные люди в странном мире».
Множество пользователей нашего прокси-сервера занимались хакерством и порчей данных веб-сайтов. Один из таких пользователей привлёк наше внимание – на панели управления вы видите перехваченные нами локальные файлы с взломанного сайта, этот хакер использовал для взлома вредоносный скрипт WebShell, с помощью которого можно искажать JavaScript.
На следующем слайде показан взлом, мы смотрели за его осуществлением в режиме реального времени. Внизу вы видите адрес электронной почты злоумышленника.
Когда мы изучали, каким образом был взломан этот сайт, то поняли, что хакер использовал зараженный WebShell, загружающий файл JavaScript, который, в свою очередь, сообщал URL-адрес этого WebShell. Этот файл JavaScript также был инфицирован нашим прокси-сервером и позволил нам узнать, где находится этот WebShell. Получается, что хакер сам был хакнут нашим хакерством.
На следующем слайде показан запрос WebShell, вызывающий JavaScript.
Как вы помните, интересным в нашей системе было то, что даже после отсоединения клиента от нашего прокси-сервера он всё равно оставался инфицированным нашим вредоносным JavaScript. До сих пор все было получено путем пассивного наблюдения за навигацией, поэтому мы задумались о том, можно ли инфицировать Интранет, то есть внутреннюю сеть, которая не просматривалась через наш прокси-сервер.
Поэтому одним из моментов, привлекших наше внимание при рассмотрении собранных данных, стала возможность поиска информации о машинах, которые не были опубликованы в Интернете, то есть о приложениях, которые используются внутри сети Интранет, о чем можно судить по следующим данным во внутренней ERP-системе.
Мы проследили за одним парнем из Мексики, он занимался поиском порно в интернете. Он отсоединился от прокси-сервера, но оставался зараженным, так что вы видите здесь внутренний сервер, к которому мы попытались присоединиться. Здесь имеется множество данных, пароли, имена пользователей. Это дает понять, что использование удаленных файлов JavaScript в Интранете может быть нежелательно, и открывает дверь для потенциальных атак такого рода.
Видя это, мы подумали, что будет легко подготовить целевую атаку на любое приложение в Интранете или Интернете, анализируя ранее загруженные файлы JavaScript и заставляя клиентов загружать эти файлы из любого домена, потому что мы установили принудительное кэширование.
Ну и конечно, пользователи нашего прокси-сервера увлекались порнографией. Здесь было много порно, порно это настоящий бизнес. Мы даже прочитали интересную историю про то, как в католическом храме обнаружили «откровенные» рисунки, сделанные одним монахом в 700 году нашей эры. Мы коллекционировали URL–адреса и собрали обширную коллекцию имён пользователей и паролей, и конечно же, мы будем продавать их в интернете (шутка).
Но больше всего наше внимание привлёк чат изнасилований по интернету. Мы всегда считали, что изнасиловать кого-нибудь по интернету очень сложно, но оказалось, что это не так.
Итак, мы создали файл JavaScript, который заражал веб-сайты. Мы создали «полезную нагрузку». Чтобы подготовить целевую атаку на определенный сайт, т. е. гарантировать, что пользователь, который является частью ботнета, заразится после посещения конкретного сайта, необходимо знать, какие файлы JavaScript загружаются на этот сайт. Для этого вы можете воспользоваться инспекцией сети в Google Chrome или Firefox Firebug и выбрать тот файл, который нужно заразить.
Конечно, если вы подключаете к сети через прокси-сервер, вы не станете подключаться к банковской системе, или к профилю в социальных сетях, к Интранету или вашему личному сайту, но если вы не чистите кэш, то вы находитесь в руках тех, кто заставил вас загрузить вредоносный файл JavaScript. И если этот файл находится на странице, которую вы собираетесь открыть после того, как посетили прокси-сервер, вы будете взломаны.
На следующем слайде показан код на странице социальной сети linkedin.com, где можно увидеть некоторые скрипты, которые загружаются в Java, так что если вы используете прокси-сервер, то мы можем создать специальную полезную нагрузку, загрузить эти файлы JavaScript. Затем эти файлы будут заражены, и как только вы отсоединитесь от прокси и подсоединитесь к linkedin.com, «полезная нагрузка» будет исполнена.
Это очень просто, так что мы можем создать целенаправленные атаки на несколько веб-сайтов для сбора паролей людей, которые использовали наш прокси-сервер перед тем, как начать использовать обычный, не анонимный интернет.
Для этого вам сначала нужно выбрать цель: банк, социальную сеть, Интранет, проанализировать загружаемые на сайт файлы и запустить «полезную нагрузку». То есть заразить и загрузить инфицированный файл для выбранной цели, и он окажется на каждом сайте, который жертва посетит в дальнейшем.
Сейчас я хочу продемонстрировать вам, как мы проникли в банковскую систему и показать, как выглядит наша панель управления. Конечно, мы давно отключили наш прокси-сервер, но для конференций BlackHat и DefCon я создал новую панель управления. Я не размещал этот прокси-сервер в интернете. Но после моего доклада на BlackHat, не знаю почему, кто-то опубликовал это в интернете (смех в зале).
Итак, мы настроили этот прокси-сервер только на 10 параллельных соединений, и прямо сейчас, в это утро, я готов показать вам всех ботов, всех наших «зомби» на сегодня, 28 июля. Вы видите здесь большое количество ботов из разных стран, США, Бразилии и так далее.
Прямо сейчас мы собираем от них много информации, но мы её не используем, мы не публикуем эти IP-адреса, поверьте мне.
Итак, я хочу продемонстрировать вам проникновение в банковскую систему. Сейчас я покажу вам этот веб-сайт. Это Объединённая кредитная лига Калифорнии. Как вы видите, этот сайт прекрасно подходит для атак, потому что это HTTP веб-сайт.
Вы видите здесь форму входа пользователя, куда нужно ввести адрес электронной почты и пароль. Так как мы очень легко можем вставить наш инфицированный файл JavaScript в HTTP сайт, я «подцепил» форму и вытащил имена пользователей и пароли с этого сайта.
Единственное, что нам нужно было проделать в панели управления нашего прокси-сервера, это проанализировать цель и выбрать один файл. В нашем примере это страница members.ccul.org и файл — скрипт gatag.js.
Затем я в нашей контрольной панели создал «полезную нагрузку» и создал предустановку для сайта, который нас интересует.
На следующем слайде вы видите, как целевой сайт выглядит в панели управления – здесь приведена команда на выполнение функции над адресом members.ccul.org для скрипта gatag.js, который запустит нашу «полезную нагрузку».
Таким образом, парень, который пользуется нашим прокси-сервером для просмотра порно, загрузит этот файл в кэш. Он может смотреть порно, взламывать сайты, делать что угодно, и в то же время он будет загружать этот файл JavaScript для целевой атаки.
После того, как он отсоединится от нашего прокси-сервера и выберет в настройках сети своего компьютера пункт «Не использовать прокси-сервер», наш файл всё равно останется в кэше его браузера, потому что он уже был загружён ранее и не имеет срока использования.
После того, как этот парень подсоединится к целевому сайту и ввёдет данные пользователя, мы «подцепим» эту форму и отобразим все эти данные в панели управления нашего прокси-сервера. Это очень просто.
А сейчас я приведу некоторые соображения о преимуществах ботнета JavaScript:
А сейчас вопрос: кто из вас думает, что такие плохие парни, как правительственные разведслужбы, проделывают то же самое в Интернете? Вопрос в том, кто из вас думает, что только один лишь прокси-сервер гарантирует интернет-безопасность? Никто так не думает, правильно?
Итак, полагаться на то, что прокси-сервер обеспечит вашу анонимность в интернете – это плохая идея. Но тысячи и тысячи сайтов говорят людям – если вы хотите анонимности в интернете, пользуйтесь прокси-сервером. И эта проблема существует очень и очень долгое время. Итак, помните – не пользуйтесь прокси-серверами! Не верьте тому, что они обеспечивают вашу анонимность.
Вот некоторые способы, как себя защитить.
Помните о схеме «человек посередине», потому что кто-то может сконфигурировать ваш браузер под свои нужды через прокси-сервер. Дважды подумайте, прежде чем пользоваться прокси.
Подумайте о том, не слишком ли вы доверяете сети TOR. Потому что в последнее время мы много слышали о фальшивых сетях TOR и взломах в этой сети.
После того, как вы пользовались анонимной сетью или прокси-сервером, очистите всю информацию в вашем браузере, полученную с сайтов, очистите кэш и удалите кукиз.
Помните, что VPN не панацея, потому что в этом случае множество людей подключаются к этой сети, потом они используют прокси-сервер, и поэтому инфицирование вашей виртуальной сети может произойти очень легко, так как происходит свободный обмен вредоносными файлами и трафиком.
Запомните ещё раз – кэш вам не друг, поэтому относитесь к нему соответственно.
Ресурсы:
HABR: 1 часть - Для просмотра ссылки Войдиили Зарегистрируйся 2 часть - Для просмотра ссылки Войди или Зарегистрируйся
Видеоролик DEFCON (осторожно Ютуб!) -
Не реклама, "Боже упаси!".
P. S. - Задумайтесь.
P. P. S - Я атеист.
Я рад представить сегодняшнюю тему «Как поиметь плохих парней и мафию, используя JavaScript ботнет». Сначала я хочу представить себя и мою страну – я Чема Алонсо, работаю в маленькой компании под названием Informatica64. Я также занимаюсь безопасностью Microsoft и живу в Испании.
Если вы ещё не были в Испании, то обязательно должны её посетить, здесь есть множество мест, заслуживающих внимания. Это Мадрид, город, который никогда не спит, вы видите его на первом слайде, он меньше, чем Нью-Йорк. Это Барселона со своим удивительным храмом Святого Семейства, и, конечно же, Памплона, где люди убегают от разъярённых быков. Здесь всего одно правило: если ты пьян, не беги! А так всё просто: вы просто должны бежать быстрее, чем бык.
Если вам нравятся особые праздники, то вот битва томатов Томатина. Я не уверен насчёт истории этого обычая, но вам всего лишь требуется кидаться помидорами, и это довольно интересно. Да, такова Испания!
Давайте начнём нашу тему. Она довольно проста: создайте ботнет, и всё. Кто из вас подумывал о том, чтобы создать ботнет? А кто его реально создал? Так, понятно, только я. Идея создания ботнета довольно интересна, но я ленивый человек. Я из Испании, поэтому это нормально. Кроме того, у нас нет денег, у нас не было «дня зеро», мы не ФБР или АНБ, которые могут бесплатно пользоваться сетями, и мы не Google, Apple или Microsoft, чьё оборудование существует по всему миру.
Если подумать, это довольно распространённая в интернете тема. Индустрия вредоносного программного обеспечения широко распространилась за последние 5-10 лет с помощью мошеннических антивирусов и трюков социальной инженерии, так почему бы ботнету не сделать подобный трюк?
В основе ботнета заключена идея атаки «человек посередине» с использованием перехвата сообщений между клиентом и сервером. Достаточно захватить канал, и мы получаем тотальный контроль. Можно использовать различные сценарии сетевого захвата: ARP-спуфинг, мошеннический DHCP в сетях с поддержкой IPv4 или IPv6, спуфинг ICMPv6, атака SLAAC, спуфинг DNS и так далее.
Мы опубликовали новый инструмент для атак «человек посередине» под названием Evil FOCA, один клик – и всё готово. И конечно, если вы можете настроить DNS, то можете совершить атаку «человек посередине».
Существуют сложности, потому что вам приходится иметь дело с большим количеством интернет-провайдеров и большим количеством сетей. Одним из наиболее используемых приёмов несколько лет назад стал способ «человек в браузере», это некое расширение технологии атаки «человек посередине».
В течение длительного времени русская хакерская школа успешно использовала этот приём при помощи Internet Explorer 6 с известным плагином Browser Helper Objects (BHO), компонентом Active X, который позволял открывать файлы, изначально предназначающиеся только для браузера. Они создавали вредоносные программы, маскирующиеся под BHO. Это позволяло получить доступ ко всем данным, перехватывать вводимые с клавиатуры пароли и коды, в первую очередь для соединений между банковскими учреждениями. Поэтому этот банковский троян стали называть «Русские в моём браузере IE».
Это очень распространённый способ атаки путём конфигурирования специального троянского XML-файла, простой, но отлично работающий.
Итак, нам нужно было написать такой код, который бы не обнаруживался антивирусными системами, но мы решили, что для нас это очень сложно. Поэтому мы решили использовать так называемый «отравленный кэш браузера», или атаку способом «JavaScript посередине» и назвали её «человек во вкладке». Идея довольно простая.
Если вы не в состоянии контролировать весь браузер, то можно запустить JavaScript в одной пользовательской вкладке, при этом вы сможете проделать множество вещей. Вы сможете получить доступ к коду, модифицировать HTML, получить доступ к полям форм, вы можете управлять вкладкой и так далее.
Особенностями атаки «JavaScript посередине» являются:
- не постоянное использование – очистка кэша означает удаление инфицированного содержимого;
- кэшированный контент существует до истечения срока использования,
хакер может удалённо внедрять JavaScript; - получение доступа к кукиз типа HTTP-only, доступа к HTML-коду, адресам URL, к исполнению кода.
Существует очень известный проект – фреймворк эксплойтов браузера BEEF. Он позволяет проделывать множество интересных вещей, например, вставлять маленький кусочек кода JavaScript в браузер пользователя, чтобы отравить кэш.
Проблема заключается в том, что нам нужно сконфигурировать его в интернете, что довольно сложно, если нужно заразить множество сетевых ботов. Так что наша идея была более простой — создать ботнет JavaScript при помощи Scratch.
Исходя из идеи среды, которая конкретно заражает файл JavaScript, мы в первую очередь решили, что лучшим способом создания ботнета будет, если боты осуществят принцип «proprio motu», то есть «по собственной инициативе», не используя «человека посередине», а используя самих пользователей. Мы решили сосредоточиться на сети TOR и прокси-серверах, используемых в Интернете.
Идея этой сети проста – если вы последний на линии, то можете получить доступ ко всему контенту, перехватывая все соединения.
Для ее реализации мы собрали машину, которая была ”человеком посередине", и зарегистрировали её как узел TOR и как анонимный прокси сервер, и в обоих случаях проработали какое-то время. Тем не менее, мы должны сказать, что наша вредоносная активность в качестве узла TOR была обнаружена, что привело к игнорированию нашего IP-адреса.
Для реабилитации нам предложили пройти тесты, создать тестовую сессию и так далее, что показалось нам слишком сложным, ведь мы же испанцы. Поэтому следующей вещью, которую мы сделали, было создание собственного прокси сервера. Это достаточно просто, потому что прокси имеет не такую большую инфраструктуру, как TOR, это всего лишь автономный сервер, к которому пытаются присоединится пользователи.
Мы изучили в интернете все руководства по анонимного прокси-сервера и поняли, что это готовая схема «человек посередине». Создав прокси-сервер, через который люди пытаются соединится с интернетом, мы получили возможность собирать все данные и инфицировать все браузеры.
Первое, что мы сделали, это арендовали прокси-сервер в интернете. Конечно, мы подумали о его функциях, нам не нужен был «игрушечный» сервер с Pirate Bay или Amazon, мы помнили про Wikileaks, но нам не нужен был и мегамощный сервер. И ещё мы решили, что лучше пусть он находится в стране, где нет законов. Мы решили арендовать сервер в Афганистане, Иране, Казахстане или в Испании (аплодисменты и смех в зале).
После того, как мы арендовали сервер, мы принялись его настраивать. Это должен был быть простой сервер на основе Apache и SQUID прокси. Далее при помощи этого сервера мы собирались инфицировать все файлы JavaScript одним маленьким кусочком кода, занимающим всего пару строк.
Как только пользователь подсоединялся к нашему серверу, мы заходили на сайт и получали страницу ответа, которая содержала файл JavaScript. Мы возвращали пользователю практически оригинал JavaScript, добавив в него всего 2 строчки «полезной нагрузки». При этом мы не хотели использовать такую известную в интернете вещь, как BEEF, а просто вставляли две строчки кода во все файлы JavaScript, которые проходили через наш прокси-сервер.
Всё, что нам нужно было сделать, показано на следующем слайде.
Мы сконфигурировали «полезную нагрузку» в нашем SQUID прокси и удалили в файле-конфигураторе Apache-сервера политику истечения срока действия, потому что после того, как JavaScript инфицировал браузер, эта «инфекция» должна была остаться там навсегда.
Далее мы создали собственно скрипт, показанный на следующем слайде, который заражает файлы JavaScript.
Мы копировали файлы, добавляли в них скрипт pasarela.js и отсылали эти обновлённые файлы клиентам на IP-адрес с помощью print «http:// ……». Это очень маленький кусочек кода, полный уязвимостей, но он работает. Сам скрипт под названием Pasarela, который копировался во все файлы JavaScript, выглядит так, как показано на следующем слайде. Всё что он делает – это загружает отравленный payload.php с вредоносного сервера и сообщает о своей идентификации, загружая изображения с jsonip.php.
В коде можно было посмотреть, был ли создан элемент или нет. Цель состоит в том, чтобы не запускать pasarela.js более одного раза на одной странице. Поскольку мы как порядочные люди не хотели причинить вред пользователям, мы опубликовали на главной странице сервера следующее обращение ко всем клиентам, которые собирались воспользоваться услугами нашего прокси-сервера.
«ВНИМАНИЕ! Этот прокси-сервер используется для исследований в области интернет-безопасности. Все файлы JavaScript будут заражены и все ваши данные будут собраны. Если вы хотите оставаться в безопасности, не используйте этот прокси-сервер. Если вы это делаете, то не посылайте конфиденциальную информацию. Если вы всё-таки решили им пользоваться, учтите, что делаете это на свой страх и риск».
Если вы не хотите потерять свой пароль или свои персональные данные, не пользуйтесь нашим сервером! Это очень хорошая политика безопасности. Более-менее аналогичную политику безопасности используют в армии – вы видите похожее предупреждение на сайте Инженерного корпуса армии США, так что мы поступили вполне законно.
Итак, мы опубликовали свой прокси-сервер в интернете и написали, что это открытый прокси, и что каждый может добавить свой прокси в нашу базу данных. Вы видите, что у нас есть вкладки со списками разных прокси, сортировка их по стране, по порту, есть вкладка избранных прокси.
Идея заставить «плохих парней» пользоваться нашим вредоносным прокси-сервером была очень проста: мы зарегистрировали его в одном списке прокси-серверов. Уже давно и во многих сайтах и блогах, рекомендуется использование прокси серверов для получения анонимного IP-адреса, что является общим для многих из нас. Мы выбрали сайт случайным образом и зарегистрировали IP-адрес с портом 31337, чтобы привлечь немного больше внимания.
Эти сайты со списками прокси-серверов выполняют тестирование безопасности новых прокси-серверов, но тест не так сложен, как в сети TOR. На самом деле, дело не в том, зарегистрирован прокси-сервер для проведения тестов или нет, но как только он попадает в такой список протестированных серверов, тут же подключаются сотни сайтов и приложений, которые загружают эти списки без какой-либо проверки безопасности.
Достаточно просто пройти первый тест, например, тест соединения и функциональности, и «магия Интернета» сделает так, что ваш IP-адрес в качестве доверенного появляется на тысячах сайтов, что и произошло с нашим IP-адресом. На следующем слайде показано, что наш мошеннический IP- адрес появился на тысячах сайтов.
Вы видите, что наш IP-адрес появился в выдаче поискового запроса 1110 раз, потому что все прокси-серверы начали копировать самих себя. Потому что если вы разместите свой IP-адрес в списке одного прокси-сервера, все остальные прокси-серверы начинают копировать эти списки. Это весело, потому что однажды это принесёт вам много всякой всячины.
Далее мы создали «полезную нагрузку» для кражи кукиз. Мы не хотели иметь дело с защищёнными кукиз, а использовали только HTTP-кукиз. Мы копировали обычные, незащищённые кукиз и отправляли их в панель управления.
Мы также использовали небольшую «полезную нагрузку» для добывания полей форм, мы использовали заполненную пользователем информацию и так же посылали её в нашу панель управления.
Вот, собственно, и всё — теперь можно было наслаждаться плодами нашего труда. Однажды мы даже смогли мобилизовать 5000 ботов. Проведя анализ соединений, мы установили, что большинство машин нашего ботнета располагались в России, Бразилии, Мексике и Индонезии, где услуги прокси-серверов пользуются большим спросом. Нам не потребовалось платить за это, не нужно было создавать никаких специальных полиморфных вредоносных программ, достаточно было опубликовать в интернете один-единственный IP-адрес сервера. Ну, вы знаете, мы же из Испании.
Вопрос заключался в том, кто же пользуется такого рода услугами? Сколько человек в этом зале пользуется услугами прокси-серверов в интернете? Итак, если вы хотите анонимности, используете один прокси-сервер. Если вы хотите ещё больше анонимности, используйте больше, чем один прокси-сервер, так вы сможете заразить больше, чем 1 прокси-сервер (смех в зале).
Идея была в том, что те, кто пользуется такими серверами, несомненно, плохие люди. Например, известная всем мафия скамеров «нигерийского принца».
Надпись на табличке: «Королевский банк Нигерии». Спамер-скамер: «Я отправил электронные письма всем, кого только смог найти, мой Принц, но никто не хочет помочь вам избавиться от ваших денег».
В первую очередь мы хотели собрать данные плохих людей, которые делают плохие вещи. Итак, нам удалось собрать всю информацию нигерийских скамеров, включая имена пользователей и пароли. Но мы их об этом предупреждали, так что всё законно.
Как только мы получили пароли, мы зашли в почтовые ящики этих людей, и там я нашёл одного из моих любимых спамеров-скамеров, имевшего почтовый ящик [email protected].
Этот парень создал целую спамерскую компанию, чтобы дурить людей, предлагая им сделать специальную визу для получения работы в Великобритании, за это он просил по 275 фунтов. На следующем слайде приведено электронное письмо, в котором он просил денег.
Оно выглядит совсем как официальное письмо. Конечно, в мире было много разумных людей, которые отвечали ему: «хорошо, но сначала покажите мне эту работу, а потом я пришлю вам деньги». Таким образом, если кто-то из получателей спама подозревал в нём мошенника, он не настаивал и принимался за других клиентов. В конце концов, они посылали ему всю информацию, необходимую для получения визы, все персональные данные – вы можете видеть сканы их документов на следующем слайде.
Это и резюме, и страницы паспорта, и фотографии высокого качества для оформления паспорта в Великобритании и даже отпечатки пальцев, требующиеся для получения рабочей визы в Великобритании. Очень много людей отправили ему эти данные, и это самый простой способ кражи конфиденциальной информации, который я встречал в жизни. Если у вас есть такие данные, то вы запросто можете создать своего собственного «мула» для выполнения мошеннических банковских операций.
Еще один из моих любимых аккаунтов в социальной сети, с сайта знакомств – вот этот парень, вернее, вот эта девушка. Скажите честно, ребята – кто из вас думает, что такая девушка станет искать парня для занятий сексом в сети интернет?
Это с самого начала вызвало у нас большие подозрения, поэтому мы решили раздобыть имя пользователя и пароль от этого профиля. Как видите, эта Axionqueen пишет, что она ищет парня для свиданий или серьёзных отношений, ей около 30 лет и она живёт в Келлере, штат Техас. Но дело в том, что мы обнаружили совсем другой профиль в другой социальной сети, где эта «королева» живёт уже в Окленде в Новой Зеландии, и ей 31 год, и так далее. А затем мы обнаружили ещё и третий профиль той же девушки на сайте PlanetaLove USA, где указано, что она живёт в Линчбурге, штат Вирджиния и интересуется мужчинами от 39 до 60 лет.
Нет ли здесь кого-нибудь из Вирджинии, кто встречал бы эту девушку?
Но самое интересное, что другой профиль того же пользователя выглядел совершенно по другому. На этот раз наша девушка была из Германии.
И тогда мы решили проникнуть в почтовый ящик этого пользователя и ознакомиться с его письмами. Естественно, это был парень, а не девушка.
Этот парень хранил все чаты с теми, кого заинтересовал профиль этой девушки. На этом слайде приведён мой любимый чат, kkbill1980 – это тот, кто выдаёт себя за девушку, а fiat176puntо – его жертва. «kkbill1980: привет, сладенький! — fiat176puntо: привет, моя сладкая мышка!», ну и так далее, очень весёлый чат.
Дальше в чате они обсуждают детали своих любовных отношений, и самая интересная деталь — это 700 евро, которые жертва должна прислать своей «сладкой мышке» будто бы на бронирование отеля во время поездки фальшивой девушки в Германию.
А дальше поклонник пишет, что этой ночью послал своей возлюбленной «полностью обнажённую фотографию», на что она отвечает: «о, малыш, это прекрасно»!
Суть в том, что этот парень-скамер одновременно общался со множеством людей с помощью фальшивых профилей девушек на сайтах знакомств и вымогал у своих жертв под тем или иным предлогом деньги. Однако где-то в середине чата этот парень «прокололся», видимо, перепутав открытые вкладки, и принялся писать на немецком.
В его почтовом ящике всё было идеально систематизировано, и он хранил все свои чаты в специальной папке, с которой продолжал работать и сейчас. Мы решили разыскать в переписке все упоминания о мужчинах, которые собирались воспользоваться Western Union для пересылки денег своей «возлюбленной», и нашли 158 таких сообщений.
На следующем слайде приведён образец переписки этой девушки и жертвы. Тут снова упоминаются фотографии — девушка спрашивает, почему мужчина не прислал ей обещанные «голые» фотографии. А тот отвечает, что он не знает почему, но менеджер в банке сказал ему, что по указанному адресу переслать деньги невозможно, поэтому пусть девушка даст ему какой-нибудь другой адрес.
Это вызвано тем, что профиле девушки был указан фейковый адрес, который, видимо, не устроил банковского служащего. На что фальшивая девушка рассерженно отвечает: «fuck, прекрати играть со мной в игры! Я дала тебе правильный адрес, так что забери деньги из банка и пришли их мне через Western Union, а иначе забудь обо всём и перестань играть в игры с моим сердцем»!
В общем, можете себе представить, что это была за переписка. И эта схема работала, потому что для пересылки денег через Western Union достаточно указать всего лишь город и имя получателя перевода, а затем сообщить ему секретный код.
Следующим случаем, который нас заинтересовал, стал мошенник, связанный с собаками. Нам стало интересно, что же такого он делает с собаками, если для своей деятельности ему понадобился анонимный прокси–сервер?
Мы, как обычно, решили использовать его имя пользователя и пароль, чтобы проникнуть в его почтовый ящик. И там мы обнаружили нечто тяжёлое, поэтому если вы любите животных, не смотрите на следующую картинку. На следующем слайде мы даже разместили такое предупреждение: «Внимание! Эта картинка может больно ударить по вашим чувствам!». А вот, собственно, и сама картинка.
Он размещал этого фейкового йоркширского терьера, фейкового, потому что он размещал одну и ту же собаку на продажу по всему миру, так что это самый рентабельный йорк на земле. Он помещал эту картинку и делал на этом деньги, так как всех соблазняла дешевизна породистой собаки и они совершали предоплату.
Нам, естественно, попадались и психопаты. На этом слайде показана панель управления, на которой видно, как парень с одного IP-адреса постоянно искал на сайте video.xnxx.com видеоматериалы на тему «мать», «изнасилование сестры», «насильственное изнасилование», «насилие» и тому подобное. Мы решили сообщить его IP-адрес местной полиции, потому что этот парень явно ненормальный.
Итак, множество людей стремятся к анонимности в интернете, поэтому первое, что они делают – это проверяют свою анонимность. Но проблема в том, что используя прокси, вы анонимны для конечной страницы, но не для самого прокси-сервера. Например, вы утверждаете, что ваш IP-адрес находится в США, мы смотрим на ваш реальный IP-адрес и убеждаемся, что это так или не так. Никакой анонимности на прокси-сервере!
Ещё один вид анонимной интернет активности привлёк наше внимание, когда мы обнаружили человека, который делал деньги на том, что читал сообщения в блогах. Это такой бизнес – вы читаете посты в блогах людей по всему миру, и они вам за это платят. В течение месяца этот человек заработал целых $24, так что это тоже хороший бизнес. Мы назвали это явление «Странные люди в странном мире».
Множество пользователей нашего прокси-сервера занимались хакерством и порчей данных веб-сайтов. Один из таких пользователей привлёк наше внимание – на панели управления вы видите перехваченные нами локальные файлы с взломанного сайта, этот хакер использовал для взлома вредоносный скрипт WebShell, с помощью которого можно искажать JavaScript.
На следующем слайде показан взлом, мы смотрели за его осуществлением в режиме реального времени. Внизу вы видите адрес электронной почты злоумышленника.
Когда мы изучали, каким образом был взломан этот сайт, то поняли, что хакер использовал зараженный WebShell, загружающий файл JavaScript, который, в свою очередь, сообщал URL-адрес этого WebShell. Этот файл JavaScript также был инфицирован нашим прокси-сервером и позволил нам узнать, где находится этот WebShell. Получается, что хакер сам был хакнут нашим хакерством.
На следующем слайде показан запрос WebShell, вызывающий JavaScript.
Как вы помните, интересным в нашей системе было то, что даже после отсоединения клиента от нашего прокси-сервера он всё равно оставался инфицированным нашим вредоносным JavaScript. До сих пор все было получено путем пассивного наблюдения за навигацией, поэтому мы задумались о том, можно ли инфицировать Интранет, то есть внутреннюю сеть, которая не просматривалась через наш прокси-сервер.
Поэтому одним из моментов, привлекших наше внимание при рассмотрении собранных данных, стала возможность поиска информации о машинах, которые не были опубликованы в Интернете, то есть о приложениях, которые используются внутри сети Интранет, о чем можно судить по следующим данным во внутренней ERP-системе.
Мы проследили за одним парнем из Мексики, он занимался поиском порно в интернете. Он отсоединился от прокси-сервера, но оставался зараженным, так что вы видите здесь внутренний сервер, к которому мы попытались присоединиться. Здесь имеется множество данных, пароли, имена пользователей. Это дает понять, что использование удаленных файлов JavaScript в Интранете может быть нежелательно, и открывает дверь для потенциальных атак такого рода.
Видя это, мы подумали, что будет легко подготовить целевую атаку на любое приложение в Интранете или Интернете, анализируя ранее загруженные файлы JavaScript и заставляя клиентов загружать эти файлы из любого домена, потому что мы установили принудительное кэширование.
Ну и конечно, пользователи нашего прокси-сервера увлекались порнографией. Здесь было много порно, порно это настоящий бизнес. Мы даже прочитали интересную историю про то, как в католическом храме обнаружили «откровенные» рисунки, сделанные одним монахом в 700 году нашей эры. Мы коллекционировали URL–адреса и собрали обширную коллекцию имён пользователей и паролей, и конечно же, мы будем продавать их в интернете (шутка).
Но больше всего наше внимание привлёк чат изнасилований по интернету. Мы всегда считали, что изнасиловать кого-нибудь по интернету очень сложно, но оказалось, что это не так.
Итак, мы создали файл JavaScript, который заражал веб-сайты. Мы создали «полезную нагрузку». Чтобы подготовить целевую атаку на определенный сайт, т. е. гарантировать, что пользователь, который является частью ботнета, заразится после посещения конкретного сайта, необходимо знать, какие файлы JavaScript загружаются на этот сайт. Для этого вы можете воспользоваться инспекцией сети в Google Chrome или Firefox Firebug и выбрать тот файл, который нужно заразить.
Конечно, если вы подключаете к сети через прокси-сервер, вы не станете подключаться к банковской системе, или к профилю в социальных сетях, к Интранету или вашему личному сайту, но если вы не чистите кэш, то вы находитесь в руках тех, кто заставил вас загрузить вредоносный файл JavaScript. И если этот файл находится на странице, которую вы собираетесь открыть после того, как посетили прокси-сервер, вы будете взломаны.
На следующем слайде показан код на странице социальной сети linkedin.com, где можно увидеть некоторые скрипты, которые загружаются в Java, так что если вы используете прокси-сервер, то мы можем создать специальную полезную нагрузку, загрузить эти файлы JavaScript. Затем эти файлы будут заражены, и как только вы отсоединитесь от прокси и подсоединитесь к linkedin.com, «полезная нагрузка» будет исполнена.
Это очень просто, так что мы можем создать целенаправленные атаки на несколько веб-сайтов для сбора паролей людей, которые использовали наш прокси-сервер перед тем, как начать использовать обычный, не анонимный интернет.
Для этого вам сначала нужно выбрать цель: банк, социальную сеть, Интранет, проанализировать загружаемые на сайт файлы и запустить «полезную нагрузку». То есть заразить и загрузить инфицированный файл для выбранной цели, и он окажется на каждом сайте, который жертва посетит в дальнейшем.
Сейчас я хочу продемонстрировать вам, как мы проникли в банковскую систему и показать, как выглядит наша панель управления. Конечно, мы давно отключили наш прокси-сервер, но для конференций BlackHat и DefCon я создал новую панель управления. Я не размещал этот прокси-сервер в интернете. Но после моего доклада на BlackHat, не знаю почему, кто-то опубликовал это в интернете (смех в зале).
Итак, мы настроили этот прокси-сервер только на 10 параллельных соединений, и прямо сейчас, в это утро, я готов показать вам всех ботов, всех наших «зомби» на сегодня, 28 июля. Вы видите здесь большое количество ботов из разных стран, США, Бразилии и так далее.
Прямо сейчас мы собираем от них много информации, но мы её не используем, мы не публикуем эти IP-адреса, поверьте мне.
Итак, я хочу продемонстрировать вам проникновение в банковскую систему. Сейчас я покажу вам этот веб-сайт. Это Объединённая кредитная лига Калифорнии. Как вы видите, этот сайт прекрасно подходит для атак, потому что это HTTP веб-сайт.
Вы видите здесь форму входа пользователя, куда нужно ввести адрес электронной почты и пароль. Так как мы очень легко можем вставить наш инфицированный файл JavaScript в HTTP сайт, я «подцепил» форму и вытащил имена пользователей и пароли с этого сайта.
Единственное, что нам нужно было проделать в панели управления нашего прокси-сервера, это проанализировать цель и выбрать один файл. В нашем примере это страница members.ccul.org и файл — скрипт gatag.js.
Затем я в нашей контрольной панели создал «полезную нагрузку» и создал предустановку для сайта, который нас интересует.
На следующем слайде вы видите, как целевой сайт выглядит в панели управления – здесь приведена команда на выполнение функции над адресом members.ccul.org для скрипта gatag.js, который запустит нашу «полезную нагрузку».
Таким образом, парень, который пользуется нашим прокси-сервером для просмотра порно, загрузит этот файл в кэш. Он может смотреть порно, взламывать сайты, делать что угодно, и в то же время он будет загружать этот файл JavaScript для целевой атаки.
После того, как он отсоединится от нашего прокси-сервера и выберет в настройках сети своего компьютера пункт «Не использовать прокси-сервер», наш файл всё равно останется в кэше его браузера, потому что он уже был загружён ранее и не имеет срока использования.
После того, как этот парень подсоединится к целевому сайту и ввёдет данные пользователя, мы «подцепим» эту форму и отобразим все эти данные в панели управления нашего прокси-сервера. Это очень просто.
А сейчас я приведу некоторые соображения о преимуществах ботнета JavaScript:
- нас не заботили предварительно кэшируемые объекты вроде E-tag или время истечения срока действия, поэтому мы с ними не боролись;
- нас не заботили безопасные соединения HTTPS, потому что мы не хотели поднимать никакой тревоги или «палить» сертификаты аутентификации. Кроме того, Moxie был слишком занят, чтобы мы могли с ним проконсультироваться по поводу использования этих сертификатов (докладчик имеет ввиду Moxie Marlinspike, который выступал на конференциях DefCon на тему подделки SSL-сертификатов центров авторизации CA);
- нам понадобился всего один день, чтобы сконфигурировать наш прокси-сервер так, чтобы он находил IP-адреса, создавал JavaScript и собирал всю нужную нам информацию
А сейчас вопрос: кто из вас думает, что такие плохие парни, как правительственные разведслужбы, проделывают то же самое в Интернете? Вопрос в том, кто из вас думает, что только один лишь прокси-сервер гарантирует интернет-безопасность? Никто так не думает, правильно?
Итак, полагаться на то, что прокси-сервер обеспечит вашу анонимность в интернете – это плохая идея. Но тысячи и тысячи сайтов говорят людям – если вы хотите анонимности в интернете, пользуйтесь прокси-сервером. И эта проблема существует очень и очень долгое время. Итак, помните – не пользуйтесь прокси-серверами! Не верьте тому, что они обеспечивают вашу анонимность.
Вот некоторые способы, как себя защитить.
Помните о схеме «человек посередине», потому что кто-то может сконфигурировать ваш браузер под свои нужды через прокси-сервер. Дважды подумайте, прежде чем пользоваться прокси.
Подумайте о том, не слишком ли вы доверяете сети TOR. Потому что в последнее время мы много слышали о фальшивых сетях TOR и взломах в этой сети.
После того, как вы пользовались анонимной сетью или прокси-сервером, очистите всю информацию в вашем браузере, полученную с сайтов, очистите кэш и удалите кукиз.
Помните, что VPN не панацея, потому что в этом случае множество людей подключаются к этой сети, потом они используют прокси-сервер, и поэтому инфицирование вашей виртуальной сети может произойти очень легко, так как происходит свободный обмен вредоносными файлами и трафиком.
Запомните ещё раз – кэш вам не друг, поэтому относитесь к нему соответственно.
Ресурсы:
HABR: 1 часть - Для просмотра ссылки Войди
Видеоролик DEFCON (осторожно Ютуб!) -
Не реклама, "Боже упаси!".
P. S. - Задумайтесь.
P. P. S - Я атеист.