Jump to content













Photo
- - - - -

You’ve been targeted… (part 2–the hacking part)

Posted by Blackman , 06 July 2012 · 586 views

Συνεχίζοντας από το PART 1 ήρθε η στιγμή να δούμε πως εξελίχθηκε το θέμα…

Σε μία συνάντηση με τον φίλο μου Γιάννη πίνοντας καφέ, του ζήτησα να μου εξηγήσει τι συμβαίνει ώστε να ξέρω αν θα συνεχίσω να τον βοηθάω περεταίρω. Στην αρχή αρνήθηκε να μου δώσει περισσότερες εξηγήσεις και επέμενε να με ρωτάει μόνο αν μπορώ να το κάνω.

Φυσικά του απάντησα ότι μπορώ να προσπαθήσω να κάνω κάποια πράγματα, χωρίς εγγυημένα αυτό να σημαίνει ότι θα καταφέρω να πάρω πρόσβαση στο σύστημα ή ότι σχετικό. Τότε μου ξεφουρνίζει ότι όλο αυτό είναι μέρος ενός στοιχήματος που έχουν βάλει τα 2 άτομα. Φυσικά για να γίνει πιο πιστικό το όλο θέμα, πήρε τηλέφωνο από το δικό του τον τηλέφωνο που είχαμε και μίλησε με ανοιχτή ακρόαση. Τότε οκ πείστηκα ότι υπάρχει στοίχημα, αλλά στην όλη διαδικασία σαν μέρος αυτού ο Γιάννης δεν του ανέφερε ότι ήδη έχει ξεκινήσει να το εφαρμόζει. Το στοίχημα ήταν να καταφέρει ο Γιάννης με οποιοδήποτε τρόπο να πάρει πρόσβαση είτε στο μηχάνημα του Νίκου ή σε κάποιον από τους λογαριασμού του.

Δεν μου το είπε εξαρχής για να προσπαθήσει να γίνει η όλη διαδικασία καλύτερα και πιο σωστά (όπως πίστευε). Έτσι ξεκινήσαμε να προχωράμε στο επόμενο στάδιο.

ΦΑΣΗ 4η

Αποφασίζουμε ότι θα είναι πιο εύκολο να γίνει η όλη δουλειά αν πολύ απλά ο Νίκος θα καθόταν σε κάποιον υπολογιστή που έχουμε πρόσβαση στον οποίο θα μπορούσε να υπάρχει ένα keylogger που θα έκανε την δουλειά για εμάς. Δυστυχώς όμως αυτό δεν υπήρχε πιθανότητα, καθώς έτσι όπως τα είχε οργανώσει το θέμα ο Γιάννη, εγώ έπρεπε να συνεχίσω με τα δεδομένα που μου είχε δώσει σαν να μην ήξερα για κανένα στοίχημα μεταξύ τους.

Αποφασίζω λοιπόν, να προχωρήσω σε άλλη λύση για να αποκτήσω απομακρυσμένη πρόσβαση. Με μία απλή αναζήτηση στο google, λύσεις υπάρχουν διάφορες και συνήθως είναι επί πληρωμή. Μία από αυτές τις λύσεις θεωρώ αξιόλογη την λύση του SniperSpy. Με το συγκεκριμένο κάνεις configure το αρχείο που πρέπει να στείλει με τα στοιχεία του λογαριασμού σου και του ρυθμίζεις τι θες να κάνει για σένα.

clip_image002

στην πορεία ετοιμάζεται ένα αρχείο που είναι έτοιμο προς εγκατάσταση. Φυσικά θέλει προσοχή να μην το εκτελέσει κάποιος τοπικά για τους ευνόητους λόγους.

Μόλις αυτό γίνει εγκατάσταση, τότε και εμείς θα είχαμε σύνδεση. (Σαν να είναι σε live μετάδοση αγώνα). Το θετικό του συγκεκριμένου είναι ότι μετά μπορείς να το παρακολουθήσεις από οπουδήποτε υπάρχει Internet και αυτά μέσω https (!!!). Φυσικά μιλάμε για ένα Trojan Horse με τα όλα του.

clip_image004

ΦΑΣΗ 5η

Καταλήξαμε στο τι θα χρησιμοποιήσουμε, αλλά το θέμα είναι πως γίνεται εγκατάσταση στο υπολογιστή του χρήστη; Αυτό είναι μεγάλο θέμα, καθώς το συγκεκριμένο είναι νόμιμο και φυσικά ανιχνεύσιμο από όλα τα antiviruses, οπότε το πρόβλημα μεγάλωνε ακόμα περισσότερο.

Με μία απλή αποστολή σε άλλη μορφή αρχείου, ή χωρίς την κατάληξη .exe ακόμα και στο hotmail, το αρχείο διαγραφόταν αυτόματα από το σύστημα. Χμ, κάτι μου θυμίζει η όλη διαδικασία. Α ναι… θυμήθηκα τον Κυπριανό στο IT Pro|Dev Connections 2011 που έκανε κάτι δοκιμές με κάποια αρχεία πριν τα στείλει καμουφλάροντας τα για να μην τα πιάσει το antivirus. Προφανώς αυτό ήταν η λύση. Χρειαζόμουνα ένα FUD crypter για να κάνω το αρχείο undetectable.

Φυσικά πάλι στο google θα βρείτε αρκετά τέτοια με μία απλή αναζήτηση. Στην δική μου περίπτωση χρησιμοποίησα το Chrome Crypter v2.2 (τώρα είναι πέρα από την 4 έκδοση). Φυσικά αυτό θέλει προσοχή γιατί όπως τα antiviruses εξελίσσονται καθώς μαθαίνουν και τις αλλαγές των crypters, πρέπει να χρησιμοποιηθεί η ποιο τελευταία έκδοση ώστε να αποφύγει κάποιος την όποια πιθανότητα να γίνει trace το αρχείο του από το antivirus/antimalware κλπ.

clip_image006

Όπως γίνεται κατανοητό, εκτός ότι μπορούν να αλλαχτούν τα signatures του αρχείου ώστε να μην μπορεί να εντοπιστεί, μπορεί με την βοήθεια του crypter να γίνει BIND μαζί με κάποιο άλλο αρχείο (.exe μόνο στην έκδοση 2) ώστε να γίνει ακόμα πιο δύσκολος ο εντοπισμός του.

Μετά από αλλεπάλληλες δοκιμές το αρχείο μπορεί και αποστέλλεται και συμπιεσμένο χωρίς να το κόβει το hotmail και χωρίς να το εντοπίζει το antivirus.

clip_image008

ΦΑΣΗ 6η

Ζητούμενο πλέον είναι να το στείλουμε στον χρήστη, αλλά όπως αναφέρθηκε στο part 1, είχαμε μόνο διαθέσιμο το email του φίλου και συγκάτοικου του Βασίλη. Χμ… προχωράμε στο βήμα να δημιουργήσουμε μερικούς email λογαριασμούς μέσω των οποίων θα στέλναμε τα γνωστά phising emails. Έχοντας την ελπίδα ότι ο Βασίλης θα εκτελέσει το αρχείο που του στείλαμε. Τις πρώτες ημέρες δοκιμάσαμε διάφορα που θα μπορούσε να τον κάνουν να το εκτελέσει, χρησιμοποιώντας ελληνικά κείμενα και παριστάνοντας κοπέλα που ζητάει επικοινωνία. Είναι γεγονός ότι τα θύματα του phising ποσοστιαία την πατάνε από τέτοιου τύπου emails.

Παρόλα αυτά μετά από 3 ημέρες δεν φαίνεται να είχαμε κάποια εξέλιξη, καθώς από την σελίδα του snyper spy όσες φορές και να πατήσαμε αυτό το “Fetch Logs”, δεν είδαμε τίποτα.

Επόμενο βήμα για να προχωρήσουμε πιο πέρα ήταν να στείλουμε ένα spoofed email. Πάλι με μία απλή αναζήτηση στο google βρίσκεις αρκετές υπηρεσίες που μπορούν να κάνουν spoof και αν στείλεις ένα email που να δείχνει ότι είσαι ο πρόεδρος της δημοκρατίας, που είναι και ακόμα καλύτερος τρόπος phising email.

Φυσικά όλα αυτά δεν είναι νόμιμα και το καταλαβαίνετε άμεσα….

clip_image010

φυσικά πρέπει να βρήκε και μία υπηρεσία που να λειτουργεί, καθώς δεν φαίνεται ότι λειτουργούν όλες.

Κάποιες είναι τόσο προχωρημένες που το spoofing είναι σε άλλα επίπεδα

clip_image012

Έτσι δημιουργήσαμε ένα ψεύτικο email που φαινόταν ότι αποσταλθεί από το αντίστοιχο της ομάδας που υποστήριζε τόσο ο Βασίλης όσο και ο Νίκος, με σκοπό την εκτέλεση του αρχείου ώστε να συμμετέχουν αυτόματα σε κλήρωση ενός εισιτηρίου διαρκείας για την επόμενη αγωνιστική περίοδο.

Εφόσον έφυγε αυτό… απλά πάλι περιμέναμε…

και περιμέναμε…

και περιμέναμε…

μετά από 2-3 ημέρες μιλάω με τον Γιάννη και του λέω ότι βαρέθηκα να ασχολούμαι άλλο με το θέμα και να το συνεχίσει μόνος του, καθώς δεν έβλεπα να έχουμε πετύχει τίποτα μέχρι τότε. Καθώς το συζητούσαμε μπαίνω μία τελευταία φορά στην σελίδα του snyper spy και ξαναπατάω το fetch logs…

λίγα δευτερόλεπτα μετά…τσουπ…έχω δεδομένα…στο keylog

clip_image014

BINGO!!!

Δεν χρειαζόμασταν κάτι άλλο σε αυτή την φάση. Αποκτήσαμε τον κωδικό του email του. Το χρησιμοποιήσαμε και μπήκαμε με τα στοιχεία του Βασίλη και βρήκαμε αμέσως την διεύθυνση του Νίκου.

ΤΕΛΙΚΗ ΦΑΣΗ

Άμεσα έγινε αποστολή του ίδιου spoofed email και στον Νίκο και λίγες ώρες μετά… πράγμα που τελικά αποδείχτηκε ότι δεν ήταν τόσο αναγκαίο καθώς και οι δύο φαίνεται ότι χρησιμοποιούσαν από κοινού 1 ή 2 υπολογιστές.

Έτσι πλέον είχαμε πρόσβαση και στο email του αργότερα με το οποίο είχε φτιάξει το νέο Profile του

clip_image016

αλλά επίσης και Printscreens και διάφορα άλλα…

clip_image018

και επίσης όση ώρα ήταν online είχαμε και LIVE σύνδεση

clip_image020

Σαν αποδεικτικό στοιχείο του ανεβάσαμε ένα αρχείο στο σκληρό δίσκο του και επίσης ο Γιάννης κράτησε 2-3 printscreens για επιπλέον απόδειξη, μαζί με τους κωδικούς του για τα email/paypal/facebook/itunes κλπ. Ο Γιάννης καλεί τον Νίκο στο τηλέφωνο και του λέει “αύριο για καφέ στο γνωστό μέρος, μαζί με τα 200 ευρώ του στοιχήματος ή βράδυ για φαγητό όπου θέλω εγώ”.

Ο Νίκος σάστισε καθώς δεν κατάλαβε τι του έλεγε ο Γιάννης και το πήρε στην πλάκα.

“Νίκο έχασες το στοίχημα… απέκτησα πρόσβαση σε ότι έχεις και ότι είχαμε πει και ακόμα παραπέρα…” ήταν η ατάκα του Γιάννη. Την επόμενη ημέρα βρεθήκαμε όλοι παρέα για καφέ όπου γνώρισα τελικά και τον Νίκο. Φυσικά άμεσα και μπροστά στα μάτια του έγινε η απεγκατάσταση του προγράμματος και σβήσαμε ότι logs είχε μαζέψει το πρόγραμμα

clip_image022

Στην συζήτηση τα συμπεράσματα πολλά μέσα σε κλίμα χαβαλέ… καθώς το στοίχημα μπήκε όταν ο Γιάννης του είπε ότι δεν παίρνει σωστά την ασφάλεια ο Νίκος και ότι εύκολα θα μπορούσε να μπει κάποιος στο σύστημα του και ο Νίκος τον προκάλεσε με την ατάκα “στοίχημα 200€ ότι εσύ δεν μπορείς να το κάνεις αυτό εσύ”. Φυσικά το “εσύ” δεν σήμαινε ότι δεν θα μπορούσε να έχει βοήθεια…

ΣΥΜΠΕΡΑΣΜΑΤΑ (part 2)

1) Δεν ανοίγουμε emails και ειδικά επισυναπτόμενα από άτομα που δεν ξέρουμε ή ακόμα και να τα ξέρουμε μην το κάνουμε χωρίς να το ελέγξουμε πρώτα.

2) Αν υπήρχε dual factor authentication δεν θα μπορούσαμε να αποκτήσουμε πρόσβαση.

3) Λίγες ημέρες αργότερα με το συγκεκριμένο crypter πλέον περισσότερες μηχανές έβρισκαν το άρχείο.

4) Κάποια πράγματα μπορούν να γίνουν εύκολα (σχετικά) και με αρκετή δόση τύχης από άτομα που δεν είναι Hackers, αλλά ένα επίπεδο πάνω από script kiddies…

5) Όλα τα εργαλεία ήταν προσβάσιμα σε όλο τον κόσμο με την προειδοποίηση ότι δεν θα πρέπει να παραβιάζουν το νομικό πλαίσιο (φαντάζομαι όλοι για δοκιμές τα χρησιμοποιούν;)

6) Ποτέ μην λες ποτέ…

ΣΗΜΕΙΩΣΗ: Η ΧΡΗΣΗ ΤΩΝ ΠΡΟΓΡΑΜΜΑΤΩΝ/ΙΣΤΟΣΕΛIΔΩΝ ΠΟΥ ΑΝΑΦΑIΡΟΝΤΑΙ  ΣΕ ΑΥΤΌ ΤΟ ΑΡΘΡΟ ΔΕΝ ΠΡΕΠΕΙ ΝΑ ΧΡΗΣΙΜΟΠΟΙΗΘΟΥΝ ΜΕ ΑΝΗΘΙΚΟ ΣΚΟΠΟ Η ΤΡΟΠΟ ΠΟΥ ΝΑ ΠΡΟΣΒΑΛΕΙ ΤΗΝ ΙΔΙΩΤΙΚΗ ΖΩΗ ΤΡΙΤΩΝ. ΤΟ ΑΡΘΡΟ ΑΥΤΟ ΕΙΝΑΙ ΚΑΘΑΡΑ ΕΚΠΑΙΔΕΥΤΙΚΟΥ ΧΑΡΑΚΤΗΡΑ, ΜΕ ΣΚΟΠΟ ΝΑ ΤΟΝΙΣΕΙ ΤΗΝ ΕΥΚΟΛΙΑ ΠΟΥ ΜΠΟΡΕΙ ΚΑΠΟΙΟΣ ΝΑ ΑΠΟΚΤΗΣΕΙ ΠΡΟΣΒΑΣΗ ΣΕ ΕΝΑ ΣΥΣΤΗΜΑ Η ΕΝΑ ΛΟΓΑΡΙΑΣΜΟ ΑΝ Ο ΧΡΗΣΤΗΣ ΔΕΝ ΚΑΝΕΙ ΤΙΣ ΠΡΟΤΕΙΝΟΜΕΝΕΣ ΚΙΝΗΣΕΙΣ. DO NOT USE AT HOME…OR ANY OTHER HOME…