кулцхакер ты рад что это
Старый добрый развод от кулхацкеров
Если он мою историю посмотрит, скорее он мне денег пришлет.
vorobev91, сколько той жизни! Расскажи камрадам пикабушникам, как ты себя весьма необычно удовлетворяешь. Хотя вряд ли ты кого здесь удивишь.
особенно смешно читать эти письма с рабочего компа где десятки терабайт малопонятных обывателю данных и нет вебкамеры (на лаптопе она кстати тоже сдохла еще год назад)
Старый дебильный развод.
пока не густо, но оба поступления март-апрель этого года, рыбка ловится.
нет,ну уже просто интересно,что ж там такое смотришь
кароч у тебя конь троянский в роутэре но это не точно
Верните мне мой 2012-й
Посмотрев служебный заголовок выяснил писали с Алтая
Это в какой раз я читаю на Пикабу?
Майл.ру проблемы с защитой персональных данных
Вчера вечером обнаружил у себя на Облаке от Майла странную папку, которую не создавал. Зайдя в нее увидел кучу сканов паспортов людей, которых я не знаю.
Мягко говоря, на лицо, проблемы с безопасностью. Обращение в Майл я оставил, но хотел бы предупредить всех остальных: не стоит хранить сканы ваших паспортов в облаке, может случится, что они попадут к мошенникам и неизвестно чем это аукнется.
Кто пользуется платной подпиской на музыку VK/BOOM проверьте списания, снимают 149р по два раза, ещё и ночью.
Посты уже давно встречались на Пикабу и других ресурсах:
Не уверен на 100% кто в ответе за списания, но думаю раз принадлежит Mail.ru то она и в ответе, пруф:
Поднимите пожалуйста в топ, пусть увидят и проверят многие, комментарии для минусов внутри.
P.S. Бонус лишним не будет:
Негодяи взломали почту
Разослали всем контактом жалобную историю о больном крестнике или племяннике нуждающемся в срочной операции и с просьбой перевести средства на карту. Оставили след
Я не спец и не знаю, можно ли отследить негодяев. Перед уходом всех забили в спамфильтры, из-за этого я чуть было не проморгал важное письмо. Пароль был сложный, содержал и буквы и цифры и сменный регистр. Как ещё уберечься от подобных неприятных ситуациях?
Нужна помощь Пикабу!
Как видим, доступ к почте они получили в 8:07 и за 13 минут отправили, получили и удалили совокупно 6 писем. Их ip, судя по всему, Московский: 46.188.90.103
Этого хватило, чтобы закрыть мой заказ на Алиэкспресс:
Хотя моя посылка еще в пути:
Зайти на сервис кэшбеков EPN.BIZ (не реклама) и вывести оттуда кэшбек за этот заказ:
Кулхацкер
Компьютерный сленг — разновидность сленга, используемого как профессиональной группой IT-специалистов, так и другими пользователями компьютеров.
История
Появление терминов
Внедрение сленга
Как и в профессиональном языке компьютерщиков, в жаргоне много английских заимствований. Часто это заимствования из английского компьютерного жаргона. Примером служат слова «геймер» — от английского жаргонизма gamer, где геймером называют профессионального игрока в компьютерные игры или «думер» — от doomer — это поклонник игры [2]
Методы внедрения
Один из распространённых способов, присущий всем жаргонизмам, стоящим рядом с определенной терминологией, — это трансформация какого-нибудь термина, как правило, большого по объёму или трудно произносимого. [3]
Сюда можно отнести:
«Отцами» этих слов могут выступать и профессиональные термины английского происхождения, которые уже имеют эквивалент в русском языке: хард драйв, хард диск, хард, тяжелый драйв — hard drive (жёсткий диск, винчестер), коннектиться или джоиниться — to connect и to join (присоединяться), апгрейдить — to upgrade (усовершенствовать), программер — programmer (программист), юзер — user (пользователь), кликать или щёлкать — to click). Грамматическое освоение русским языком некоторых заимствований сопровождается их словообразовательной русификацией. [4] Zip (программа архивации) — зиповать, зазипованный, зиповский; user (в переводе «пользователь») — юзер, юзерский (и вторично преобразованное из слов «юзер» и «зверь» уничижительное понятие «юзверь»).
Интересно, что здесь есть и обратное явление. Появляется синонимичный термину жаргонизм, образованный от слова, уже давно закрепившегося в русском языке: «форточки» — фамильярное название операционной системы Microsoft Windows (дословно — «Окна»). [5]
Некоторые слова приходят из жаргонов других профессиональных групп, к примеру, автомобилистов: чайник — начинающий пользователь, движок — ядро, «двигатель» программы. Второе значение термина движок это ещё и семантически эквивалентно английскому аналогу engine — двигатель). Иногда и сам компьютер называют машиной. Слово «глюк» и словообразовательный ряд от него, широко употребляющиеся в компьютерном жаргоне, получают здесь значение «непредвиденных ошибок в программе или некорректной работы оборудования». Например: «У меня принтер глючит». [2]
Ещё один способ — метафоризация — широко используется почти во всех жаргонных системах. С его помощью были организованы такие слова, как: блин, болванка, матрица — компакт-диск, селёдка — пластиковая упаковка от записываемых дисков (обычно на 10-100 дисков), по аналогии с советской консервной банкой для сельди, крыса, животное, пацюк (укр.) — манипулятор мышь, реаниматор — специалист или набор специальных программ по «вызову из комы» компьютера, программное обеспечение которого серьёзно повреждено и который не в состоянии нормально функционировать. Также существуют глагольные метафоры: тормозить — крайне медленная работа программы или компьютера, сносить, убивать — удалять информацию с диска, резать — записывать информацию на оптический диск (в этом случае резак — записывающее устройство). Есть ряд синонимов, связанных с процессом нарушения нормальной работой компьютера, когда он не реагирует ни на какие команды, кроме кнопки афоризм на семь бед один reset). В таком случае о компьютере говорят, что он повис, завис, встал, упал. Слово «упал» также относят к ОС (Операционной системе) или другому важному ПО (Программному обеспечению), в случае сбоя нормальной работы программы, вследствие чего необходимо её переустанавливать, либо в случае нарушения работы канала связи. Хотя слово «зависание» (произошло зависание, в случае зависания) сейчас уже можно исключить из жаргонизмов — оно официально употребляется как термин. Это не единственный пример наличия синонимов в лексике жаргона.
Способ метонимии (оборот речи, замена одного слова другим, смежным по значению) встречается в образовании жаргонизмов у слова «железо» — в значении «компьютер, физические составляющие компьютера», «кнопки» — в значении «клавиатура». Но есть примеры фразеологизмов, мотивация смысла в которых понятна чаще посвященному: «синий экран смерти» (Blue Screen of Death, текст сообщения о критической ошибке Windows на синем фоне), «комбинация из трех пальцев» (Ctrl-alt-delete — вызов диспетчера задач, в старых системах, до Windows 98, — перезагрузка системы), «топтать батоны» (работать на клавиатуре, button — кнопки).
В компьютерном сленге присутствуют слова, не имеющие семантической мотивировки. Они находятся в отношении частичной омонимии с некоторыми общенародными словами: лазарь — лазерный принтер; вакса — операционная система пентюх, пень — микропроцессор квак, квака — игра
Словообразование
Впоследствии слова могут вытесняться терминами. Напр., для игрового жаргона: симулятор, квест, 3D action (экшен).
Кулхацкер. Начало
Эпизод 1. Введение, капча, выпиливание ботов
Есть у меня один интернет-проект личного характера, так сказать, с началом еще в 2006 году. Проект сильно личный, поэтому ссылку не публикую, но желающим ссылку могу дать в личку. На данный момент проект потихонечку умирает, стадию роста и расцвета он уже пережил, вроде нужно закопать, но вот все никак не решимся мы на этот шаг.
Двиг в 2006 году был куплен, не секрет — DLE, и примерно за год сильно допилен собственными силами, настолько сильно допилен, что мы перестали обновляться с 2007 года. Сайтец, где народ тусит, пишет, комментирует, общается в личках на разные животрепещущие темы.
Отличительными особенностями проекта были собственные доработки, но настолько простые, что иногда я сильно удивлялся тому, почему до этого не додумались остальные. Одна из таких доработок связана с капчей.
Когда все подобные проекты вводили капчу для защиты от ботов, мы с товарищем тоже решили ввести капчу, но быстро поняли, что мы тупо теряем аудиторию, а ботов все больше, и они продолжают спамить. В итоге капча осталась, но исключительно как рулетка, отображающая выпавшее число, которое никак не влияет на возможность оставить комментарий — проще говоря, мы выпилили полностью механизм проверки капчи, но оставили генерацию и отображение. И через достаточно небольшой промежуток времени это стало фишкой — народ в комментариях мерился числами капчи, у кого красивее и т.д. «Чем бы дитя ни тешилось, лишь бы не руками,» — подумали мы.
Но ведь если вспомнить историю капчи, то она призвана защитить от ботов, от тех самых, которые массово спамят на просторах интернета, а мы этот механизм защиты выпилили, потому что он не работал. Тем не менее, мы смогли проанализировать поведение ботов и выпилить всех без остатка. Есть сайт, есть возможность простого, считай легкого, комментирования, без смс и регистрации, нет капчи, нет ботов.
Это было достойное применение аналитики POST и GET запросов к скриптам сайта с моей стороны.
Эпизод 2. Обновления движка, знакомство с кулхацкером
Т.к. двиг сайта не обновлялся, то периодически всплывали какие-то уязвимости, а еще какие-то эпизоды применения конкретных уязвимостей к нашему сайту.
Хорошо, если мы узнавали об этой уязвимости на 0day ресурсах до того, как эта уязвимость была применена к нашему сайту, или на форме техподдержки нашего движка, снова до того момента, как эта уязвимость была применена к нашему сайту. Но случалось и так, что мы узнавали об уязвимости из анализа POST и GET запросов к скриптам сайта, либо уже по факту, например, дефейса, либо иных манипуляций с сайтом.
И вот наступил тот день, когда версия движка сайта стала настолько старой, что сообщения об этом движке и этой версии просто перестали появляться на 0day ресурсах, не говоря о том, что на форуме ТП за последние 5 лет новых сообщений о нашей версии движка просто не появлялось.
И тут появляется он — кулхацкер.
Не буду рассказывать про то, кто это, расскажу про веселье, которое мы получили. Началось все с того, что на почту владельца сайта пришло сообщение, что сайт взломан, гоните бапки, иначе всем хана. В первом письме была озвучена сумма в 100К рублей в биткоинах.
Вот те раз, подумали мы, и взялись за аналитику. Сначала требовалось найти результат взлома. Достаточно оперативно был найден скрипт, не относящийся к движку сайта, но замаскированный под типичный для нашего движка скрипт, также были найдены измененные скрипты сайта — сайт был зашелен. Уровень работы — кулхацкер, до сервера добраться не удалось.
Путем нехитрых манипуляций были проанализированы POST и GET запросы к сайту целиком, на предмет имени нового скрипта, ну и конечно же были обнаружены переданные параметры в POST запросе к сайту, в результате чего была найдена уязвимость, был определен вектор атаки, была найдена слабая на передок переменная, ну и конечно же уязвимость была закрыта, а для движка сайта был сделан «откат до безопасного» состояния. За кулхацкером было установлено дополнительное наблюдение — вдруг он еще чего знает, чего не знаем мы, а в паблике неизвестной информации уже практически нет, да и наш случай явно нигде не описывался.
Спустя какое-то время снова письмо, на этот раз о том, что мы плохие люди, что он нам этого не простит, что если мы не заплатим бапки, то нам снова не поздоровится.
Вот те два, подумали мы, и снова проигнорировали письмо. Спустя пару дней мы получили дефейс сайта с требованием заплатить бапки. Снова проанализировали POST и GET запросы, снова нашли вектор атаки, обнаружили новую слабую на передок переменную, снова закрыли уязвимость, снова сделали «откат до безопасного» состояния.
Мы уже понимали, что кулхацкер должен начать подозревать нас в том, что мы используем его знания в собственных интересах, ну и что мы не бежим к нему навстречу с сумкой денег, поэтому было решено написать письмо нашему «клиенту» от некой «секретарши», которая не понимает, о чем идет речь, и что ей вообще нужно делать, и уж тем более она не понимает, что такое биткоины. Мы рассчитывали на то, что это должно в некотором смысле подогреть интерес нашего кулхацкера, что заставит его еще пару раз продемонстрировать уязвимости нашего движка, если у него таковые остались в запасе.
Также мы проанализировали первый и второй векторы атаки, определили общее слабое место движка сайта, после чего проанализировали все скрипты на предмет подходящих под обнаруженные уязвимости слабых на передок переменных. Оперативно закрыли еще несколько узких мест.
Ответ кулхацкера не заставил себя долго ждать, снова была угроза о том, что нам будет плохо, снова был осуществлен дефейс сайта, но теперь сумма требований снизилась в 10 раз, что дало нам предположение о том, что идеи у нашего подопечного закончились, а значит в следующий раз он к нам не придет.
Стандартные манипуляции с анализом запросов к сайту, новый вектор атаки, новый набор переменных, закрытие уязвимости, «откат до безопасного» состояния.
Эпизод 4. Прощание
Как и предполагалось, новых случаев взлома не было, но зато было новое письмо от нашего клиента о том, что мы редиски, что мы ведем себя крайне непрофессионально, и что могли бы заплатить бапки хотя бы за то, что он нам показал уязвимости нашего движка.
Обменялись контактами, нашли несколько закрытых сообществ с 0day информацией, где были опубликованы неизвестные до этого времени уязвимости для нашего движка — были приятно удивлены. Кулхацкеру сказали спасибо и закинули денег на телефон, номер которого он нам не сообщал 😉
Эпизод 5. Рабочие моменты
Новая компания, новые задачи. Краем уха слышу разговор ИТ инженеров о том, что основной сайт компании взламывают уже в который раз, что компания, разрабатывавшая сайт несколько лет назад, хочет денег за обновление движка и закрытие уязвимостей, что хз что делать, но скоро начнут рвать на флажки. Вклиниваюсь в разговор, предлагаю помощь.
Классика же, все же до безумия просто, с этого начинают все кулхацкеры. Для начала предлагаю включить анализ POST запросов, т.к. в логах GET пусто, что логично. Спустя пару часов получаю ответ, что хостер сказал, что это невозможно, что такие логи они не ведут, что если хотите собирать POST, то собирайте сами. Ребята расстроены.
Вот те три, подумал я, и рассказал, как принудительно включить сбор POST запросов со всех скриптов сайта. На следующий день вектор атаки был обнаружен, уязвимость оперативно закрыта, а ИТ инженеры получили бесценный опыт по анализу ситуации, чем, наверное, и пользуются по сей день. ИБ в компании не было.
Заключение
Хотите научиться основам ИБ, начните с кулхацкерства. Если направление станет интересным — шагните на следующую ступеньку. Чем больше Вы будете знать о методах взлома, тем больше Вы сможете противопоставить атакующим.
И да, когда дойдете до подбора доступа к личности, тогда сможете начать составлять грамотные регламенты по ИБ.
«А что боты?» — Вы спросите. А я Вам отвечу: «Анализируйте поведение, найдете вектор атаки, закономерности и общие моменты — сможете разобраться с ними!» — очень похоже на общий подход к обеспечению безопасности по факту. Превентивные меры только на основе опыта.
О том, как я был кул хацкером
Эти две небольших истории произошли со мной когда я был молод и глуп, но скорее глуп чем молод. Наверное, каждый из вас, в свое время, увлекался чем-либо. Возможно, это увлечение пришло к вам спонтанно, из-за стечения разного рода обстоятельств, так получилось и у меня. В те далекие-далекие времена я увлекся темной стороной силы взломом сайтов. Мой интерес был праздным, я лишь начинал свой путь веб-программиста и несколько моих сайтов взломали с помощью sql-injection. Мне требовалось дополнить свои знания чтобы впредь подобное не повторялось, чем, собственно, я и занялся.
Ну и как многие другие, в то время я увлекался браузерными играми и решил применить свои небольшие на тот момент и на этот знания в коварных целях.
История про «футбольный менеджер»
Как сейчас помню, сижу я развалившись в кресле, вяло наблюдая как по полю бегают маленькие виртуальные игроки моей команды. В чате творится обыденный бурный хаос, в голове лишь одна мысль — как же скучно. К этому моменту у меня был небольшой опыт брутфорса разных форумов, мы с друзьями играли в «линейку» и чтобы быть в курсе событий действий чужих кланов — я брутил их форумы, чтобы читать важную стратегическую информацию :).
В голову пришла мысль — а почему бы не попробовать и тут? Попробуем использовать брутфорс! Оказалось, что на входе в игру не используется капча и логин игрока совпадает с ником в игре. Элементарно, Ватсон!
Был написан небольшой скрипт который перебирал указанным логинам стандартные пароли, логины игроков я быстро получил из рейтинга. Пароли же взял самые простые, рекордсменом был, конечно же, «123456» после него с гордо поднятой головой шли «1234», «111111», «qwerty», «qazwsx» и подобные, у меня было всего около 10 основных паролей по которым я «работал». Получилось несколько сотен доступов, это было для меня простым развлечением и я занимался тем что логинился под каким-либо игроком и писал в чат от его имени. Достаточно быстро в игровом чате началась легкая паника, некоторые люди писали что-то вроде «Да это фигня, а ну, взломай меня!», я подставлял для брута только один логин и скачанную где-то базу основных паролей 🙂 Обычно все получалось и я заходил под его ником и стращал остальных. После нескольких подобных случаев уже никто не смеялся и половина чата бегала с криком «А-а-а-а-а» по кругу.
На форуме несколько десятков игроков начали живо обсуждать «взлом сайта», «слив базы» , «он продал моего Рональдо» и «мы все умрем». Администрация отбивалась как могла и не понимала что происходит, а так как я не скрывался, быстро вышла на мой основной ник и спросила «че за?». В тот момент я понял что это успех и начал глупо гордо играть в злобного хацкера, который способен уничтожить их игру. В ходе общения, за остановку своих деструктивных действий и помощи в устранении уязвимости я запросил аж… 100$. Да, это было забавно в тот момент и одновременно очень ново для меня :). После того как я назвал «цену» администрация ответила что-то вроде «утром стулья — вечером деньги» и намекнула что если уязвимость действительно будет — сразу заплатят. Но тут во мне проснулся ковбой Мальборо и я ответил: «Теперь мои услуги стоят 200$». Сейчас это выглядит дико, но в тот момент я действительно так сделал :).
В общем то, немного поразмыслив, я понял что надо идти сдаваться написать им про брутфорс и sql-инъекцию (которую я нашел в тот же вечер, но чуть позже). Сделав свое грязное дело я получил заветные 200$ на вебмани! Честно сказать, не ожидал, что они заплатят, но они отправили деньги с комментариями «ну ты, блин, шантажист :)». После этого я совсем обнаглел и через пару дней попросил у них игровой валюты (несколько друзей играли в эту игру и я хотел им помочь), администрация не отказала и засыпала меня как золотая антилопа Раджу 🙂
К слову сказать, сейчас данная игра чувствует себя очень неплохо, судя по статистике с их сайта, зарегистрировано в игре более 6 000 000 игроков.
История про сочинский сайт
Лет 5 назад у моего города был «основной» сайт, самый известный и посещаемый, он и сейчас есть, собственно, но конкурентов значительно больше. Зачем я начал проверять его на sql-инъекции — не знаю, но факт в том, что я нашел уязвимость в добавлении объявлений — чем и воспользовался. Удалось получить доступ к базе данных mysql 5 версии — список всех таблиц и полей, логин и хеш пароля от администратора форума и сайта, ну и подобные скучные вещи. Но в этот раз я решил что настало время спалиться проявить себя.
Узнав где находится офис данного сайта (а у них целый офис, штат сотрудников — все серьезно) я приехал на встречу к директору чтобы на месте показать им насколько я глуп что сам приехал уязвимыми они являются на самом деле. Гордо и уверенно я поведал директору телеканала сайта об их проблемах, даже показал в режиме «онлайн» процесс получения любых данных из их базы. После чего, он мне сказал следующее: «Ты в курсе что за текущий год мы уже двух таких посадили?». Он явно намекал мне на неправомерность моих действий. Хорошо что я не стал глупить, а пришел и рассказал — подумал я. В общем, начальник директор сайта спросил чего бы я хотел за помощь, а так как я очень-очень-очень скромный, то попросил лишь 3 000 рублей :). В белом конвертике мне была передана сумма и сказано «спрячь, чтобы сотрудники не видели», после чего я как заправский шпион вышел на улицу и был таков.
Конечно, суммы фигурирующие в статье достаточно смешные, но, прошу учесть что у меня не было цели «заработать» и все происходило достаточно спонтанно, кстати, подобных историй у меня много, но именно «получил вознаграждение» я в этих двух 🙂
Вскрытие трафика в публичных сетях
Эта статья о том, как стать кулхацкером (или по-английски Script Kiddie) — условным злоумышленником, который испытывает недостаток знаний в области программирования и использует существующее программное обеспечение, чтобы провести атаку на смартфоны и планшеты своих одноклассников.
Шучу. На самом деле передо мной стояла задача понять две вещи:
Отправная точка
Сразу скажу, что хотя часть моих опытов проводил в настоящих публичных сетях, “неправомерный доступ” я получал только к браузерам своих собственных устройств. Поэтому фактически Главу 28 УК РФ я не нарушал, и Вам настоятельно нарушать не советую. Данный эксперимент и статья предлагаются к ознакомлению исключительно в целях демонстрации небезопасности использования публичных беспроводных сетей.
Итак, в чем собственно проблема для хакера, если в трафик в открытых беспроводных сетях легко перехватить любым сниффером? Проблема в том, что в 2020 году почти все (99%) сайты используют HTTPS и шифруют весь обмен данными между сервером и браузером потенциальной “жертвы” индивидуальным ключом по довольно свежему протоколу TLS. TLS даёт возможность клиент-серверным приложениям осуществлять связь в сети таким образом, что нельзя производить прослушивание пакетов и осуществить несанкционированный доступ. Точнее прослушивать-то можно, но толка в этом нет, так как зашифрованный трафик без ключа для его расшифровки бесполезен.
Более того, во всех современных браузерах реализован механизм HSTS ( HTTP Strict Transport Security), принудительно активирующий защищённое соединение через протокол HTTPS и обрывающий простое HTTP-соединение. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение вместо использования HTTP-протокола. Механизм использует особый заголовок Strict-Transport-Security для принудительного использования браузером протокола HTTPS даже в случае перехода по ссылкам с явным указанием протокола HTTP (http://). Исходный вариант HSTS не защищает первое подключение пользователя к сайту, что оставляет лазейку для хакеров, и злоумышленник может легко перехватить первое подключение, если оно происходит по протоколу http. Поэтому для борьбы с этой проблемой большинство современных браузеров использует дополнительный статический список сайтов (HSTS preload list), требующих использования протокола https.
Чтобы как-то перехватить вводимые пароли или украсть cookies жертвы нужно как-то влезть в браузер жертвы или добиться, чтобы протокол шифрования TLS не использовался. Мы сделаем обе вещи сразу. Для этого мы применим метод атаки “человек посередине” (MitM). Оговорюсь, что наша атака будет довольно низкопробной, потому что мы будем использовать готовые “конструкторы-полуфабрикаты” из журнала “Хакни Сам” практически без какой-либо доработки. Настоящие хакеры вооружены более качественно, а мы только играем роль низкоквалифицированных кулхацкеров, чтобы проиллюстрировать степень небезопасности публичных современных беспроводных сетей.
Железо
В качестве инструментария для эксперимента я использовал следующий инструментарий:
У встроенной карты Atheros AR9485 была великолепная поддержка всех режимов и драйвер “из коробки” в Kali, но невозможность управлять мощностью сигнала и слабая антенна сводили на нет эффективность данной карты на фазе активного вмешательства в трафик.
У WiFi TP-LINK Archer T4U v3 не было драйвера из коробки, а тот который я нашел на Github, не имел поддержки режима точки доступа (AP) и его нужно было компилировать самостоятельно.
Карточка TP-LINK Archer T9UH v2 заработала идеально с драйвером из коробки, на ней то у меня все и получилось.
Первым делом я установил Kali Linux 5.8.0 на свой ноутбук. Единственный SSD в ноутбуке был пустым и предназначался целиком для эксперимента, что избавило меня от некоторых трудностей с разбивкой разделов и резервным копированием старых данных с него, поэтому при установке я использовал все варианты “по умолчанию”. Я все же столкнулся некоторыми тривиальными проблемами вроде потери монтирования флешки с дистрибутивом в процессе установки и обновления системы до последней актуальной версии из репозитория.
Затем нужно было запустить инструменты проникновения, ими будут Bettercap и BeEF. С их помощью мы принудим браузеры “жертв” отказаться от шифрования трафика и внедрим в просматриваемые сайты троянский JavaScript.
Bettercap — это полный, модульный, портативный и легко расширяемый инструмент и фреймворк с диагностическими и наступательными функциями всех видов, которые могут понадобиться для выполнения атаки “человек посередине”. Bettercap написан на Go, основная разработка проекта проходила до 2019 года, сейчас происходят лишь небольшие исправления. Однако, как мы увидим позднее этот инструмент в быстро меняющемся мире информационной безопасности сохраняет свою актуальность и на закате 2020 года. Bettercap поставляется со встроенным модулями arp spoof и sslstrip. Именно Bettercap должен перехватывать трафик и внедрять в него вредоносную нагрузку.
SSlstrip — это специализированный прокси-сервер, который позволяет организовать один из способов обхода HTTPS для перехвата трафика — разбиение сессии пользователя на два участка… Первый участок от клиента до прокси сервера будет идти по протоколу HTTP, а второй участок, от прокси до сервера будет проходить, как и должен, по шифрованному соединению. SSLstrip позволяет разрезать сессию “жертвы” на две части и перехватить трафик для дальнейшего анализа, а также предоставлять автоматические редиректы на динамически создаваемые HTTP двойники страниц.
arp spoof перехватывает пакеты в локальной проводной или беспроводной сети с коммутацией. arpspoof перенаправляет пакеты от целевого хоста (или всех хостов) сети, предназначенные для другого хоста в этой сети, путём подмены ARP ответов. Это очень эффективный способ сниффинга трафика на коммутаторе или wifi-роутере.
BeEF — это фреймворк, позволяющий централизованно управлять пулом зараженных через XSS-атаку (сross-site scripting) клиентов, отдавать им команды и получать результат. “Злоумышленник” внедряет на уязвимый сайт скрипт hook.js. Скрипт hook.js из браузера “жертвы” сигналит управляющему центру на компьютере “злоумышленника” (BeEF) о том, что новый клиент онлайн. “Злоумышленник” входит в панель управления BeEF и удаленно управляет зараженными браузерами.
Я использовал версии Bettercap v2.28 и BeEF 0.5 Они оба уже есть в составе Kali Linux 5.8.0
Открываем окно командной строки и вводим команду
Стартует первая часть нашего зловредного бутерброда — фреймворк BeEF.
Теперь запустим браузер (в Kali Linux обычно это Firefox), переходим по адресу http://127.0.0.1:3000/ui/panel, логин и пароль по умолчанию beef:beef, после чего мы попадаем в контрольный пункт управления нашей атаки.
Оставляем вкладку с BeEF открытой, мы в нее вернемся позже.
Перейдем к второй части бутерброда — Bettercap. Тут был подводный камень — Bettercap, уже имевшийся в системе, отказывался стартовать сервисом и выдавал другие непонятные мне ошибки. Поэтому я его решил удалить и поставить заново вручную. Открываем окно командной строки и выполняем команды:
Затем скачиваем браузером бинарную версию Bettercap v2.28 в архиве в папку загрузки. Обратите внимание, что я выбрал версию для своей архитектуры ядра.
Теперь распаковываем и размещаем исполняемый файл в системе Bettercap в папку, предназначенную для ручной установки.
Самый простой способ начать работу с Bettercap — использовать его официальный веб-интерфейс пользователя. Веб-интерфейс работает одновременно с сервисом rest API и интерактивной сессией командной строки. Чтобы установить веб-интерфейс нужно выполнить команду:
Внимание! Уже на этом этапе нужно обязательно подключиться к атакуемой беспроводной сети, получить ip-адрес для беспроводного интерфейса атакующей машины и запомнить его (команда ifconfig поможет его узнать).
Bettercap понимает как отдельные команды из командной строки так и каплеты. Каплет — это просто текстовый файл со списком команд, которые будут выполнены последовательно. Для запуска веб-интерфейса используется http-ui caplet. Посмотреть и изменить учетные данные по умолчанию в нем можно по пути /usr/local/share/bettercap/caplets/http-ui.cap. Запуск Bettercap с веб интерфейсом модулями api.rest и http.server 127.0.0.1 производится командой
Теперь можно открыть в браузере еще одну вкладку с адресом 127.0.0.1 (без номера порта!) и войти в систему, используя учетные данные, которые были подсмотрены или настроены на предыдущем шаге (обычно это user/pass).
Веб-интерфейс Bettercap полностью дублирует командную строку, поэтому все действия которые мы будем делать из командной строки, можно сделать и из веб-интерфейса (запуск модулей, смена режимов, просмотр изменение значение переменных, вывод диагностической информации)
Продолжаем в командной строке и проведём первоначальную разведку беспроводной сети, к которой мы уже подключены в качестве обычного клиента.
net.recon on — Запускает обнаружение сетевых хостов.
net.probe on — Запускает активное зондирование новых хостов в сети через отправку фиктивных пакетов каждому возможному IP в подсети.
net.show — Даёт команду отобразить список кэша обнаруженных хостов.
net.probe off — Выключает модуль активного зондирования.
Настраиваем переменные Bettercap, чтобы он:
Затем запускаем атаку против пользователей беспроводной сети:
Команды
arp.spoof on — Запускает отравление ARP кеша устройств “жертв”, этот модуль перенаправлять трафик на беспроводной интерфейс “злоумышленника”
http.proxy on — Запускает прозрачный прокси, этот модуль создает прокси сервер, который будет ловить весь переадресованный трафик и модифицировать его в интересах “злоумышленника”.
“Жертвы” начинают пользоваться интернетом, заходить на сайты, и в случае успеха атаки будут лишены транспортного шифрования (а значит станут доступны для прямого прослушивания любым сниффером) и будут получать себе вредоносный скрипт BeEF. Скрипт BeEF, выполнялась в контексте домена, в чью страницу он был внедрен, может выполнить много разных действий, например утащить cookies или украсть вводимые пароли.
Как и положено наспех сделанному бутерброду, атака сработает далеко не на все сайты. Например, крайне маловероятно провернуть атаку с одним из сайтов Google, так как в браузере уже есть список HSTS preload list для некоторых сайтов. Но вот “хайджекнуть” Рамблер или Coub.com оказалось вполне возможно! Если мы попросим “жертву” (социальная инженерия, куда ж без нее) открыть адрес Ro.ru, или вдруг она сама это сделает, то произойдет вот что:
Весь трафик жертвы на сайт rambler.ru летит по воздуху открытым текстом и его можно прослушать любым сниффером. В то время как в браузере “жертвы” не будет почти никаких признаков беды, кроме малозаметного треугольника и еще одного странного символа в конце адресной строки.
А на машине “злоумышленника” в контрольной панели фреймворка BeEF, в разделе Online Browsers тем временем появится запись о новом браузере, пойманном на крючок. Выбираем этот браузер мышью, переходим в суб-вкладку Commands, на каталог Browsers, потом последовательно Hooked domain → Get Cookie → Execute
Раз, и парой парой кликов мышки мы украли у жертвы сессионные cookies сайта Rambler.ru. Теперь мы можем попытаться вставить их в свой браузер и попасть в сессию жертвы. И это только вершки! А ведь в арсенале BeEF еще несколько сотен различных “команд”, которые мы можем отправить “пойманному” браузеру: различные варианты фишинга, кража паролей, рикролы, редиректы, эксплоиты…
Выводы
Выводы по результатам эксперимента неутешительные. Браузеры еще не могут на 100% защитить пользователей от вмешательства в трафик или подмены настоящего сайта фишинговым. Механизм HSTS срабатывает только для пары тысяч самых популярных сайтов и оставляет без надежной защиты миллионы других. Браузеры недостадочно явно предупреждают о том, что соединение с сервером не зашифровано. Еще хуже дело обстоит в беспроводных сетях, где доступ к среде передачи данных есть у любого желающего, при этом почти никто из пользователей вообще никак не проверяет подлинность самой точки доступа, а надежных методов проверки подлинности точек доступа просто не существует.