🇹🇷Ate🇹🇷

Изучение обходов Windows UAC: методы и стратегии обнаружения

2022-03-03T06:35:59.477Z

Всем привет, на связи 🅰️🅻🅰️🆅🅸🆁🅶🅾️🆂❗️

В этой статье мы рассмотрим методы обхода и стратегии обнаружения malware.

Вредоносным программам часто требуются полные права администратора на компьютере для выполнения более эффективных действий, таких как добавление антивирусного исключения, шифрование защищенных файлов или внедрение кода в системные процессы. Даже если целевой пользователь имеет права администратора, распространенность контроля учетных записей пользователей (UAC) означает, что вредоносное приложение часто по умолчанию использует стандартные права , предотвращая доступ на запись к ресурсам с более высокими правами. Чтобы обойти это ограничение, злоумышленнику потребуется способ повысить права без вмешательства пользователя (без приглашения UAC). Этот метод известен как обход контроля учетных записей пользователей и опирается на множество примитивов и условий, большинство из которых основаны на повышении прав Windows.

Пример cscript.exeзапуска в через cmd.exeэкземпляр с правами админа через обход UAC:

Большая часть логики проверки UAC реализована в службе Application Information (AppInfo). Отличный праймер об условиях возвышения и различных проверках можно найти здесь.

Сейчас мы рассмотрим коллекцию обходов UAC, исследуем некоторые ключевые примитивы, от которых они зависят, и исследуем возможности обнаружения.

Методы обхода UAC

Методы обхода UAC обычно приводят к захвату нормального потока выполнения приложения с правами админа, путем создания вредоносного дочернего процесса или загрузки вредоносного модуля, наследующего повышенные права целевого приложения.

Есть и другие крайние случаи, но наиболее распространенными методами захвата являются :

Манипулирование ключами реестра

Целью манипулирования разделом реестра является перенаправление потока выполнения программы с повышенными правами на контролируемую команду. Наиболее часто используемые значения ключей связаны с командами открытия оболочки для определенных расширений (в зависимости от целевой программы) или windir/systemroot манипулированием переменными среды:

HKCU\\Software\\Classes\<targeted_extension>\\shell\\open\command (Значения по умолчанию или DelegateExecute)
HKCU\\Environment\\windir
HKCU\\Environment\\systemroot

Ниже приведен пример вредоносного ПО Glupteba, использующего этот метод для первого повышения прав от среднего до высокого, а затем от высокого до целостности системы с помощью манипулирования токенами (кражи токенов):

Примером обхода UAC, который манипулирует разделом реестра переменных среды Windows, является byeintegrity5. Чтобы проиллюстрировать это, этот обход использует этот примитив для перенаправления нормального потока выполнения запланированной задачи CDSSync (настроенной для запуска с наивысшими привилегиями) и повышения уровня целостности, как показано ниже.

Когда CDSSyncзапланированная задача выполняется, taskhostw.exeбудет пытаться загрузить npmproxy.dllиз %windir%\System32папки, но поскольку вредоносное ПО контролирует %windir%, он может перенаправить taskhostw.exeна загрузку DLL с именем npmproxy.dllиз пути, который он контролирует, как показано ниже.

Обходы UAC, основанные на манипулировании переменными среды, часто работают, когда UAC настроен на Always Notify (максимальный уровень UAC), поскольку они часто не включают запись файлов в защищенные пути или запуск приложения с автоматическим повышением. Изменения в SystemRootWindirреестре текущего пользователя подозрительны и должны быть сигналом с высокой степенью достоверности для обнаружения.

DLL Hijack

Метод DLL hijack обычно состоит из поиска отсутствующей DLL (часто отсутствующей зависимости) или путем загрузки вредоносной DLL в повышенный процесс. Если UAC включен, но не настроен на Always Notify, вредоносное ПО может выполнить повышенную IFileOperation (без приглашения UAC) для создания/копирования/переименования или перемещения файла DLL по доверенному пути (т. е. System32), а затем запустить программу с правами админа для загрузки вредоносной DLL вместо ожидаемой.

IFileOperation выполняется dllhost.exe(COM Surrogate) с process.command_lineсодержанием classId {3AD05575-8857-4850-9277-11B85BDB8E09}.

Мы можем использовать следующую корреляцию EQL для связи любой файловой операции с dllhost.exeпоследующей загрузкой DLL, не подписанной Microsoft, в процесс, работающий с целостностью системы:

EQL search - обход UAC через IFileOperation (среда для целостности системы)

sequence by host.id
 [file where event.action in ("creation", "overwrite", "rename",
 "modification") and

  /* IFileOperation are performed by DllHost */
  process.name : "dllhost.exe" and user.id : "S-1-5-21-*" and

  /* executable file dropped via NewItem, Rename, Move or
  Copy IFileOperation */  (file.extension : "dll" or
  file.Ext.header_bytes : "4d5a*") and

  /* protected system paths usually abused via DLL search order hijack */
  file.path : ("?:\\Windows\\system32\\*",
               "?:\\Windows\\syswow64\\*",
               "?:\\Program Files (x86)\\Microsoft\\*",
               "?:\\Program Files\\Microsoft\\*"
               )] by file.path
 [library where
  /* non MS signed DLL loaded by a System Process */
  user.id : "S-1-5-18" and
  process.executable :
              ("?:\\Windows\\system32\\*",
               "?:\\Windows\\syswow64\\*",
               "?:\\Program Files (x86)\\Microsoft\\*",
               "?:\\Program Files\\Microsoft\\*") and
 not (dll.code_signature.subject_name : "Microsoft *" and
      dll.code_signature.trusted == true)] by dll.path

Это пример обнаружения боковой загрузки UACME 30 wow64log.dllв экземпляр WerFault.exerunning as System (который обеспечивает хороший прямой переход от среды к целостности системы), показанный ниже.

Если UAC настроен на Always Notify,то допустимым вариантом является поиск отсутствующей DLL или выигрыш в состоянии гонки записи файла в путь, доступный для записи процессом целостности среды. Это пример обхода UAC, перехватывающего запланированную задачу SilentCleanup (через условие записи файла), которая порождает процесс-потомок с высокой целостностью DismHost.exe выполнение из подпапки AppData (доступная для записи по средней целостности), и это еще один вариант, который злоупотребляет той же задачей, но для отсутствующей зависимости. api-ms-win-core-kernel32-legacy-l1.dll.

Другим примитивом DLL Hijack, который может достичь той же цели, является использование перенаправления загрузки DLL путем создания папки в том же каталоге целевой программы с повышенными правами (напримерtarget_program.exe.local, и удаление DLL, которая будет загружена вместо ожидаемой).

Этот метод может также использоваться в качестве примитива для локального повышения привилегий в случае уязвимости, которая позволяет создавать папку (с разрешающим списком контроля доступа) в контролируемое местоположение, например, описанное Jonas Lykkegård в этом блоге От удаления каталога до системной оболочки.

Поиск EQL - потенциальная эскалация привилегий через перенаправление DLL

library where user.id : "S-1-5-18" and
  dll.path : ("?:\\Windows\\system32\\*.exe.local\\*",
              "?:\\Windows\\syswow64\\*.exe.local\\*",
              "?:\\Program Files (x86)\\Microsoft\\*.exe.local\\*",
              "?:\\Program Files\\Microsoft\\*.exe.local\\*") and
 not (dll.code_signature.subject_name : "Microsoft *" and
      dll.code_signature.trusted == true) and
 process.executable :
              ("?:\\Windows\\system32\\*",
               "?:\\Windows\\syswow64\\*",
               "?:\\Program Files (x86)\\Microsoft\\*",
               "?:\\Program Files\\Microsoft\\*")

Этот запрос соответствует методу UACME 22, который нацелен consent.exe(выполняется как система), обманывая его в загрузке comctl32.dllиз SxS DotLocalкаталога вместоSystem32:

Стоит также отметить, что большинство обходов UAC через DLL hijack также полезны для сохранения и могут обходить обнаружение на основе автозапуска (известные места сохранения файлов и реестра)

Повышенный интерфейс COM

Этот метод немного отличается от предыдущих, что означает отсутствие прямого перенаправления операций. Вместо этого он полагается на поиск повышенного COM-интерфейса, который предоставляет некоторую форму возможностей выполнения (например, оболочку CreateProcess / ShellExec), которая может быть вызвана для запуска привилегированной программы, передаваемой через аргументы из процесса целостности среды.

С точки зрения поведения, как правило, эти COM-интерфейсы будут выполняться в контексте dllhost.exe(COM Surrogate) с process.command_lineсодержанием classIdцелевого COM-объекта, это обычно приводит к созданию дочернего процесса с высокой целостностью.

Ниже приведены примеры различных семейств вредоносных программ, использующих этот метод для обхода UAC (например, семейства DarkSide и LockBit ransomware), чтобы повысить уровень целостности перед запуском возможностей шифрования и уклонения.

Атрибуты безопасности токенов

Проницательное наблюдение было сделано Джеймсом Форшоу для возможности использования атрибутов безопасности маркеров процессов для идентификации процессов, запущенных как приложения с автоматически повышенными правами .

ProcessHacker также захватывает этот тип информации. Ниже приведен пример свойств токенов для notepad.exe экземпляр запускается через обход UAC.

LUA://HdAutoApАтрибут означает, что это приложение с автоматическим повышением (заполняется также для повышенных COM-объектов и жестко закодированных процессов AppInfo в белом списке). LUA://DecHdAutoApозначает, что это потомок приложения с автоматическим повышением, что очень полезно при отслеживании дерева процессов, сгенерированного с помощью обхода UAC.

Elastic Endpoint Security 7.16 и выше захватывают эту информацию с помощью событий выполнения процесса (process.Ext.token.security_attributes), которые открывают возможность поиска и обнаружения обходов UAC, захватывающих поток выполнения программы с автоматически повышенными правами или COM-интерфейса без предварительного знания специфики обхода (целевой двоичный файл, COM-интерфейс, метод перенаправления и другие важные детали) :

Программа с автоматически повышенными правами :

Поиск EQL - обнаружение обхода UAC с помощью атрибутов безопасности токенов

process where event.action == "start" and
   process.Ext.token.integrity_level_name : ("high", "system") and
   process.parent.command_line != null and
   /* descendant of an auto-elevated application or COM object */
   process.Ext.token.security_attributes : "LUA://DecHdAutoAp" and
    (
      /* common lolbins, evasion and proxy execution programs */
      process.pe.original_file_name :
                 ("rundll32.exe",
                  "cmd.exe",
                  "pwsh*",
                  "powershell.exe",
                  "mshta.exe",
                  "msbuild.exe",
                  "regsvr32.exe",
                  "powershell.exe",
                  "cscript.exe",
                  "wscript.exe",
                  "wmic.exe",
                  "installutil.exe",
                  "msxsl.exe",
                  "Microsoft.Workflow.Compiler.exe",
                  "ieexec.exe",
                  "iexpress.exe",
                  "RegAsm.exe",
                  "installutil.exe",
                  "RegSvcs.exe",
                  "RegAsm.exe",
                  "javaw.exe",
                  "reg.exe",
                  "schtasks.exe",
                  "sc.exe",
                  "net.exe",
                  "net1.exe",
                  "vssadmin.exe",
                  "bcdedit.exe",
                  "wbadmin.exe",
                  "msiexec.exe") or

       /* suspicious or unusual paths */
       process.executable : ("?:\\Windows\\Microsoft.NET\\*",
                             "?:\\Users\\Public\\*",
                             "?:\\Programdata\\*",
                             "?:\\Windows\\Temp\\*",
                             "?:\\Windows\\Tasks\\*",
                             "?:\\Windows\\System32\\Tasks\\*") or

       /* MS signed but from unusual paths */
       (process.code_signature.trusted == true and
        process.code_signature.subject_name : "Microsoft *" and
        not process.executable : ("?:\\Windows\\system32\\*.exe",
                                  "?:\\Windows\\SysWOW64\\*.exe",
                                  "?:\\Program Files\\*.exe",
                                  "?:\\Program Files (x86)\\*",
                                  "?:\\ProgramData\\Microsoft\\*",
                      "\\Device\\HarddiskVolume*\\Windows\\System32\\*.exe",
                      "\\Device\\HarddiskVolume*\\Windows\\SysWOW64\\*.exe") and

        /* runs from temp folder and invoked by different elevated processes */
        not process.pe.original_file_name == "DismHost.exe"
       ) or

    /* elevated and unsigned or untrusted programs excluding
      third party uninstallers executed via appwiz.cpl */
      ((process.code_signature.trusted == false or
      process.code_signature.exists == false) and
        not (process.parent.name : "dllhost.exe" and
          process.parent.command_line :
          "*FCC74B77-EC3E-4DD8-A80B-008A702075A9*"))) and

  /* Rundll32 FPs */
  not (process.name : "rundll32.exe" and
       process.args :
         ("devmgr.dll,DeviceProperties_RunDLL",
         "?:\\Windows\\system32\\iesetup.dll,IEShowHardeningDialog") and
       process.parent.name : ("dllhost.exe", "ServerManager.exe")) and

  /* uninstallers executed via appwiz.cpl */
  not (process.args : "/uninstall" and
       process.parent.name : "dllhost.exe" and
       process.parent.command_line : "*FCC74B77-EC3E-4DD8-A80B-008A702075A9*")
       and

  /* server manager may spawn interactive powershell commands */
  not (process.name : "powershell.exe" and
       process.parent.executable : "?:\\Windows\\System32\\ServerManager.exe")
       and

 /* Windows Installer service descendants */
 not (process.parent.executable : "?:\\Windows\\System32\\msiexec.exe" and
      process.parent.args : "/V")

Приведенный выше запрос также соответствует всем потомкам обхода UAC, а не только прямому дочернему процессу.

Здесь мы видим этот подход, обнаруживающий захват потока выполнения с помощью манипулирования разделом реестра:

Вот пример этого совпадающего обхода UAC:

Ниже приведены примеры совпадений для 3 различных обходов UAC через повышенный COM-интерфейс:

Уклонение от обнаружения

Рассмотрим методы уклонения, которые не ограничиваются обходом UAC, таких как переименование папки или раздела реестра, символические ссылки реестра для нарушения логики обнаружения на основе конкретных изменений пути к файлу/ключа реестра или корреляции различных событий одним и тем же процессом. Хотя большинство семейств вредоносных программ не утруждают себя модификацией и настройкой этих методов, учет этих возможностей уклонения является обязательным для повышения устойчивости.

Ниже приведен пример уклонения от мониторинга файлов с помощью переименования каталогов (UACME 22).

Вот пример уклонения от мониторинга пути к ключу реестра с помощью переименования ключа (byeintegrity8).

Еще один интересный трюк уклонения, который недавно был добавлен в UACME v.3.5. 7, - это подраздел CurVer, который можно использовать для перенаправления обработчика оболочки по умолчанию. Это эффективно обходит обнаружения, ищущие жестко закодированный подозрительный путь/значения реестра:

Для обнаружения файлов, связанных с захватом DLL, лучше использовать события загрузки DLL (Elastic Endpoint Security 7.16 регистрирует библиотеки DLL, не подписанные Microsoft). Для реестра сочетание registry.data.strings и имен значений должно быть немного более устойчивым, чем полный путь ключа.

Приведенный ниже пример корреляции EQL показывает, как обнаружить загрузку DLL из каталога, маскирующегося под System32 (т. е. В результате модификации переменной среды windir/systemroot) :

Поиск EQL - обнаружение перенаправления через rogue Windir/SystemRoot

sequence by process.entity_id with maxspan=1m
  [process where event.action == "start" and
    /* any process running as high or system integrity */
    process.Ext.token.integrity_level_name : ("high", "system")]
  [library where dll.path :
    /* masquerading as windir/system root */
    ("?:\\*\\System32\\*.dll", "?:\\*\\SysWOW64\\*.dll") and
    not dll.path :
           ("?:\\Windows\\System32\\*.dll","?:\\Windows\\Syswow64\\*.dll") and
    not (dll.code_signature.subject_name : "Microsoft *" and
         dll.code_signature.trusted == true)]

В этом примере показаны совпадения для 2 различных методов (манипуляция ключом реестра и захват DLL через поддельный Windir):

Следующий пример объединяет символическую ссылку реестра и переименование раздела реестра, чтобы избежать обнаружения обхода UAC на основе мониторинга изменений ключа реестра (ms-settings или shell\open\command) :

UACME v.3. 5 и выше реализует это уклонение для методов, связанных с манипулированием ключами реестра.

Вы можете охотиться с помощью Elastic Endpoint или Sysmon logs registry symbolic link creation, ища модификацию реестра со значением name, равным SymbolicLinkValue.

Пример запроса KQL для обнаружения этого уклонения: registry.value :"SymbolicLinkValue" and registry.key :S-1-5-21-15Classes\\*`:

Наиболее распространенные обходы UAC

Семейства вредоносных программ, используемые в дикой природе, постоянно меняются. Ниже вы можете увидеть краткий обзор наиболее часто наблюдаемых методов обхода UAC, используемых семействами вредоносных программ:

Наиболее часто выполняемые команды через обход UAC-это либо повторное выполнение вредоносного ПО как высокой целостности, либо методы уклонения от защиты, такие как:

Вмешательство в исключения AV или состояние
Запись в ключи реестра, защищенные HKLM
Вмешательство в настройки восстановления системы

Спасибо за прочтение!

S C A M P R P O J E C T

Инструкция по взлому сайтов

2022-03-02T07:37:04.448Z

Рассказываю о методах взлома сайта. Пошагово и доступно.

Всем салют, дорогие друзья!
Не секрет, что на сегодняшний день взлом сайтов является одним из самых распространенных типов атак в сети.
Думаю, что вам будет интересно узнать о том, как же все-таки мы, хакеры, взламываем сайты. В этой статье мы с вами разберем самые азы взлома сайтов и на примерах покажем, как работать с популярными движками.

Общие принципы взлома сайтов

По структуре сайты делятся на три больших класса:

самописные (сделанные вручную на HTML, произведенные статическим генератором типа Jekyll или собранные в программе-конструкторе типа Adobe Dreamweaver);
сделанные в онлайновых конструкторах (в основном это сайты-визитки без каких-либо баз данных и передаваемых полей);
работающие на готовых CMS (Content Management System, системах управления контентом).

Встречаются еще самодельные CMS, созданные для конкретного сайта, но это сейчас стало редкостью — позволить себе поддержку своей системы могут только самые крупные ресурсы, и оправдать связанные с этим затраты непросто.

В основе большинства современных сайтов — готовые движки.

С точки зрения атакующего, движки сайтов ничем не отличаются от других сервисов и служб. Их исходный код обычно находится в общем доступе, и любой исследователь может проанализировать его на ошибки, в том числе бреши в безопасности. Поэтому сайты на CMS редко становятся жертвами целевой атаки. Чаще их ломают массово.

Такой взлом автоматизирован и обычно протекает по следующей схеме: хакер находит уязвимость (самостоятельно или просто гуглит что-то свежее). Затем он делает эксплоит или берет готовый и пишет специализированный бот. Этот бот ищет указанную дыру на всех сайтах подряд в заданном диапазоне и пытается эксплуатировать ее.

Разведка

Прежде чем пытаться атаковать цель, нужно собрать информацию о ней. Для этого хорошо подходит инструмент WhatWeb. Эта утилита предоставляет подробную информацию о CMS жертвы и использованных ей веб-инструментах.

Советуем запускать WhatWeb с ключом -а, указывая после него значение 3 или 4. Разница между ними только в том, что во втором случае WhatWeb будет сканировать еще и субдиректории. Имей в виду, что оба варианта задают агрессивный метод опросов — со всеми вытекающими, а точнее «втекающими» на сервер логами.

Вот пример запуска и собранных ответов:

$ whatweb -a3 https://URL

https://URL [200 OK] Cookies[PHPSESSID], Country[UNITED KINGDOM][GB], Frame, HTML5, JQuery[1.9.0,2.2.3], Open-Graph-Protocol[website], PHP[7.1.33], PasswordField[password], Script[application/ld+json,text/javascript], Title[Bower Partnerships | Best Equity Release Broker Customer Service 2019], UncommonHeaders[link,x-robots-tag,alt-svc], WordPress, X-Powered-By[PHP/7.1.33], X-UA-Compatible[IE=EDGE]

Здесь мы видим, что это сайт британской компании, сделанный на WordPress, используется PHP v. 7.1.33 и jQuery 1.9.0, 2.2.3. Неплохо для начала!
Если у тебя нет VPN или ты просто не хочешь заморачиваться с установкой, обрати внимание на онлайновую версию WhatWeb.

Кстати, при работе с заграничными сайтами она дает большую скорость.

Если тебе достаточно определить только название CMS, то для этого есть отдельные сервисы, даже русскоязычные.

Вот свежая статистика популярности различных CMS в рунете:

WordPress — 58,12%;
Joomla — 17,12%;
OpenCart — 4,65%;
Drupal — 3,75%;
Wix — 3,74%;
MODX Revolution — 2,81%;
MODX Evolution — 2,76%;
Nethouse — 2,23%;
прочие — 4,78%.

WordPress

Поскольку WordPress — это сейчас самая популярная CMS, то перейдем сразу к ней. Под нее выпущен очень мощный сканер, который умеет творить магию, — WPScan. На момент написания статьи актуальная версия была 3.7.8. Этот сканер умеет определять версию сканируемого объекта, брутить админку (у него даже есть свой встроенный словарь), смотреть уязвимые открытые директории, определять установленные плагины и много всего другого. К тому же он предустановлен в Kali Linux и в других дистрибутивах для пентестеров. Есть даже версия в докер-контейнере.

На наш взгляд, управление и ключи WPScan могли бы и упростить. Даже хелпа у программы два — краткий (-h) и подробный (--hh).

Перед первым использованием WPScan необходимо обновить его базу данных:

wpscan --update

После этого начинаем сканирование. Сам по себе WPScan без ключей выдаст общую информацию о сайте, лишь поверхностно просканировав цель:

wpscan --url http://example.com

После строчки Interesting Finding(s): начинаются те самые моменты, на которые стоит обратить внимание:

версия WP;
открытые директории;
подозрения на уязвимости;
ссылки на ресурсы, где об этих уязвимостях можно почитать.

В конце вывода красным восклицательным знаком помечены строки, которые идут вразрез с правилами безопасности. В нашем случае это торчащий наружу конфигурационный файл wp-config.php с логином и паролем к базе данных.

Продолжаем копать и все тем же софтом пробуем сбрутить логин и пароль к админке:

wpscan --url http://[IP-address] --passwords pass.txt --usernames user.txt

Брутфорсится очень быстро благодаря многопоточности. Если админ использовал стандартные учетные записи и установил несложные пароли, то результат не заставит себя долго ждать.

Найденные учетки

Как видишь, учетные данные к админке и базе данных мы достали без особого труда. Для рядового взломщика это было бы больше чем предостаточно, но мы еще не все проверили. На очереди — плагины для WP и другие популярные точки входа.

Сканер показал нам, что на выбранном сайте нет ни одного установленного плагина, однако это может быть ложным выводом, основанным на ограничениях пассивного метода сканирования. Для более надежного обнаружения плагинов нужно задать агрессивный метод их поиска:

wpscan --url http://[IP-address] --enumerate ap --plugins-detection aggressive

Учти, что ключ ap покажет все найденные плагины, а vp — только уязвимые. Данная процедура занимает приличное время. Скорость будет зависеть от удаленности сайта, но даже в лучшем случае на это уйдет не меньше 30 минут.

Как видишь, агрессивный метод дал свои результаты: обнаружен антиспам-плагин Akismet версии 3.1.1.

Плагин Akismet v3.1.1

Точно такими же действиями необходимо искать другие уязвимые дополнения к WP. Подробнее смотри мануал в разделе --enumerate.

Также посмотри идентификаторы известных уязвимостей — CVE. Например, для версии PHP, на которой работает CMS. Затем поищи готовые модули Metasploit для WP и проверь их в деле.

Joomla

Joomla тоже довольно популярная CMS, для которой есть свой сканер — JoomScan. Написали его ребята из Open Web Application Security Project (OWASP). Он еще актуален, хотя и давно не обновлялся. Последняя версия 0.0.7 вышла в сентябре 2018 года.

По своей сути это точно такой же сканер безопасности, как и WPScan, только немного попроще. JoomScan также предустановлен в большинстве хакерских дистрибутивов, а весь его мануал умещается в несколько строк:

Help JoomScan

Он тоже поддерживает агрессивный метод сканирования установленных компонентов. Команда запуска сканирования в агрессивном режиме выглядит так:

joomscan --url http://84.42.34.2/ --enumerate-components

Вот пример анализа найденной на просторах интернета версии сайта на Joomla:

JoomScan

Как видно по скриншоту, программа выдает версию CMS, CVE найденных уязвимостей и ссылки на эксплоиты, которыми можно воспользоваться для взлома сайта. Также в выводе приводятся все найденные на сайте директории и ссылка на файл конфигурации, если его забыли спрятать.

Брутфорсить админку JoomScan не умеет. Сегодня, чтобы выполнить такой брутфорс, нужен серьезный инструмент, который работает с цепочкой прокси-серверов. Хотя бы потому, что на сайтах с Joomla часто используется плагин brute force stop. Когда количество неудачных попыток авторизации достигает заданного числа, он блокирует IP-адрес атакующего.

Если сайт с Joomla работает на HTTP (что уже редкость), попробуй воспользоваться скриптом Nmap.

Drupal и другие CMS

С Drupal все немного сложнее, как и с другими непопулярными CMS. Годного сканера, который бы находил уязвимости на таких сайтах, просто нет. Из готовых инструментов лишь DroopeScan, но он только помогает быстро собрать базовую информацию о жертве.

Устанавливается DroopeScan через pip (естественно, у тебя должен быть установлен Python):

pip install droopescan

Запускаем сканирование. Так как он поддерживает не только Drupal, ему желательно явно указать, какую CMS мы ожидаем встретить на сайте:

droopescan scan drupal -u http://url

DroopeScan

Остальное приходится выискивать руками и гуглить в интернете. В этом очень помогают сайты с поиском по базам уязвимостей, например CVEdetails, и готовые эксплоиты с PoC (их можно найти на GitHub и в даркнете).

К примеру, возьмем уязвимость CVE-2018-7600, которой подвержены версии Drupal7.х и 8.х. Она позволяет загрузить и вызвать shell удаленно. Эксплоит для PoC можно взять тут:

Уязвимый Drupal

Сканер выдал нам лишь версию CMS, и этого хватило для эксплуатации уязвимости. В целом взлом Drupal и других CMS по своей сути ничем не отличается от поиска дыр в любом другом онлайновом сервисе. Бреши в безопасности либо есть, либо их еще не нашли:

PoC уязвимости CVE-2018-7600

Не надо далеко ходить за боевым эксплоитом, чтобы открыть сессию в Meterpreter и воспользоваться уязвимостью в полной мере.

Удар по самописным сайтам

Со взломом самописных сайтов все намного сложнее. Нет конкретного сканера, который сказал бы: вот тут есть старая версия веб-приложения, в нем известная дыра, вот ссылка на эксплоит и подробное описание его применения. Есть только очень обширный список потенциальных уязвимостей, которые нужно проверить.

Взлом — дело сугубо творческое. В нем нет жестких рамок и перечня обязательных инструментов, особенно если они опенсорсные.

Если выполнить взлом самописного сайта, то лучше начинать с того же WhatWeb. Только теперь мы смотрим не CMS, а все обнаруженные сервисы и их версии.

Есть множество уязвимых версий самих фреймворков. К примеру, зачастую используют устаревшие версии Ruby on Rails или Apache Tomcat. Эксплоиты для них есть в открытом доступе.

Также стоит обратить внимание на версии самих языков программирования. К примеру, в PHP постоянно находят уязвимости, а с момента их обнаружения до апдейта на сайте может пройти не одна неделя.

Следующим шагом желательно воспользоваться сканерами безопасности. Даже если они не дадут готовый вердикт, то подкинут пищу для размышлений. Например, программа dirb поможет пробежаться по открытым директориям и вернет коды ответов.

Для проверки на типовые уязвимости воспользуйся универсальными сканерами: nikto, OWASP ZAP, w3af, skipfish. Также советую иметь в запасе mantra security toolkit.

Nikto

Для всего остального есть Burp Suite. Обычно с его помощью выполняется более сложный поиск уязвимостей веб-приложений. В качестве примера рассмотрим поиск и эксплуатацию SQL-инъекций.

Ставим Burp Suite (в Kali Linux он уже предустановлен), находим в нем Repeater (повторитель запросов) и запускаем. В запросе GET или POST ищем передаваемое на сервер значение (типа id=12) и закидываем его в Repeater:

SQL-инъекция в Repeater

Добавляем одинарную кавычку, чтобы проверить отсутствие фильтрации специальных символов в передаваемом значении, и видим сообщение с ошибкой syntax error sql. Возникновение ошибки говорит о том, что сайт уязвим к SQL-инъекциям. Для автоматизации развития атаки используем sqlmap:

sqlmap -u http://url/page.php?id=1 --dbs

Ключ -u указывает на URL цели, а --dbs говорит проверить все СУБД.

Sqlmap

Этот комбайн для SQL-инъекций сам определит, какой пейлоад подходит, и по твоим командам вытащит все нужные данные из баз на сайте. Он даже предложит сразу определить пароли по хешам, если найдет. Особенно этот софт полезен при эксплуатации так называемых слепых SQL-инъекций.

S C A M P R P O J E C T

Минобороны Украины и два крупнейших банка страны попали под мощный DDoS

2022-02-16T08:18:06.697Z

Сайт Министерства обороны Украины и веб-ресурсы как минимум двух крупнейших банков страны оказались выведены из строя мощнейшей кибератакой. По словам представителей Минобороны, это был DDoS, затронувший также другие сайты военного сектора.

Согласно опубликованному в Twitter посту Минобороны Украины, ведомство зафиксировало «чрезмерное количество обращений в секунду». Также сообщается, что специалисты работают над восстановлением штатного функционирования всех затронутых ресурсов.

Несмотря на то что твит был опубликован более 12 часов назад сайт Министерства обороны до сих пор выдаёт ошибку 1020 — «отказано в доступе». Под масштабную кибератаку попали также ресурсы Приватбанка и Ощадбанка, из-за чего пострадали онлайн-транзакции и работа банкоматов по всей стране. Ощадбанк, согласно сообщениям, уже вернулся в строй, а вот при попытке зайти на https://privatbank.ua/ru мы видим ошибку «504 Gateway Time-out».

Более того, как отметили на странице Facebook представители Приватбанка, киберпреступники также провели дефейс сайта, что может указывать на более серьёзные мотивы, чем просто DDoS.

Напомним, что в этом году Украина уже сталкивалась с кибератаками, которые якобы провели операторы группы Gamaredon. Microsoft чуть позже опубликовала отчёт, в котором описываются техники этой APT-группы.

S C A M P R P O J E C T

ОГНЕННЫЙ ГЛАЗ ШИВЫ

🔹SilentCryptoMiner v2.1.0🔹

2022-02-15T12:15:20.859Z

кодер: UnamSanctam

Основные характеристики

Родной и .NET - Майнер установщик/инжектор и сторожевой пес, закодированный на C#, загрузчик шеллкода/инжектор, закодированный на C, майнер требует .NET Framework 4.5
Шеллкод - Все .Части NET C# преобразуются в шеллкод и вводятся с помощью встроенного загрузчика C, могут быть отключены
Инъекция (Бесшумная/скрытая) - Спрячьте майнера за другим процессом, таким как explorer.exe, conhost.exe, svchost.exe и другие
Майнинг в режиме ожидания - Может быть настроен для майнинга при различных режимах использования процессора и графического процессора или вообще без него, пока компьютер используется или не используется
Скрытность - Приостанавливает работу майнера и очищает память графического процессора, пока открыта любая из программ в опции "Цели скрытности".
Сторожевой пес - отслеживает файл майнера и заменяет файл, если он удален, и запускает его, если введенный майнер закрыт
Несколько майнеров - Можно создать несколько майнеров для одновременной работы, например, один майнер XMR (CPU) и один майнер ETH (GPU) .
Майнинг CPU и GPU - Может майнить как на CPU, так и на GPU (Nvidia и AMD)
Обход защитника Windows - Можно добавить исключения в Защитник Windows, чтобы избежать обнаружения
Убийца процессов - Постоянно проверяет наличие любых программ в списке "Цели уничтожения" и убивает их, если они найдены
Удаленная настройка - Можно удаленно получать настройки майнера с указанного URL-адреса каждые 100 минут
Поддержка веб - панели-Имеет поддержку для эффективного мониторинга и настройки всех майнеров в онлайн-веб-панели

Список изменений

v2.1.0 (09/01/2022)

Добавлен алгоритм Призрачного гонщика, в основном используемый для монеты Raptoreum
Добавлен генератор JSON внутри конструктора для упрощения "Удаленной настройки" и создания конфигурации веб-панели
Добавлены вспомогательные подписи руткита в соответствующие файлы, чтобы гарантировать, что файлы и процессы не будут скрыты от процессов майнера
Добавлен новый статус "Нет бесплатной VRAM" для веб-панели, если ни у одного графического процессора нет достаточного количества текущей бесплатной VRAM для добычи выбранной монеты
Добавлены параметры конфигурации "удаленная конфигурация" и "api-конечная точка" для конфигураций "Удаленная конфигурация" и веб-панели
Изменена сериализация сохранения/загрузки формы, чтобы также сохранять флажки и переключать текстовые состояния
Изменено значение по умолчанию "Запуск" "Имя файла" из-за определенных античитов, блокирующих доступ к папке "Запуск" по умолчанию
Изменен код загрузчика шелл-кода и общий поток
Улучшена стабильность руткита и скрытность
Очищены грязные и неясные имена элементов управления формами, нарушает совместимость со старыми сохранениями

Отказ от ответственности

Project Zero: Вендоры стали быстрее патчить 0-day (в среднем за 52 дня)

2022-02-14T10:26:30.582Z

Немного позитивной статистики: команда Google Project Zero опубликовала отчёт, согласно которому вендоры стали быстрее устранять уязвимости нулевого дня. По крайней мере, речь идёт о тех багах, которые выявили в прошлом году исследователи Google Project Zero.

Полученная статистика показывает, что средний временной промежуток, который требуется разработчикам на устранение 0-day — 52 дня. Кто-то может сказать, что это достаточно продолжительный период, но ещё три года назад это были 80 дней.

Более того, практически все разработчики устранили уязвимости нулевого дня до установленного Project Zero дедлайна — 90 дней. Это действительно важный вопрос, учитывая, что киберпреступники всегда ищут окно для эксплуатации, пока вендор готовит патч.

Исследователи, изучив 376 брешей класса 0-day, собрали интересные данные по компаниям: 26% проблем в безопасности пришлось на Microsoft, 23% — на Apple и 16% — на Google. Эти три корпорации заняли 65% от общего числа исследованных уязвимостей. Быстрее всего патчи выпускали разработчики Linux, Mozilla и Google, а вот с худшей стороны в этом вопросе проявили себя Oracle, Microsoft и Samsung. Microsoft, кстати, часто пользовалась дополнительным двухнедельным окном, затягивая публикацию информации об уязвимостях.

Девелоперы iOS и Android показали приблизительно одинаковые результаты — обе компании патчили 0-day в 70-дневный период. Тем не менее первенство по таймингу в устранении дыр досталось браузеру Chrome.

Быстрее всего патчи выпускали разработчики Linux, Mozilla и Google, а вот с худшей стороны в этом вопросе проявили себя Oracle, Microsoft и Samsung. Microsoft, кстати, часто пользовалась дополнительным двухнедельным окном, затягивая публикацию информации об уязвимостях.

S C A M P R P O J E C T

ОГНЕННЫЙ ГЛАЗ ШИВЫ

МВД РФ закрыло четыре хакерских сайта, включая кардшопы Ferum и Trump’s Dumps

2022-02-11T12:02:55.126Z

Российские правоохранители заблокировали сразу ряд хакерских ресурсов, включая кардерские площадки Ferum и Trump's Dumps, RDP-шоп Uas-Service и форум Sky-Fraud.

На этой неделе Российские правоохранители заблокировали сразу ряд хакерских ресурсов, включая кардерские площадки Ferum и Trump's Dumps, RDP-шоп Uas-Service и форум Sky-Fraud. Все ресурсы были русскоязычные и управлялись русскоязычными администраторами.

На главных страницах всех этих сайтов появились «заглушки», информирующие о том, что «ресурс закрыт навсегда в ходе операции правоохранительных органов», а в HTML-код было встроено сообщение: «Кто из вас следующий?».

По данным экспертов из компании Flashpoint, операция была организована Управлением «К» МВД Российской Федерации. Одновременно с этим агентство ТАСС сообщило, что шестерым россиянам были предъявлены обвинения в «неправомерном обороте средств платежей», а правоохранители пресекли деятельность уже третьей хак-группы с начала года.

«По данным следствия, они [задержанные] обладают специальными познаниями в сфере международных платежных систем и подозреваются в совершении преступлений в сфере компьютерной технологии, техники и информационно-коммуникационной сети Интернет», — сообщил собственный источник агентства.

Популярный ресурс Uas-Service, который занимался продажей скомпрометированных SSN (social security numbers — номеров социального страхования) и доступа к RDP-серверам, работавший с ноября 2017 года, принес около 3 000 000 долларов в криптовалюте, а еще один кардшоп Trump's Dumps — около 4 100 000 долларов (с октября 2017 года).

Специалисты компании Group-IB рассказали журналистам РБК, что на закрытых теперь ресурсах за все время их работы продавались данные о более чем 113 000 000 банковских карт, а их общая стоимость превышала 654 900 000 долларов.

«Рынок кардинга становится все менее привлекательным для киберкриминала: его объемы с прошлого года сокращаются. Кардшопы поделят между собой клиентов и поставщиков, однако уже сейчас понятно, что кардинг постепенно движется к закату. Ликвидация трех старейших кардшопов — это однозначный сигнал для кардеров во всем мире», — прокомментировал сооснователь и генеральный директор Group-IB Дмитрий Волков.

Android-малварь Roaming Mantis атакует европейских пользователей

2022-02-08T22:14:52.220Z

Исследователи предупреждают, что вредонос Roaming Mantis нацелился на пользователей Android и iPhone в Германии и Франции, используя для атак вредоносные приложения и фишинг.

Напомню, что Roaming Mantis был обнаружен еще в 2018 году. Изначально он атаковал пользователей из Японии, Кореи, Китая, Индии и Бангладеш, но затем «заговорил» еще на двух десятках языков (в том числе и на русском) и начал быстро распространяться по другим странам.

Малварь использовала взломанные роутеры, чтобы заражать смартфоны и планшеты, работающие под управлением Android, перенаправляла устройства на базе iOS на фишинговый сайт, а также запускала майнинговые скрипты CoinHive на десктопах и ноутбуках. Для всего этого применялась техника DNS hijacking — подмена DNS, из-за чего атаки зачастую удавалось обнаружить не сразу.

Сейчас для распространения вредоноса также используется SMS-фишинг (такие атаки порой называют «смишинг»), при помощи которого хакеры продвигают вредоносные приложения для Android в виде отдельных APK-файлов, то есть не из Google Play Store.

Как сообщает «Лаборатория Касперского», новые версии Roaming Mantis используют троян Wroba и в основном нацелены на пользователей из Франции и Германии, рассылая вредоносные SMS и ссылки на зараженные сайты. Целью Wroba является кража информации об электронном банкинге жертвы, и он автоматически распространяется с помощью SMS-сообщений по всему списку контактов зараженного устройства.

Переход по ссылке из такого SMS, если URL был открыт с устройства Apple, перенаправляет жертву на фишинговую страницу, где хакеры попытаются похитить учетные данные пользователя для входа в аккаунт Apple. В случае если жертва использует устройство Android, она попадает на другую целевую страницу, которая предлагает установить малварь, замаскированную под приложение для Android. Обычно вредонос маскируется под Google Chrome или приложения Yamato и ePOST.

Ниже приведена статистика загрузок малвари всего за один день в сентябре 2021 года, то есть речь идет о десятках тысяч загрузок APK в странах Европы.

По сравнению с прошлыми вариантами Wrogba претерпел изменения и теперь написан на Kotlin. В общей сложности малварь может выполнить 21 вредоносную команду, включая две новые: get_gallery и get_photo, которые предназначены для кражи фотографий и видеозаписей жертвы. По мнению исследователей, это может применяться с целью финансового мошенничества, кражи личных данных, шантажа и вымогательства (в случае кражи конфиденциальных данных).

«Один из возможных сценариев [атаки] заключается в том, что преступники похищают данные водительских прав, карт медицинского страхования или банковских карт, чтобы подписываться на сервисы, где платежи осуществляются через QR-коды или с сервисы мобильных платежей. Также преступники могут использовать украденные фото для получения денег другими способами, включая шантаж и сексуальное вымогательство», — говорят специалисты.

Другие наши проекты

10 способов взлома почты

2022-02-08T07:51:40.635Z

Рассматриваем актуальные способы взломы почты

Способ №1: используем троян

Довольно распространенным способом получения доступа к чужому ящику является рассылка электронных писем со встроенными вирусами. Точнее вирус встраивается не в само письмо, а письмо лишь содержит ссылку на вирус. Обычно содержание письма должно чем-то «зацепить» пользователя. Оно должно быть таким, на которое пользователь не сможет не отреагировать.

Примеры троянов — DarkComet RAT, SpyEye, Carberp. О DarkComet RAT мы уже писали, о Carberp было написано на Хабре. А SpyEye — это наш отечественный троян, разработанный Александром Паниным, который даже засветился в сводках ФБР.

Парни использовали модифицированную версию трояна ZeuS. На момент создания (29.10.15) версию не обнаруживал ни один антивирус (Скрин. 1), к тому же в нем была функция отключения процессов, среди которых есть Dr.Web. Однако на компьютере жертвы был установлен Comodo — так даже лучше.

В качестве жертвы выбрали бухгалтера одной управляющей компании, Юлию. Ради чистоты эксперимента она ничего не подозревала о том, что c сней собираются сделать)). Думаю, об этом не стоило даже и говорить.

Итак, есть модифицированный ZeuS, но как заставить Юлию запустить его? Если просто отправить ей ссылку, понятно дело, она переходить по ней не будет. Обещать золотые горы в письме — тоже прошлый век, на такое пользователи уже не реагируют.

Скриншот. 1. Отчет VirusTotal

Тогда мы решили отправить письмо якобы от имени Федеральной Налоговой службы (Скрин. 2). Мы выбрали то, что «зацепит» жертву.

Рис.2.

Чтобы поле From содержало внушительное название, а не xaker134566788@mail.ru, был подделан заголовок письма. Это делается довольно просто, а как именно будет показано в способе 5. Пока не будем на это отвлекаться.

Далее Юлия скачала программу и запустила инсталлятор обновления формы отчетности (Скрин. 3). Инсталлятор сделан с помощью Inno Setup за 5 минут. Именно он установит и запустит наш троян.

Рис. 3. Установка трояна

После этого контроль перешел на комп взломщика (рис. 4).

Скрин. 4

Что мы можем? Мы можем ради интереса просмотреть список процессов компьютера, в котором, ясное дело, не будет нашего трояна (Скрин. 5). Мы можем просмотреть файловую систему (Скрин. 6).

Скрин.5. Список процессов на компьютере жертвы

Скрин.6. Файловая система на компьютере жертвы

Конечно, самое главное, ради чего все это затевалось — список паролей, сохраненных в браузере (Скрин. 7).

Рис. 7. А вот и пароли

Письмо и инсталлятор далеки от идеала, поскольку все делалось на скорую руку. Однако наша затея увенчалась успехом. Для достижения своей цели парни объединили целых два способа — социальный инженеринг и «поддельное» письмо. Оба эти способа будут рассмотрены далее.

Эффективность: средняя

Сложность: средняя

Стоимость: низкая

Способ 2: взлом по номеру телефона

Суть этого способа заключается в следующем. Злоумышленнику нужно знать номер телефона жертвы, указанный при регистрации почтового ящика. При сбросе пароля почтовая служба требует ввести последние символы номера телефона (или выбрать номер телефона из списка). На этот номер будет отправлено SMS с кодом подтверждения сброса пароля. Затем злоумышленник отправляет второе SMS с требованием указать код из предыдущего SMS.

Пользователь, ничего не подозревая, отправляет код из первой SMS. Самый большой недостаток этого способа в том, что первая SMS придет от Google, а вторая — с неизвестного номера. Успех этого способа зависит от сообразительности жертвы. Посмотрим на этот способ на практике.

Первым делом попытаемся просто сбросить пароль, после чего Google попросит ввести тот пароль, который мы помним. Понятное дело, пароль мы не помним, поэтому нажимаем кнопку Затрудняюсь ответить.

Запрос на восстановление пароля

Далее если у вашей жертвы был привязан к аккаунту Android-телефон, то Google предложит отправить оповещение, которое выглядит, как показано на рис. 10. Примечательно, но смартфон не издал ни единого звука, а просто отобразил оповещение. Если он не будет перед глазами у пользователя, есть вероятность, что он его не заметит. Если же пользователь нажмет Нет, то не отчаивайтесь — повторите данный процесс несколько раз — позже поймете зачем.

Предложение отправить оповещение

Оповещение Google

После нажатия кнопки Отправить оповещение откроется страница, изображенная на рис. 11. Перейдите по ссылке Сбросьте пароль другим способом. Откроется классическая страница сброса пароля через SMS-код. Эта же страница откроется, если к аккаунту не привязан Android-телефон.

Инструкция по работе с оповещением

Отправка SMS-кода

Настал кульминационный момент. Жертва получает код подтверждения Google.

Код подтверждения

Далее вы должны с другого телефона сразу же отправить примерно такое сообщение:

Предотвращена попытка входа в аккаунт Google. Перешлите код подтверждения Google для разблокировки аккаунта.

Сообщение от злоумышленника

С одной стороны, пользователь может обратить внимание на неизвестный номер. С другой стороны, поставьте себя на место среднестатистического пользователя. Сначала он получает уведомление о сбросе пароля, потом SMS с кодом подтверждения, а после — сообщение о том, что замечена подозрительная активность. Конечно, можно все немного усложнить и завести короткий номер, с которого и будет отправлена SMS. Получить короткий номер с названием службы, например, Google Security, не проблема. Это только повысит вероятность успеха.

В нашем случае все получилось и без короткого номера. Мы получили код активации, который потом был указан на странице восстановления пароля. Таким образом, нам получилось сбросить пароль аккаунта и заполучить доступ к почтовому ящику.

Получение доступа к почтовому ящику — это еще не все. Чтобы жертва не догадалась, что ее ящик увели, после сброса пароля нужно создать временный пароль и отправить его по SMS, а самим тем временем сделать переадресацию на «хакерский» ящик. Так можно получить контроль над ящиком, не вызвав особых подозрений.

Эффективность: средняя

Сложность: низкая

Стоимость: низкая

Способ 3: доступ к компьютеру

Если у вас есть доступ к компьютеру жертвы, то можете считать, что почту вы уже взломали. Вы можете запустить на компьютере или кейлоггер или программу для «восстановления» паролей почтовых учетных записей.

Суть кейлоггера в том, что в специальный файл он записывает все, что пользователь вводит с клавиатуры. Вам останется только второй раз подойти к компьютеру, чтобы забрать результирующий файл (или получить его по почте).

К преимуществам кейлоггера относится то, что он записывает все подряд. Поэтому кроме паролей можно получить еще много интересной информации о своей жертве. Но и недостатков у них очень много. Самый существенный — большинство кейлоггеров успешно определяются антивирусами и если на компьютере жертвы установлен антивирус, использовать кейлоггер не получится. Ведь не всегда есть возможность отключить антивирус.

Второй недостаток вытекает из его достоинства. В результирующий файл помещается много лишней информации. Мало собрать информацию с клавиатуры, нужно еще отыскать среди всего лишнего то, что нужно — пароль.

Третий недостаток — если жертва использует почтовый клиент, а не веб-интерфейс, то кейлоггер вообще не поможет. Скорее всего, пароль уже введен в почтовый клиент и запомнен, поэтому жертва не вводит его каждый раз при проверке почты. Следовательно, кейлоггер запишет в файл все, что вводит пользователь, кроме того, что нужно вам.

Есть и еще один недостаток — если выбранный кейлоггер не поддерживает отправку результирующего файла по e-mail, то придется еще один раз подходить к компьютеру. Пример кейлоггера — SniperSpy — на случай, если вы захотите ним воспользоваться.

Программы для «восстановления» паролей почтовых учетных записей позволяют сразу получить все интересующие вас пароли без необходимости чтения мегабайтов текста в поиске нужного вам пароля. К тому же на них никак не реагирует антивирус. Одна из таких программ — это Mail PassView. Она позволяет восстановить пароли следующих почтовых учетных записей:

Outlook Express
Microsoft Outlook 2000 (POP3 and SMTP Accounts only)
Microsoft Outlook 2002/2003/2007/2010/2013 (POP3, IMAP, HTTP and SMTP Accounts)
Windows Mail
IncrediMail
Eudora
Netscape 6.x/7.x
Mozilla Thunderbird
Group Mail Free
Yahoo! Mail – если пароль сохранен в приложении Yahoo! Messenger.
Hotmail/MSN mail – если пароль сохранен в приложении MSN Messenger.
Gmail – если пароль сохранен в приложениях Gmail Notifier, Google Desktop или Google Talk.

Программу мы проверили на своих компьютерах и заявляем: она работает. Пароли, как и адреса e-mail затерты по понятным причинам.

Mail PassView — не единственная программа в своем роде. Существуют и другие программы:

Outlook Password Decryptor — позволяет восстановить пароли из Outlook, в том числе самых последних версий (Outlook 2015, работающей под управлением Windows 10);
PstPassword — еще одна программа для восстановления паролей, сохраненных в Outlook;
WebBrowserPassView — программа для восстановления паролей, хранящихся в браузере. Поддерживаются браузеры IE, Chrome, Opera, Safari, Firefox.

Все, что нужно — это знать, какой почтовый клиент использует жертва. Найти программу для «восстановления» пароля из этого почтового клиента — не проблема. Если же жертва использует веб-интерфейс для чтения своего почтового ящика, тогда лучше использовать программу WebBrowserPassView. Она поддерживает все версии Windows, начиная с 2000 и заканчивая 10. Старые версии вроде 98/ME не поддерживаются.

Мы протестировали и эту утилиту. Программа успешно восстановила все пароли, хранящиеся в браузерах IE, Firefox, Chrome и Opera (Safari нами не тестировался, но, считаем, что и там будет полный «порядок»). Даже если вы не найдете среди этого списка пароль от почтового ящика, сей список будет тоже полезен — ведь люди часто используют одни и те же пароли для разных служб.

Для удобства программа позволяет сохранить выбранные пароли в текстовый файл, который потом можно неспешно изучить на своем компьютере.

Раз мы уже заговорили о восстановлении паролей, то вам может пригодиться программа Dialupass, восстанавливающая dialup/RAS/VPN-пароли. Программа поддерживает Windows 2000, Windows XP, Windows 2003/2008, Windows Vista, Windows 7, Windows 8 и Windows 10.

Эффективность: высокая

Сложность: низкая

Стоимость: низкая

Способ 4: социальная инженерия

Об этом способе не писал только ленивый. Много было уже сказано. Вам кажется, что этот способ не такой эффективный, как о нем говорят? Вы ошибаетесь.

Совсем недавно была взломана почта директора ЦРУ Джона Бреннана. Абсурдность ситуации в том, что почту взломал не «матерый» хакер, а обычный подросток, правильно собрав информацию о своей «жертве». Подросток сначала связался с сотовым оператором, представившись сотрудником технической поддержки, уточнил детали аккаунта Бреннана.

После этого он позволил в AOL и, представившись Бреннаном, попросил сбросить его пароль. Поскольку он знал всю необходимую информацию (номер почтового аккаунта, последние цифры банковской карты, 4-значный PIN-код, номер телефона), пароль был сброшен и никто ничего не заподозрил.

Чуть позже Wikileaks опубликовал письма директора ЦРУ.

Преимущество этого способа в том, что не нужно обладать никакими специальными знаниями и этот способ под силу любому. Успех этого метода зависит от смекалки «нападающего» — сможет ли он найти нужную информацию или нет.

Эффективность: высокая

Сложность: средняя

Стоимость: низкая

Способ 5: доверчивые пользователи (фишинг)

Попросим пользователя самого сообщить нам свой пароль. Нет, этот способ не подразумевает физического насилия и ни один из пользователей в результате эксперимента не пострадает. Во всяком случае, физически.

Суть этого метода в следующем: нужно создать фейк страницы авторизации того сервиса, который вы хотите взломать. Например, если вы хотите получить пароль от почты GMail.com, тогда нужно создать такую же страницу входа.

Далее нужно заманить пользователя на фейковую страницу. Это можно сделать несколькими способами:

Отправить ему сообщение якобы от имени администрации того сервиса. В сообщении указать, что-то вроде «Вы давно не заходили в свой почтовый ящик. Если вы не воспользуетесь ним до <Д>.<М>.<Г>, он будет удален.». Рисуем кнопочку Войти, нажав которую пользователь попадет на вашу страницу авторизации.
Отправить сообщение со ссылкой, которая должна заинтересовать пользователя. Когда он перейдет по ней, он увидит сообщение о необходимости входа для просмотра содержимого. Сейчас многие сервисы позволяют войти с помощью учетной записи GMail или одной из социальных сетей. Так что пользователь может ничего и не заподозрить.

Очень часто описывается только «общее направление». Мы же попробовали реализовать его в собственной компании и посмотреть на реакцию обычных пользователей. Способ довольно непростой и для его реализации понадобятся, как навыки программирования на PHP, так и некоторые финансовые вложения. Ведь нам понадобится хостинг с поддержкой PHP (для выполнения PHP-сценария и размещения формы авторизации) и доменное имя, «похожее» на имя взламываемого сервиса. Конечно, опытный пользователь сразу заметит подлог, но посмотрим, как отреагируют самые обычные пользователи.

Итак, мы создали форму авторизации, похожую на форму входа в Google. Результат наших страданий изображен ниже. Конечно, можно было бы и лучше, но мы спешили.

Далее мы отправили некоторым сотрудникам сообщение о том, что их почтовый ящик будет заблокирован. Обратите внимание, что дизайн письма даже отдаленно (если не считать логотипа) не напоминает дизайн, используемый Google. Но, как показала практика, для наших пользователей этого было достаточно. Можно было бы взять исходный код письма, которое отправляет Google, сделать все более качественно. В реальных условиях злоумышленник так и сделает — будьте в этом уверены.

Что произошло дальше? Дальше пользователи прочитали письмо, перешли по ссылке и наивно ввели имя пользователя и пароль, которые были переданы сценарию. Сценарий принимает эти данные и записывает в текстовый файл. Написать такой сценарий сможет любой новичок, владеющий основами PHP. Примерный код сценария (это не тот сценарий, который использовали мы) приведен в листинге 1.

Листинг 1. Простейший сценарий записи паролей

Код:

<?php
// введенный логин
$login = $_POST['Login'];
// браузер пользователя
$browser = getenv("HTTP_USER_AGENT");
// Пароль
$pass = $_POST['password'];

// Записываем полученные данные
$text = "Login = $login\nPassword = $pass\nBrowser = $browser";

// открываем файл
$filelog = fopen("log.txt","a+");
// записываем строку
fwrite($filelog,"\n $text \n");
fclose($filelog); // закрываем

// перенаправляем пользователю на страницу входа в google, чтобы
// меньше было подозрений
header('Location: https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2&emr=1&osid=1#identifier ');
?>

Результат работы нашего сценария приведен:

Еще раз отметим, что все делалось на скорую руку. А для отправки сообщения использовалась почта Yahoo!, чтобы не бороться с антиспамом. Но можно было бы пойти и по иному пути. Например, найти сервер SMTP со свободной отправкой писем (без авторизации). Как правило, это будет неправильно настроенный SMTP-сервер какой-то небольшой организации. Списки таких серверов регулярно обновляются на специальных ресурсах. Думаю, не составит особого труда найти такой список, например, этот. Далее можно развернуть на локальном компьютере веб-сервер с поддержкой PHP. Тогда у вас будет доступ к php.ini и можно будет указать SMTP-сервер, через который функция mail() будет отправлять письма.

С другой стороны, можно попытаться отправить сообщение и через собственный хостинг (не обязательно устанавливать локальный веб-сервер). Все зависит от его настроек. Мы, например, для выполнения сценария отправки нашего сообщения использовали наш хостинг. На нем функция mail() выполнилась без особых нареканий. Понятно, что если просмотреть все заголовки письма, «след» приведет к нам. Но для нас сейчас это не важно. Сейчас важно, чтобы в почтовом клиенте поле «От» содержало то, что нам нужно. В первом способе мы поступили именно так, то есть для отправки сообщения использовали функцию mail().

Стандартная PHP-функция mail() позволяет с легкостью указать, как текст письма, так и его заголовки. Например:

Код:

$headers = 'From: Федеральная налоговая служба <no-reply@nalog.ru>' ."\r\n" .
'Reply-To: no-reply@nalog.ru' . "\r\n";
mail($to, $subject, $message, $headers);

$headers = 'From: Google <no-reply@accounts.google.com>' ."\r\n" .
'Reply-To: no-reply@accounts.google.com' . "\r\n";
mail($to, $subject, $message, $headers);

Письма, отправленные таким образом, миновали антиспам Google (не попали в папку Спам) и нормально отображались, как в почтовом клиенте (проверялось в Outlook и The Bat!), так и в веб-интерфейсе. Конечно, перед отправкой сообщения жертве лучше отправить его на свой ящик и убедиться, что письмо отображается правильно, как минимум, что почтовый клиент правильно определяет кодировку. Если это не так, в $headers нужно добавить заголовки, описывающие кодировку письма.

Определенные результаты при использовании этого метода мы получили. Некоторые из пользователей оставили свои реальные пароли. Некоторые не отреагировали на это письмо и обратились к администратору. А некоторые догадались, в чем дело и вместо пароля ввели абракадабру. Столь посредственные результаты обусловлены тем, что мы не готовились особо и сделали и форму входа, и само письмо весьма некачественно. Но все же мы получили несколько реальных паролей, так что этот метод работает, не смотря на весь скептицизм.

Эффективность: высокая

Сложность: высокая

Стоимость: высокая

Способ 6: изучаем жертву и «вспоминаем» пароль

Теперь попробуем вспомнить то, что никогда не знали — пароль от почтового ящика жертвы. Очень часто почтовые службы позволяют восстановить забытый вопрос. А чтобы убедиться, что пользователь, пытающийся восстановить доступ к ящику, является его владельцем, почтовая служба задает контрольный вопрос, указанный при регистрации почтового ящика. Если вы пытаетесь взломать ящик знакомого вам человека, то есть вероятность, что вы уже знаете ответ на этот вопрос. Если же вы взламываете пароль чужого человека, то первое, что нужно сделать — это заняться изучением жертвы.

Чем больше вы соберете информации о жертве, тем проще будет взломать почтовый ящик. Информацию можно собирать разными способами — можно втереться в доверие к самой жертве и выведать как бы случайно у него нужную вам информацию (например, девичью фамилию матери), а можно подружиться с друзьями жертвы. Благо, социальные сети позволяют быстро найти не только жертву, но и ее друзей.

Эффективность: высокая

Сложность: средняя

Стоимость: низкая

Способ 7: XSS-уязвимости

Один из способов взлома электронной почты — это использование XSS-уязвимостей. Вот только вряд ли можно назвать его эффективным. Во-первых, все найденные XSS-уязвимости в популярных почтовых сервисах очень быстро устраняются. Во-вторых, учитывая «во-первых», искать XSS-уязвимость придется самому (ведь все найденные уязвимости уже закрыты). А на поиск потребуется определенное время. Да и реализация атаки через XSS-уязвимость требует повышенной квалификации. Как вариант, этот метод можно рассмотреть. Сугубо из академического интереса. Но если нужно побыстрее взломать почту, тот же социальный инженеринг окажется более эффективным. Если хочется посмотреть на взлом посредством XSS, можете ознакомиться вот с этой статьей. В ней описано, как увести чужие куки. Если развить тему, то можно подменить свои cookies на чужие и заполучить доступ к чужому ящику.

Эффективность: низкая

Сложность: высокая

Стоимость: низкая

Способ 8: кража Cookies

Еще один неплохой способ получения доступа к почтовому ящику — это кража Cookies. Конечно, он эффективен, если жертва хранит свои пароли в браузере. Даже если вы не получите пароль к почтовому ящику, вы можете получить пароли к другим сервисам. Пользователи часто используют одни и те же пароли для доступа к разным сервисам. Поэтому если вы найдете пароль к одному сервису (например, к блогу, форуму), вы можете попытаться его использовать при входе в почтовый аккаунт. Есть вероятность, что он подойдет.

Как украсть «куки»? Существуют различные способы — от использования трояна до банального копирования на флешку или свой FTP, если вы оказались за компьютером жертвы. Под рукой нет приложения для получения паролей (см. способ 3)? Не беда! Можно просто скопировать каталог с Cookies и проанализировать на своем компьютере. Для анализа Cookies можно использовать самые разные утилиты, одна из которых CookieSpy, которая поддерживает не только установленные, но и portable-браузеры, что позволяет «подсунуть» программе каталог с Cookies

Эффективность: средняя

Сложность: высокая

Стоимость: низкая

Способ 9: bruteforce

Самый неэффективный способ. Он заключается в переборе пароля по списку. Программа просто пытается подобрать пароль методом «тыка» (он же метод Коши). Конечно, в идеальных условиях у нее это рано или поздно получится. Но практически все сервисы заблокируют почтовый ящик после 3-5 неудачных попыток. Поэтому вряд ли у вас получится использовать «метод грубой силы». Если вам таки хочется попытаться, тогда можете попробовать использовать утилиту Brutus, использование которой обсуждается на hackerthreads.

Есть и еще одна довольно популярная утилита — THC-Hydra, позволяющая взломать самые различные сервисы: Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, S7-300, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC и XMPP.

Эффективность: низкая

Сложность: средняя

Стоимость: низкая

Способ 10: обратиться к профессионалам

В Интернете не составит труда найти контакты «профессионала», занимающегося взломом почты. Это самый простой способ. Его эффективность зависит от правильности выбора специалиста. Преимущество в том, что за вас будет выполнено практически все, что описано в этой статье (может чуть больше, а может чуть меньше) и вам самому ничего не придется делать. Недостаток — «хакер» может оказаться элементарным мошенником. В итоге ни взломанного почтового ящика, ни денег. В Интернете есть даже специальные форумы, где можно с легкостью найти «специалиста». Адрес форума мы специально затерли, чтобы не делать никому лишней рекламы. Однако при желании и умении пользоваться поисковиком вы с легкостью найдете не только этот форум, но и сотни других подобных ему.

Если вам понравилось, то не забудьте подписаться на BLACK CODE!

Есть интересная идея? Обсудим на Discord

Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни редакция канала не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

СКАМ ПРОЕКТ - паспорта📰, С.Н.И.Л.С💳,ИНН

Смишинг Roaming Mantis с Android-трояном добрался до Европы

2022-02-08T06:09:05.968Z

Кампания СМС-фишинга (смишинг), известная как Roaming Mantis, добралась до Европы. Исследователи из «Лаборатории Касперского» зафиксировали атаки на пользователей Android-смартфонов и iPhone на территории Германии и Франции.

Roaming Mantis известна своими техниками смишинга, направленного на кражу учётных данных и распространение вредоносных программ для мобильных устройств. Android-версия вредоноса, например, подсовывается жертвам в виде APK-файлов за пределами официального магазина Google Play Store.

Кампанию впервые зафиксировали в 2018 году, однако с тех пор операторы значительно усовершенствовали свой подход. В сентябре того года зловред Roaming Mantis добрался до iOS-устройств.

В последних атаках злоумышленники использовали вредоносную программу Wroba. Ссылки приходили жертвам в СМС-сообщениях и вели на легитимные сайты, которые фишеры уже успели взломать и внедрить на них собственные страницы.

Wroba предназначен для кражи данных от банковских приложений, а также способен рассылать злонамеренные URL по списку контактов заражённого пользователя. Как правило, такие сообщения замаскированы под уведомления о доставке посылки.

Если по ссылке перейдёт пользователь iPhone, его перенаправят на фишинговую страницу, пытающуюся похитить учётные данные от аккаунта в системе Apple. Если же на удочку попался владелец Android-смартфона, его будут склонять к установке мобильного приложения под эту ОС. Само собой, этот софт — троян Wroba.

Последний может выполнять 21 команду, среди которых эксперты отметили некоторые нововведения. Например, «get_gallery» и «get_photo» ранее не встречались, они предназначены для кражи пользовательских фото и видео, а также для загрузки их на серверы атакующих.

Как отметили специалисты «Лаборатории Касперского» в отчёте, эти две новые команды злоумышленники используют для банковского мошенничества, кражи личности и т. п.

Есть интересная идея? Обсудим на Discord

СКАМ ПРОЕКТ - паспорта📰, С.Н.И.Л.С💳,ИНН

Хакеры взломали сервер Спартакиады народов КНР до старта соревнований

2022-02-08T06:03:02.423Z

Неизвестная киберпреступная группировка взломала системы, на которых хранился контент Спартакиады народов КНР за несколько дней до начала соревнований. Киберинцидент, о котором рассказали эксперты Avast, произошёл в прошлом году.

По словам чешской антивирусной компании, за атакой стояли злоумышленники, владеющие китайским языком. Хакерам удалось взломать системы 3 сентября — за 12 дней до старта Спартакиады. Напомним, что массовые спортивные соревнования в КНР в 2021 году проводились с 15 по 27 сентября.

Проникнув в сеть, киберпреступники установили несколько веб-шеллов, обеспечивающих удалённый доступ, и таким образом существенно укрепились в системе. Специалисты пока не могут сказать, какие именно данные похитили атакующие, однако уже сейчас понятно, что кибергруппа либо находится непосредственно на территории Китая, либо свободно владеет китайским языком.

Вектором проникновения послужила уязвимость веб-сервера. Однако перед установкой шеллов преступники экспериментировали с расширениями, проверяя, какие именно файлы они могут загрузить на сервер. В завершение хакеры подсунули исполняемый код под видом безобидных файлов-изображений.

После этого злоумышленники пытались по-новому сконфигурировать сервер, чтобы у них была возможность запустить Behinder. Эта попытка провалилась, тогда хакеры загрузили и запустили Tomcat-сервер целиком, а также использовали ряд инструментов, среди которых был сетевой сканер и кастомный 0-click фреймворк (написан на Go).

Есть интересная идея? Обсудим на Discord

СКАМ ПРОЕКТ - паспорта📰, С.Н.И.Л.С💳,ИНН