Универсальный джентльменский набор: ноутбук с «Линуксом» и WiFi-адаптер с интерфейсом USB (их еще называют донглами). Можно использовать и смартфон (см. ссылку выше), но для некоторых атак банально требуется второй USB-порт. Годится даже ноутбук без установленной ОС и вообще без накопителя.

Вся информация предоставлена исключительно в образовательных целях и преднзначена для пентестеров (белых хакеров). Ни редакция сайта www.spy-soft.net, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Какую ОС выбрать для взлома WiFi?

«Линукс» позволяет тонко управлять устройствами (в частности, донглами) через опенсорсные драйверы. Подходит практически любой дистрибутив, но удобнее воспользоваться готовой сборкой. Например, BlackArch, BackBox, Parrot Security, Kali Linux.

Наиболее раскручены сборки Kali Linux, в которые уже интегрированы не только наборы хакерских утилит, но и драйверы большинства потенциально пригодных для вардрайвинга чипов плюс изначально сделаны мелкие твики.

В последних выпусках Kali очень многое переосмыслено. Теперь он может внешне мимикрировать под винду (чтобы пентестера не спалили, увидев странное на мониторе), рут по умолчанию отключен (либо включайте, либо пишите sudo перед командами, требующими права суперпользователя). Самое главное, в Kali теперь сразу поддерживаются новые донглы стандарта 802.11ac и крайне просто увеличить мощность Wi-Fi-адаптера.

Как использовать на ноуте Linux, не удаляя Windows?

Разработчики не рекомендуют устанавливать Kali на жесткий диск, хотя технически вариант с мультизагрузкой вполне реализуем через тот же GRUB. Просто границы законных действий во время аудита очень размыты, и ради вашей же безопасности лучше использовать режим Live Persistence. Работа в нем почти не будет отличаться от работы в установленной операционке. Все обновления, конфиги, новые скрипты и ваши личные файлы подхватятся при следующей перезагрузке в режиме Persistence. Для большей приватности его можно зашифровать.

На мой взгляд, карта памяти удобнее флешки, так как она не занимает порт USB и не торчит под рукой. Порты (особенно с раздельным питанием) всегда в дефиците на ноутбуках. Выберайте карточку хотя бы с маркировкой Class 10 (заявленная скорость линейной записи 10 Мбайт/с), а лучше — UHS-I V30 и шустрее (если встроенный картридер ее поддерживает).

Как сделать загрузочную флешку с Kali и разделом Persistence?

Для этого на USB Flash или SD-карточке нужно создать два раздела. Один будет FAT32 для запуска ОС — на него распаковывается образ с kali.org. Второй раздел — ext3 для сохранения настроек, собственных файлов и сессионных изменений.

Какой WiFi-адаптер подходит для вардрайвинга?

В общем случае — способный переключаться в режим мониторинга (обязательно) и выполнять инжект сетевых пакетов (желательно). Может он это или нет — зависит от чипа, на котором построен адаптер, и его драйвера.

Сайт wikidevi.com давно лежит, поэтому вместо него используем kernel.org.

На этом сайте есть таблица драйверов WiFi для Linux. Нас интересуют не все, а только те, для которых в столбце monitor указано yes, в следующей колонке (PHY modes) присутствует обозначение N или AC (гарантия того, что используются сравнительно новые стандарты), а в графе Bus — USB.

Дополнительную информацию о драйверах можно взять из двух табличек в англоязычной Вики. Принцип тот же — ищем сочетание параметров: 802.11n(ac) + monitor mode + USB.

На момент подготовки статьи (март 2020-го) в сухом остатке оказались следующие драйверы: ath9k_htc, carl9170, mt76, mt7601u, p54, rt2800usb, rt2x00, rtl8187, rtl8192cu, zd1211, zd1211rw.

Кликаем по ссылке на описание каждого подходящего драйвера и видим список поддерживаемых им чипсетов, а затем и устройств. Например, вот страничка о драйвере ath9k_htc. На ней приводится список чипсетов (с USB — только AR9271) и выпускавшихся на нем девайсов. Его изучение показывает, что нам подойдет TL-WN722N, поскольку он оснащен съемной внешней антенной.

По аналогии смотрим другие драйверы/чипы/девайсы и составляем перечень моделей. Затем выбираем из них посвежее и покупаем один (для старта) или несколько донглов. Здесь нужно быть внимательным с версией устройства. Часто модели с одним номером, но разной ревизией — это просто два разных девайса в одинаковом корпусе.

Списки драйверов обновляются волонтерами, то есть с непредсказуемыми задержками. В реальности перечень подходящих чипов больше. Раньше он сводился в основном к моделям от Ralink и Atheros, а сейчас внезапно пополнился Realtek RTL8812AU и RTL8814AU. Последний работает с 802.11ac и, помимо режима мониторинга, поддерживает инжект пакетов. Правда, ему нужен USB 3.0 (900 мА и 5 Гбит/с вместо 500 мА и 0,48 Гбит/с у USB 2.0).

Зачем покупать несколько WiFi-адаптеров?

Для выполнения продвинутых атак (например, «злой клон») и повышения вероятности успеха любых других. Просто потому, что нет универсального адаптера. У каждого свои особенности. Например, упомянутые выше донглы на базе AR9271 лучше справляются с атаками на WPS. Устройства с чипами RT3572, RT5572 и RTL881xAU могут атаковать цели в диапазоне 5 ГГц, а старички с чипом RTL8187L видят цель за сотни метров из-за поддержки 802.11g. Конечно, стандарт морально устарел, однако его часто включают в режиме совместимости даже на новых роутерах с поддержкой 802.11ac/ax.

Почему для взлома WiFi советуют донглы от Alfa Networks?

Этот тайваньский производитель специализируется на беспроводном оборудовании, причем делает его чуть лучше (и гораздо дороже) других. Например, во многих его адаптерах встречается экранирование (повышает чувствительность приемника) или встроенный усилитель (увеличивает пиковую мощность передатчика). Почти все модели оснащены съемными антеннами (вы можете прикрутить свою, более подходящую). Для удобства выбора есть даже специальный раздел Kali WiFi USB, где указаны адаптеры, гарантированно работающие в Kali Linux в режиме мониторинга. Если есть деньги, но нет времени — берите «Альфу», не ошибетесь. Это как Cisco для админов.

Какие настройки сделать перед взломом WiFi?

Запустив Kali в дефолтных конфигах и воткнув свежераспакованный WiFi-адаптер, вы сможете взломать разве что свой роутер, не о каком пентесте речи быть не может. Чтобы выяснить возможность удаленной атаки с улицы (или хотя бы из соседнего помещения), требуется сделать следующее:

• отключить энергосбережение для WiFi-адаптера;
• повысить мощность донгла;
• подготовить словари для перебора паролей;
• обновить весь интегрированный софт и установить дополнительный;
• проверить и сохранить изменения.

Как отключить энергосбережение для WiFi-адаптера в Kali?

В терминале пишем:

1

2

iw dev # Выводим список Wi-Fi-адаптеров и отыскиваем внешний донгл по его MAC-адресу

iw dev wlan1 set power_save off # Здесь внешнему донглу присвоено имя wlan1

Если отключите энергосбережение и повысите мощность адаптера, не забудьте организовать ему охлаждение. Также лучше использовать порты USB 3.0 или усиленные по питанию USB 2.0. Обычно их выделяют цветом.

Как повысить мощность Wi-Fi-адаптера?

Есть два метода раскочегарить их. Первый — через глобальные настройки в Kali. Он подходит для тех адаптеров, которые считывают код региона из ОС.

Способ 1

Сначала смотрим текущие параметры:

• iw dev показывает список беспроводных адаптеров и их максимально разрешенную настройками мощность. Обычно мы видим txpower 20.00 dBm (+20 децибел по отношению к милливатту), что в теории означает мощность передатчика 100 мВт, а на практике — что ваш «свисток» атакуемые роутеры, скорее всего, не услышат.
• iw reg get отображает глобальные настройки ограничений по использованию WiFi. В частности, код страны по стандарту ISO 3166-1, доступные частотные диапазоны и ширину каналов. Если указано country 00, то страна не задана и действуют жесткие ограничения

Наиболее либеральные нормативы для WiFi у Гайаны (GY) и Белиза (BZ), где разрешается в десять раз большая мощность WiFi-адаптеров. Соответствующая запись в базе выглядит так: country BZ: DFS-JP. (2402 — 2482 @ 40), (30). (5735 — 5835 @ 80), (30). Аббревиатура DFS после кода страны означает Dynamic Frequency Selection — динамический выбор частоты. Он может выполняться по американской (FCC), европейской (ETSI) или японской (JP) схеме. Изменять ее не надо.

Дальше указывается частотное окно в диапазонах 2,4 и 5 ГГц и ширина канала в мегагерцах. От этих параметров зависит, сколько каналов вы увидите.

Чтобы сменить регион, просто пишем в терминале:

1

2

3

iw reg set BZ # Мысленно переносимся в Белиз вместе с ноутбуком

ip link set wlan1 down # Отключаем внешний донгл, обозначенный как wlan1

iw dev wlan1 set txpower fixed 23 mBm # Увеличиваем вдвое мощность передатчика

Шкала здесь логарифмическая, поэтому повышение мощности в два раза (до 200 мВт) соответствует усилению на 3 dBm (до 23 дБм). Проще говоря, TxPower(dBm) = 10 * LOG(P/1), где P — мощность в милливаттах.

Не спешите сразу врубать донгл на полную. Для каждого девайса есть разумный предел, который подбирается экспериментально. У меня один из адаптеров стабильнее работает на 27 дБм (500 мВт), чем на 30 дБм (1000 мВт), а другой вообще бесполезно гнать выше 23 дБм.

Если же вам посчастливилось купить качественный донгл с большим запасом по мощности (например, уличного исполнения), то попробуйте указать регион PA. Это Панама, где разрешены передатчики до 4 Вт (36 дБм). Правда, от порта USB 2.0 вы столько не получите — нужен USB 3.0 или дополнительное питание.

Способ 2

Используется для тех WiFi-адаптеров, у которых региональный код прошит в собственной памяти. Например, это все встречавшиеся мне адаптеры Alfa Networks. Они игнорируют глобальные настройки (включая iw reg set BZ), поэтому придется менять сами ограничения для той страны, которая уже записана в памяти донгла.

1

2

3

4

iw reg get # Узнаем, для какой страны выпущен адаптер

git clone https://kernel.googlesource.com/pub/scm/linux/kernel/git/sforshee/wireless-regdb # Клонируем себе базу региональных ограничений WiFi

cd wireless-regdb/ # Переходим в этот каталог

gedit db.txt # Правим исходник базы

Находим нужную страну по коду и вместо 20 (дБм) в скобках везде пишем 30 (или вообще 33, то есть 2000 мВт). Аналогичные изменения делаем для country 00 (да хоть для всех стран) и сохраняем db.txt.

Раньше, чтобы скомпилировать базу из текстового файла и подписать ее, требовалось установить оболочку Python для библиотеки OpenSSL, но в новой версии Kali она уже есть (python3-m2crypto). Поэтому просто пишем команду make и получаем новый regulatory.bin, где все ограничения сняты (точнее, заданы заведомо большими).

Далее удаляем старую (оригинальную) базу, копируем вместо нее нашу (модифицированную), копируем наш открытый ключ (поскольку база имеет цифровую подпись) и перезапускаемся.

1

2

3

4

rm /lib/crda/regulatory.bin

cp regulatory.bin /lib/crda/regulatory.bin

cp $USER.key.pub.pem /lib/crda/pubkeys/

reboot

Все! Теперь после перезагрузки в Live USB Persistence выставляем адаптерам повышенную мощность стандартным способом.

1

2

3

ip link set wlan1 down # Выключили донгл

iw dev wlan1 set txpower fixed 23 mBm # Повысили мощность вдвое

ip link set wlan1 up # Включили донгл

Проверяем результат:

1

iw reg get

Должно быть примерно так (здесь увеличение мощности на 10 дБм).

Какую антенну использовать для взлома WiFi?

Зависит от конкретных задач. Одни обеспечивают широту охвата, другие позволяют дотянуться до далекой точки доступа, фокусируя ЭМИ узким лучом.

Разведку в эфире удобнее выполнять с дипольными антеннами, у которых широкий угол излучения, но низкий коэффициент усиления (КУ). Эти величины всегда взаимосвязаны, поскольку антенна не добавляет мощности, а просто фокусирует электромагнитные волны. Поэтому при вертикальной ориентации в горизонтальном направлении связь улучшается, а в другом (в сторону верхних и нижних этажей) — ухудшается.

Самая широкая диаграмма направленности у крошечных антенн с КУ до 5 дБи. Здесь ради маркетингового эффекта используется децибел по отношению не к милливатту, а к изотропному излучателю — математической модели антенны с диаграммой в виде сферы. Если покупатель видит две антенны, у которых написано «5 дБи» и «3 дБм», то считает первую «более мощной», хотя они практически идентичны.

Простые дипольные антенны часто предлагаются в комплекте, и для начала их вполне достаточно. Затем рекомендую попробовать антенну Alfa ARS-N19 с КУ 9 дБи — максимально разумным для всенаправленных антенн. Это длинная удочка с более узким углом излучения, зато и дальность уверенного приема больше.

Главные недостатки таких антенн — габариты (у ARS-N19 — 39 см, в карман не положить) и небольшой частотный диапазон (либо 2,4 ГГц, либо 5 ГГц). Поэтому одной не обойтись.

Более компактная и универсальная антенна — Alfa APA-M25. Она панельная (частично направленная) и двухдиапазонная. На частоте 2,4 ГГц обеспечивает КУ 8 дБи, а на 5 ГГц — 10 дБи. С ней удобно атаковать предварительно выбранные точки доступа, расположение которых вы хотя бы примерно представляете. Антенну придется как отклонять по вертикали, так и крутить по горизонтали, чтобы нацелиться на выбранный роутер.

Совсем хардкорные варианты — направленные антенны с большим КУ и очень узким лучом (секторной диаграммой направленности). Такими можно достать цель хоть за километр, но выполнить и зафиксировать их точное наведение крайне сложно. Разрабатывались они преимущественно для стандартов 802.11b/g — дальнобойных, но медленных. Попытка применять их для связи по стандарту 802.11n и тем более 802.11ac оправданна только в исключительных случаях.

Как подобрать положение антенны?

Самый простой способ — запустить скрипт Wifite2 (о нем ниже). В новой версии уровень сигнала всех найденных точек доступа обновляется каждую секунду — как при сканировании, так и во время атаки. Просто медленно поворачивайте антенну сперва в вертикальной плоскости, а затем в горизонтальной. Зафиксируйте положение, в котором цифры будут максимальные.

Еще одно важное примечание: соотношение сигнал/шум также меняется в зависимости от расположения самого адаптера, особенно если его плата не экранирована. В моем эксперименте отклонение WiFi-адаптера Alfa Tube-UNA из вертикального положения в горизонтальное прибавило 7 дБм при той же ориентации антенны. Выбранная точка доступа вышла из зоны неуверенного приема и была успешно… проинспектирована.

Как подключить нестандартную антенну?

На практике антенны приходится менять, поэтому выбирать стоит адаптер с разъемом для подключения внешней антенны. Проблема в том, что они бывают разные и не подходят друг к другу. Обычно для оборудования внутри помещений применяется миниатюрный разъем RP-SMA, а у более мощных «уличных» адаптеров типа Alfa Tube-UNA — большое гнездо N-Type. Подружить их помогают коаксиальные переходники. Выбирайте максимально качественные, иначе сильно ухудшится соотношение сигнал/шум (SNR). На фото показан переходник N-Type — RP-SMA. Я использовал его для подключения антенн ARS-N19 и APA-M25 к Alfa Tube-UNA со встроенным усилителем сигнала.

Как автоматизировать аудит точек доступа Wi-Fi?

Порог вхождения для обучения взлому WiFi постоянно снижается. За последние пару лет снова выросла подборка простых и эффективных утилит, автоматизирующих выполнение большинства типов атак по каналам беспроводной связи. Когда-то в Kali (тогда еще BackTrack) были только сырые скрипты, а сейчас глаза разбегаются от обилия готовых инструментов.

Сегодня даже не обязательно начинать с изучения Aircrack-ng — пакета, на котором основаны практически все инструменты взлома Wi-Fi. Быстро получить практический результат помогут скрипты WiFi-autopwner от Алексея Милосердова и Wifite2 от Derv Merkler (псевдоним программиста из Сиэтла).

Мне нравятся оба скрипта, но привычнее Wifite2 и его народный форк. Он грамотно использует дополнительные утилиты для повышения эффективности аудита и позволяет автоматически выполнять пять самых распространенных типов атак на все сразу или только на указанные точки доступа.

Wifite2 применяет bully, tshark и reaver для выполнения атак на WPS методом PixieDust или перебором пинов. Он использует coWPAtty и pyrit для проверки хендшейков, захваченных во время атаки на WPA(2), и реализует новую атаку на PMKID с использованием hashcat.

Все типы атак уже отсортированы по скорости выполнения. Сначала для выбранной точки доступа используются самые быстрые (WPS, WEP, PMKID), а в случае неудачи скрипт переходит к следующим вариантам. Более того, при включении режима verbose -vv в терминале выводятся все использованные команды и их результат. По сути, это режим обучения и отладки.

Какая техника взлома WiFi самая быстрая?

Раньше я бы ответил: WPS. Если на точке доступа включен Wi-Fi Protected Setup, то с большой вероятностью она вскрывается перебором известных пинов или более изящной атакой PixieDust. Список пинов для перебора берется из дефолтных конфигов производителя, который определяется по MAC-адресу. Делать исчерпывающий перебор всех вариантов (брутфорс) чаще всего бессмысленно, так как после N неудачных попыток авторизации по WPS роутер надолго блокирует дальнейшие.

В любом случае атака на WPS занимала до пяти минут и казалась скоростной по сравнению с ожиданием захвата хендшейка WPA, который потом еще надо мучительно долго брутить. Однако сейчас появился новый тип атаки — PMKID (Pairwise Master Key Identifier). На уязвимых роутерах она позволяет захватить хендшейк за считаные секунды, и даже при отсутствии подключенных к нему клиентов! С ней не надо никого ждать и деаутентифицировать, достаточно одной (даже безуспешной) попытки авторизации с вашей стороны.

Поэтому оптимальный алгоритм взлома (аудита) следующий: определяем, включен ли на целевой точке доступа режим WPS. Если да, запускаем PixieDust. Безуспешно? Тогда перебор известных пинов. Не получилось? Проверяем, не включено ли шифрование WEP, которое тоже обходится влет. Если нет, то выполняем атаку PMKID на WPA(2). Если уж и так не получилось, тогда вспоминаем классику и ждем хендшейка (чтобы не палиться) или активно кикаем клиентов, чтобы наловить их сессии авторизации.

Я узнал WPS PIN, что дальше?

Дальше с его помощью можно подключиться к роутеру и узнать пароль, каким бы длинным и сложным он ни был. Вообще WPS — это огромная дыра в безопасности. На своем оборудовании я всегда его отключаю, а потом еще проверяю WiFi-сканером, действительно ли WPS выключен.

Я перехватил хендшейк. Что с ним делать?

Четырехстороннее рукопожатие записывается скриптом Wifite2 в файл с расширением .cap.

TCPdump, Wireshark, Nmap и другие программы используют формат .pcap. Хендшейк PMKID будет иметь формат .16800.

По умолчанию Wifite использует для подбора паролей Aircrack-ng. Он отправляет команду вида

1

aircrack-ng yourhandshake.cap -w /yourwordlist.txt

В простейших вариантах этого достаточно, однако чаще приходится конвертировать хендшейки с помощью hcxtools, чтобы скормить одной из продвинутых утилит для перебора паролей. Например, John the Ripper или hashcat.

Мне больше нравится hashcat. Для работы с ней нужно конвертировать .cap в формат .hccapx. Сделать это можно также онлайн или локально утилитой cap2hccapx. В последнем случае придется скачать исходник и скомпилировать его.

1

2

wget https://raw.githubusercontent.com/hashcat/hashcat-utils/master/src/cap2hccapx.c

gcc -o cap2hccapx-converter cap2hccapx.c

Полученный исполняемый файл cap2hccapx-converter удобнее закинуть в /bin, чтобы затем обращаться к нему откуда угодно.

1

[crayon-64caa59cd08b2917494700 inline="true" ]<span class="pln">mv cap2hccapx</span><span class="pun">-</span><span class="pln">converter </span><span class="pun">/</span><span class="pln">bin</span>

[/crayon]

Точно так же брутятся хеши PMKID. Просто нужно явно указать hashcat тип хендшейка и словарь.

1

2

hashcat64 -m 2500 -w3 Beeline.hccapx "wordlist\wpadict.txt" # Перебираем пароли по своему словарю wpadict.txt к хешу из рукопожатия WPA(2) в файле Beeline.hccapx

hashcat64 -m 16800 -w 3 RT-WiFi.16800 "wordlist\rockyou.txt" # Исполь

На чем брутить пароли WiFi?

Локально перебирать пароли лучше на десктопном компе с мощной видюхой, а если его нет, воспользуйся онлайновыми сервисами. Бесплатно в них предлагаются ограниченные наборы, но даже их порой достаточно.

Еще один интересный вариант — использовать сеть распределенных вычислений. Сделать это позволяет, например, Elcomsoft Distributed Password Recovery. Эта универсальная программа понимает десятки форматов паролей и хешей, включая .cap, .pcap и .hccapx. Над одной задачей в ней одновременно могут работать до десяти тысяч компьютеров, объединяя ресурсы своих процессоров и видеокарт.

Плюс у нее очень продвинутый подход к словарной атаке. Можно использовать маски, приставки и мутации, фактически расширяя объем словаря в несколько раз.

Почему выполняют атаку по словарю вместо брута?

Ключ WPA(2)-PSK генерируется длиной 256 бит. Число возможных комбинаций (2^256) таково, что даже на мощном сервере с графическими ускорителями потребуются годы для их перебора. Поэтому реалистичнее выполнить словарную атаку.

Обычно Wifite2 делает это сам. После захвата хендшейка он проверяет его качество. Если все нужные данные в нем сохранились, то автоматически запускается атака по словарю wordlist-top4800-probable.txt. Как нетрудно догадаться, в нем всего 4800 самых распространенных паролей.

Он удобен тем, что быстро срабатывает даже на стареньком ноутбуке, однако с большой вероятностью искомой комбинации в этом словаре не будет. Поэтому стоит сделать свой.

Как составить свой словарь?

Сначала я собрал коллекцию словарей из разных источников. Это были предустановленные словари в программах для перебора паролей, каталог /usr/share/worldlists/ в самой Kali Linux, базы утекших в Сеть реальных паролей от разных аккаунтов и подборки на профильных форумах. Я привел их к единому формату (кодировке), используя утилиту recode. Дальше переименовал словари по шаблону dict##, где ## — счетчик из двух цифр. Получилось 80 словарей.

На следующем этапе я объединил их в один, удалив явные повторы, после чего запустил утилиту PW-Inspector для очистки объединенного словаря от мусора. Поскольку пароль для WiFi может быть от 8 до 63 символов, я удалил все записи короче 8 и длиннее 63 знаков.

1

2

cat * > alldicts | sort | uniq

pw-inspector -i alldicts -m 8 -M 63 > WPAMegaDict

Затем я подумал, что получился слишком большой файл, который можно сократить сильнее без явного ущерба для эффективности перебора. Вы видели в реальной жизни пароли Wi-Fi длиннее 16 символов? Вот и я не видел.

1

pw-inspector -i WPAMegaDict -m 8 -M 16 > WPADict_8-16

На файлообменнике Кима Доткома можно скачать получившийся словарь (647 Мб в ZIP-архиве, 2,8 Гб в распакованном виде).

Как переключиться в диапазон 5 ГГц?

Сначала нужно подключить Wi-Fi-адаптер с поддержкой 5 ГГц и оснастить его подходящей антенной (они тоже делаются для разных диапазонов). Затем просто запустите Wifite с ключом -5, и увидите пятигигагерцевые точки доступа. Обычно их гораздо меньше, чем 2,4 ГГц. Связано это как с их относительно малым распространением, так и с меньшим радиусом действия. Чем выше частота, тем (при прочих равных) быстрее затухает сигнал.

Можно ли атаковать скрытую сеть?

Да. Если имя сети (ESSID) скрыто, вы точно так же видите MAC-адрес точки доступа во время сканирования эфира. Первый же подключившийся клиент раскроет ее имя. Поэтому просто подождите коннекта или ускорьте процесс, разослав пакеты деаутентификации.

Заключение

Когда я писал эту статью, то ставил перед собой цель помочь читателям как можно быстрее получить практический результат с нуля и почти без ущерба для понимания сути процесса. Мне хотелось уместить в одну публикацию все для мощного старта и зажечь искру интереса, которая подвигнет на самостоятельное продолжение.

На курсах по пентестам я не раз обращал внимание, что за свои кровные вы получаете инфу не первой свежести. В ответ преподаватели обычно говорили, что рассказывают основы, суть не меняется годами, поэтому вы уж сами погуглите и доработайте наши материалы напильником. На мой взгляд, суть как раз в деталях, а они меняются очень быстро. Надеюсь, мой вымученный конспект поможет набрать крутизны вашей кривой обучения.

Для сбора различной информации существуют различные типы трекеров: рекламные (AdAgency), аналитические (WebAnalytics) и т. д. Большинство из них используется преимущественно на сайтах или в приложениях. Однако есть и более универсальные трекеры, которые применяются и на сайтах, и в приложениях, и даже в электронной почте. В этой статье мы расскажем вам про один из таких видов трекинговых элементов — веб-маяки (web beacons), а также покажем, маяки каких трекинговых систем и компаний чаще всего обнаруживают наши защитные решения — антитрекинговые плагины для веб браузеров и анти-спам-технологии.

Что такое веб-маяки (web beacons)

Веб-маяки (web beacons или web bugs, а также трекинговые пиксели, tracking pixel, spy pixel и т. д.) — это трекинговые элементы, которые используются на веб-страницах, в приложениях и электронной почте для проверки того, что пользователь получил доступ к определенному контенту (открыл письмо или посетил веб-страницу). Основное назначение веб-маяков — сбор статистики и составление аналитических отчетов об активности пользователя.

На сайтах маяки отслеживают количество посетителей веб-страницы. С их помощью аналитические маркетинговые агентства или сами владельцы сайта могут измерить эффективность размещения того или иного материала, оценить активность аудитории или рекламной кампании. Также некоторые ресурсы используют трекинговые пиксели как водяные знаки для идентификации контента, например, чтобы выявлять плагиат.

В электронных письмах, как и в случае с веб-сайтами, основное назначение веб-маяков – подсчет пользователей, взаимодействующих с контентом. Например, с помощью трекинговых пикселей составляют отчеты о количестве открытий письма (Email Open Rates). Эти отчеты позволяют компаниям выяснить, какие рекламные рассылки интересны пользователям, а какие нет. Например, если у рассылки падает «открываемость», то компания может изменить заголовок сообщения на более кричащий и кликбейтный или наоборот, сделать его более строгим и информативным.

Как работают веб-маяки

Обычно маячок на веб-странице представляет собой изображение, которое загружается с внешнего ресурса. Размер такого изображения чаще всего составляет ноль или один пиксель, поэтому пользователь его не видит. Отсюда и название «трекинговый пиксель». Также для сокрытия изображения может использоваться CSS-атрибут display со значением none («не отображать»). Реже встречается реализация веб-маяков через JavaScript, такая как Beacon API — интерфейс, который позволяет отправлять запросы на сервер без ожидания ответа.

Пример расположения web beacon в HTML-коде сайта

В почте веб-маяки реализованы схожим образом: это могут быть невидимые для пользователя изображения, размещенные непосредственно в теле письма, либо JavaScript-код во вложенном HTML-файле.

Пример расположения web beacon в HTML-части электронного письма

При открытии веб-страницы (или письма), происходит «подгрузка» веб-маяка. Для этого отправляется запрос на сервер: в случае с картинкой это будет запрос на загрузку изображения, а в случае JavaScript — запрос, предусмотренный скриптом. Как правило, на сервер передается следующая информация:

• Дата и время открытия веб-страницы или письма
• Версия операционной системы
• Версия браузера или почтового клиента и его тип
• Разрешение экрана
• IP-адрес

Пример передачи данных пользователя

Самые распространенные веб-маяки на сайтах и в почте

Мы проанализировали веб-маяки, обнаруженные нашими системами в декабре 2022 года, и составили TOP 20 компаний, чьи трекеры чаще других попадались нашим пользователям на сайтах и в письмах.

TOP 20 веб-маяков на сайтах

В этом разделе мы использовали анонимную статистику, собранную с 1 по 31 декабря 2022 года компонентом Do Not Track (DNT), который предотвращает загрузку трекинговых элементов на веб-сайтах. Компонент DNT входит в состав Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Security Cloud и по умолчанию он выключен. В статистику вошли анонимизированные данные, добровольно предоставленные пользователями.

Мы составили список из 20 компаний, чьи веб-маяки компонент DNT обнаруживал чаще всего по всему миру. За 100% мы взяли общее количество срабатываний компонента DNT на веб-маяки этих двадцати систем.

Большинство компаний из TOP 20 в той или иной степени связаны с цифровой рекламой и маркетингом. Например, компания Aniview (2,68%), располагающаяся на шестом месте, специализируется на видеорекламе. OpenX (2,19%), Taboola (1,63%), Smart AdServer (1,55%) и многие другие также являются рекламными и/или маркетинговыми компаниями.

Даже технологические гиганты, такие как Google (32,53%), Microsoft (21,81%), Amazon (13,15%) и Oracle (2,86%) на которых приходится наибольшая доля срабатываний в TOP 20, имеют свои маркетинговые и рекламные подразделения, и веб-маяки этих компаний используются далеко не только в целях улучшения их собственных продуктов.

TOP 20 веб-маяков в электронной почте

В этой части отчета представлены анонимизированные данные о срабатывании компонента «Анти-Спам» на устройствах пользователей продуктов «Лаборатории Касперского». Компонент «Анти-Спам» присутствует в таких решениях, как Kaspersky Security для почтовых серверов под управлением Linux, Kaspersky Security для серверов Microsoft Exchange, Kaspersky Secure Mail Gateway и Kaspersky Security для Microsoft Office 365.

Если посмотреть на список самых распространенных веб-маяков в электронной почте, то, в отличие от TOP 20 маяков, используемых на сайтах, мы не увидим технологических гигантов на первых строчках: Adobe Analytics (4,49%) находится на восьмом месте, Google (3,86%) и Microsoft (3,18%) — еще ниже. Такую скромную долю можно объяснить тем, что на рынке довольно много компаний, специализирующихся на email-маркетинге. Можно выделить два типа таких компаний:

• ESP (Email Service Provider) — компании, предоставляющие услуги по организации и сопровождению email-рассылок.
• CRM (Customer Relationship Management) — компании, специализирующиеся на платформах для управления любыми взаимодействиями с клиентом на разных этапах продаж.

Если интернет-гиганты владеют крупными рекламными сетями, которыми пользуется большинство веб-ресурсов, и поэтому их трекеры преобладают на сайтах, то ESP и CRM управляют большинством маркетинговых рассылок, и поэтому их трекеры преобладают в электронной почте. Маячки ESP и CRM собирают данные о пользователях, чтобы отслеживать их реакцию на почтовые рассылки: какой процент получателей открывает письма, как этот показатель меняется в зависимости от региона и т. д. Чаще всего в почтовом трафике нам встречались маяки компаний Mailchimp (21,74%) и SendGrid (19,88%) — двух крупных американских игроков в сфере email-маркетинга.

Помимо ESP и CRM, в TOP 20 компаний, чьи веб-маяки в почте детектировались в декабре чаще всего, также вошли Rakuten (5,97%) — крупный японский онлайн-ретейлер, LinkedIn (4,77%) —социальная сеть для поддержания деловых контактов, Uber (1,49%) — компания-агрегатор такси и Booking (0,56%) — крупный сервис по бронированию гостиниц. Эти компании используют веб-маяки по той же причине, что и ESP/CRM-сервисы: чтобы оценивать результативность рассылок и собирать общую статистику по пользователям.

Вывод

Компании стремятся собрать как можно больше данных о клиентах, чтобы составить как можно более подробный портрет каждого пользователя персонализировать предложения и более эффективно продавать товары и услуги. Различные трекинговые системы позволяют организациям отслеживать пользователей как на веб-сайтах и в приложениях, так и в электронной почте.

Многие крупные компании имеют возможность не обращаться к подрядчикам для этих целей, а создавать свои рекламные подразделения, продавая те же услуги, что и специализированные рекламные агентства. Часто они объединяют свои знания о пользователях, полученные из разных ресурсов, насыщая и дополняя существующий у них портрет. В то же время, другие компании пользуются услугами интернет-гигантов, маркетинговых агентств, ESP и CRM, позволяя им собирать еще больше данных.

С позиции пользователя довольно сложно, если вообще возможно, отследить, где в итоге оказываются собранные данные. Более того, часто даже неочевидно, что данные собираются. Веб-маяки в письмах и на сайтах пользователю не видны, и о них никто не предупреждает, как, например, об использовании cookie. При этом они позволяют компаниям узнать, сколько раз и откуда пользователи заходили на сайт, кто, когда и откуда открывал письмо. Регулярно собирая такую информацию, можно составить представление не только о реакции на конкретные рассылки и лендинги, но и о привычках пользователя, например о времени его активности онлайн.

Если такая информация попадет в руки киберпреступников, скажем, в результате утечки, они смогут использовать ее в своих целях. В частности, зная, когда вас нет онлайн, они могут пытаться в это время взломать ваши аккаунты или рассылать поддельные письма от вашего имени. Кроме того, злоумышленники сами пользуются технологией web beacon и отслеживают поведение своих потенциальных жертв.

Чтобы защититься от излишнего внимания со стороны компаний и уж тем более мошенников, стоит принять хотя бы минимальные меры против трекинга. В частности, в браузере можно установить специальный плагин, предотвращающий загрузку трекинговых элементов на странице, а также выставить более строгие настройки приватности. Многие VPN-сервисы предлагают дополнительно блокировать трекинг. В почте же можно выставить настройки, запрещающие автоматически загружать изображения. Даже если вы откроете письмо, содержащее трекинговый пиксель, он не сработает, так как все изображения (а web beacon — это тоже изображение), будут загружены только с вашего разрешения. Что касается более сложных JavaScript-маяков, то они содержатся во вложении и загружаются, только если вы его откроете.

Почтовый спуфинг в общем смысле — это подделка электронных писем от легитимных отправителей. В этой статье мы разберем спуфинг почтового адреса, в рамках которого подделывается заголовок From письма, т. е. то, как имя и адрес отправителя отображаются в почтовом клиенте пользователя.

Протокол SMTP (Simple Mail Transfer Protocol — основной протокол передачи электронной почты в сетях TCP/IP) не предусматривает никакой защиты от спуфинга, поэтому подделать адрес отправителя довольно легко. Фактически все, что нужно злоумышленнику — инструмент, позволяющий выбрать, от чьего имени придет письмо. А им может стать и почтовый клиент, и специальная утилита или скрипт, которых в Сети немало.

Спуфинг почтового адреса используется и в мошеннических схемах, и в целевых атаках на организации. Цель этого приема — убедить жертву в том, что письмо пришло от доверенного отправителя, и побудить ее выполнить указанные в нем действия: перейти по фишинговой ссылке, перевести деньги на определенный счет, скачать вредоносный файл и т. д. Для большей убедительности злоумышленники могут копировать оформление и стиль писем конкретного отправителя, делать акцент на срочности задачи и использовать другие приемы социальной инженерии.

В некоторых случаях поддельные письма являются частью многоступенчатой атаки, и на первом этапе от жертвы не требуется никаких подозрительных действий. Примеры таких атак можно найти в нашей статье про корпоративный доксинг.

Спуфинг легитимного домена (Legitimate Domain Spoofing)

Cамый простой вид спуфинга почтового адреса — спуфинг легитимного домена. Он предполагает подстановку в заголовок From реального домена организации, под которую маскируется злоумышленник. В этом случае пользователю крайне сложно отличить поддельное письмо от настоящего.

Для борьбы со спуфингом были созданы несколько методов почтовой аутентификации, которые улучшают и дополняют друг друга: SPF, DKIM и DMARC. Перечисленные механизмы тем или иным образом подтверждают, что письмо действительно отправлено с заявленного адреса.

• Стандарт SPF (Sender Policy Framework) позволяет владельцу почтового домена ограничить набор IP-адресов, которые могут отправлять письма с этого домена, а почтовому серверу — проверять, что IP-адрес отправителя авторизован владельцем домена. Правда, проверяет SPF не заголовок From, а домен отправителя, указанный в SMTP-конверте, который используется для передачи информации о маршруте письма между почтовым клиентом и сервером и не показывается получателю.
• DKIM решает проблему проверки подлинности отправителя с помощью цифровой подписи, которая генерируется на основе закрытого ключа, хранящегося на сервере отправителя. Открытый ключ для проверки подписи помещается на DNS-сервер, отвечающий за домен отправителя. Если в действительности письмо отправлено с другого домена, подпись окажется невалидной. Однако у этой технологии тоже есть слабое место: злоумышленник может отправить поддельное письмо без DKIM-подписи, и его будет невозможно проверить.
• DMARC (Domain-basedMessageAuthentication, ReportingandConformance) позволяет проверить домен в заголовке From на соответствие домену, подтвержденному с помощью DKIM и/или SPF. Таким образом, при использовании DMARC письмо со спуфингом легитимного домена не пройдет проверку. Однако при выборе строгой политики DMARC может блокировать и полезные письма — в одной из наших статей мы рассказывали, как наши решения улучшают эту технологию и сводят к минимуму ложноположительные срабатывания.

Естественно, с повсеместным внедрением описанных выше технологий злоумышленники столкнулись с нелегким выбором: полагаться на то, что в компании, под которую они маскируются, почтовая аутентификация не настроена или настроена с ошибками (а такие, к сожалению, еще остались), либо использовать способы подделки заголовка From, которые обходят аутентификацию.

Спуфинг отображаемого имени (Display Name Spoofing)

Отображаемое имя — это имя отправителя, которое стоит в заголовке From перед его адресом. Если речь идет о корпоративной почте, то в качестве имени отправителя обычно используется реальное имя человека, название отдела и т. д.

Пример отображаемого имени

Многие почтовые клиенты для удобства получателя скрывают адрес отправителя и показывают в письме только отображаемое имя. Этим активно пользуются злоумышленники, подделывая имя, но оставляя в заголовке From свой настоящий адрес. Этот адрес зачастую даже защищен DKIM-подписью и SPF, поэтому механизмы аутентификации пропускают послание как легитимное.

Ghost Spoofing

Самый популярный и часто встречающийся вид спуфинга отображаемого имени — это Ghost Spoofing. Его суть заключается в том, что злоумышленник указывает в качестве имени не только имя человека или название компании, под которую он маскируется, но и адрес предполагаемого отправителя, как в примере на скриншоте ниже.

Пример Ghost Spoofing

При этом на самом деле письмо приходит с совсем другого адреса.

Реальный адрес отправителя в Ghost Spoofing и почтовая аутентификация

AD Spoofing

AD (Active Directory) Spoofing тоже является одной из разновидностей спуфинга отображаемого имени, но в отличие от техники Ghost Spoofing не предполагает указания поддельного адреса в качестве части имени. При этом в адресе злоумышленников, с которого рассылаются такие письма, используется имя человека, от лица которого они рассылаются.

Пример AD Spoofing

Этот метод выглядит более примитивным по сравнению с Ghost Spoofing, однако мошенники могут предпочитать его по нескольким причинам. Во-первых, если почтовый агент получателя все-таки отображает содержимое заголовка From целиком, то двойной адрес отправителя вызовет у пользователя больше подозрений, чем адрес на общедоступном домене. Во-вторых, технически Ghost Spoofing легче блокировать спам-фильтрами: достаточно просто отправлять в спам письма, где в отображаемом имени отправителя содержится почтовый адрес. Запретить же все входящие письма от тезок всех коллег и контрагентов, как правило, не представляется возможным.

Спуфинг схожего домена (Lookalike domain Spoofing)

В более сложных атаках злоумышленники используют специально зарегистрированные домены, похожие на домен организации-мишени. Это требует немного больших затрат: все же найти и купить определенный домен, настроить на нем почту, подписи DKIM и SPF и аутентификацию DMARC сложнее, чем просто немного изменить заголовок From. Но и распознать подделку в таком случае труднее.

Primary Lookalike

Lookalike-домены — это домены, схожие по написанию с доменами подделываемой организации, но отличающиеся от них одной или несколькими буквами. Подробнее мы рассказывали о них в статье «Lookalike-домены и защита от них»). Например, письмо на скриншоте ниже пришло с домена deutschepots.de, который очень легко перепутать с доменом немецкой почтовой компании Deutsche Post (deutschepost.de). Если перейти по ссылке в таком письме и попытаться оплатить доставку посылки, можно не только потерять 3 евро, но и оставить мошенникам данные своей карты.

Пример письма с lookalike-домена

Впрочем, при должном уровне внимательности такую ошибку можно заметить. Но бывают и случаи, когда простой внимательностью уже не обойтись.

Unicode Spoofing

Unicode Spoofing — разновидность спуфинга, в которой один из ASCII-символов в имени домена заменяется на схожий по написанию символ из диапазона Unicode. Чтобы понять эту технику, нужно разобраться, как кодируются домены, в которых используются нелатинские символы (например, кириллица или умлауты). Для работы с ними был создан метод преобразования Punycode, в соответствии с которым символам Unicode сопоставляются так называемые ACE-последовательности (ASCII Compatible Encoding — кодировка, совместимая с ASCII), состоящие из букв латинского алфавита, дефисов и чисел от 0 до 9. При этом многие браузеры и почтовые клиенты отображают Unicode-версию домена. Так, например, домен:

1

касперский.рф

преобразуется в:

1

xn--80akjebc7ajgd.xn--p1ai

Однако в браузере вы, скорее всего, увидите именно «касперский.рф». При этом, поскольку данная технология предусматривает частичное кодирование (кодируется не вся строка, а отдельный символ), домен может содержать и ASCII-, и Unicode-символы, и злоумышленники активно этим пользуются.

Пример письма с Unicode spoofing

На скриншоте выше мы видим сообщение, которое якобы отправлено с домена apple.com. Написание полностью совпадает, почтовую аутентификацию письмо прошло. Удивляет дизайн письма, но обычному пользователю редко приходят сообщения о блокировке, поэтому сравнивать особо не с чем. Если ничего не подозревающий пользователь кликает по ссылке, он попадает на поддельный сайт и оставляет там данные своего аккаунта.

Если посмотреть в заголовки этого письма (это можно сделать в большинстве почтовых клиентов для ПК и), откроется совсем другая картина:

Punycode-запись домена

Дело тут в том, что домен аррle.com как раз подпадает под правило кодирования Unicode-символов в ASCII — первые три символа являются кириллическими «а» и «р». Но почтовый агент, которым было открыто письмо, для удобства пользователя преобразовал Punycode-комбинацию в Unicode и в письме отобразилось «аррle.com».

Отметим, что некоторые почтовые клиенты предупреждают пользователя, что в имени домена использованы нестандартные символы, или даже отображают Punycode в заголовке From. Однако такие механизмы защиты предусмотрены далеко не везде, и это играет на руку мошенникам.

Вывод

Существуют разные способы убедить получателя письма в том, что оно пришло от доверенного отправителя. Некоторые из них выглядят примитивными, однако позволяют злоумышленникам успешно обходить почтовую аутентификацию. При этом спуфинг как техника используется для реализации самых разных типов атак, начиная с обычного фишинга и заканчивая продвинутыми BEC-атаками. А они, в свою очередь, могут быть одним из этапов более сложных целевых атак. Соответственно, и ущерб от спуфинга даже в рамках одной атаки может варьироваться от кражи личных данных до приостановки работы, потери репутации и многомилионных убытков.

Для защиты от спуфинга также существуют самые разные способы — от простой, но не очень надежной внимательности до специальных компонентов в составе решений для бизнеса. «Лаборатория Касперского» включила нужный модуль в решения для почтовых серверов на Microsoft Exchange, Linux и в виртуальных средах, а также отдельный продукт для Microsoft Office 365.

Python – это высокоуровневый, интерпретируемый язык программирования, который обладает простым и понятным синтаксисом. Он известен своей элегантностью и эффективностью, что делает его привлекательным для многих разработчиков.

Тестирование на проникновение (penetration testing) – это процесс исследования и проверки безопасности компьютерных систем, сетей или приложений путем моделирования атак для выявления уязвимостей. Это важный этап в обеспечении безопасности информационных технологий.

Почему Python является идеальным выбором для тестирования на проникновение?

Существует несколько причин, почему Python является популярным языком программирования для тестирования на проникновение:

• Легкость изучения и использования Python: Python обладает простым и понятным синтаксисом, что делает его легким для изучения. Это позволяет быстро приступить к созданию скриптов и автоматизации процесса тестирования на проникновение.
• Богатство библиотек и фреймворков Python для тестирования на проникновение: Существует множество библиотек и фреймворков Python, специально созданных для проведения тестирования на проникновение. Эти инструменты предлагают широкий набор функциональности для анализа уязвимостей, манипуляции сетевыми пакетами и автоматизации тестовых сценариев.

Как выучить Python для тестирования на проникновение

Для того чтобы эффективно использовать Python в тестировании на проникновение, вам следует освоить следующие аспекты:

• Основы Python: Пройдите начальный курс Python и изучите основные концепции, такие как переменные, управляющие структуры, функции и классы. Это позволит вам понять основы языка и создавать простые скрипты.
• Изучение специфических библиотек Python для тестирования на проникновение: Изучите популярные библиотеки, такие как Scapy для манипуляции сетевыми пакетами, Requests для работы с HTTP/HTTPS и BeautifulSoup для парсинга HTML и XML документов. Разберитесь в их функциональности и применении.
• Практические упражнения и проекты для применения навыков Python в тестировании на проникновение: Найдите практические упражнения и проекты, которые помогут вам применить ваши навыки Python в реальных сценариях тестирования на проникновение. Это поможет вам углубить понимание языка и применить его на практике.

Практические примеры использования Python в тестировании на проникновение

Python может быть использован для различных задач в области тестирования на проникновение. Вот несколько примеров:

• Создание и использование скриптов для анализа уязвимостей: Python позволяет создавать скрипты для автоматизации процесса анализа уязвимостей, поиска уязвимых точек в системах и сетях, и выполнения специфических атак.
• Использование Python для автоматизации тестов на проникновение: Python предлагает множество инструментов и библиотек для автоматизации тестов на проникновение, позволяя создавать скрипты и сценарии для выполнения повторяющихся задач.

Обзор популярных инструментов и библиотек Python для тестирования на проникновение

Вот несколько популярных инструментов и библиотек Python, которые широко используются в тестировании на проникновение:

• Scapy для манипуляции сетевыми пакетами: Scapy предоставляет возможность создания, отправки, перехвата и манипуляции сетевыми пакетами. Это полезный инструмент для исследования сетевой инфраструктуры и проверки безопасности.
• Requests для работы с HTTP/HTTPS: Requests – это простая и элегантная библиотека для работы с протоколами HTTP и HTTPS. Она позволяет выполнять запросы к веб-серверам, отправлять данные и получать ответы, что полезно при тестировании веб-приложений.
• BeautifulSoup для парсинга HTML и XML документов: BeautifulSoup предоставляет инструменты для извлечения данных из HTML и XML документов. Это может быть полезно при анализе веб-страниц и поиске потенциальных уязвимостей.

Советы и рекомендации по дальнейшему изучению и использованию Python в этой области

Чтобы продолжить развивать ваши навыки Python для тестирования на проникновение, рекомендуется:

• Принять участие в онлайн-курсах и тренировках, посвященных Python и тестированию на проникновение.
• Присоединиться к сообществам и форумам, где вы сможете делиться опытом и учиться у других профессионалов.
• Регулярно практиковаться, решая задачи и выполняя проекты в области тестирования на проникновение.
• Изучить документацию и примеры кода для библиотек и инструментов Python, связанных с тестированием на проникновение.
• Оставаться в курсе последних трендов и новых инструментов в области тестирования на проникновение.

Заключение

Python является мощным языком программирования для тестирования на проникновение. Его легкий синтаксис, богатство библиотек и фреймворков, а также возможность создания скриптов делают его идеальным выбором для работы в этой области. Чтобы освоить Python для тестирования на проникновение, изучите основы языка, изучите специфические библиотеки, выполняйте практические упражнения и проекты, а также исследуйте популярные инструменты и библиотеки. Это откроет перед вами новые перспективы и возможности в области тестирования на проникновение.

В подобных случаях RAT нередко расшифровывают как Remote Access Trojan, и прямой перевод английского слова rat — «крыса» — тут приходится как нельзя кстати.

Как создать RAT для Android

AhMyth RAT (Remote Access Trojan) — это приложение с открытым исходным кодом, в данный момент находится на стадии бета-версии. Инструмент ориентирован на пользователей ОС Windows, но на GitHub можно скачать исходники AhMyth и для Unix-подобных платформ.

Имейте ввиду, что распространение вирусов и вредоносных программ — незаконное действие и влечет за собой уголовную ответственность. Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция сайта www.spy-soft.net, ни автор программы не призывают к использованию полученных знаний в практических целях и не несут ответственности за любой возможный вред, причиненный материалом статьи.

Программа для создания RAT для Android AhMyth состоит из двух компонентов.

1. Серверное приложение, с помощью которого можно управлять зараженным устройством и создавать файлы APK с вредоносным кодом. Создано оно на Electron framework — фреймворке, разработанном на площадке GitHub для создания простых графических приложений.
2. Клиентский APK, содержащий вредоносный код, который позволяет получить удаленный доступ к зараженному Андроид-устройству. То есть созданный APK-файл будет выполнять функции бэкдора.

Установка AhMyth RAT

Серверная часть устанавливается очень просто, тем более автор RAT-конструктора выложил в свободный доступ бинарники. Но при желании можно скомпилировать ее из исходников. В моем случае тесты проходили на компьютере с Windows 10.

Для работы утилиты необходима уставленная на компьютер виртуальная машина Java. Скачать ее можно с официального сайта Java. После этого надо скачать бинарники самой AhMyth. Их вы можете найти в официальном репозитории проекта на GitHub, вкладка Assets. Во время скачивании рекомендую вырубить антивирус, чтобы его не хватил приступ от происходящего.

Создание зараженного APK

Чтобы создать файл APK для Android, откройте вкладку APK Builder. Внешний вид конструктора для создания RAT для Android показан ниже:

Пользоваться конструктором AhMyth RAT очень легко. В окне Source IP надо ввести IP-адрес атакующей машины (этот адрес потом легко вычисляется \ при криминалистическом анализе вредоноса). В поле Source Port можно указать порт, который будет зарезервирован машиной для прослушивания подключений. По умолчанию используется порт 42 474.

Есть также опция Bind With Another Apk, которая позволяет склеить APK-файл с другим приложением.

Для этого надо отметить флажок Bind With Another Apk, выбрать необходимый APK и указать метод интеграции вредоноса в телефон. Есть два метода: при запуске зараженного APK или при перезагрузке телефона после установки RAT. Авторы программы рекомендуют второй вариант.

Осталось нажать кнопку Build — по умолчанию зараженный файл сохраняется в папку:

1

<strong>C:\Users\<Your_Username>\AhMyth\Output</strong>

Распространение RAT для Android

Как распространяются собранные таким методом вредоносы — это отдельная тема для дискуссий. Отмечу только, что в Google Play регулярно обнаруживают зараженные RAT программы и столь же регулярно их оттуда выпиливают, что не мешает малвари появляться в этом каталоге снова. Кроме того, методы социальной инженерии никто не отменял. Но имейте ввиду, что для активации RAT после установки приложения обязательно нужно запустить или перезагрузить зараженное устройство (в зависимости от настроек билдера).

Для успеха также требуется, чтобы в настройках целевого устройства был отключен параметр «Установка только из доверенных источников».

Соединение с зараженным устройством

Теперь нужно перейти во вкладку Victims и вбить в поле тот же порт, что мы указывали раньше, чтобы сервер ждал подключений от зараженных устройств. Опять же если вы ничего не меняли при сборке APK, то ничего не надо указывать и здесь.

Нажимаем на Listen, и, если наш APK успешно заразил мобильное устройство, мы увидим новое подключение.

Программа также логирует все действия в консоли, расположенной в нижней части окна. Значения колонок журнала в целом очевидны.

• Country — страна, в которой работает зараженное устройство.
• Manuf — компания — изготовитель девайса.
• Model — код или название модели устройства.
• Release — версия операционной системы зараженного девайса (в моем случае это Android 10).
• IP — IP-адрес устройства, а Port — порт, через который инфицированный девайс подключился к атакующей машине.

Теперь пора переходить к активным действиям — для этого смело нажимаем на кнопку Open The Lab.

Использование RAT AhMyth

Нашему вниманию будет предложено меню из семи пунктов, которое открывает доступ к разным функциям программы.

Камера

Для начала заглянем в раздел Camera. Выберите камеру: фронталку (Front) или основную (Back) — и можете сделать снимок нажатием на кнопку Snap. Правда, у меня почему-то не получилось толком сфотографировать, хотя все мои камеры на устройстве были успешно инициализированы.

Файловый менеджер

Файловый менеджер здесь не такой продвинутый, как в других RAT для Андроид и Windows, однако все равно это очень полезная вещь. С его помощью можно как минимум скачивать нужные нам файлы с зараженного устройства. Как видите, начальная директория — это корневой каталог, к которому есть доступ только с правами администратора.

Микрофон

Эта функция позволяет использовать микрофон устройства в фоновом режиме и записать все, что «слышит» телефон в течение указанного времени (в окне Seconds нужно числом задать продолжительность записи в секундах). Далее жмем Record и ждем. Полученный файл можно прослушать прямо в окне программы или сохранить себе на машину.

Геопозиция

На мой взгляд, это самая интересная возможность AhMyth. Если на инфицированном устройстве включена передача геоданных, вы сможете узнать геопозицию человека с точностью до десяти метров. Известно, что неопытные пользователи очень редко вспоминают об этом параметре и оставляют его включенным. Плюс некоторые приложения (те же карты), использующие передачу геоданных, когда-нибудь да заставят человека включить эту функцию.

Контакты

С помощью этой функции можно вытащить весь список контактов, которые записаны в телефоне. Есть возможность скачать весь список контактов себе на машину.

SMS

Еще один очень любопытный раздел. С его помощью можно отправить кому-то SMS или просмотреть и скачать все сообщения, которые пришли на это устройство.

Чтобы отправить SMS, перейдите на вкладку Send SMS, укажите номер телефона получателя (поле TO://), а в поле Message введите желаемый текст сообщения. После этого останется только нажать на кнопку SEND.

Эта функция может быть использована для сброса паролей учетных записей владельца зараженного устройства, например, для взлома «Вконтакте» или Instagram.

Журнал вызовов

Этот раздел дает возможность просмотреть список телефонных вызовов. Тут представлено четыре блока информации о каждом вызове: номер, с которым связывалось зараженное устройство; название контакта, к которому привязан этот номер на зараженном устройстве; время длительности вызова (в секундах); тип вызова (входящий или исходящий).

Как защититься от RAT на Андроид?

Как бы банально это ни звучало, никогда не давайте свой телефон в чужие руки и не устанавливайте сомнительные приложения. На самом деле это практически единственный способ обеспечить собственную безопасность и защититься от RAT на Android. И конечно же, всегда обращайте внимание на предупреждения системы о возможном вреде, который может причинить устройству скачанное приложение.

Заключение

Надеюсь, что вы будете использовать утилиту AhMyth RAT только в исследовательских целях на своих личных устройствах. Не забывайте: «Чем больше сила, тем больше и ответственность»!

В современном цифровом мире мы постоянно подключаемся к различным сетям, таким как интернет, корпоративные интранеты или домашние сети. Но как мы можем быть уверены, что наши данные и устройства защищены от вредоносных атак или нежелательного доступа? Для этого существует специальный инструмент сетевой безопасности, который называется межсетевой экран.

Цель этой статьи - рассказать, что такое межсетевой экран (англ. Firewall), как он работает, какие типы межсетевых экранов существуют и почему он важен для нашей конфиденциальности и безопасности в сети. Мы также рассмотрим несколько примеров использования межсетевых экранов и дадим рекомендации по выбору и использованию межсетевых экранов.

Определение межсетевого экрана

Межсетевой экран — это система сетевой безопасности, которая контролирует входящий и исходящий сетевой трафик на основе заданных правил безопасности. Межсетевой экран устанавливает барьер между доверенной сетью и недоверенной сетью, такой как интернет.

Назначение межсетевого экрана - фильтровать хороший от плохого, или доверенный от недоверенного трафика. Термин происходит от концепции физических стен, которые служат барьерами для замедления распространения огня до прибытия пожарных. По аналогии, межсетевые экраны предназначены для управления сетевым трафиком - обычно с целью замедлить распространение сетевых угроз.

История развития межсетевых экранов

Первые межсетевые экраны появились в конце 1980-х годов в ответ на растущее количество кибератак на компьютерные системы. Они были основаны на принципе прокси-сервера, который выступал в качестве посредника между двумя сетями для определенного приложения. Прокси-серверы могли предоставлять дополнительные функции, такие как кэширование содержимого и безопасность, предотвращая прямые подключения извне сети. Однако это также могло влиять на пропускную способность и поддержку приложений.

В начале 1990-х годов был разработан новый тип межсетевых экранов, который назывался межсетевой экран с состоянием (stateful firewall). Этот тип межсетевого экрана позволял или блокировал трафик на основе состояния, порта и протокола. Он отслеживал всю активность от открытия соединения до его закрытия. Решения по фильтрации принимались на основе правил, определенных администратором, а также контекста, который относился к использованию информации из предыдущих соединений и пакетов, принадлежащих одному и тому же соединению.

В конце 1990-х годов и начале 2000-х годов появились межсетевые экраны с унифицированным управлением угрозами (UTM). Эти устройства объединяли в себе функции межсетевого экрана с состоянием с вторжением и антивирусом. Они также могли включать дополнительные сервисы и облачное управление. UTM фокусировались на простоте и удобстве использования.

В настоящее время большинство компаний используют межсетевые экраны следующего поколения (NGFW), чтобы блокировать современные угрозы, такие как продвинутое вредоносное ПО и атаки на уровне приложений. По определению Gartner, Inc., межсетевой экран следующего поколения должен включать:

• Интеллектуальный контроль доступа на основе состояния
• Интегрированную систему предотвращения вторжений (IPS)
• Осведомленность и контроль приложений, чтобы видеть и блокировать рискованные приложения
• Пути обновления, чтобы включать будущие информационные потоки
• Методы для решения эволюционирующих проблем безопасности
• Фильтрацию URL на основе геолокации и репутации

Помимо этих возможностей, NGFW могут делать больше. Межсетевые экраны, ориентированные на угрозы, включают в себя все возможности традиционного NGFW, а также предоставляют продвинутое обнаружение и устранение угроз.

Как работает межсетевой экран

Межсетевой экран решает, какой сетевой трафик разрешен проходить и какой трафик считается опасным. По сути, он работает путем фильтрации хорошего от плохого или доверенного от недоверенного. Однако, прежде чем мы перейдем к деталям, полезно понять структуру сетевых сетей.

Межсетевые экраны предназначены для защиты частных сетей и устройств конечных точек в них, называемых сетевыми хостами. Сетевые хосты — это устройства, которые “общаются” с другими хостами в сети. Они отправляют и получают между внутренними сетями, а также исходящие и входящие между внешними сетями. Компьютеры и другие конечные устройства используют сети для доступа к интернету и друг к другу. Однако интернет разделен на подсети или “подсети” для безопасности и конфиденциальности. Основные сегменты подсетей следующие:

• Внешние общедоступные сети обычно относятся к общедоступному/глобальному интернету или различным экстранетам.
• Внутренние частные сети определяют домашнюю сеть, корпоративные интранеты и другие “закрытые” сети.
• Периметральные сети описывают граничные сети, состоящие из бастионных хостов - компьютерных хостов, посвященных усиленной безопасности, которые готовы выдержать внешнюю атаку. В качестве защищенного буфера между внутренними и внешними сетями они также могут использоваться для размещения любых внешнеориентированных служб, предоставляемых внутренней сетью (например, серверов для веб, почты, FTP, VoIP и т. д.). Они более безопасны, чем внешние сети, но менее безопасны, чем внутренние.

Межсетевые экраны обычно устанавливаются на границе между доверенной и недоверенной сетью, чтобы создать “точку затруднения”, через которую проходит весь трафик. Они анализируют данные, отправляемые по компьютерной сети, и принимают решения на основе набора правил. Данные, отправляемые по компьютерной сети, собираются в пакет, который содержит IP-адреса отправителя и получателя, номера портов и другую информацию. Прежде чем пакет достигнет своего пункта назначения, он отправляется на межсетевой экран для проверки. Если межсетевой экран определяет, что пакет разрешен, он отправляет его в пункт назначения; в противном случае межсетевой экран отбрасывает пакет.

Критерии, которые межсетевой экран использует для определения того, разрешен ли пакет или нет, называются набором правил. Например, правило межсетевого экрана может гласить: отбросить весь входящий трафик на порт 22, который обычно используется для удаленного входа в компьютеры с помощью SSH (безопасная оболочка). В этом случае, когда пакет прибывает с портом назначения 22, межсетевой экран игнорирует его и не доставляет его к IP-адресу источника.

Типы межсетевых экранов

Межсетевые экраны могут быть разными по своей структуре, функциональности и месту размещения. В зависимости от этих факторов мы можем выделить следующие типы межсетевых экранов:

• Межсетевой экран на основе фильтрации пакетов. Это самый простой и быстрый тип межсетевого экрана, который работает на сетевом уровне модели OSI и сравнивает каждый пакет данных с набором правил, основанных на IP-адресах, портах и протоколах. Если пакет соответствует правилу, он пропускается, если нет - блокируется. Этот тип межсетевого экрана не учитывает контекст или состояние соединения, поэтому он может быть подвержен атакам типа IP-спуфинга или фрагментации.
• Межсетевой экран на основе шлюзов уровня сеанса. Этот тип межсетевого экрана работает на уровне сеанса модели OSI и мониторит TCP (Transmission Control Protocol) соединения между сетями. Он проверяет, является ли соединение доверенным, исходя из рукопожатия TCP, и разрешает или блокирует трафик на основе этого. Он не анализирует содержимое пакетов или приложений, поэтому он может пропустить некоторые виды атак.
• Межсетевой экран с состоянием (stateful firewall). Этот тип межсетевого экрана является улучшением предыдущих типов и работает на транспортном уровне модели OSI. Он отслеживает состояние, порт и протокол каждого соединения и запоминает информацию о предыдущих пакетах, принадлежащих одному и тому же соединению. Он также может проверять заголовки и содержимое пакетов на соответствие правилам безопасности. Этот тип межсетевого экрана более эффективен в блокировании сложных атак, таких как DoS (Denial of Service) или DDoS (Distributed Denial of Service).
• Межсетевой экран с унифицированным управлением угрозами (UTM). Это устройство, которое объединяет в себе функции межсетевого экрана с состоянием с другими службами безопасности, такими как антивирус, IPS (Intrusion Prevention System), фильтрация URL (Uniform Resource Locator), VPN (Virtual Private Network) и облачное управление. UTM фокусируется на простоте и удобстве использования для малого и среднего бизнеса.
• Межсетевой экран следующего поколения (NGFW). Это продвинутый тип межсетевого экрана, который включает в себя все возможности межсетевого экрана с состоянием, а также предоставляет дополнительные функции, такие как осведомленность и контроль приложений, интегрированную IPS, фильтрацию URL на основе геолокации и репутации, поддержку будущих информационных потоков и методы для решения эволюционирующих проблем безопасности. NGFW способен блокировать современные угрозы, такие как продвинутое вредоносное ПО и атаки на уровне приложений.
• Межсетевой экран, ориентированный на угрозы. Это самый передовой тип межсетевого экрана, который включает в себя все возможности NGFW, а также предоставляет продвинутое обнаружение и устранение угроз. С помощью такого межсетевого экрана вы можете:
• Межсетевой экран, ориентированный на угрозы. Это самый передовой тип межсетевого экрана, который включает в себя все возможности NGFW, а также предоставляет продвинутое обнаружение и устранение угроз. С помощью такого межсетевого экрана вы можете:
• Обнаруживать и блокировать известные и неизвестные угрозы в режиме реального времени
• Автоматически коррелировать события безопасности и сетевую активность
• Использовать глобальную разведку по угрозам для обновления правил и политик
• Изолировать зараженные системы и восстанавливать нормальную работу
• Аппаратные и программные межсетевые экраны. Это разделение межсетевых экранов по способу реализации. Аппаратный межсетевой экран — это отдельное устройство, которое подключается к сети и фильтрует трафик между сетями. Программный межсетевой экран — это программа, которая устанавливается на компьютер или другое устройство и фильтрует трафик между устройством и сетью. Аппаратные межсетевые экраны обычно более мощные, надежные и защищенные, но также более дорогие и сложные в настройке и обслуживании. Программные межсетевые экраны обычно более дешевые, гибкие и легкие в использовании, но также более уязвимые, медленные и зависимые от ресурсов устройства.
• Сетевые и персональные межсетевые экраны. Это разделение межсетевых экранов по месту размещения. Сетевой межсетевой экран — это межсетевой экран, который защищает всю сеть или ее часть от внешнего трафика. Он может быть аппаратным или программным, но обычно расположен на границе между сетями. Персональный межсетевой экран — это межсетевой экран, который защищает одно устройство от входящего и исходящего трафика. Он всегда программный и обычно встроен в операционную систему или антивирусное ПО.

Важность межсетевых экранов в современном цифровом мире

Межсетевые экраны играют ключевую роль в обеспечении безопасности информации и конфиденциальности в сети. Они предоставляют следующие преимущества:

• Защита информации и конфиденциальности. Межсетевые экраны предотвращают несанкционированный доступ к вашим данным, файлам, паролям, личной информации и другим чувствительным ресурсам. Они также могут шифровать ваш трафик, чтобы защитить его от перехвата или подделки.
• Превентивная мера против кибератак. Межсетевые экраны блокируют большинство распространенных видов атак, таких как сканирование портов, подбор паролей, удаленное выполнение кода, отказ в обслуживании и другие. Они также могут обнаруживать и изолировать зараженные системы, чтобы предотвратить распространение вредоносного ПО по сети.

Примеры использования межсетевых экранов

Межсетевые экраны могут быть использованы в различных сценариях для защиты разных типов сетей и устройств. Вот несколько примеров:

• В корпоративной сети. Корпоративные сети обычно имеют несколько подсетей для разных отделов, функций или служб. Для защиты таких сетей от внешних и внутренних угроз, необходимо использовать межсетевые экраны разных типов и уровней. Например, можно использовать аппаратный NGFW на границе с интернетом, программный межсетевой экран с состоянием на каждом сервере и персональный межсетевой экран на каждом рабочем месте.
• В домашних сетях. Домашние сети также нуждаются в защите от взлома, шпионажа и вредоносного ПО. Для этого можно использовать аппаратный межсетевой экран, встроенный в маршрутизатор или модем, который подключает домашнюю сеть к интернету. Также можно использовать программный межсетевой экран на каждом компьютере, планшете или смартфоне, который подключается к домашней сети.
• В облачных сервисах. Облачные сервисы предоставляют пользователям и организациям доступ к различным ресурсам и приложениям через интернет. Для защиты таких сервисов от несанкционированного доступа и атак, необходимо использовать межсетевые экраны, специально разработанные для облачной среды. Например, можно использовать веб-приложение межсетевой экран (WAF), который защищает веб-приложения от атак на уровне приложений, таких как SQL-инъекции или XSS (Cross-Site Scripting). Также можно использовать межсетевой экран как сервис (FWaaS), который предоставляет межсетевой экран в виде облачного сервиса, который можно легко настраивать и масштабировать.

Рекомендации по выбору и использованию межсетевых экранов

При выборе и использовании межсетевых экранов необходимо учитывать следующие факторы:

• Подбор под специфические нужды и обстоятельства. Не существует единого решения, которое подходит для всех случаев. В зависимости от типа, размера и целей вашей сети или устройства, вам может потребоваться разный тип или комбинация межсетевых экранов. Например, для защиты корпоративной сети вы можете использовать аппаратный NGFW на границе с интернетом и программный межсетевой экран на каждом сервере и рабочем месте. Для защиты домашнего компьютера вы можете использовать программный межсетевой экран с антивирусом и VPN.
• Обновление и настройка межсетевых экранов. Для обеспечения максимальной безопасности вашего межсетевого экрана необходимо регулярно обновлять его программное обеспечение или прошивку, а также настраивать его правила и политики в соответствии с изменяющимися условиями и угрозами. Вы также должны проверять журналы и отчеты межсетевого экрана, чтобы отслеживать сетевую активность и выявлять аномалии или нарушения.
• Соблюдение стандартов и лучших практик безопасности. В зависимости от вашей отрасли или региона, вы можете быть обязаны соблюдать определенные стандарты или регуляции по безопасности данных, такие как PCI DSS (Payment Card Industry Data Security Standard), HIPAA (Health Insurance Portability and Accountability Act) или GDPR (General Data Protection Regulation). Для этого вам необходимо выбирать и использовать межсетевые экраны, которые соответствуют этим требованиям. Кроме того, вы должны следовать лучшим практикам безопасности, таким как:
• Усиление и правильная настройка межсетевого экрана
• Планирование развертывания межсетевого экрана
• Защита межсетевого экрана
• Защита учетных записей пользователей
• Ограничение доступа к зонам по одобренному трафику
• Обеспечение соответствия политике и использованию межсетевого экрана
• Тестирование для проверки политики и определения рисков
• Аудит программного обеспечения или прошивки и журналов

Заключение

В этой статье мы рассказали, что такое межсетевой экран, как он работает, какие типы межсетевых экранов существуют и почему он важен для нашей конфиденциальности и безопасности в сети. Мы также рассмотрели несколько примеров использования межсетевых экранов и дали рекомендации по выбору и использованию межсетевых экранов.

Межсетевой экран — это необходимый инструмент сетевой безопасности, который защищает наши данные, устройства и приложения от несанкционированного доступа, вредоносного ПО и других угроз. Однако межсетевой экран не является панацеей от всех проблем безопасности, и его нужно сочетать с другими мерами защиты, такими как антивирус, VPN, IPS, WAF и другие.

Выбирая и используя межсетевой экран, мы должны учитывать наши специфические нужды и обстоятельства, а также соблюдать стандарты и лучшие практики безопасности. Только тогда мы сможем обеспечить надежную защиту нашей сети и нашего бизнеса.

Лучший WiFi-адаптер для Kali Linux (цена-качество)

TP-Link AC600 — на мой взгляд лучший бюджетный WiFi-адаптер для Kali Linux, который поддерживает режим монитора, внедрения пакетов и возможность работы в режиме точки доступа Он также поддерживает диапазоны 2,4 ГГц и 5 ГГц.

TP-Link AC600 поставляется с антенной 5 dBi, которая может поворачиваться на 180° для охвата большого радиуса действия. Устройство работает на чипе RTL8821AU, который по умолчанию не работает на Kali Linux, но это исправимо. Далее я покажу, как настроить WiFi-адаптер на Kali Linux.

На момент написания статьи, адаптер можно купить за 1400р. Если хорошо поискать, то можно найти за меньшую цену.

Настройка TP-Link AC600 на Kali Linux

После подключения к компьютеру, проверим сетевые интерфейсы:

1

iwconfig

Как видите, система не видит подключенных беспроводных сетевых интерфейсов. В моем случае wlan0 — это мой встроенный адаптер.

Проверим подключенные USB-устройства:

1

lsusb

Система видит адаптер TP-Link. Это означает, что он подключен, но необходимо установить драйвер.

Перед установкой драйвера обновите Kali Linux:

1

sudo apt update && sudo apt upgrade

Для установки драйвера TP-Link AC600 на Kali Linux выполните команду:

1

sudo apt install realtek-rtl88xxau-dkms

На приведенном выше скрине видно, что драйвер не работает. Необходима перезагрузка системы.

После рестарта снова проверяем сетевые интерфейсы:

1

iwconfig

В списке появился интерфейс wlan1 — адаптер TP-Link AC600, и установлен режим Managed (Управляемый).

Можно изменить режим Managed на режим монитора, выполнив команды:

1

sudo airmon-ng check kill

1

sudo airmon-ng start wlan1

Проверим работу режима монитора:

1

iwconfig

Интерфейс wlan1 работает в режиме Monitor (Монитора). Проверим его работу:

1

sudo airodump-ng wlan1

А теперь попробуем инжект (инъекция) пакетов:

1

sudo aireplay-ng --test wlan1

И проверим режим softAP (работа в режиме точки доступа):

1

sudo airbase-ng -a xx.xx.xx.xx.xx.xx --essid "ESSID" -c 12 wlan1

Можно выбрать любой BSSID (в приведенном выше примере используется x вместо BSSID). Аргумент -c отвечает настройки ESSID.

Мы запустили WiFi-адаптер в режиме точки доступа с BSSID 01:02:03:04:05:06, В качестве ESSID на частоте 5ГГц было выбрано название Kali_Tutorials, 12 канал и интерфейс wlan1. Теперь открыв телефон или ноутбук, вы должны увидеть созданную точку доступа.

TP-Link AC600 поддерживает двухдиапазонный режим 2,4 ГГц и с 5 ГГц. Давайте проверим работу 5Ghz на TP-Link AC600. Это не получиться сделать с помощью aircrack-ng, поэтому используем airdump-ng:

1

sudo airodump-ng --band a wlan1

Выполняем iwconfig и видим wlan1 в режиме монитора на чистате 5ГГц:

Заключение

TP-Link AC600 — хороший и недорогой WiFi-адаптер для Kali Linux. Он поддерживает диапазон 5 ГГц, работает в режиме монитора и умеет инжектировать пакеты. Это делает его конкурентоспособным наряду с дорогими адаптерами (в частности с адаптерами компании Alfa).

Я сфор­мировал дамп сетево­го тра­фика на сво­ем лабора­тор­ном стен­де с помощью филь­тра зах­вата (Capture Filtering) в Wireshark с некото­рыми усло­виями. Вот что из это­го выш­ло.

Мы будем рас­кры­вать по поряд­ку каж­дый зах­вачен­ный пакет и искать в инкапсу­лиру­емых дан­ных инте­ресу­ющую нас информа­цию о схе­ме исходной сети. Затем мы изоб­разим эту информа­цию гра­фичес­ки (для это­го будем исполь­зовать ресурс diagrams.net).

УЗНАЕМ КАНАЛЬНЫЕ И СЕТЕВЫЕ АДРЕСА ПЕРВЫХ УСТРОЙСТВ

Из пер­вых четырех пакетов сра­зу вид­но, что некое устрой­ство получа­ет IP-адрес и дру­гие сетевые парамет­ры по DHCP. Рас­кры­ваем пер­вый пакет.

Сра­зу бро­сает­ся в гла­за MAC-адрес кли­ент­ско­го устрой­ства. Сетевой адрес это­го девай­са нам пока неиз­вестен, потому что он еще не получил его, а адре­са наз­начения — широко­веща­тель­ные.

Идем даль­ше. Воз­можно, ты обра­тил вни­мание на IP-адрес 192.168.30.2 в раз­деле заголов­ка 50 DHCP. Это озна­чает, что кли­ент зап­рашива­ет имен­но этот IP-адрес, так как ранее, воз­можно, он его уже получал. Но пока мы не ста­нем отоб­ражать его на схе­ме и дож­демся окон­чатель­ного отве­та от DHCP-сер­вера.

И пос­леднее, что нам инте­рес­но в этом пакете, — опция 12 DHCP. Здесь отоб­ража­ется имя устрой­ства. Теперь перене­сем получен­ные дан­ные на схе­му.

Сле­дующий пакет DHCP Offer — в отве­те на сооб­щение кли­ента сер­вер пред­лага­ет воз­можные сетевые парамет­ры.

Как мы видим, на зап­рос кли­ента отве­тил DHCP-сер­вер с IP-адре­сом 192.168.30.1 и MAC-адре­сом 00:19:56:bb:41:09. Он пред­ложил кли­енту IP-адрес 192.168.30.2 (кста­ти, тот, который кли­ент и зап­рашивал, поле Your IP address) и мас­ку сети 255.255.255.128. Отлично, допол­ним схе­му новыми дан­ными.

Но­вые эле­мен­ты я буду окра­шивать в крас­ный цвет для наг­ляднос­ти.

MICROSOFT WINDOWS И CISCO IOS, ИЛИ ПРИ ЧЕМ ЗДЕСЬ TTL?

Со­обще­ние DHCP Request не несет в себе новой информа­ции, кро­ме того, что в опции 55 кли­ент зап­рашива­ет допол­нитель­ные парамет­ры у DHCP-сер­вера: сетевую мас­ку, адрес шлю­за, сер­вер DNS и домен­ное имя.

Еще хочу обра­тить вни­мание на поле Time to Live заголов­ка IPv4 дан­ного сооб­щения.

TTL — зна­чение, которое опре­деля­ет вре­мя жиз­ни пакета. Это зна­чение дек­ремен­тиру­ется на еди­ницу каж­дый раз, ког­да пакет про­ходит через мар­шру­тизи­рующее устрой­ство по пути к мес­ту наз­начения.

Де­ло в том, что по умол­чанию для раз­ных опе­раци­онных сис­тем типич­ны свои зна­чения TTL.

Пос­коль­ку в кли­ент­ском сооб­щении DHCP Request TTL име­ет зна­чение 128, мы можем пред­положить, что это устрой­ство под управле­нием ОС Windows.

Пример письма из массовой вредоносной рассылки

Но в последнее время ситуация начала меняться: злоумышленники стали использовать в массовых рассылках приемы, характерные для целевых атак. В частности, они рассылают письма от имени существующих компаний, копируют стиль письма и подпись отправителя.

Письмо от «клиента» с сюрпризом

Не так давно мы обнаружили интересное письмо. В нем якобы потенциальный клиент из Малайзии на довольно странном английском просит получателя ознакомиться с требованиями фирмы-заказчика и вернуться к нему с необходимыми документами. Общее оформление письма соответствует корпоративным стандартам переписки — присутствует логотип реально существующей компании, подпись, в которой указана информация об отправителе. В целом запрос выглядит легитимным, а языковые ошибки легко списать на тот факт, что представитель компании-клиента — не носитель английского.

Письмо с вредоносным вложением якобы от потенциального заказчика из Малайзии

Смущает в этом письме только адрес отправителя <newsletter@trade***.com>: имя newsletter обычно используется для рассылки новостей, а не для переписки по закупкам. Кроме того, домен отправителя не соответствует названию компании, указанному на логотипе.

В другом письме предполагаемый клиент из Болгарии хочет уточнить у продавца, есть ли нужный товар в наличии, и обсудить детали продажи. Как и прошлом письме, список интересующих его товаров якобы находится во вложении. При этом сомнения, опять же, может вызвать только адрес отправителя, который находится не на болгарском, а на греческом домене, никак не связанном с компанией, которой притворяются злоумышленники.

Письмо с вредоносным вложением якобы от потенциального клиента из Болгарии

Объединяет эти письма не только схожий сценарий рассылки и тот факт, что по содержанию они не похожи на автоматически сгенерированные. Изучив заголовки писем, мы выяснили, что они имеют одну и ту же структуру: последовательность заголовков, формат идентификатора сообщения MSGID и почтовый клиент совпадают. Кроме того, письма приходят с ограниченного набора IP-адресов. Это означает, что они являются частью одной большой вредоносной почтовой кампании.

Сравнение почтовых заголовков двух вредоносных писем

В отличие от IP-адресов и заголовков, содержание писем довольно вариативно. Злоумышленники рассылают вредоносный архив от имени множества разных компаний, меняется и сам текст «запроса» к жертве. То есть авторы рассылки уделили достаточно много внимания подготовке, что нехарактерно для таких массовых кампаний.

Статистика

С апреля по август наши решения обнаружили 739 749 писем, относящихся к этой кампании. Рассылка достигла пика в июне, когда мы зафиксировали 194 100 писем, а затем пошла на спад: в июле мы выявили 178 510 писем, а в августе — 104 991 письмо.

Динамика числа вредоносных писем, апрель — август 2022 г. (скачать)

Полезная нагрузка: зловред Agensla (Agent Tesla)

Мы проанализировали содержимое архивов из спам-писем и выяснили, что в них содержится один из двух уникальных файлов, относящихся к одному семейству. Это распространенное вредоносное ПО Agent Tesla, написанное на .NET и известное с 2014 года. Его основная цель — получить сохраненные в браузерах и других приложениях пароли и отправить их злоумышленнику. Чаще всего зловред пересылает данные по электронной почте, но существуют и версии, отправляющие их в приватный чат в Telegram, на созданный злоумышленником сайт или FTP-сервер. В текущей рассылке распространяется одна из последних версий Agent Tesla, которая умеет извлекать данные из следующих приложений:

• Браузеры: Chrome, Edge, Firefox, Opera, 360 Browser, 7Star, Амиго, Brave, CentBrowser, Chedot, Chromium, Citrio, Cốc Cốc, Comodo Dragon, CoolNovo, Coowon, Elements Browser, Epic Privacy, Iridium Browser, Комета, Liebao Browser, Orbitum, QIP Surf, Sleipnir 6, Спутник, Torch Browser, Uran, Vivaldi, Яндекс.Браузер, QQ Browser, Cyberfox, IceDragon, Pale Moon, SeaMonkey, Waterfox, IceCat, K-Meleon.
• Почтовые клиенты: Becky!, Opera Mail, Foxmail, Thunderbird, Claws, Outlook, The Bat!, eM Client, Mailbird, IncrediMail, Postbox, Pocomail.
• FTP/SCP-клиенты: WinSCP, WS_FTP, FTPGetter, SmartFTP, FTP Navigator, Core FTP.
• Базы данных: MySQL Workbench.
• Клиенты удаленного администрирования: RealVNC, TightVNC, TigerVNC, UltraVNC, Windows RDP, cFTP.
• Vpn: NordVPN, OpenVPN.
• Мессенджеры: Psi/Psi+, Trillian.

Agent Tesla также может делать снимки экрана, перехватывать буфер обмена и записывать нажатия клавиш.

Вывод

Обнаруженная рассылка наглядно показывает, что злоумышленники могут тщательно готовить даже массовые атаки. Письма, которые мы проанализировали, представляют собой качественные подделки под деловые предложения от реально существующих компаний. Спам-рассылку выдает только неуместный адрес отправителя. С большой вероятностью эти письма составлялись и рассылались вручную, при этом наши решения обнаруживали более сотни тысяч таких писем в месяц, а мишенью рассылки были организации по всему миру.

В качестве полезной нагрузки злоумышленники доставляют вредоносное ПО, способное красть учетные данные из внушительного списка приложений. Впоследствии эту информацию могут выставить на продажу на форумах в дарквебе и использовать уже в целевых атаках на организации. При этом стоит отметить, что Agent Tesla — давно известный стилер, который детектирует большинство защитных решений.

Благодаря последним средствам защиты часть мобильных шпионов можно отследить. Однако для того, чтобы поддерживать эти средства защиты в актуальном состоянии, нужно уметь их настраивать. Ведь атакующие точно так же, как и безопасники, не сидят на месте и прикладывают значительные усилия, чтобы скрыть свои программы от автоматизированных систем защиты. При этом настраивать защиту с течением времени становится все сложнее, а проводить успешные атаки — все проще. В том числе потому, что с подачи западных спецслужб самые современные информационные технологии сегодня находятся в открытом доступе.

Есть мнение, что широко разрекламированные сегодня утечки хай-тек-игрушек ЦРУ вовсе не демарш Сноудена и WikiLeaks, а контролируемая утечка информации, имеющая целью направить конкурентов по «гонке вооружений» в заведомо проигрышном направлении; чтобы они продолжали вкладывать время и деньги в инструменты, которые уже не обеспечивают конкурентного преимущества. Кибероперации и инфоцентрические войны уже не служат ключом к нему. Сегодня бал правят знаниецентрические войны, суть которых сводится к тому, что «людей ломают профессионалы, а не машины».

Таким образом, мы наблюдаем сегодня все возрастающую экспоненциальную асимметрию кибербезопасности: атакующие находятся в более выгодных условиях, чем защищающиеся.

Ниже приведены несколько примеров мобильных шпионов, которые распространяются как легальные — под видом так называемых систем родительского контроля и им подобных. Все они скрывают свои действия от владельца мобильника.

Мобильный шпион FlexiSpy

FlexiSpy. Эта программа изначально классифицирована как мобильный троян из-за ее агрессивного поведения; но затем она стала вести себя мягче, и ее из категории мобильных троянов вычеркнули. Она позволяет шпионить за мобильниками и планшетами.

Предлагает порядка 130 функций, в том числе те, которыми оснащена Mspy. Из уникальных функций: доступ к видеокамере, просмотр обоев.

Так же как и Mspy, для сбора и предоставления информации использует безопасную учетную запись в интернете — при помощи архитектуры клиент-сервер, с веб-интерфейсом.

Сайт приложения FlexiSpy. После перехода на сайт, в правом верхнем углу выберите подходящий язык (есть русский).

К нам поступило много жалоб по работе FlexiSpy. Как выяснилось, они кинули многих своих клиентов. Мы настоятельно не рекомендуем данный сервис!

Мобильный шпион Mspy

Mspy. Работает на смартфонах и планшетах. Позволяет следить за звонками, SMS, сообщениями электронной почты, местоположением GPS, историей просмотра, календарем, адресными книгами, IM-сообщениями; позволяет управлять установленными приложениями, просматривать мультимедиафайлы.

Также Mspy имеет функции удаленного контроля, такие как полное стирание устройства и сбор подробной отчетности.

Для сбора и предоставления информации использует безопасную учетную запись в интернете — при помощи архитектуры клиент-сервер, с веб-интерфейсом.

Скачать мобильный шпион вы можете с сайта Mspy

Мобильный шпион Mobile Spy

Mobile Spy. Обладает большинством функций FlexiSpy; вдобавок может блокировать приложения, устанавливать новые приложения и в режиме реального времени взаимодействовать с панелью управления пользовательского интерфейса мобильника.

Сайт приложения Mobile Spy

Мобильный шпион Highster Mobile

Приложение Highster Mobile — простая в использовании программа для мониторинга: текстовые сообщения, запись телефонных переговоров, журналы звонков… все отправляется с телефона жертвы либо на электронную почту, либо на мобильник, либо на безопасную учетную запись в интернете.

Сайт приложения Highster Mobile

Мобильный шпион Spyera

Программа, устанавливаемая на смартфон, для контроля за всем происходящим на мобильнике. Spyera тайно записывает все события (SMS, история вызовов, телефонная книга, местоположение, электронные письма, сообщения приложений, IM, чат Facebook, Skype и многое другое), которые происходят на телефоне, и доставляет эту информацию в защищенный веб-аккаунт.

Сайт шпионскoго приложения Spyera

Мобильный шпион SpyMaster

SpyMaster. Наиболее эффективное и продвинутое программное обеспечение для мобильного шпионажа.

Стопроцентно скрытый режим, не оставляет никаких шансов на свое обнаружение. По крайней мере, так утверждают разработчики.

Сайт шпионского приложения SpyMaster

Мобильный шпион Neo-Call Spy

Neo-Call Spy. Первоначально созданная под Symbian, теперь работает также и на iPhone, BlackBerry, Android, Windows Phones. Отправляет информацию непосредственно на другой мобильник. Эта программа основана на номере IMEI, то есть злоумышленник должен знать свою цель.

Программа отслеживает SMS, список звонков, местоположение; удаленно прослушивает, журналирует нажатия клавиш. Команды она получает с управляющего мобильника в скрытых SMS-сообщениях.

Скачать мобильный шпион вы можете на с сайта Neo-Call Spy

Мобильный шпион All-in-one Spy Software

All-in-one Spy Software — высококачественное ПО для шпионажа за мобильником, развивается с 2006 года.

Сайт приложения All-in-one Spy Software

На этом все. Надеюсь этот обзор мобильных шпионов помог вам выбрать самый подходящий для вас вариант.