Konferenz DEFCON 20. Wie man die Bösen (und die Mafia) mit Hilfe eines JavaScript-Botnetzes fickt. Teil 2

Ursprünglicher Autor: Chema Alonso
  • Übersetzung
Konferenz DEFCON 20. Wie man die Bösen (und die Mafia) mit Hilfe eines JavaScript-Botnetzes fickt. Teil 1

Dieser Typ hat alle Gespräche mit denen geführt, die sich für das Profil dieses Mädchens interessieren. Diese Diashow zeigt meinen Lieblingschat, kkbill1980 ist derjenige, der vorgibt, ein Mädchen zu sein, und fiat176punt ist sein Opfer. “Kkbill1980: Hallo, Süße! - fiat176punto: hallo meine süße maus! ”, und so weiter, sehr fröhliches plaudern.



Weiter diskutieren sie im Chat die Details ihrer Liebesbeziehungen. Das interessanteste Detail sind 700 Euro, die das Opfer an ihre „süße Maus“ senden muss, als würde sie während einer gefälschten Mädchenreise nach Deutschland ein Hotel buchen.

Und dann schreibt der Fan, dass er seiner Geliebten in dieser Nacht ein "völlig nacktes Foto" geschickt hat, auf das sie antwortet: "Oh Baby, das ist wunderbar!"

Unter dem Strich hat dieser Betrüger mit vielen Leuten gleichzeitig mit Hilfe gefälschter Mädchenprofile auf Dating-Sites gesprochen und Geld unter seinen Opfern unter dem einen oder anderen Vorwand erpresst. Irgendwo in der Mitte des Gesprächs durchbohrte der Kerl jedoch offenbar die offenen Registerkarten und begann auf Deutsch zu schreiben.

In seinem Briefkasten war alles perfekt systematisiert und er hatte alle seine Chats in einer speziellen Mappe, mit der er auch jetzt weiter arbeitete. Wir beschlossen, in der Korrespondenz alle Hinweise auf die Männer zu finden, die Western Union dazu verwenden würden, Geld an ihren „Schatz“ zu senden, und fanden 158 solcher Nachrichten.



Die nächste Folie zeigt ein Muster der Korrespondenz dieses Mädchens und des Opfers. Hier werden wieder Fotos erwähnt - das Mädchen fragt, warum der Mann ihr nicht die versprochenen "nackten" Fotos geschickt hat. Und er antwortet, dass er nicht wüsste, warum, aber der Bankdirektor sagte ihm, dass es unmöglich sei, Geld an die angegebene Adresse zu senden, also lassen Sie das Mädchen ihm eine andere Adresse geben.



Dies ist darauf zurückzuführen, dass das Profil des Mädchens eine falsche Adresse erhielt, die dem Bankangestellten offenbar nicht passte. Worauf das falsche Mädchen wütend antwortet: „Scheiße, hör auf mit mir zu spielen! Ich habe dir die richtige Adresse gegeben, also nimm das Geld von der Bank und schick es mir durch Western Union, sonst vergiss alles und hör auf, mit meinem Herzen zu spielen! “

Im Allgemeinen können Sie sich vorstellen, wozu diese Korrespondenz dient. Und dieses Schema hat funktioniert, denn für das Senden von Geld durch Western Union genügt es, nur die Stadt und den Namen des Überweisungsempfängers anzugeben und ihm dann den Geheimcode zu sagen.

Der nächste Fall, der uns interessierte, war ein Gauner mit Hunden. Wir haben uns gefragt, was er mit Hunden gemacht hat, wenn er einen anonymen Proxy-Server für seine Arbeit brauchte?



Wir entschieden uns wie üblich, seinen Benutzernamen und sein Passwort zu verwenden, um in sein Postfach zu gelangen. Und dort haben wir etwas Schweres gefunden, also wenn Sie Tiere lieben, schauen Sie nicht auf das nächste Bild. Auf der nächsten Folie haben wir sogar folgende Warnung geschrieben: „Achtung! Dieses Bild kann deine Gefühle verletzen! “ Aber eigentlich das Bild selbst.



Er stellte diesen gefälschten Yorkshire-Terrier auf den Markt, gefälscht, weil er den gleichen Hund auf der ganzen Welt zum Verkauf angeboten hat. Dies ist also das profitabelste York der Welt. Er stellte dieses Bild auf und verdiente Geld damit, denn die Billigheit des reinrassigen Hundes verführte jeden und sie zahlten eine Vorauszahlung.

Wir stoßen natürlich auf Psychopathen. Diese Folie zeigt das Bedienfeld, in dem Sie sehen können, wie der Typ von derselben IP-Adresse video.xnxx.com ständig nach Videomaterial zum Thema "Mutter", "Vergewaltigung der Schwester", "Zwangsvergewaltigung", "Gewalt" und dergleichen durchsucht . Wir beschlossen, seine IP-Adresse der örtlichen Polizei zu geben, weil dieser Typ offensichtlich verrückt ist.



Viele Menschen streben also nach Anonymität im Internet. Daher prüfen sie als Erstes ihre Anonymität. Das Problem ist jedoch, dass Sie mit einem Proxy anonym für die letzte Seite sind, nicht jedoch für den Proxy selbst. Sie behaupten zum Beispiel, dass Ihre IP-Adresse in den USA ist. Wir prüfen Ihre tatsächliche IP-Adresse und stellen sicher, dass dies der Fall ist oder nicht. Keine Anonymität auf dem Proxy-Server!

Eine andere Art anonymer Internetaktivitäten erregte unsere Aufmerksamkeit, als wir jemanden entdeckten, der durch das Lesen von Blogbeiträgen Geld verdient hat. Das ist so ein Geschäft - Sie lesen Blogbeiträge von Menschen auf der ganzen Welt und sie bezahlen Sie dafür. Innerhalb eines Monats verdiente dieser Mann so viel wie 24 Dollar, daher ist dies auch ein gutes Geschäft. Wir haben dieses Phänomen "seltsame Menschen in einer fremden Welt" genannt.

Viele Benutzer unseres Proxy-Servers waren an Hacking und Korruption dieser Websites beteiligt. Einer dieser Benutzer hat unsere Aufmerksamkeit auf sich gezogen - im Kontrollfeld können Sie lokale Dateien sehen, die von einer gehackten Website abgefangen werden. Dieser Hacker hat ein bösartiges WebShell-Skript zum Knacken verwendet, mit dem Sie JavaScript verzerren können.

Die nächste Folie zeigt Hacking, wir haben uns die Implementierung in Echtzeit angesehen. Unten sehen Sie die E-Mail-Adresse des Angreifers.

Als wir untersucht haben, wie diese Website gehackt wurde, stellten wir fest, dass der Hacker eine infizierte WebShell verwendete, die eine JavaScript-Datei lädt, die wiederum die URL dieser WebShell meldete. Diese Javascript-Datei wurde auch von unserem Proxy-Server infiziert und ermöglichte es uns herauszufinden, wo sich diese Webshell befindet. Es stellt sich heraus, dass der Hacker selbst von unserem Hacking gehackt wurde.



Die nächste Folie zeigt eine WebShell-Anforderung, die JavaScript aufruft.



Wie Sie sich erinnern, war es in unserem System interessant, dass der Client auch nach dem Trennen des Clients von unserem Proxy-Server mit unserem schädlichen JavaScript infiziert blieb. Bisher wurde alles durch passive Beobachtung der Navigation ermittelt. Daher haben wir überlegt, ob es möglich ist, ein Intranet, dh ein internes Netzwerk, zu infizieren, das nicht über unseren Proxy-Server angezeigt wird.

Bei der Überprüfung der gesammelten Daten fiel uns daher die Aufmerksamkeit auf die Suche nach Informationen zu Maschinen, die nicht im Internet veröffentlicht wurden, dh nach Anwendungen, die innerhalb des Intranets verwendet werden, wie die folgenden Daten im internen ERP-System zeigen .



Wir folgten einem Mann aus Mexiko, der im Internet nach Pornos suchte. Er hat sich vom Proxy-Server getrennt, blieb aber infiziert, so dass Sie hier den internen Server sehen, zu dem wir beigetreten sind. Es gibt viele Daten, Passwörter und Benutzernamen. Dies macht deutlich, dass die Verwendung von Remote-JavaScript-Dateien im Intranet möglicherweise unerwünscht ist und potenziellen Angriffen dieser Art die Tür öffnet.
In Anbetracht dessen dachten wir, dass es leicht sei, einen gezielten Angriff auf eine Anwendung im Intranet oder im Internet vorzubereiten, zuvor geladene JavaScript-Dateien zu analysieren und Clients dazu zu zwingen, diese Dateien von einer beliebigen Domäne herunterzuladen, da zwangsweise Zwischenspeicherung installiert wurde.



Und natürlich waren unsere Proxy-Benutzer von Pornografie abhängig. Es gab viel Porno hier, Pornografie ist echt Geschäft. Wir haben sogar eine interessante Geschichte darüber gelesen, wie „offene“ Zeichnungen eines Mönchs im Jahr 700 n. Chr. In einer katholischen Kirche entdeckt wurden. Wir haben URLs und eine umfangreiche Sammlung von Benutzernamen und Passwörtern gesammelt und werden diese natürlich im Internet verkaufen (nur ein Scherz).

Unsere Aufmerksamkeit wurde jedoch vor allem durch den Vergewaltigungschat im Internet auf sich gezogen. Wir haben immer geglaubt, dass es sehr schwierig ist, jemanden im Internet zu vergewaltigen, aber es stellte sich heraus, dass dies nicht der Fall war.

Also haben wir eine Javascript-Datei erstellt, die Websites infiziert hat. Wir haben eine "Nutzlast" erstellt. Um einen gezielten Angriff auf eine bestimmte Site vorzubereiten, d. H. Um sicherzustellen, dass ein Benutzer, der Teil eines Botnetzes ist, nach dem Besuch einer bestimmten Site infiziert wird, müssen Sie wissen, welche JavaScript-Dateien auf diese Site hochgeladen werden. Dazu können Sie die Netzwerkprüfung in Google Chrome oder Firefox Firebug verwenden und die Datei auswählen, die Sie infizieren möchten.



Wenn Sie sich über einen Proxyserver mit dem Netzwerk verbinden, werden Sie natürlich keine Verbindung zum Bankensystem oder zu Ihrem Profil in einem sozialen Netzwerk, Ihrem Intranet oder Ihrer persönlichen Website herstellen. Wenn Sie jedoch den Cache nicht löschen, sind Sie in der Hand der Benutzer Sie laden eine schädliche Javascript-Datei herunter. Wenn sich diese Datei auf der Seite befindet, die Sie nach dem Besuch des Proxy-Servers öffnen, werden Sie gehackt.

Die nächste Folie zeigt den Code auf der Website der Website des sozialen Netzwerks linkedin.com, auf der Sie einige Skripts sehen können, die in Java geladen sind. Wenn Sie einen Proxyserver verwenden, können Sie eine spezielle Nutzlast erstellen und diese JavaScript-Dateien herunterladen. Dann werden diese Dateien infiziert und sobald Sie sich vom Proxy trennen und eine Verbindung zu linkedin.com herstellen, wird die Payload ausgeführt.

Dies ist sehr einfach, so dass wir gezielte Angriffe auf mehrere Websites durchführen können, um Passwörter von Personen zu sammeln, die unseren Proxy-Server verwendet haben, bevor Sie das übliche, nicht anonyme Internet nutzen.



Dazu müssen Sie zunächst ein Ziel auswählen: eine Bank, ein soziales Netzwerk, ein Intranet, die auf die Website hochgeladenen Dateien analysieren und die "Nutzlast" starten. Infizieren Sie also die infizierte Datei für das ausgewählte Ziel, laden Sie sie herunter, und das Opfer wird sich auf jeder Seite befinden, die das Opfer in Zukunft besuchen wird.

Nun möchte ich Ihnen zeigen, wie wir in das Bankensystem gekommen sind und wie unser Control Panel aussieht. Natürlich haben wir unseren Proxy-Server längst deaktiviert, aber für Konferenzen mit BlackHat und DefCon habe ich ein neues Control Panel erstellt. Ich habe diesen Proxy-Server nicht im Internet gehostet. Aber nach meinem Bericht über BlackHat weiß ich nicht warum, jemand hat ihn ins Internet gestellt (Gelächter im Publikum).

Also haben wir diesen Proxy-Server nur für 10 parallele Verbindungen konfiguriert. Heute morgen, heute, bin ich bereit, Ihnen alle Bots und all unsere Zombies für heute, den 28. Juli, zu zeigen. Sie sehen hier eine große Anzahl von Bots aus verschiedenen Ländern, USA, Brasilien usw.



Im Moment sammeln wir viele Informationen von ihnen, aber wir verwenden sie nicht, wir veröffentlichen diese IP-Adressen nicht, vertrauen Sie mir.

Ich möchte Ihnen also das Eindringen in das Bankensystem zeigen. Jetzt zeige ich Ihnen diese Website. Dies ist die United Credit League of California. Wie Sie sehen, eignet sich diese Site hervorragend für Angriffe, da es sich um eine HTTP-Website handelt.



Hier sehen Sie das Benutzer-Anmeldeformular, in das Sie Ihre E-Mail-Adresse und Ihr Kennwort eingeben müssen. Da wir unsere infizierte JavaScript-Datei sehr einfach in die HTTP-Site einfügen können, habe ich das Formular „angehakt“ und die Benutzernamen und Kennwörter von dieser Site abgerufen.



Das einzige, was wir in der Systemsteuerung unseres Proxy-Servers tun mussten, war das Ziel zu analysieren und eine Datei auszuwählen. In unserem Beispiel ist dies die Members.ccul.org-Seite und die Skriptdatei gatag.js.



Dann habe ich in unserem Control Panel eine „Payload“ erstellt und eine Voreinstellung für die Site erstellt, die uns interessiert.



Auf der nächsten Folie sehen Sie, wie die Ziel-Site im Control Panel aussieht - hier der Befehl, um die Funktion für die member.ccul.org-Adresse für das gatag.js-Skript auszuführen, das unsere Nutzdaten startet.



Daher lädt der Typ, der unseren Proxy-Server zum Anzeigen von Porno verwendet, diese Datei in den Cache. Er kann Pornos ansehen, Websites hacken, alles tun und gleichzeitig diese JavaScript-Datei für einen gezielten Angriff herunterladen.

Nachdem die Verbindung zu unserem Proxyserver getrennt wurde und in den Netzwerkeinstellungen Ihres Computers der Punkt "Proxyserver nicht verwenden" ausgewählt ist, bleibt unsere Datei weiterhin im Cache des Browsers, da sie bereits zuvor geladen wurde und keine Nutzungsdauer hat.



Nachdem dieser Typ eine Verbindung mit der Ziel-Site hergestellt hat und Benutzerdaten eingibt, werden wir dieses Formular "abholen" und diese Daten in der Systemsteuerung unseres Proxy-Servers anzeigen. Es ist sehr einfach.



Und jetzt werde ich ein paar Gedanken zu den Vorteilen eines JavaScript-Botnetzes machen:

  • Wir haben uns nicht um zuvor zwischengespeicherte Objekte wie E-Tag oder Ablaufzeit gekümmert, also haben wir sie nicht bekämpft.
  • Wir waren nicht an sicheren HTTPS-Verbindungen interessiert, weil wir keine Alarme auslösen oder Authentifizierungszertifikate auslösen wollten. Darüber hinaus war Moxie zu beschäftigt, um ihn bezüglich der Verwendung dieser Zertifikate zu konsultieren (der Sprecher verweist auf Moxie Marlinspike, der auf DefCon-Konferenzen über das Fälschen von SSL-Zertifikaten von CA-Autorisierungszentren sprach).
  • Wir haben nur einen Tag gebraucht, um unseren Proxy-Server so zu konfigurieren, dass er IP-Adressen findet, JavaScript erstellt und alle Informationen sammelt, die wir benötigen

Und nun stellt sich die Frage: Wer glaubt, dass Bösewichte wie staatliche Geheimdienste im Internet dasselbe tun? Die Frage ist, welcher von Ihnen denkt, dass nur ein Proxyserver die Internetsicherheit garantiert? Niemand denkt so, oder?
Daher ist es eine schlechte Idee, sich auf den Proxy-Server zu verlassen, um Ihre Anonymität im Internet sicherzustellen. Aber Tausende und Abertausende von Websites informieren die Menschen - wenn Sie im Internet anonym bleiben möchten, verwenden Sie einen Proxyserver. Und dieses Problem besteht schon sehr, sehr lange. Denken Sie daran, verwenden Sie keine Proxy-Server! Glauben Sie nicht, dass sie Ihre Anonymität gewährleisten.

Hier sind einige Möglichkeiten, um sich zu schützen.



Denken Sie an das Schema „Mann in der Mitte“, denn jemand kann Ihren Browser über einen Proxyserver an Ihre Bedürfnisse anpassen. Überlegen Sie zweimal, bevor Sie einen Proxy verwenden.
Überlegen Sie, ob Sie dem TOR-Netzwerk zu sehr vertrauen. Denn in letzter Zeit haben wir viel über gefälschte TOR-Netzwerke und Hacks in diesem Netzwerk gehört.

Löschen Sie nach der Verwendung eines anonymen Netzwerks oder eines Proxyservers alle Informationen in Ihrem Browser von den Websites, löschen Sie den Cache und löschen Sie die Cookies.

Denken Sie daran, dass VPN kein Allheilmittel ist, da in diesem Fall viele Menschen eine Verbindung zu diesem Netzwerk herstellen und dann einen Proxyserver verwenden. Daher kann die Infektion Ihres virtuellen Netzwerks sehr leicht vonstatten gehen, da böswillige Dateien und Verkehr kostenlos ausgetauscht werden.

Erinnern Sie sich noch einmal - der Cache ist nicht Ihr Freund, behandeln Sie ihn also entsprechend.

Dies ist das Ende des heutigen Gesprächs, und ich möchte Ihnen sagen, dass ich morgen um 17.00 Uhr auf SkyTalks mit dem Thema "Pull the Fork" Domain: Bureaucratic DOS sprechen werde. Vielen Dank!




Danke, dass Sie bei uns bleiben. Magst du unsere Artikel? Möchten Sie weitere interessante Materialien sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder Freunden empfehlen, 30% Rabatt für Habr-Benutzer auf ein einzigartiges Analogon der Einstiegsserver, die wir für Sie erfunden haben: Die ganze Wahrheit über VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbps $ 20 oder wie kann ich den Server freigeben? (Optionen sind für RAID1 und RAID10 verfügbar, bis zu 24 Kerne und bis zu 40 GB DDR4).

VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s bis Dezember kostenlos, wenn Sie für einen Zeitraum von sechs Monaten bezahlen, können Sie hier bestellen .

Dell R730xd 2 mal billiger? Nur wir haben 2 x Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TV ab 249 $in den Niederlanden und in den USA! Lesen Sie mehr darüber, wie Sie ein Infrastrukturgebäude bauen. Klasse C mit Servern Dell R730xd E5-2650 v4 im Wert von 9000 Euro für einen Cent?

Jetzt auch beliebt: