DEFCON会议20.如何使用JavaScript僵尸网络操弄坏人(和黑手党)。 第一部分这个人与所有对此女孩的个人资料感兴趣的人保持了所有聊天记录。 这张幻灯片显示了我最喜欢的聊天,kkbill1980是个假装成女孩的人,而fiat176punt®是他的受害者。 “ Kkbill1980:亲爱的你好! -fiat176punto:你好,我的宝贝老鼠!”,等等,非常有趣的聊天。
进一步的聊天中,他们讨论了恋爱关系的细节,最有趣的细节是700欧元,受害人应将这笔钱寄给他的“甜蜜的老鼠”,好象是假女孩到德国旅行时预订旅馆一样。
歌迷写道,今天晚上,他寄给他心爱的“一张全裸照片”,她回答说:“哦,宝贝,这太好了!”
最重要的是,这个骗局的家伙同时利用约会网站上的假女孩资料与许多人互动,并以一种或另一种借口向受害者勒索金钱。 但是,在聊天过程中的某个地方,这个人“刺穿了”,显然使打开的标签混乱,并开始用德语写作。
理想情况下,所有内容都被系统化在他的邮箱中,他将所有聊天记录都保存在一个特殊的文件夹中,他现在继续使用该文件夹。 我们决定在信件中查找所有将要使用Western Union汇款给“亲人”的男人的参考,并发现158条这样的消息。
下面的幻灯片显示了这个女孩和受害者的往来的样本。 在这里再次提到照片-女孩问为什么男人没有给她寄去应许的“裸”照片。 他回答说他不知道为什么,但是银行的经理告诉他不可能将钱汇到指定的地址,所以让女孩给他其他地址。
这是因为给该女孩的个人资料提供了伪造的地址,该地址显然不适合银行业务员。 那个假女孩生气地回答:“该死,别跟我玩游戏!” 我给了您正确的地址,所以从银行拿走钱,然后通过Western Union寄给我,否则就什么都忘了,别再心动了!”
通常,您可以想象这是一种什么样的通信。 这个计划行之有效,因为通过Western Union汇款就足以仅指示转移接收者的城市和姓名,然后告诉他密码。
下一个使我们感兴趣的案例是与狗有关的骗子。 我们想知道如果他需要一个匿名代理服务器来进行活动,他会对狗做什么工作。
和往常一样,我们决定使用他的用户名和密码来穿透他的邮箱。 我们在那里发现了一些沉重的东西,因此,如果您喜欢动物,请不要看下面的图片。 在下一张幻灯片上,我们甚至发布了这样的警告:“警告! 这张照片可能会伤害您的感觉!” 实际上,这里是图片本身。
他将这只假约克夏犬放到了假狗上,因为他将这只狗放到世界各地出售,所以这是地球上最划算的约克犬。 他把这张照片赚了钱,因为每个人都被这只纯种狗的便宜吸引住了,他们预付款了。
当然,我们也遇到了精神病患者。 此幻灯片显示了控制面板,该控制面板显示了如何从一个IP地址中的一个家伙不断在video.xnxx.com上搜索有关“母亲”,“姐姐被强奸”,“暴力强奸”,“暴力”等主题的视频。 我们决定将他的IP地址提供给当地警察,因为这个人显然是疯了。
因此,许多人在互联网上争取匿名,因此他们要做的第一件事就是检查其匿名性。 但是问题在于,使用代理,您对最终页面是匿名的,但对于代理服务器本身却是匿名的。 例如,您声称您的IP地址在美国,我们查看您的真实IP地址,并确保确实如此。 代理服务器上没有匿名!
当我们发现有人通过阅读博客文章赚钱时,另一种匿名的Internet活动引起了我们的注意。 这样的生意-您阅读了世界各地人们的博客文章,他们为此付费。 一个月之内,这个人的收入就高达24美元,所以这也是一笔不错的生意。 我们称这种现象为“陌生世界中的陌生人”。
我们代理服务器的许多用户都参与了黑客攻击和破坏网站数据的工作。 这些用户之一吸引了我们的注意-在控制面板上,您可以看到我们从一个被黑客入侵的网站中拦截的本地文件,该黑客使用了恶意的WebShell脚本来入侵了JavaScript。
下一张幻灯片显示了一个hack,我们实时查看了它的实现。 在下面,您可以看到攻击者的电子邮件地址。
当我们研究如何对该站点进行黑客攻击时,我们意识到黑客使用了受感染的WebShell加载JavaScript文件,该JavaScript文件随后报告了此WebShell的URL。 该JavaScript文件也被我们的代理服务器感染,并允许我们找出此WebShell的位置。 事实证明,黑客本人是被我们的黑客所入侵。
以下幻灯片显示了调用JavaScript的WebShell请求。
如您所记得,关于我们系统的有趣的事情是,即使在将客户端与代理服务器断开连接之后,它仍然感染了我们的恶意JavaScript。 到目前为止,一切都是通过对导航的被动监视获得的,因此我们考虑了是否有可能感染Intranet,即无法通过代理服务器查看的内部网络。
因此,在考虑收集的数据时吸引我们注意的要点之一是能够搜索有关尚未在Internet上发布的机器的信息,即有关Intranet内部使用的应用程序的信息的能力,可以通过内部ERP系统中的以下数据来判断。
我们追踪了一个来自墨西哥的家伙,他正在互联网上寻找色情内容。 它与代理服务器断开连接,但仍被感染,因此您在此处看到了我们尝试加入的内部服务器。 有很多数据,密码,用户名。 这清楚地表明,可能不希望在Intranet上使用远程JavaScript文件,并为此类潜在的攻击打开了大门。
看到这一点,我们认为对Intranet或Internet上的任何应用程序进行有针对性的攻击,分析先前下载的JavaScript文件并迫使客户端从任何域下载这些文件将很容易,因为我们安装了强制缓存。
当然,我们代理服务器的用户沉迷于色情。 色情片很多,色情片是真实的生意。 我们甚至读了一个有趣的故事,关于他们是如何在天主教堂中发现一位和尚于公元700年制作的“坦率”图画的。 我们收集了URL,并收集了大量用户名和密码,当然,我们将在Internet上出售它们(只是在开玩笑)。
但最重要的是,互联网上的强奸聊天吸引了我们的注意力。 我们一直认为,强奸互联网上的人非常困难,但事实并非如此。
因此,我们创建了一个感染网站的JavaScript文件。 我们创建了一个“有效负载”。 为了对特定站点进行有针对性的攻击,即确保访问僵尸网络的用户在访问特定站点后受到感染,您需要知道哪些JavaScript文件已上载到该站点。 为此,您可以在Google Chrome或Firefox Firebug中使用网络检查,然后选择要感染的文件。
当然,如果您通过代理服务器连接到网络,则不会连接到银行系统,也不会连接到社交网络,Intranet或您的个人站点上的配置文件,但是如果您不清除缓存,那么您将被迫您下载恶意的javascript文件。 并且如果此文件在您访问代理服务器后要打开的页面上,您将被黑客入侵。
以下幻灯片显示了社交网络linkedin.com页面上的代码,您可以在其中看到一些用Java加载的脚本,因此,如果您使用代理服务器,我们可以通过下载这些JavaScript文件来创建特殊的有效负载。 然后,这些文件将被感染,一旦您从代理断开连接并连接到linkedin.com,就会执行“有效载荷”。
这非常简单,因此我们可以在几个网站上进行有针对性的攻击,以收集使用正常(而非匿名)Internet之前使用我们的代理服务器的用户的密码。
为此,您首先需要选择一个目标:一家银行,一个社交网络,一个Intranet,分析上传到站点的文件并启动“有效载荷”。 也就是说,要感染并下载所选目标的受感染文件,受害者将来会在每个站点上访问该文件。
现在,我想向您展示我们如何渗透银行系统,并展示我们的控制面板的外观。 当然,很久以前我们关闭了代理服务器,但是对于BlackHat和DefCon会议,我创建了一个新的控制面板。 我没有在Internet上托管此代理。 但是,在收到有关BlackHat的报告后,我不知道为什么,有人在互联网上发布了报告(笑声)。
因此,我们仅为10个并行连接配置了此代理服务器,现在,今天早上,我准备向您展示7月28日今天的所有机器人以及我们的所有“僵尸”。 您会在这里看到来自不同国家(美国,巴西等)的大量机器人。
现在,请相信我,我们正在从中收集很多信息,但我们没有使用它们,也没有发布这些IP地址。
因此,我想向您展示银行系统的渗透。 现在,我将向您展示该网站。 这是加利福尼亚联合信贷联盟。 如您所见,此站点非常适合攻击,因为它是HTTP网站。
您会在此处看到用户登录表单,需要在其中输入电子邮件地址和密码。 由于我们可以很容易地将受感染的JavaScript文件插入HTTP站点,因此我“挑选”了表单并从该站点提取了用户名和密码。
在代理服务器的控制面板中,我们唯一需要做的就是分析目标并选择一个文件。 在我们的示例中,这是members.ccul.org页面,文件是gatag.js脚本。
然后,我在控制面板中创建了一个“有效负载”,并为我们感兴趣的站点创建了一个预设。
在下一张幻灯片上,您将看到目标站点在控制面板中的外观-这是一条命令,用于在加成员gatag.js脚本的members.ccul.org地址上执行一个功能,该脚本将启动我们的“有效载荷”。
因此,使用我们的代理服务器观看色情内容的人会将这个文件加载到缓存中。 他可以观看色情内容,入侵网站,执行任何操作,并且同时将加载此JavaScript文件以进行有针对性的攻击。
当他断开与我们的代理服务器的连接并在其计算机的网络设置中选择“不使用代理服务器”选项后,我们的文件仍将保留在他的浏览器的缓存中,因为该文件之前已经下载且没有到期日期。
当此人连接到目标站点并输入用户数据后,我们“领取”此表格并在我们的代理服务器的控制面板中显示所有这些数据。 这很简单。
现在,我给您一些有关JavaScript僵尸网络的好处的想法:
- 我们并不关心诸如E标签之类的预缓存对象或到期时间,因此我们没有与之抗争。
- 我们不关心安全的HTTPS连接,因为我们不想引发任何警报或“触发”身份验证证书。 此外,Moxie忙于与他协商这些证书的使用情况(发言人指Moxie Marlinspike,他在DefCon会议上发表了关于伪造来自CA授权中心的SSL证书的演讲);
- 我们只花了一天时间就配置了代理服务器,以便它可以找到IP地址,创建JavaScript并收集我们需要的所有信息。
现在的问题是:你们中有多少人认为像政府情报部门这样的坏人在互联网上做同样的事情? 问题是,你们中谁认为只有一台代理服务器可以保证Internet安全? 没有人这么认为吧?
因此,依靠代理服务器来确保您在Internet上的匿名性是一个坏主意。 但是成千上万个网站告诉人们-如果您想在Internet上匿名,请使用代理服务器。 这个问题已经存在了很长时间。 因此,请记住-不要使用代理! 不要相信他们会提供您的匿名信息。
以下是一些保护自己的方法。
记住“中间人”方案,因为有人可以通过代理服务器配置浏览器以满足他们的需求。 使用代理之前,请三思。
考虑一下您是否过于信任TOR网络。 因为最近我们听到了很多有关假TOR网络和该网络中的黑客的信息。
使用匿名网络或代理服务器后,清除浏览器中从站点收到的所有信息,清除缓存并删除cookie。
请记住,VPN并非万能药,因为在这种情况下,许多人都连接到该网络,然后他们使用代理服务器,因此很容易发生虚拟网络感染,因为可以免费交换恶意文件和流量。
再次记住-缓存不是您的朋友,因此请相应地对待它。
今天的对话到此结束,我想告诉您,明天下午5:00,我将在SkyTalk上发表主题为“拔出插件域:官僚DOS”的演讲。 非常感谢!
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? 通过下订单或将其推荐给您的朋友来支持我们,
为我们为您发明的入门级服务器的独特模拟,为Habr用户提供
30%的折扣: 关于VPS(KVM)E5-2650 v4(6核)的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
VPS(KVM)E5-2650 v4(6核)10GB DDR4 240GB SSD 1Gbps至12月免费,在六个月内付款,您可以
在此处订购。
戴尔R730xd便宜2倍? 仅
在荷兰和美国,我们有
2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视(249美元起) ! 阅读有关
如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?