Отмычка для взломщика
payshanba, 5-noyabr, 2020
На просторах Интернета встречаются самые разные истории о заработке, но эта впечатляет особо:
Не так давно, прилетела ко мне весточка с данным предложением подзаработать. Вывести из строя основные компьютеры конкурирующей фирмы, перед этим увести базу всех работников, а так же клиентов и другую интересную информацию.
Заказчик хакера «кинул», тот обиделся и решил прилюдно рассказать о том, какую работу проделал. Ну а мы, соответственно, укажем на ошибки атакуемой компании.
Первое. Любая информация о корпоративной сети может стать зацепкой для атаки.
Любезно пообщавшись, я попил кофе и достал свой бук, указав на то что, хочу отправить список необходимых действий и примерные суммы своему брату…. Я достал бук, который, к сожалению сел! - так было сказано этой даме. Я попросил, чтоб она сама отправила данную информацию на почту… но так как продиктовать email-адрес я не смогу, из-за дебильного слова, которое стоит перед @-собачкой…. можно я наберу адрес для отправки сам…
Без замедления я быстрым шагом оказался со стороны монитора, так как понимал, что она тупо может подвинуть клавиатуру, а мне просто необходимо видеть монитор.
В тот момент, я добился все го за чем приехал в офис.
- На мою почту было отправлено письмо, с которого я выдернул ИП адрес
- По IP была выдернута дополнительная информация
- Была собрана информация о человеке, который меня обслуживал. С помощью полученного обратного email-адреса. А так же Имя Фамилия Отчества. И я знал ее в лицо, что позволило найти и ознакомится с данной персоной в соц. Сетях ( Интересы, хобби, музыка и остальная лажа)
- Ну и самое главное, я знал, что программное обеспечение по защите данной машины-Антивирус Касперского.( Именно для этого очень важно было взглянуть в монитор).
Все перечисленные данные, за исключением названия антивируса, можно было получить и иными способами – скажем, добиться ответа на грамотно сформулированное письмо, направленное в атакуемую компанию. Но хакеру нужно было знать, какой антивирус используется: это существенно упрощает атаку, так как понадобится троян, который не распознает лишь один антивирус, а не все антивирусы мира.
Осталось приготовить софт, криптануть его под антивирус Касперского и проверить на работоспособность после криптовки. На любимых блэк-бордах не пришлось долго искать криптора под Касперского. Криптанул, затем проверил работоспособность на локальной машине с установленным Касперским. Всё удачно. Потратив на это, всего 45$.
Отметим, что на месте упоминаемого антивируса мог быть любой другой – цитату мы привели лишь для того, чтобы читатели оценили, насколько дешево атаковать систему, когда знаешь, что именно надо атаковать.
Но как добиться запуска созданного трояна?
Собрав своего боевого зверька с гарантией работоспособности, я создал флэшку с автозапуском данного трояна.
И всё же я лишь на каких то % 20-25 был уверен что автозапуск флэшки сработает, так как сейчас на большинстве Осей, уже настроен защитник системы и при включении флэшки он задает либо вопрос о выборе действий или автозапуске, либо тупо игнорирует все автораны.
По этой причине, на всякий случай был создан файлик exe, маскированный под папку с именем «Мой новый дворец». И так же вдруг, что то не-то и не так, был создан SFT архив с автозапуском при распаковке, с именем «Дворец в центре».
Далее идет сбор информации о конкретном сотруднике компании:
По дороге еще раз пробежавшись по всем ее соц. сетям и другому хламу, нашел тот факт, что она сидит и играет в одну из тупых игр сети Вконтакте.
Пощелкав свой бук, с небольшой раздражительностью и высказыванием в слух, о том, что больше не буду по дороге водить гулять своего покемона…
Ну и тут я услышал то, что ждал, она спросила:
-Кто? Кто?
Ух, сработало. Ну, тут я сразу рассказал ей про эту тупую игрушку, в которую якобы играю в дороге. …
После не большей смены разговора, я сообщил что вся инфа у меня продублирована на флешке, на всякий случай. Я не стал спрашивать, можно или нельзя скопировать инфу с моей флэшки, (тут уже нужно додавить человечка, внушить и заставить сделать это не задумываясь.) Я просто достал из кармана флэшку, протянул ей и сказал:
-Вот откройте. Имя папки «Мой дворец» или «Мой Замок» со всей необходимой инфой.
Главное было не тупануть и не предоставить право выбора, а дать лишь один вариант.
Вот и все – компьютер заражен!
Что советует сам хакер:
Ни в коем случае, ни кому не рассказывать о установленной на машине системе и антивирусе.
Не брать чужие флэшки, но если уж выхода нет, то проверять их дополнительным софтом на поиск руткитов.
И главное, научить каждого работника наблюдать за сетевыми экранами, заставив их в начале и в конце рабочего дня, сверять запущенные процессы и коннекты, со скриншотом безобидно работающей, чистой системы! (Правда, мы считаем, что это за гранью возможностей рядовых сотрудников – прим. ред.).
Достаточно настроить все офисные машины на выход в сеть через локальный прокси-сервер, который контролируется админом, по средством Сетевого Экрана и Любого из снифферов, тупо указывающим ип адреса, которые получают пакеты из офиса и адреса ип, которые отправляют пакеты в офисную сеть. Этих минимальных усилий достаточно, для выявления троянов которые принимают команды и отправляют данные в чужие руки. Да и все же любят фотографироваться!? Вот… и систему свою нужно фотографировать, когда она чистая и здоровая, для последующих сверок.
#антивирус #взлом #корпоративная_безопасность #психология #социальная_инженерия #съемные_устройства #хакер
Антивирусная правДА! рекомендует
Скройте иконку используемого антивируса – такой функционал есть, к примеру, в нашем корпоративном комплексе Dr.Web Enterprise Security Suite. С помощью антивируса отслеживайте состав программ на компьютерах сети. И лишите пользователей прав администратора, чтобы они не могли устанавливать новые программы.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Lia00
13:50:43 2020-11-20
Vlad
14:52:25 2020-11-11
Karnegi
12:14:19 2020-11-07
L1t1um
01:02:52 2020-11-06
Неуёмный Обыватель
23:20:12 2020-11-05
orw_mikle
20:26:17 2020-11-05
Геральт
19:53:24 2020-11-05
Alex
19:25:23 2020-11-05
vkor
18:43:32 2020-11-05
tigra
18:34:56 2020-11-05
Masha
17:10:57 2020-11-05
Dvakota
14:57:50 2020-11-05
Zserg
14:49:03 2020-11-05
anatol
14:47:51 2020-11-05
GREEN
14:45:07 2020-11-05
А ничего не зная об установленном антивирусе пришлось бы потратить дополнительно время-деньги для получения нужного результата. А это надо?
GREEN
13:33:35 2020-11-05
1. "-Ну и самое главное, я знал, что программное обеспечение по защите данной машины-Антивирус Касперского.( Именно для этого очень важно было взглянуть в монитор)"
2. "... криптануть его под антивирус Касперского и проверить на работоспособность ... затем проверил работоспособность на локальной машине с установленным Касперским. Всё удачно"
3. Вот и ответ.
Татьяна
13:07:59 2020-11-05
vinnetou
13:07:53 2020-11-05
Денисенко Павел Андреевич
12:48:31 2020-11-05
GREEN
12:27:44 2020-11-05
Радует лишь то, что атака - целевая, а значит результат атаки вполне предсказуем, это лишь вопрос времени и потраченных на атаку средств. Большинству "обычных" пользователей подобное и не грозит, даже в страшном сне сисадмина.
А рекомендации ... они уже давно "на слуху" ...
Но, как известно, повторение - мать учения! (И немного паранойи в придачу. Помогает. Почти всегда :)
DrKV
11:59:41 2020-11-05
maestro431
11:33:11 2020-11-05
Alexander
10:28:57 2020-11-05
Пришёл, обаял, наобещал, ввёл в заблуждение и ... нагадил... А потом ещё и в откровения пустился... толи исповедь, толи похвальба, а может быть и дезинформация. Может быть, - увод от подозрений на инсайдера для сохранения своего источника утечки информации в дальнейшем...
В любом случае, это веское основание для проверки системы кибербезопасности и более глубокого изучения персонала. Человеческое словоблудие - это данность, оно неистребимо. Просто трёп, или реклама своего предприятия, или повышение своей значимости в глазах посторонних, или глупое хвастовство, - всё это ведёт к утечке информации. Из маленьких ручейков складывается поток сведений, достаточный для начала или завершения взлома информационной системы фирмы.
P.S. Иконку-то антивируса из трея убрать можно, а вот человеческую несдержанность на язык, на бахвальство куда деть, как запереть?!
Альфа
10:25:16 2020-11-05
Vlad X
09:24:12 2020-11-05
ka_s
08:16:39 2020-11-05
blade79
08:07:54 2020-11-05
Пaвeл
07:40:52 2020-11-05
Любитель пляжного футбола
06:31:58 2020-11-05
Sergey
06:11:44 2020-11-05
SGES
05:20:55 2020-11-05
Slava90
05:06:10 2020-11-05
Morpheus
04:47:08 2020-11-05
achemolganskiy
03:37:38 2020-11-05