-
добавить в избранное
Отмычка для взломщика
5 ноября 2020
На просторах Интернета встречаются самые разные истории о заработке, но эта впечатляет особо:
Не так давно, прилетела ко мне весточка с данным предложением подзаработать. Вывести из строя основные компьютеры конкурирующей фирмы, перед этим увести базу всех работников, а так же клиентов и другую интересную информацию.
Заказчик хакера «кинул», тот обиделся и решил прилюдно рассказать о том, какую работу проделал. Ну а мы, соответственно, укажем на ошибки атакуемой компании.
Первое. Любая информация о корпоративной сети может стать зацепкой для атаки.
Любезно пообщавшись, я попил кофе и достал свой бук, указав на то что, хочу отправить список необходимых действий и примерные суммы своему брату…. Я достал бук, который, к сожалению сел! - так было сказано этой даме. Я попросил, чтоб она сама отправила данную информацию на почту… но так как продиктовать email-адрес я не смогу, из-за дебильного слова, которое стоит перед @-собачкой…. можно я наберу адрес для отправки сам…
Без замедления я быстрым шагом оказался со стороны монитора, так как понимал, что она тупо может подвинуть клавиатуру, а мне просто необходимо видеть монитор.
В тот момент, я добился все го за чем приехал в офис.
- На мою почту было отправлено письмо, с которого я выдернул ИП адрес
- По IP была выдернута дополнительная информация
- Была собрана информация о человеке, который меня обслуживал. С помощью полученного обратного email-адреса. А так же Имя Фамилия Отчества. И я знал ее в лицо, что позволило найти и ознакомится с данной персоной в соц. Сетях ( Интересы, хобби, музыка и остальная лажа)
- Ну и самое главное, я знал, что программное обеспечение по защите данной машины-Антивирус Касперского.( Именно для этого очень важно было взглянуть в монитор).
Все перечисленные данные, за исключением названия антивируса, можно было получить и иными способами – скажем, добиться ответа на грамотно сформулированное письмо, направленное в атакуемую компанию. Но хакеру нужно было знать, какой антивирус используется: это существенно упрощает атаку, так как понадобится троян, который не распознает лишь один антивирус, а не все антивирусы мира.
Осталось приготовить софт, криптануть его под антивирус Касперского и проверить на работоспособность после криптовки. На любимых блэк-бордах не пришлось долго искать криптора под Касперского. Криптанул, затем проверил работоспособность на локальной машине с установленным Касперским. Всё удачно. Потратив на это, всего 45$.
Отметим, что на месте упоминаемого антивируса мог быть любой другой – цитату мы привели лишь для того, чтобы читатели оценили, насколько дешево атаковать систему, когда знаешь, что именно надо атаковать.
Но как добиться запуска созданного трояна?
Собрав своего боевого зверька с гарантией работоспособности, я создал флэшку с автозапуском данного трояна.
И всё же я лишь на каких то % 20-25 был уверен что автозапуск флэшки сработает, так как сейчас на большинстве Осей, уже настроен защитник системы и при включении флэшки он задает либо вопрос о выборе действий или автозапуске, либо тупо игнорирует все автораны.
По этой причине, на всякий случай был создан файлик exe, маскированный под папку с именем «Мой новый дворец». И так же вдруг, что то не-то и не так, был создан SFT архив с автозапуском при распаковке, с именем «Дворец в центре».
Далее идет сбор информации о конкретном сотруднике компании:
По дороге еще раз пробежавшись по всем ее соц. сетям и другому хламу, нашел тот факт, что она сидит и играет в одну из тупых игр сети Вконтакте.
Пощелкав свой бук, с небольшой раздражительностью и высказыванием в слух, о том, что больше не буду по дороге водить гулять своего покемона…
Ну и тут я услышал то, что ждал, она спросила:
-Кто? Кто?
Ух, сработало. Ну, тут я сразу рассказал ей про эту тупую игрушку, в которую якобы играю в дороге. …
После не большей смены разговора, я сообщил что вся инфа у меня продублирована на флешке, на всякий случай. Я не стал спрашивать, можно или нельзя скопировать инфу с моей флэшки, (тут уже нужно додавить человечка, внушить и заставить сделать это не задумываясь.) Я просто достал из кармана флэшку, протянул ей и сказал:
-Вот откройте. Имя папки «Мой дворец» или «Мой Замок» со всей необходимой инфой.
Главное было не тупануть и не предоставить право выбора, а дать лишь один вариант.
Вот и все – компьютер заражен!
Что советует сам хакер:
Ни в коем случае, ни кому не рассказывать о установленной на машине системе и антивирусе.
Не брать чужие флэшки, но если уж выхода нет, то проверять их дополнительным софтом на поиск руткитов.
И главное, научить каждого работника наблюдать за сетевыми экранами, заставив их в начале и в конце рабочего дня, сверять запущенные процессы и коннекты, со скриншотом безобидно работающей, чистой системы! (Правда, мы считаем, что это за гранью возможностей рядовых сотрудников – прим. ред.).
Достаточно настроить все офисные машины на выход в сеть через локальный прокси-сервер, который контролируется админом, по средством Сетевого Экрана и Любого из снифферов, тупо указывающим ип адреса, которые получают пакеты из офиса и адреса ип, которые отправляют пакеты в офисную сеть. Этих минимальных усилий достаточно, для выявления троянов которые принимают команды и отправляют данные в чужие руки. Да и все же любят фотографироваться!? Вот… и систему свою нужно фотографировать, когда она чистая и здоровая, для последующих сверок.
#антивирус #взлом #корпоративная_безопасность #психология #социальная_инженерия #съемные_устройства #хакер
Антивирусная правДА! рекомендует
Скройте иконку используемого антивируса – такой функционал есть, к примеру, в нашем корпоративном комплексе Dr.Web Enterprise Security Suite. С помощью антивируса отслеживайте состав программ на компьютерах сети. И лишите пользователей прав администратора, чтобы они не могли устанавливать новые программы.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Lia00
13:50:43 2020-11-20
Vlad
14:52:25 2020-11-11
Karnegi
12:14:19 2020-11-07
L1t1um
01:02:52 2020-11-06
Неуёмный Обыватель
23:20:12 2020-11-05
orw_mikle
20:26:17 2020-11-05
Геральт
19:53:24 2020-11-05
Alex
19:25:23 2020-11-05
vkor
18:43:32 2020-11-05
tigra
18:34:56 2020-11-05
Masha
17:10:57 2020-11-05
Dvakota
14:57:50 2020-11-05
Zserg
14:49:03 2020-11-05
anatol
14:47:51 2020-11-05
GREEN
14:45:07 2020-11-05
А ничего не зная об установленном антивирусе пришлось бы потратить дополнительно время-деньги для получения нужного результата. А это надо?
GREEN
13:33:35 2020-11-05
1. "-Ну и самое главное, я знал, что программное обеспечение по защите данной машины-Антивирус Касперского.( Именно для этого очень важно было взглянуть в монитор)"
2. "... криптануть его под антивирус Касперского и проверить на работоспособность ... затем проверил работоспособность на локальной машине с установленным Касперским. Всё удачно"
3. Вот и ответ.
Татьяна
13:07:59 2020-11-05
vinnetou
13:07:53 2020-11-05
Денисенко Павел Андреевич
12:48:31 2020-11-05
GREEN
12:27:44 2020-11-05
Радует лишь то, что атака - целевая, а значит результат атаки вполне предсказуем, это лишь вопрос времени и потраченных на атаку средств. Большинству "обычных" пользователей подобное и не грозит, даже в страшном сне сисадмина.
А рекомендации ... они уже давно "на слуху" ...
Но, как известно, повторение - мать учения! (И немного паранойи в придачу. Помогает. Почти всегда :)
kozinka.ru
11:59:41 2020-11-05
maestro431
11:33:11 2020-11-05
Alexander
10:28:57 2020-11-05
Пришёл, обаял, наобещал, ввёл в заблуждение и ... нагадил... А потом ещё и в откровения пустился... толи исповедь, толи похвальба, а может быть и дезинформация. Может быть, - увод от подозрений на инсайдера для сохранения своего источника утечки информации в дальнейшем...
В любом случае, это веское основание для проверки системы кибербезопасности и более глубокого изучения персонала. Человеческое словоблудие - это данность, оно неистребимо. Просто трёп, или реклама своего предприятия, или повышение своей значимости в глазах посторонних, или глупое хвастовство, - всё это ведёт к утечке информации. Из маленьких ручейков складывается поток сведений, достаточный для начала или завершения взлома информационной системы фирмы.
P.S. Иконку-то антивируса из трея убрать можно, а вот человеческую несдержанность на язык, на бахвальство куда деть, как запереть?!
Альфа
10:25:16 2020-11-05
Vlad X
09:24:12 2020-11-05
ka_s
08:16:39 2020-11-05
blade79
08:07:54 2020-11-05
Пaвeл
07:40:52 2020-11-05
Любитель пляжного футбола
06:31:58 2020-11-05
Sergey
06:11:44 2020-11-05
SGES
05:20:55 2020-11-05
Slava90
05:06:10 2020-11-05
Morpheus
04:47:08 2020-11-05
achemolganskiy
03:37:38 2020-11-05