Phishing MPack – XSS a další techniky

phishing Všude kam se člověk podívá je tzv hackingu plno. Dnes média nerozlišují a propagují jako hacking úplně vše. Noviny, televize a e-ziny nahání hrůzu, když ale dojde na podrobnosti, informace je zrovna u konce. Administrátor, co ještě před týdnem dělal vrátneho, po zprávach stresuje šéfa. Ten zaplatí buďto drahé řešení, nebo „levnější dohled“ u kluků co si vemou 15 000 za instalaci open source kalendáře. Jak je vůbec možné, že server s dohledem podlehne útoku? Vše tkví v přístupu človeka. Stačí ale opravdu pouze chápat mechanismus a nedívat se na televizní noviny?

Očem se nemluví

Jak ale, když potrebne informace casto nejsou k mani. Pokud se v diskuzi zeptate autora odborneho textu na konkretni fakta nerekne vam casto ani zakladni informaci. Rozdelme tedy pokusy na kategorie a pojdme se podivat na strasaka sami. 1. Kategorie pokusu na localhost. 2. Testovaci kamarad 3. Testovaci server na internetu. A pak servr kteremu testovaciho kamarada delame my :) Prvni tri zna vetsina. Posledni „zen“ jako kazda cesta – ma vlastni smer. Narozdil od smeru -> nekam u utoku „odnekud“ je tu role mluvciho, styl mluvy – utoku.

Phishing

Stejne jako fishing (rybareni) kde si „rybar“ nevybere „rybku“ ale „rybka“ si vybere jeho. Server si klienta nevybere, klient si vybere server. Nejvariabilnejsi a nejpouzivanejsi sluzba vhodna k utoku smerem ze serveru na klienta je pravdepodobne www. U zadne jine sluzby nelze menit server tak casto. Tento fakt a vsehospoustec Windows Internet Explorer zvysuji sanci na Phishing utok.

Hacker z bufetu od mastne uterky – Nejsnazsi korist

Neprsi ale „hackeru“ je uz tolik, ze brzo nezbude nikdo „normalni“ :) Na sajte samej skript a drsne veci. Deravej zdrojak ktery dobra duse prohledne a vylepsi pro jistotu nikde. Na takovem serveru bezi kde jaka „vychytavka“ ale prenos dat mezi klientem a serverem nezna sifrovani, overeni neexistuje, webova administrace je chybova a lehce napadnutelna. Castokrat nebezpecna i sama sobe. „Hackerskej web“ kde bez sebemensiho zabezpeceni naleznete ruzne „vychytavky“ ceka jenom na sveho kouzelnika. Hacker z bufetu od mastne uterky.

Hraci

Vhodny priklad je myslivecky server Seokal.org. Autor se snazi maximalizovat sanci na ulovek technikou oblibenou u seo fakeru.

Cim vice klicovych slov, tim lepsi navnada a rybicky priplouvaji. Webhostingove sluzby bez promysleneho zabezpeceni pharmerum praci nekomplikuji. Mala chyba a na hostovane stranky lze ulozit neviditelny iframe s odkazem na „chytaci toll“. Ryba je na hacku.

Bezne pripojeni klienta na server. Firewall odpociva v pokoji. Spojeni byva velice kratke a samotny uzivatel cely prubeh kontroluje. Odezva utoku musi byt rychla. Zde prichazi skript ktery utok automatizuje.

Underground

Komerce pronikla i do (opravdoveho) podzemi. Na underground trhu je na prodej rada skriptu nebo celych baliku. Vyjmenuju par tech co mi vypsal tajny unixovy prikaz:

MPack, FTP-Toolz, Zunker, XDS_TDS, Nuclear Grabber, X Rumer, Web-Attacker, Ice-Pack.

Panda Labs pise „nice story“ o smtrticich nastrojech no popisovat zdrojaky nema smysl, nic uzasneho tam neni.

MPack

V roce 2006 tri lidi spousteji experiment s automatizaci utoku na weboveho clienta. Pozdeji vznika produkt a zacina jeho prodej. Je docela uspesny. MPack se stal jeden z nej.. „packu“. Jeho cena se vysplhala na $700 az $1000 USD za kus. V cene je rocni servis :)

V soucasne dobe ale MPack vytlacuje lepsi a levnejsi IcePack (a $400). Pokud nekdo na IcePack narazit dik za post.

Zkoumany Mpack je verze 0.94. Prohlizece na ktere utoci jsou MS IE, Firefox a Opera. Napadany jsou prohlizece na platforme win$ i Linux. I tucnak muze dostat do nosu :)

Exploity v baliku jsou:

– XML overflow
– WebViewFolderIcon overflow
– WinZip ActiveX overflow
– QuickTime overflow
– ANI overflow
– MS Windows 2k SP4 (ms06-044)
– IE overflow (mdac4)

Vetsina souboru v baliku obsahuji rutiny a data pro statistiky, kryptovani souboru, url.. proste administraci.

A jak vec funguje? Pristupem na upraveny index.php. Skript detekuje prohlizec a OS z User-Agent. Podle toho pouzije metodu a spusti proces utoku ktereho vysledkem je ulozeni a spusteni binarniho souboru v PC obeti.

U testovani na localhostu Firefox a nasledne cely :) system (nedostatkem pameti?) vytuhl.

Pozor! Nez nekdo zacnete hledat/stahovat MPack – nektere index.php obsahuji iframe. Odkazuje na stranku s pocitadlem a na strance samotne nic krome banneru neni. Lze predpokladat, ze jde o Phishing!

Ftp-Toolz

Script samotny nikoho nenapada. Jde spis o jakesi rozsireni k toole na bazi MPacku. Ftp-Toolz je sprava ftp uctu. Taky umi kontrolovat jejich funkcnost. Nastroj ma mimo komercni vychytvaky dalsi zajimavou vlastnost. Rozsevac zla. Pres funkcni ftp ucet infikuje dalsi stranky upravenim neviditelneho iframe. Ten odkazuje jak jinak na exploit. Tento postup rapidne zvysuje produktivitu potazmo uspesnost.

Samotny kod psal autor nejspis na zachode. Odpovida tomu i jeho cena $25 az $50 USD. Narozdil od MPacku ktery ma anglicke alepson ovladani je Ftp-Tools cely v rustine.

XDS-TDS

Maly script podobny s Ftp-Toolz. Umi pouze statisiky (pocet zobrazeni iframe) a vybrat url, na ktere ma iframe presmerovat uzivatele. Podle vzhledu a funkcnosti jde nejspis o prvni verzi Ftp-Toolz.

Zunker & X Rumer

Klasicky Spam boti. Navstevuji webova fora a servery. Dokazou prekonat ochrany „human check“ (captcha). Oba tooly jsou napsane pro Windows.

X Rumer je pravdepodobne nejucinejsi spam bot na trhu. Existuje i propagacni homepage kde je propagovan jako „automated link-buildung tool“. Viz. http://botmaster.net. K mani je pouze webova statistiku od Zunker (chybi bot) a X Rumer verze 2.9 a 3. Vse je ale zaheslovano. Tech par zdrojaku Zunker bota co se valy na netu jsou docela na .. Casti zdrojaku uplne chybi.

Nuclear Grabber & Web-Attacker

Windows binary. Apliakce funguji jako MPack. Administrace je resena jako GUI. Nuclear grabber je presentovany jako zlodej bankovnich uctu, tomu take odpovida jeho cena $3000 USD.

Kam dál?