Создание фейкового DNS

Рады приветствовать Вас!

К Вашим услугам - качественный товар различных ценовых категорий.

Качественная поддержка 24 часа в сутки!

Мы ответим на любой ваш вопрос и подскажем в выборе товара и района!

Наши контакты:

Telegram:

https://t.me/happystuff

ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много Фейков!

Внимание! Роскомнадзор заблокировал Telegram ! Как обойти блокировку:

http://telegra.ph/Kak-obojti-blokirovku-Telegram-04-13-15

Обычно, фишинговые атаки направляют получателя на веб-страницу, спроектированную так, что она имитирует настоящий сайт организации и собирает личную информацию, причем чаще всего пользователь даже не подозревает, что на него производилась атака такого рода. Чаще всего жертвы терпят огромные финансовые потери или кражу личных данных в криминальных целях. В статье заостряется внимание на реальные мировые события, которые Honeynet Project наблюдал в живых условиях, однако здесь не будут указаны все возможные методы фишинга. Атакующие постоянно занимаются исследованиями, поэтому новые методы фишинга уже сейчас находятся в стадии разработки, если не используются. После короткого введения мы просмотрим актуальные методы и инструменты, используемые фишерами, включая примеры имперического поиска, при котором реальные фишинговые атаки были зарегистрированы при помощи honeynets. Эти инциденты будут подробно описаны, включая вторжение, подготовку фишерного сайта, рассылку сообщений и сбор данных. Далее будут проанализированы основные методы и направления, включая растущую интеграцию фишинга, спама и ботнэтов. В статье рассмотрены примеры использования сборщиков почтовых адресов и программ-рассыльщиков, кроме того мы предоставим наши наблюдения за сканированием сети и как фейковые машины наши же honeypots используются для распространения фишинговых писем и другого спама. В конце, мы завершим эту статью обзором знаний, полученных в последние шесть месяцев и предложим новые идеи для исследований. Здесь вы найдете много дополнительной информации с большим количеством ссылок на более подробные ресурсы отдельных тем. Никаких личных данных в процессе исследования не собиралось. В некоторых случаях мы связывались с организациями, замешанными в атаках или сообщали об инцидентах в местные CERT. Выуживание чужих паролей или другой чувствительной информации имеет долгую историю среди общества взломщиков. Традиционно такие действия осуществлялись при помощи социальной инженерии. В ых, с ростом числа компьютеров, подключенных к сети, и популярностью Интернета, атакующие научились автоматизировать этот процесс и атаковать рынок массового потребления. Первое систематизированное исследование было проведено в году Sarah Gordon, David M. Мюнхен, в Октябре Гордон и Чес исследовали почтовые программы на AOL, однако столкнулись с фишингом вместо ожидаемых атак троянами. Сам термин фишинг 'password harvesting fishing' — ловля и сбор паролей описывает мошенническое овладение чувствительной информацией, когда жертве сообщают совсем другую причину, по которой она должна сообщить эти данные, а о настоящей цели она даже не догадывается. Вот фишинговое сообщение, описанное Гордоном и Чесом:. Когда вы выполнили вход в систему под вашим акаунтом, мы смогли вас идентифицировать как зарегистрированного пользователя. Примерно 94 секунды назад ваша верификация была аннулирована из-за потери данных сектора 4G9E. Сейчас, по протоколу верификации AOL, мы обязаны создать для вас акаунт заново. В случае неполучения ответа мы полностью удалим ваш акаунт. Сначала такие атаки были главным образом нацелены на получение доступа к акаунту AOL жертвы, реже для получения данных о кредитной карте в целях мошенничества к примеру, для нелегальных махинаций с этой информацией. Часто фишерные сообщения содержали элементарные хитрости, в результате чего компьютер жертвы оказывался под контролем третьих лиц. Как показано в предыдущем примере, это могла быть история о нарушении работы оборудования или ошибка базы данных, и большинство пользователей верили в значимость официально оформленного сообщения или неотложной технической просьбы, в которой требовалась помощь пользователя. Пользователям обычно напоминали, что запрошенная информация должна быть введена немедленно, дабы избежать серьезную проблему: В литературе часто рассказывается о начинающих фишерах, как о подростках, желающих получить чужой акаунт в целях нанесения ущерба или для звонков на дальние расстояния, чаще всего с малым уровнем организации. Сегодня фишеры выбирают стратегию рассылки почты стольким количествам пользователей, скольким возможно, маскируясь под доверенный брэнд — обычно тот, которому жертва скорее всего уже доверяет. Запрос на срочные действия уже послан, и чтобы создать видимость, что данные, посылаемые пользователем, будут в безопасности, в спуфное сообщение вписывают линк к удаленной веб-странице, дизайн которой подобран так, что почти полностью имитирует сайт реальной компании. Примеры компаний, брэнды которых использовались фишерами, включают в себя много известных банков, компаний, предоставляющих услуги кредитования или известных платежных систем Интернет. Множество примеров фишерных сообщений находится на сайте Anti-Phishing Working Group , в которых показаны лучшие трюки, используемые фишерами для создания уверенности пользователя в том, что он действительно зашел на законный веб-интерфейс. После короткого введения в принципы фишинга мы покажем существующие методы и инструменты, добытые в процессе исследования реальных фишинговых атак. Если вы заинтересованы в большем количестве вводной информации, мы подготовили другую статью. Фишинговые атаки обычно осуществляются несколькими простыми инструментами и методами, позволяющими обмануть не о чем не подозревающих пользователей. Основной инфраструктурой, поддерживающей фишерные сообщения, обычно служит HTML страница, скопированная на недавно порутанный сервер и серверная часть скриптов для обработки всех данных, введенных пользователем. Могут вовлекаться и более комплексные веб-сайты и перенаправление содержания, но в большинстве случаев цель всегда одна — поднять фейковый сервер, имитирующий работу реального брэнда, который предоставит все данные, введенные пользователем в руки злоумышленника. Используя современные утилиты редактирования HTML, создание фейкового веб-сайта не займет много времени, и плохо защищенные веб-серверы могут быть легко запущены и взломаны в случае, если атакующий возьмется за сканирование диапазонов IP адресов в поисках уязвимых хостов. Однажды порутанные, даже домашние компьютеры могут стать эффективными хостами для фишерных сайтов, поэтому под прицелом находятся не только корпоративные или академические системы. Атакующие часто не делают различий между целевыми компьютерами, тупо выбирая большие диапазоны IP адресов для поиска случайных или одной конкретной уязвимости. С момента создания фейкового сайта главной задачей фишера становится перенаправление пользователей с легального сайта компании на фейковый сайт. Пока фишер имеет возможность подменять DNS на целевой сайт DNS poisoning или каким-либо другим способом перенаправлять сетевой трафик метод, часто называемый pharming , они все равно должны полагаться на некоторую форму хорошего уровня содержимого, чтобы заманить несчастного пользователя на фейковый сайт. Чем лучше качество приманки, тем большая сеть может быть раскинута и тем больше шанс невинного пользователя посетить фейковый сайт и ввести данные, запрошенные фишером. Однако для атакующего есть одна проблема — когда он выбрал конкретную организацию банк или др. Если даже фишер запостит пару линков, ведущих на фейковый сайт в чатах и форумах, принадлежащих реальному брэнду сайт технической поддержки или группы по связям с общественностью , велика вероятность что реальная организация будет быстро информирована, а неправильные ссылки будут удалены или подвергнуты сомнению до того, как достаточное число пользователей посетят фейковый контент и пришлют личные данные. Также существует существенный риск, что реальная организация может зафиксировать и отключить фейковый сайт. Следовательно, фишеру требуется метод достижения максимального количества потенциальных жертв с минимумом риска, плюс идеальный партнер в целях спама по email. У спамеров имеются в наличии базы данных с миллионами рабочих email адресов, таким образом, массовые методы рассылки могут быть использованы фишером для рассылки приманок очень многим юзерам с малым риском. Спамные сообщения чаще всего посылаются через хакнутые серверы в забугорных странах, или через глобальные сети PC-зомби ботнэты , таким образом, реальное местоположение фишера определить в принципе невозможно. Если не о чем не подозревающий юзер получает официально оформленное сообщение, причем, похоже, что его отправил банк и просит пользователя перейти по ссылке, содержимое которой будет максимально походить на реальный сайт банка. Далее юзера просят поменять пароль для онлайновых операций в целях безопасности, и вероятность, что он сделает это, велика, если у него в почтовом ящике находится приличная куча другого спама с предложениями купить какой-либо новый товар и ссылками на неизвестные сайты. Для увеличения видимости того, что сообщение подлинное, фишер может воспользоваться некоторыми методами для улучшения изощренности попыток жульничества:. Благодаря комплексной природе многих приложений электронной коммерции или онлайновых банков, которые чаще всего используют HTML фреймы и саб-фреймы или другие структуры комплексных страниц, пользователю будет трудно определить является ли определенная страница законной. Использование методов, указанных выше, может скрыть исходник страницы, а пользователь будет легко обманут. С этого момента фишер сможет свободно использовать акаунты пользователя или другие электронные идентификаторы, а пользователь становится другой жертвой успешной фишерной атаки. Чаще всего пользователи Интернет узнают о фишинговых атаках после получения спуфного почтового сообщения или просмотра копии фейкового веб-сайта под заголовками сайта новостей. Причем публикация в новостях появилась далеко не сразу после ликвидации левого хоста. Эти события очень редко разглашают, поэтому информация об атаках врядли дойдет до жертвы. Одно из основных преимуществ honeynets состоит в том, что мы можем наблюдать за атакой с ракурса самого атакующего, а не жертвы, что позволяет составить четкое представление о технике атаки. Ниже будут представлены несколько примеров типичных реальных фишинговых методов. Большинство фишинговых атак, рассмотренных нами в реальных условиях, были осуществелны злоумышленниками, которые вторгались на уязвимые серверы, а затем устанавливали фейковый веб-контент. Нам удалось установить примерную последовательность действий фишера:. Часто время, затрачиваемое на все эти процессы занимает пару часов или дней с момента первого подключения системы к Интернет, и мы догадываемся что такие действия разворачиваются на нескольких серверах и нацелены на несколько организаций сразу. В каждом случае были развернуты уязвимые Linux honeypots. Последующий анализ обоих honeypot показала похожие принципы действий: Также во время атак были подняты руткиты и IRC серверы. Порутанные honeypots также использовались для целей, отличных от фишинга: IRC бот Румынских хакеров и сканер для развертывания и атаки дополнительных уязвимых компьютеров как бы то ни было, архитектура honeynet не позволяла атакующим эксплуатировать другие серверы из уже захваченных honeypot. Чтобы сократить объем этой статьи мы не стали включать в неё тонкости специфических атак, а только охватили полученные знания и то, как они используются в фишинге. Для более подробного изучения специфических атак доступна следующая информация:. Из наблюдения нажатий клавиш фишера в обоих инцидентах перехвачено с помощью Sebek , ясно, что нападающие подключались к заранее подготовленным бэкдорам и немедленно приступали к развертыванию фишерных сайтов. Так как залитый веб контент часто ссылался на другие веб серверы и IP адреса, вполне вероятно, что действия были направлены сразу на несколько серверов. Анализ контента фишерного сайта показал, что злоумышленники нацеливались сразу на несколько известных онлайновых фирм. И так, фейковый сайт поднят и находится в боевой готовности. Листинги директорий просматривались в процессе FTP сессий, что также подтверждает что атакующие сильно увлеклись спамом и фишингом. Осмотр веб контента и средств доставки сообщений, хранящихся на центральном сервере, показал, что злоумышленники намеревались атаковать eBay, AOL и несколько известных банков США в случае инцидента в Великобритании. Такие индивидуальные атаки наврядли остаются изолированными событиями, ведь спам, посылавшийся во время инцидентов, направлял жертв не только на взломанный honeypot. Это показывает, что фишеры применяют множество фейковых веб-серверов и посылают спам сразу с нескольких систем. Параллельные фишинговые операции были замечены по времени первого входящего HTTP запроса на фишинговый контент после того, как honeypot Великобритании был порутан:. Этот входящий HTTP запрос к honeypot появился до того, как атакующие закончили установку фейкового онлайнового банка на honeypot, и подтверждает предположение о том, что атакующий прекрасно знал что этот сервер можно было использовать для фишинга. Спам с рекламой фейкового сайта уже был в процессе рассылки с другого хоста, в тот момент, когда злоумышленник поднимал веб-сайт. Диаграмма, представленная ниже, показывает число одиночных и повторяющихся HTTP запросов с индивидуальных IP адресов на фишерный сайт в Великобритании до того, как honeypot был отключен в целях защиты пользователей а детали инцидента были сообщены банку, на который производилась атака:. Список DNS доменов, стран и операционных систем, посещающих фишинговый контент honeypot Великобритании можно посмотреть здесь. Во всех инцидентах, рассмотренных в этой статье, были информированы как организация, на которую нацеливалась атака, так и местные CERT. Во всех случаях никакие данные, за которыми охотились фишеры, не были получены участниками Honeynet Project или Research Alliance. Данные, полученные в ходе анализа этих двух инцидентов, показали, что фишеры активны и хорошо организованы, быстро ориентируются в порутанных компьютерных системах и одновременно атакуют несколько известных организаций. Постоянно происходит так, что в число пользователей email входят банки и олайн магазины, поэтому они тоже рискуют стать жертвами фишинга. Несмотря на то, что это довольно старый релиз системы и вляется легкой добычей для взломщиков, прошло 2,5 месяца, прежде чем honeypot был взломан — ощутимая разница по сравнению с инцидентами, рассмотренными выше. Этот инцидент необычен тем, что никакого фишингового контента не было залито напрямую. Вместо этого хакер установил и настроил службу перенаправления. Эта служба выполняла перенаправление HTTP запросов, посланных на веб сервер honeypot, на другой удаленный сервер в открытом виде, что усложняло поиск настоящего расположения контента. Перенаправление осуществлялось на веб сервер в Китае. Занимательно то, что злоумышленник не потрудился поставить руткит, чтобы скрыть своё присутствие в honeypot, что наводит на мысль о том, что атакующий особо не ценил порутанный сервер, а команда особа не боялась быть разоблаченной. Далее они начали спамить, примеры сообщений можно найти здесь значимая информация была исключена. В течение примерно 36 часов IP адрес был перенаправлен, и мы снова были удивлены количеством пользователей, поддавшихся обману. Анализ IP адресов, посетивших перенаправленный порт можно увидеть здесь в процессе собирания логов были записаны только IP адерса. Никаких личных данных не собиралось. Ботнэт — сеть хакнутых компьютеров, управляемая удаленным узлом атакующего. Поверхностное исследование этой области показало, что ботнэты могут использоваться для массовой рассылки спама, то есть в целях фишинга. Как бы то ни было, мы представляем наши аналитические данные не на основе одного инцидента, а основываясь на инструментах и методах, использовавшимися злоумышленниками в процессе фишинга через ботнэты. В период между сентябрем года и январем Honeynet Project Германии поднял несколько honeypot на базе Microsoft Windows для наблюдения за активностью ботнэта. За это время было исследовано более отдельных ботнэтов и тысячи файлов были перехвачены для офф-лайн анализа. Отсутствие центральной точки контакта и ряда интернациональных границ может сделать очень трудным или невозможным остановку такой деятельности. При этом сами спамеры и фишеры рискуют совсем мало, а прибыль имеют очень даже ощктимую. Неудивительно, что владельцы больших ботнэтов уже начали криминальную активность — сейчас возможно сдать ботнэт в аренду! За определенную плату оператор ботнэта предоставит покупателю список хостов и портов с запущенными SOCKS v4. Имеются документальные подтверждения таких случаев: Некоторые перехваченные софтины также осуществляли функцию добывания почтовых адресов или посылки спама через ботов. Следующий листинг показывает некоторые команды, относящиеся к посылке спама, осуществленной в Agobot, популярном боте, использующимся взломщиками и частенько перехвачиваемый нами:. Более подробная информация о том, как эти команды могут быть использованы, может быть найдена здесь в разделе комментариев исходника ботов. Несколько типичных примеров такой активности показано ниже. В пределах одного ботнэта мы наблюдали как атакующий применял следующую команду ссылки были изменены:. Они принимает четыре параметра:. В этом случае скрипт fetch. Каждому из этих получателей было отправлено сообщение, в котором предлагалось перейти по ссылке, указанной во втором параметре команды. В данном примере ссылка вела на веб-страницу, которая пыталась установть элемент управления ActiveX на машину жертвы. В этом случае веб страница содержала Browser Helper Object BHO , который мог попытаться установить себя на компьютер жертвы. Судя по названию канала, этот ботнэт также использовался для посылки спама. Эта ссылка была найдена в процессе анализа перехваченного malware. Она направляет жертву на веб страницу компании, которая предлагает 'свободное программное обеспечение рекламной поставки, которое обеспечивает нацеленную рекламу предложений'. Сайт содержит несколько страниц, пытающихся установить клиенту компонент ActiveX, по-видимому adware or spyware. Введение Выуживание чужих паролей или другой чувствительной информации имеет долгую историю среди общества взломщиков. Вот фишинговое сообщение, описанное Гордоном и Чесом: Инструменты и Тактика Фишинговые атаки обычно осуществляются несколькими простыми инструментами и методами, позволяющими обмануть не о чем не подозревающих пользователей. Для увеличения видимости того, что сообщение подлинное, фишер может воспользоваться некоторыми методами для улучшения изощренности попыток жульничества: Использование IP адресов вместо доменных имен в ссылках на фейковый веб сайт. Многие пользователи не будут проверять или не будут знать как проверить принадлежит ли IP адрес реальному хосту организации. Регистрирование созвучных DNS доменов к примеру, b1gbank. Вставка ссылок из реального сайта компании в сообщение о фишерном сайте таким образом, что браузер пользователя выполнит большинство соединений на реальный сайт и минимум из них — на фейковый. Если email клиент юзера поддерживает авто-рендер содержания, то клиент попытается соединиться автоматически на фейковый сайт как только будет прочитано сообщение, а браузер с ручным управлением может и не заметить небольшое число соединений на злой сервер среди основной части соединений на подлинный сервер. Кодирование линка в браузере. Одним из вариантов этого метода может быть IDN spoofing с использованием Unicode. Будет казаться, что линк ведет на подлинный сайт, однако фактически соединение пойдет на фейковый сервер с другим адресом. Можно попробовать использовать уязвимости в веб-браузере пользователя для скрытия действительной сущности содержания сообщения. Приложения Microsoft Internet Explorer и Outlook имеют множество дырок такие как address bar spoofing или IFrame element Конфигурирование фишерного сайта так, чтобы записывались любые введенные данные имена пользователей и пароли , причем скрытно, а затем направлять пользователя на реальный сайт. Вполне осуществимо запустить фейковый сайт в роли прокси-сервера для реального сайта, полностью журналируя все данные, незашифрованные SSL или даже регистрируя валидные SSL сертификаты для спуфных доменов Перенаправление жертв на фишерный сайт, используя malware для установки злоумышленного Browser Helper Object на локальный компьютер. Путем вставки фейкового DNS в этот файл можно заставить браузер жертвы соединяться на нелегальный сервер. Реальные Методы Мирового Фишинга Чаще всего пользователи Интернет узнают о фишинговых атаках после получения спуфного почтового сообщения или просмотра копии фейкового веб-сайта под заголовками сайта новостей. Метод Фишинга 1 —Через Порутанные Веб-серверы Большинство фишинговых атак, рассмотренных нами в реальных условиях, были осуществелны злоумышленниками, которые вторгались на уязвимые серверы, а затем устанавливали фейковый веб-контент. Нам удалось установить примерную последовательность действий фишера: Злоумышленник сканирует сеть на наличие уязвимых серверов Сервер порутан и установлен руткит или бэкдор с паролем Фишеры получают доступ к серверу через зашифрованный бэкдор Если порутанный сервер является веб-сервером, то заранее созданный сайт заливается на сервер Минимальная настройка и тест веб-сайта потенциально открывающий реальный IP адрес Фишера после первого обращения к веб-серверу Закачиваются и используются средства массовой рассылки писем для рекламы фейкового сайта через спам Веб трафик начинает поступать на фишинговый сайт, появляются первые потенциальные жертвы Часто время, затрачиваемое на все эти процессы занимает пару часов или дней с момента первого подключения системы к Интернет, и мы догадываемся что такие действия разворачиваются на нескольких серверах и нацелены на несколько организаций сразу. Для более подробного изучения специфических атак доступна следующая информация: Overview of Honeynet configurations Обзор настроек Honeynet Details of German honeypot compromise Тонкости Взлома Германского honeypot Details of UK honeypot compromise timeline Тонкости Взлома honeypot Великобритании — по времени Details of UK honeypot compromise content analysis Тонкости Взлома honeypot Великобритании — анализ контента Эта таблица содержит сводку ключевых факторов и различий инцидентов: Местоположение Корпоративная сеть Германии. Центр данных ISP Великобритании. Метод атаки Авторутер 'Superwu'. Полученный уровень доступа Root. Установленный рукит Simple rootkit , который бэкдорит некоторые бинарники. Большие группы с диапозонов кабельных IP региона Константа Румынии. Действия веб-сайта Комплексные заранее спланированные фейковые сайты скачены, цель - eBay и известные банки США. Заранее спланированные фейковые сайты скачены, цель — известный банк США. Процессы серверной стороны PHP script для утверждения введенных данных. PHP script с продвинутым утверждением введенных данных и их последующей сортировкой. Действия Email Попытка посылки спама пример 1 , пример 2 , однако блокировано Honeywall. Посланы только тестовые послания возможно фишерам из команды. Исправлен синтаксис и представление данных. Метод массовой рассылки Основной PHP скрипт с небольшим списком почтовых адерсов. Основной PHP скрипт с малым списком почтовых адресов — возможно только тестовый. Трафик фертвы, достигший honeypot. Отсутствует, рассылка спама и доступ к фейковому сайту закрыт. Параллельные фишинговые операции были замечены по времени первого входящего HTTP запроса на фишинговый контент после того, как honeypot Великобритании был порутан: Диаграмма, представленная ниже, показывает число одиночных и повторяющихся HTTP запросов с индивидуальных IP адресов на фишерный сайт в Великобритании до того, как honeypot был отключен в целях защиты пользователей а детали инцидента были сообщены банку, на который производилась атака: Команда, использовавшаяся атакующим для перенаправления была следующего вида: Ниже представлено краткое описание атаки по времени: События по Времени В период между сентябрем года и январем Honeynet Project Германии поднял несколько honeypot на базе Microsoft Windows для наблюдения за активностью ботнэта. Следующий листинг показывает некоторые команды, относящиеся к посылке спама, осуществленной в Agobot, популярном боте, использующимся взломщиками и частенько перехвачиваемый нами: Пример 1 В пределах одного ботнэта мы наблюдали как атакующий применял следующую команду ссылки были изменены: Они принимает четыре параметра: Линк к файлу, содержащему несколько почтовых адресов. Веб страница, на которую нацелено спамное сообщение — может быть обычная страница спама или фишинговый сайт. Пример 3 В другом ботнэте мы наблюдали примеры впаривания шпионских закладок: Simple rootkit , который бэкдорит некоторые бинарники. Комплексные заранее спланированные фейковые сайты скачены, цель - eBay и известные банки США. PHP script для утверждения введенных данных. Попытка посылки спама пример 1 , пример 2 , однако блокировано Honeywall. Основной PHP скрипт с небольшим списком почтовых адерсов. Использована уязвимость службы OpenSSL , установлен а служба перенаправления порта и разослан spam. Веб запросы на фишерный контент начинают поступать на honeypot.

Закладки марки в Шлиссельбурге