Создание фейкового DNS

Мы профессиональная команда, которая на рынке работает уже более 2 лет и специализируемся исключительно на лучших продуктах.

У нас лучший товар, который вы когда-либо пробовали!

Наши контакты:

Telegram:

https://t.me/stuff_men

E-mail:

stuffmen@protonmail.com

ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много Фейков!

Внимание! Роскомнадзор заблокировал Telegram ! Как обойти блокировку:

http://telegra.ph/Kak-obojti-blokirovku-Telegram-04-13-15

Статья опубликована с сокращениями. Обычно, фишинговые атаки направляют получателя на веб-страницу, спроектированную так, что она имитирует настоящий сайт организации и собирает личную информацию, причем чаще всего пользователь даже не подозревает, что на него производилась атака такого рода. Чаще всего жертвы терпят огромные финансовые потери или кражу личных данных в криминальных целях. В статье заостряется внимание на реальные мировые события, которые Honeynet Project наблюдал в живых условиях, однако здесь не будут указаны все возможные методы фишинга. Атакующие постоянно занимаются исследованиями, поэтому новые методы фишинга уже сейчас находятся в стадии разработки, если не используются. После короткого введения мы просмотрим актуальные методы и инструменты, используемые фишерами, включая примеры имперического поиска, при котором реальные фишинговые атаки были зарегистрированы при помощи honeynets. Эти инциденты будут подробно описаны, включая вторжение, подготовку фишерного сайта, рассылку сообщений и сбор данных. Далее будут проанализированы основные методы и направления, включая растущую интеграцию фишинга, спама и ботнэтов. В статье рассмотрены примеры использования сборщиков почтовых адресов и программ-рассыльщиков, кроме того мы предоставим наши наблюдения за сканированием сети и как фейковые машины наши же honeypots используются для распространения фишинговых писем и другого спама. В конце, мы завершим эту статью обзором знаний, полученных в последние шесть месяцев и предложим новые идеи для исследований. Здесь вы найдете много дополнительной информации с большим количеством ссылок на более подробные ресурсы отдельных тем. Никаких личных данных в процессе исследования не собиралось. В некоторых случаях мы связывались с организациями, замешанными в атаках или сообщали об инцидентах в местные CERT. Выуживание чужих паролей или другой чувствительной информации имеет долгую историю среди общества взломщиков. Традиционно такие действия осуществлялись при помощи социальной инженерии. В ых, с ростом числа компьютеров, подключенных к сети, и популярностью Интернета, атакующие научились автоматизировать этот процесс и атаковать рынок массового потребления. Первое систематизированное исследование было проведено в году Sarah Gordon, David M. Мюнхен, в Октябре Гордон и Чес исследовали почтовые программы на AOL, однако столкнулись с фишингом вместо ожидаемых атак троянами. Сам термин фишинг 'password harvesting fishing' — ловля и сбор паролей описывает мошенническое овладение чувствительной информацией, когда жертве сообщают совсем другую причину, по которой она должна сообщить эти данные, а о настоящей цели она даже не догадывается. Вот фишинговое сообщение, описанное Гордоном и Чесом:. Когда вы выполнили вход в систему под вашим акаунтом, мы смогли вас идентифицировать как зарегистрированного пользователя. Примерно 94 секунды назад ваша верификация была аннулирована из-за потери данных сектора 4G9E. Сейчас, по протоколу верификации AOL, мы обязаны создать для вас акаунт заново. В случае неполучения ответа мы полностью удалим ваш акаунт. Сначала такие атаки были главным образом нацелены на получение доступа к акаунту AOL жертвы, реже для получения данных о кредитной карте в целях мошенничества к примеру, для нелегальных махинаций с этой информацией. Часто фишерные сообщения содержали элементарные хитрости, в результате чего компьютер жертвы оказывался под контролем третьих лиц. Как показано в предыдущем примере, это могла быть история о нарушении работы оборудования или ошибка базы данных, и большинство пользователей верили в значимость официально оформленного сообщения или неотложной технической просьбы, в которой требовалась помощь пользователя. Пользователям обычно напоминали, что запрошенная информация должна быть введена немедленно, дабы избежать серьезную проблему: В литературе часто рассказывается о начинающих фишерах, как о подростках, желающих получить чужой акаунт в целях нанесения ущерба или для звонков на дальние расстояния, чаще всего с малым уровнем организации. Сегодня фишеры выбирают стратегию рассылки почты стольким количествам пользователей, скольким возможно, маскируясь под доверенный брэнд — обычно тот, которому жертва скорее всего уже доверяет. Запрос на срочные действия уже послан, и чтобы создать видимость, что данные, посылаемые пользователем, будут в безопасности, в спуфное сообщение вписывают линк к удаленной веб-странице, дизайн которой подобран так, что почти полностью имитирует сайт реальной компании. Примеры компаний, брэнды которых использовались фишерами, включают в себя много известных банков, компаний, предоставляющих услуги кредитования или известных платежных систем Интернет. Множество примеров фишерных сообщений находится на сайте Anti-Phishing Working Group, в которых показаны лучшие трюки, используемые фишерами для создания уверенности пользователя в том, что он действительно зашел на законный веб-интерфейс. После короткого введения в принципы фишинга мы покажем существующие методы и инструменты, добытые в процессе исследования реальных фишинговых атак. Если вы заинтересованы в большем количестве вводной информации, мы подготовили другую статью. Фишинговые атаки обычно осуществляются несколькими простыми инструментами и методами, позволяющими обмануть не о чем не подозревающих пользователей. Основной инфраструктурой, поддерживающей фишерные сообщения, обычно служит HTML страница, скопированная на недавно порутанный сервер и серверная часть скриптов для обработки всех данных, введенных пользователем. Могут вовлекаться и более комплексные веб-сайты и перенаправление содержания, но в большинстве случаев цель всегда одна — поднять фейковый сервер, имитирующий работу реального брэнда, который предоставит все данные, введенные пользователем в руки злоумышленника. Используя современные утилиты редактирования HTML, создание фейкового веб-сайта не займет много времени, и плохо защищенные веб-серверы могут быть легко запущены и взломаны в случае, если атакующий возьмется за сканирование диапазонов IP адресов в поисках уязвимых хостов. Однажды порутанные, даже домашние компьютеры могут стать эффективными хостами для фишерных сайтов, поэтому под прицелом находятся не только корпоративные или академические системы. Атакующие часто не делают различий между целевыми компьютерами, тупо выбирая большие диапазоны IP адресов для поиска случайных или одной конкретной уязвимости. С момента создания фейкового сайта главной задачей фишера становится перенаправление пользователей с легального сайта компании на фейковый сайт. Пока фишер имеет возможность подменять DNS на целевой сайт DNS poisoning или каким-либо другим способом перенаправлять сетевой трафик метод, часто называемый pharming , они все равно должны полагаться на некоторую форму хорошего уровня содержимого, чтобы заманить несчастного пользователя на фейковый сайт. Чем лучше качество приманки, тем большая сеть может быть раскинута и тем больше шанс невинного пользователя посетить фейковый сайт и ввести данные, запрошенные фишером. Однако для атакующего есть одна проблема — когда он выбрал конкретную организацию банк или др. Если даже фишер запостит пару линков, ведущих на фейковый сайт в чатах и форумах, принадлежащих реальному брэнду сайт технической поддержки или группы по связям с общественностью , велика вероятность что реальная организация будет быстро информирована, а неправильные ссылки будут удалены или подвергнуты сомнению до того, как достаточное число пользователей посетят фейковый контент и пришлют личные данные. Также существует существенный риск, что реальная организация может зафиксировать и отключить фейковый сайт. Следовательно, фишеру требуется метод достижения максимального количества потенциальных жертв с минимумом риска, плюс идеальный партнер в целях спама по email. У спамеров имеются в наличии базы данных с миллионами рабочих email адресов, таким образом, массовые методы рассылки могут быть использованы фишером для рассылки приманок очень многим юзерам с малым риском. Спамные сообщения чаще всего посылаются через хакнутые серверы в забугорных странах, или через глобальные сети PC-зомби ботнэты , таким образом, реальное местоположение фишера определить в принципе невозможно. Если не о чем не подозревающий юзер получает официально оформленное сообщение, причем, похоже, что его отправил банк и просит пользователя перейти по ссылке, содержимое которой будет максимально походить на реальный сайт банка. Далее юзера просят поменять пароль для онлайновых операций в целях безопасности, и вероятность, что он сделает это, велика, если у него в почтовом ящике находится приличная куча другого спама с предложениями купить какой-либо новый товар и ссылками на неизвестные сайты. Для увеличения видимости того, что сообщение подлинное, фишер может воспользоваться некоторыми методами для улучшения изощренности попыток жульничества:. Использование IP адресов вместо доменных имен в ссылках на фейковый веб сайт. Многие пользователи не будут проверять или не будут знать как проверить принадлежит ли IP адрес реальному хосту организации. Вставка ссылок из реального сайта компании в сообщение о фишерном сайте таким образом, что браузер пользователя выполнит большинство соединений на реальный сайт и минимум из них — на фейковый. Если email клиент юзера поддерживает авто-рендер содержания, то клиент попытается соединиться автоматически на фейковый сайт как только будет прочитано сообщение, а браузер с ручным управлением может и не заметить небольшое число соединений на злой сервер среди основной части соединений на подлинный сервер. Кодирование линка в браузере. Одним из вариантов этого метода может быть IDN spoofing с использованием Unicode. Будет казаться, что линк ведет на подлинный сайт, однако фактически соединение пойдет на фейковый сервер с другим адресом. Можно попробовать использовать уязвимости в веб-браузере пользователя для скрытия действительной сущности содержания сообщения. Приложения Microsoft Internet Explorer и Outlook имеют множество дырок такие как address bar spoofing или IFrame element. Конфигурирование фишерного сайта так, чтобы записывались любые введенные данные имена пользователей и пароли , причем скрытно, а затем направлять пользователя на реальный сайт. Вполне осуществимо запустить фейковый сайт в роли прокси-сервера для реального сайта, полностью журналируя все данные, незашифрованные SSL или даже регистрируя валидные SSL сертификаты для спуфных доменов. Перенаправление жертв на фишерный сайт, используя malware для установки злоумышленного Browser Helper Object на локальный компьютер. Путем вставки фейкового DNS в этот файл можно заставить браузер жертвы соединяться на нелегальный сервер. Благодаря комплексной природе многих приложений электронной коммерции или онлайновых банков, которые чаще всего используют HTML фреймы и саб-фреймы или другие структуры комплексных страниц, пользователю будет трудно определить является ли определенная страница законной. Использование методов, указанных выше, может скрыть исходник страницы, а пользователь будет легко обманут. С этого момента фишер сможет свободно использовать акаунты пользователя или другие электронные идентификаторы, а пользователь становится другой жертвой успешной фишерной атаки. Чаще всего пользователи Интернет узнают о фишинговых атаках после получения спуфного почтового сообщения или просмотра копии фейкового веб-сайта под заголовками сайта новостей. Причем публикация в новостях появилась далеко не сразу после ликвидации левого хоста. Эти события очень редко разглашают, поэтому информация об атаках врядли дойдет до жертвы. Одно из основных преимуществ honeynets состоит в том, что мы можем наблюдать за атакой с ракурса самого атакующего, а не жертвы, что позволяет составить четкое представление о технике атаки. Ниже будут представлены несколько примеров типичных реальных фишинговых методов. Большинство фишинговых атак, рассмотренных нами в реальных условиях, были осуществелны злоумышленниками, которые вторгались на уязвимые серверы, а затем устанавливали фейковый веб-контент. Нам удалось установить примерную последовательность действий фишера:. Минимальная настройка и тест веб-сайта потенциально открывающий реальный IP адрес Фишера после первого обращения к веб-серверу. Закачиваются и используются средства массовой рассылки писем для рекламы фейкового сайта через спам. Часто время, затрачиваемое на все эти процессы занимает пару часов или дней с момента первого подключения системы к Интернет, и мы догадываемся что такие действия разворачиваются на нескольких серверах и нацелены на несколько организаций сразу. В каждом случае были развернуты уязвимые Linux honeypots. Последующий анализ обоих honeypot показала похожие принципы действий: Также во время атак были подняты руткиты и IRC серверы. Порутанные honeypots также использовались для целей, отличных от фишинга: IRC бот Румынских хакеров и сканер для развертывания и атаки дополнительных уязвимых компьютеров как бы то ни было, архитектура honeynet не позволяла атакующим эксплуатировать другие серверы из уже захваченных honeypot. Чтобы сократить объем этой статьи мы не стали включать в неё тонкости специфических атак, а только охватили полученные знания и то, как они используются в фишинге. Несмотря на то, что это довольно старый релиз системы и вляется легкой добычей для взломщиков, прошло 2,5 месяца, прежде чем honeypot был взломан — ощутимая разница по сравнению с инцидентами, рассмотренными выше. Этот инцидент необычен тем, что никакого фишингового контента не было залито напрямую. Вместо этого хакер установил и настроил службу перенаправления. Эта служба выполняла перенаправление HTTP запросов, посланных на веб сервер honeypot, на другой удаленный сервер в открытом виде, что усложняло поиск настоящего расположения контента. Перенаправление осуществлялось на веб сервер в Китае. Занимательно то, что злоумышленник не потрудился поставить руткит, чтобы скрыть своё присутствие в honeypot, что наводит на мысль о том, что атакующий особо не ценил порутанный сервер, а команда особа не боялась быть разоблаченной. Ботнэт — сеть хакнутых компьютеров, управляемая удаленным узлом атакующего. Поверхностное исследование этой области показало, что ботнэты могут использоваться для массовой рассылки спама, то есть в целях фишинга. Как бы то ни было, мы представляем наши аналитические данные не на основе одного инцидента, а основываясь на инструментах и методах, использовавшимися злоумышленниками в процессе фишинга через ботнэты. В период между сентябрем года и январем Honeynet Project Германии поднял несколько honeypot на базе Microsoft Windows для наблюдения за активностью ботнэта. За это время было исследовано более отдельных ботнэтов и тысячи файлов были перехвачены для офф-лайн анализа. Отсутствие центральной точки контакта и ряда интернациональных границ может сделать очень трудным или невозможным остановку такой деятельности. При этом сами спамеры и фишеры рискуют совсем мало, а прибыль имеют очень даже ощктимую. Неудивительно, что владельцы больших ботнэтов уже начали криминальную активность — сейчас возможно сдать ботнэт в аренду! За определенную плату оператор ботнэта предоставит покупателю список хостов и портов с запущенными SOCKS v4. Имеются документальные подтверждения таких случаев: Некоторые перехваченные софтины также осуществляли функцию добывания почтовых адресов или посылки спама через ботов. Нужно знать о подобной опасности и уметь определять её. Первым шагом в борьбе с spyware-приложениями будет использование альтернативного браузера, например FireFox, Safari, Opera и др. Если это по каким-либо причинам нельзя осуществить, то следует предпринять меры по постоянной профилактике вашей системы, по обнаружению и удалению клавиатурных шпионов. Вот фишинговое сообщение, описанное Гордоном и Чесом: Для увеличения видимости того, что сообщение подлинное, фишер может воспользоваться некоторыми методами для улучшения изощренности попыток жульничества: Регистрирование созвучных DNS доменов к примеру, b1gbank. Приложения Microsoft Internet Explorer и Outlook имеют множество дырок такие как address bar spoofing или IFrame element Конфигурирование фишерного сайта так, чтобы записывались любые введенные данные имена пользователей и пароли , причем скрытно, а затем направлять пользователя на реальный сайт. Вполне осуществимо запустить фейковый сайт в роли прокси-сервера для реального сайта, полностью журналируя все данные, незашифрованные SSL или даже регистрируя валидные SSL сертификаты для спуфных доменов Перенаправление жертв на фишерный сайт, используя malware для установки злоумышленного Browser Helper Object на локальный компьютер. Нам удалось установить примерную последовательность действий фишера:

Создание фейкового DNS

Создание и настройка собственных DNS в ISP Manager

HackWare.ru

Штампуем фэйки за 5 минут (для нубов и ленивых)

Знай Своего Врага в Лицо – Фишинг Или Что Скрывается за Атаками Фишинга, часть 1, Методы Фишинга

dns и фейк