Σημερα θα “σπασουμε” MD5 αλλα ο ιδιος τροπος λειτουργει και με ολα τα hash.
Ας ξεκινησουμε.
Πρωτα οταν βρουμε το hash πρεπει να δουμε τι τυπος hash ειναι.
Εμεις για εκπαιδευτικους σκοπους εχουμε το παρακατω hash 928a03ac2fe32e3b728ac071fc07787e ειναι απο password απο gmail. Παμε να το κανουμε αναλυση να δουμε τι ειναι.
Οπως βλεπουμε το hash μας ειναι MD5.
Ας αρχισουμε.
Θελουμε καποιο wordlist…wordlists μπορειτε να βρειτε εδω https://weakpass.com/wordlist εχει απειρα wordlist σε παρα πολλες γλωσσες απο ολο το κοσμο και απο πολλα databases.
Εγω εχω φτιαξει ενα δικο μου τωρα γιατι ειναι για να σας δειξω πως γινεται και ειναι μικρο.
To worlist ειναι το εξης:
Μεσα εχει καποια random passwords εχει ομως και το real password που ειναι το hash μας.
Ξεκιναμε με το hashcat….Επειδη εχω ubuntu δεν εχω gui…αυτοι που εχουν windows7/8/10 μπορουν να εοχυν και gui θα αφησω links στο τελος και για windows και για linux και καποια tutorial να δειτε πως γινονται install αν και ειναι πολυ ευκολο και μπορειτε να βρειτε απειρα στο youtube.
Αυτα ειναι για Linux για Windows πως ειπα εχει GUI και δεν χρειαζονται commands απλα καποιες ρυθμισεις!
Ξεκιναμε με την παρακατω εντολη για να δουμε και τι εχει το hashcat
./hashcat64.bin --help
Οπως μπορουμε να δουμε εχει παρα πολλα options που μπορουμε να χρησιμοποιησουμε για να κανουμε εμεις το δικο μας custom atack.
Εμεις τωρα θα χρησιμοποιησουμε καποια απλα options.
Ξεκιναμε τωρα με το attack μας…εμεις θα βαλουμε την παρακατω εντολη:
./hashcat64.bin -m 0 -a 3 /home/xampos/Desktop/hashmail2/hashmail2 /home/xampos/Desktop/wordlist/testwordlist
Τωρα για να σας πω τι ειναι το καθε ενα στο hashcat το -m 0 ειναι το hash mode δειτε παρακατω στο screenshot:
To καθε hash εχει το δικο του mode ας πουμε αμα θελουμε SHA1 θα βαλουμε -m 100 αμα θελουμε SHA-512 θα βαλουμε -m 1700 και ουτω καθεξης για ολα τα modes κανουμε το ιδιο πραγμα.
To -a 3 ειναι τη επιθεση θα κανουμε δειτε στο screenshot:
Εμεις σε αυτη την περιπτωση θα κανουμε Brute-Force αρα επιλεγουμε το 3…θα σας εξηγησω αλλη φορα τι ειναι τα αλλα τα attack τι κανει το καθε ενα και που χρησιμευει το καθε ενα.
Ωραια τωρα ξεκιναμε το attack μας και ας δουμε τι εχει γινει στα παρακατω screenshot.
Προσοχη!Πρεπει να εχετε σωστα τους DRIVERS της καρτας γραφικων σας κανει INSTALL αλλιως ΔΕΝ θα δουλεψει και θα εχετε συνεχεια ERRORS!
Οπως μπορειτα να δειτε το hashcat τρεχει κανονικα και στο τελος μας βρηκε ποιος κωδικος ειναι αυτο το hash που βαλαμε….Ο κωδικος οπως μπορειτε να δειτε ειναι ο εξης: !abc123456789 για να ειμαστε 100% σιγουροι ας παμε να δουμε εαν οντως αυτος ο κωδικος εαν τον κανουμε encrypt θα μας δωσει το hash μας.
Οπως βλεπουμε το password αυτο εαν το κανουμε encrypt μας δινει το hash που ειχαμε αρα ειμαστε σωστοι 100% τωρα.
Παμε και στο gmail που φτιαξαμε για αυτο το σκοπο να δουμε εαν μπαινει και ο κωδικος.
Οπως βλεπουμε εχουμε προσβαση στο gmail με τον κωδικο που βαλαμε!
Αυτα για σημερα την επομενη φορα οπως ανεφερα θα δουμε καποια αλλα πραγματα για το hashcat που ειναι χρησιμα οπως θα δουμε και τι ειναι το mask attack που ειναι ενας καλυτερος τροπος για να σπασουμε καποιο hash που πιθανον να μην υπαρχει σε καποιο wordlist.
Tα Web shells είναι μικρά προγραμματα η σκριπτακια τα οποια μπορούν να ανεβάσουν (upload) σε ευπαθείς servers και μετα να ανοιχτουν σε ενα προγραμμα περιηγησης παρεχοντας ενα web interface που θα εκτελει εντολες συστηματος.
Με λιγα λογια ειναι backdoors (οι λεγομενες κερκοπορτες) οι οποιες τρεχουνε απο ενα προγραμμα περιηγησης.
Για καθε server,το σκριπτακι η το web shell που θα χρησιμοποιηθει θα πρεπει να ειναι στη γλωσσα που τρεχει η χρησιμοποιει ο sever.(php,asp κτλ).Ετσι λοιπον, αν προκειται για εναν
php server τοτε θα πρεπει να βρουμε ενα php shell.Tα Web shells τρεχουν λιγο φτωχα στο παγκοσμιο ιστο για αυτο το λογο δεν υπαρχει καποια υποδοχη επικοινωνιας οπως χρησιμοποιητε στη περιπτωση του reverse shell οπου ο web server θα πρεπει να συνδεθει με ενα προγραμμα οπως πχ το netcat στου χακερ το μηχανημα ομως.
Για αυτο το λογο τα web shells ειναι πολυ γρηγορα στο στησιμο τους και την εφαρμογη τους.Ωστόσο το μειονέκτημα τους είναι ότι δεν έχουν το διαδραστικο ύφος ενός τερματικού.
Τα web shells παρεχουν ενα γρηγορο γραφικο περιβαλλον που μπορουν να κανουν τα ακολουθα.
1) να περιηγηθουν σε καταλογους
2) να εμφανισουν αρχεια
3) να παρεμβουν σε αρχεια η αν γραψουν αρχεια
4) να κατεβασει αρχεια
5) να διαγραψει αρχεια
6) να ανεβασει αρχεια
7) να εκετελεσει sql εντολες
8) να κανει bypass στην ασφαλεια
9) να εχει προσβαση σε καταλογους-υποκαταλογους.
10) να εκτελεσει εντολες των shells.
Web shells που υπαρχουν στο kali-linux βρισκονται σε αυτη τη διαδρομη
/usr/share/webshells/
Παρολο που περιεχει αρκετα χρησιμα web shells δεν περιέχει τα πιο ”καταστροφικα” που εχουν οι χακερς.
Το Web shell μπορει να τρεξει απο ενα προγραμμα περιηγησης με ενα url οπως αυτο http://target.com/simple-backdoor.php?cmd=cat+/etc/password
H Get παράμετρος cmd περιεχει την εντολή που θα τρεξει στο συστημα.Το σκριπτακι θα τρεξει την εντολη και θα στειλει πισω το αποτελεσμα.
Οι παράμετροι Get δεν είναι ο μονος τροπος να στελνουμε εντολες. Εντολες μπορουν να σταλθουν μεσω post μεσω cookies η ακομα και απο http.
Οι backdoors εχουν και τους περιορισμους τους.Πολλοι web servers εχουν απενεργοποιησει τη λειτουργια php που χρησιμοποιητε για να τρεξει εντολες.
Σε αυτη τη περιπτωση το web shell αποτυγχανει να τρεξει την εντολη.
Επισης ο σερβερ στοχος μπορει να εχει και firewall antivirus που εντοπιζουν τετιοα shells.H ανιχνευση βασιζεται στο hash md5 του αρχειου.
Σε αυτη τη περιπτωση η θα πρεπει να τροποποιησουμε το αρχειο σε μια καταληξη που να μην ειναι ανιχνευσιμη η να γραψουμε το δικο μας shell.
Tο να γραψουμε ενα δικο μας shell δεν ειναι δυσκολο εαν βεβαια γνωριζουμε τη γλωσσα php.
[+] Δημιουργός :Bk
[+]Γράφτηκε σε perl και μετατράπηκε σε εκτελέσιμο για λόγους ευκολίας εκτέλεσης και προστασίας του κώδικα
[+] Τύπος prive
[+]Ener site url : Τοποθετήστε το url στο κενό πεδίο
[+]Enable Response time: Η επιλογή αυτή μας δίνει την δυνατότητα να ενεργοποιήσουμε τον χρόνο ανταπόκρισης.Για παράδειγμα αν επιλέξουμε για χρόνο ανταπόκρισης 20 δευτερόλεπτα και δεν ανταποκριθεί ο server αυτομάτως θα περάσει στο επόμενο αίτημα.
[+]Select time to Response : Εδώ διαλέγουμε τον χρόνο ανταπόκρισης
[+]Select User Angend: Επιλέγουμε τον User Angend που θέλουμε να εμφανίζετε κατά τα αιτήματα.
[+]Select Method: Εδώ επιλεγούμε την μέθοδο που θα χρησιμοποιήσουμε
[+]PHP: Αν ο πηγαίος κώδικας είναι php επιλεγούμε php
[+]ASP: Αν ο πηγαίος κώδικας είναι ASP επιλεγούμε ASP
[+]Mix List: Η Mix List είναι μια πολύ καλή λίστα από τον ~codex~ που περιλαμβάνει PHP και ASP paths.Μπορείτε να την χρησιμοποιήσετε σε php και asp .
[+]New Method: Αυτή η μέθοδος είναι μοναδική καθώς δεν υπάρχει πουθενά εργαλείο που να κάνει αυτήν την δουλεία.
Οι διαχειριστές σκαρφίζονται πάντα νέους τρόπους για να κρύψουν την σύνδεση του διαχειριστή. Πολλές φορές ένας πονηρεμένος διαχειριστής κάνει το εξής.
Ας υποθέσουμε πώς το login διαχείρισης είναι — > http://www.tosite.gr/administrator/
Ο πονηρεμένος διαχειριστής το αλλάζει σε—- > http://administrator.tosite.gr/
Έτσι αυτομάτως βγάζει εκτός μάχης όλους τους admin panel finder που κυκλοφορούν εκεί έξω.Οχι όμως τον δικό μας.
[+]PHPMyAdmin:Με την επιλογή αυτόν έχουμε την δυνατότητα να ψάξουμε το phpmyadmin τις σελίδας
[+]Dir Bruter: H επιλογή Dir Bruter περιλαμβάνει μια υπερβολικά τεράστια λίστα όπου χρησιμοποιείτε και από τον BirBuster για επιθέσεις καταλόγων.
[+]Use custom Dir list : Εδώ μπορείτε να προσθέσετε τα δικά σας ονόματα αρχείων στο dir.txt και να δημιουργήσετε την δικιά σας λίστα
[+]Use custom Admin list: Το ίδιο και εδώ μπορείτε να προσθέσετε και να δημιουργήσετε την δικιά σας λίστα με admin και phpmyadmin διαδρομές στο αρχείο admin.txt
[+]Use mass Scan-Reverse ip First:Η επιλογή αυτή μας επιτρέπει να σκαναρουμε μαζικά σελίδες χρησιμοποιώντας ένα path τις επιλογής μας.Θα πρεπει προτα να κανουμε reverse την ip η να προσθέσουμε τα δικά μας site στο αρχείο reversed sites.txτ.
Μπορούμε να εξάγουμε όλα τα joomla που φιλοξενούνται στον ίδιο server ,WordPress η οτιδήποτε άλλο.
[+]shows user ip: Αποτυπώνει την ip του χρήστη
[+]shows site ip : Αποτυπώνει την ip του site
[+]shows reverse dns:Μας εμφανιζει το όνομα του dns
[+]Auto IP Reverser: Μας εμφανίζει όλα τα site που φιλοξενούνται στον server απλά με ένα κλικ ενο παράλληλα δημιουργεί και τυπώνει τις ιστοσελίδες στο αρχείο reversed sites.τxτ οπου χρησιμοποιείτε για μαζικό σκανάρισμα .
[+]shows sites hosted on the same ip: Εμφανίζει τον αριθμό ιστοσελίδων με την ίδια ip
[+]shows robots.txt if it can be read:Μας ενημερώνει αν το αρχείο robotx.τχτ μπορεί να διαβαστεί και μας δίνετε η δυνατότητα τα να μεταβούμε σε αυτό με ένα click. Download
Πάμε να δούμε έναν τρόπο για το πως θα ανεβάσετε shell σε μια wordpress σελίδα, όταν έχετε είδη πρόσβαση στο admin panel..συνήθως έχουμε πρόσβαση και ψάχνουμε σε ένα άρθρο να βάλουμε το κείμενό μας, τώρα θα δούμε κατι πολύ παραπάνω.
Τι χρειαζόμαστε:
1)Να έχουμε πρόσβαση σε μια wordpress σελίδα, δηλαδή τα στοιχεία του διαχειριστή
2)Ένα shell της επιλογής μας
ΟΔΗΓΙΕΣ
Διάρκεια-3 λεπτά, αν έχουμε τα παραπάνω.
Κάνουμε σύνδεση στο admin panel συνήθως είναι /wp-admin η /wp-login.php
Στα αριστερά θα δείτε το μενού, κάνετε κλικ στο “Εμφάνιση” και μετά στο “Διορθωτής”
Εδώ πέρα βλέπουμε τα αρχεία του theme, που έχουν μορφή .php και .css ένα shell έχει μορφή .php
Έχουμε 2 επιλογές:
1)Deface στην αρχική σελίδα
2)Ανέβασμα shell
Πάμε να δούμε πρώτα το πως μπορείτε να κάνετε deface, στα δεξιά θα δείτε κάποια αρχεία κάνετε αναζήτηση (ctrl+f) για index.php άμα δεν το βρει τότε για home.php
Άμα βρει και τα 2, τότε μας απασχολεί μόνο το index.php
ΠΩΣ ΘΑ ΚΑΝΟΥΜΕ DEFACE!
Είναι απλο, πολύ απλο, απλα σβήνουμε το κώδικα όλο και βάζουμε το δικό μας, δηλαδή το κώδικα που έχει το deface μας, και άμα κάνουμε ανανέωση στο site θα εμφανιστεί στην αρχική σελίδα!!
ΠΩΣ ΑΝΕΒΑΖΟΥΜΕ SHELL
Μπορείτε με τον παραπάνω τρόπο, απλά να βάλετε στο index.php τον κώδικα του shell, αλλα θα εμφανιστεί στην αρχική σελίδα και ολοι θα έχουν πρόσβαση… μπορείτε να βάλετε κάποιο shell το οποίο να προστατευετε με κωδικό έτσι να μπείτε εσεις μέσα να ανεβάσετε το shell με αλλο ονομα και να επαναφέρετε την αρχική σελίδα..έτσι δεν θα πάρει κανένας τίποτα ειδηση.
Φυσικά, μπορεί να μην το θέλετε αυτο, έτσι πάμε να δούμε έναν πιο εύκολο τρόπο!!
Πηγαίνουμε στην αρχική σελίδα και κάνουμε δεξί κλικ και προβολή κώδικα
Και μας εμφανίζει τον κώδικα της σελίδας, παραπάνω είπαμε ότι ήμαστε στα αρχεία του theme έτσι πρέπει να βρούμε το theme σε ποια διαδρομή είναι στο site.
Έτσι απλα πατάμε ctrl+f και μας ανοίγει ένα κουτάκι για την αναζήτηση και γράφουμε τη λέξη themes
Θα μας βγάλει πολλά, και σχεδόν όλα θα έχουν την ίδια διαδρομή, δηλαδή για παράδειγμα
Σίγουρα όσοι έχουν βρει ένα τρωτό σημείο σε μία ιστοσελίδα και το έχουν εκμεταλλευτεί, θα απορούν και που βρίσκεται το Panel, δηλαδή η σελίδα «σύνδεσης» του Admin έτσι ώστε να βάλουν τα στοιχεία και να πάρουν πρόσβαση.
Κάποιοι όπως και εγώ, κάνουμε δοκιμές στο url της ιστοσελίδας όπως « /admin, /admin/login.php, /wp-admin, /wp-login κ.τ.λ. » έλα όμως που κάποιες φορές αυτό δεν λειτουργεί και είμαστε σε σκέψεις τύπου… -Τι γίνεται ρε δεν έχει panel; -Το έχουν κρυμμένο; Η απάντηση είναι πως μπορεί όντως να μην το έχουν εμφανές αυτό το Panel λοιπόν και να βρίσκεται κάπου αλλού. Σε αυτήν την ανάρτηση όμως θα μάθουμε πως να το βρίσκουμε σε περίπτωση που το Website το έχει εμφανές το Panel του.
Γι’ αυτό θα σας «πλασάρω» ένα προγραμματάκι που λειτουργώ στο Linux μου και είναι κατεβασμένο από το Github (Κάποιοι από εσάς το γνωρίζετε).
Πάμε να δούμε από που μπορούμε να το κατεβάσουμε λοιπόν.
Το προγραμματάκι λέγεται Breacher.
Αφού πάμε σε αυτό το Link: ” https://github.com/s0md3v/Breacher ” πατάμε εκεί που λέει Code πάνω δεξιά και αντιγράφουμε το Link που έχει μέσα.
Θα σας το βάλω εδώ να μην το ψάχνετε:
https://github.com/s0md3v/Breacher.git
Αφού λοιπόν το κάνετε αντιγραφή, πάμε μετά στο terminal μας και γράφουμε τον εξής κώδικα
Όταν λοιπόν κατεβεί το προγραμματάκι μας το οποίο έχει φτιαχτεί με γλώσσα Python, θα πρέπει να το τρέξουμε. (ΠΡΟΣΟΧΗ! Πρέπει να χρησιμοποιείτε την Python 3 για να λειτουργίσει. Υπάρχουν αναλυτικά βιντεάκια στο YouTube για το πως να την κατεβάσετε).
Μην βιάζεστε τόσο όμως. Για να τρέξουμε το προγραμματάκι πρέπει να μπούμε και στον φάκελο που βρίσκεται. Σωστά; Σωστά.
Πάμε λοιπόν και γράφουμε τον παρακάτω κώδικα (Θα σας έχω και εικόνα γιατί το υποσχέθηκα στο προηγούμενό μου post)
cd Breacher/
Μπήκαμε στον φάκελο που είναι το πρόγραμμα! Τώρα θα πρέπει να τρέξουμε το πρόγραμμα βάζοντας και την ιστοσελίδα που θέλουμε να μάθουμε το Panel. Εγώ θα χρησιμοποιήσω το eviakosmos.
Δείτε παρακάτω πως
python3 breacher.py -u http://www.eviakosmos.gr/
Με το “ -u ” του δίνουμε εντολή και του λέμε θέλω να ψάξεις γι αυτήν την ιστοσελίδα “ -u = στόχος ”
Τώρα πατάμε Enter, και αρχίζει από κάτω και τρέχει ένα σωρό Links από μια wordlist. Δηλαδή; Όλα τα πιθανά. Όπως όταν θέλουμε να σπάσουμε hash από κωδικούς και τρέχουμε μία wordlist. Αυτή η μέθοδος ονομάζεται Brute Force.
Αφού τρέχει, μπορεί κάποια στιγμή να βρεί αυτό που θέλουμε. Πως θα το καταλάβουμε; Αντί για ” [ – ] ” θα έχει ” [ + ] ”
**Η SQL injection μπορεί να χωριστή σε 3 κατηγορίες**
INBAND:
Τα δεδομένα εξάγονται χρησιμοποιώντας το ίδιο κανάλι με αυτό που χρησιμοποιείτε για το injection στην SQL. Αυτός είναι ο πιο απλός τύπος επιθέσεις SQL όπου τα δεδομέναπαρουσιάζονται απευθείας στην ιστοσελίδα.
OUT_OF_BAND:
Τα δεδομένα εξάγονται χρησιμοποιώντας διαφορετικό κανάλι (π.χ κάποιο email) δηλαδή τα δεδομένα από το injection στέλνονται σε ένα email που έχει προκαθοριστεί.
INFERENTIAL:
Δεν υπάρχει πραγματική μεταφορά δεδομένων αλλα ο επιτιθέμενος είναι σε θέσει να ανακατασκευάσει τις πληροφορίες με την αποστολή συγκεκριμένου αιτήματος προς την βάση δεδομένων και παρατηρώντας την “συμπεριφορά” αντίδραση του website.
**ΤΥΠΟΙ SQL INJECTION**
ERROR-BASED: Ρωτάμε την Database κάτι που θα προκαλέσει κάποιο error
UNION-BASED:Το SQL union χρησιμοποιείτε για να συνδυάσει τα αποτελέσματα δυο η περισσοτέρων SELECT SQL σε ένα και μονο αποτέλεσμα
#παράδειγμα: http://example.com/page.asp?id=1UNION SELECT ALL 1,2,3,4--
http://example.com/page.asp?id=1UNION SELECT ALL 1,USER,3,4–
BLIND-BASED:Κάνουμε στην Database μια true/false ερώτηση και περιμένουμε εάν θα πάρουμε θετική απαντήσει, δηλαδή εάν θα εμφανιστεί το αποτέλεσμα που ρωτήσαμε, η αλλιώςχρησιμοποιώντας τον χρόνο ως μια παράμετρο
Υπάρχουν δυο τύποι injection που βασίζονται στο εάν ο τύπος του ευπαθές site είναι βασισμένο σε Integer η σε String. Στην περίπτωση του Integer για το injection δεν χρειαζόμαστε αυτό που λέμε single quote(‘)
Στην άλλη περίπτωση όμως του String τότε το single quote(‘) είναι απαραίτητο
Το OpenBullet ειναι ενα προγραμα, οπου μας βοηθεια να βρουμε λογαριασμους, για υπηρεσιες με συνδρομη που παρεχου βιντεο, τραγουδια και ουτω καθεξης.
θα χρειαστουμε 1 config 1 λιστα combolist με email password και μια λιστα με proxies
Αρχικα αφου ανοιξουμε το OpenBullet παταμε πανω αριστερα +New, οπου θα εμφανιστει ενα τετραγωνο κουτι.
Μετα παταμε πανω στο κουτι, παμε κατω αριστερα και παταμε Select CFG, εμφανίζεται ενα δευτερο παραθυρο, οπου και διαλεγουμε το config μας με διπλο κλικ και το φορτωνουμε.
Next step ειναι να βαλουμε την λιστα/combo list, ακριβως κατω δεξια λεει Select list παταμε πανω του και μετα στο στο φακελακι κατω δεξια και βρισκουμε την combo list μας.
τελος μενει να βαλουμε τα proxies οπου θα κανουν και ολη την δουλεια, παμε πανω αριστερα εκει που λεει proxies, δεξια τωρα import και παλι στο φακελακι και βρισκουμε τα proxies.
Αφου ολα πηγαν μια χαρα, ημαστε ετοιμη να ξεκινήσουμε, παταμε εκει που λεει Runner αριστερα απο εκει που λεει proxies, και παταμε start ωστε να βρουμε λογαριασμους.
Στο πανελ δεξια θα εμφανιστούν η λογαριασμοι οπου μας δουλευουν, και κατω δεξια ποσα δοκιμαστηκαν.
Να είστε πιο προσεκτικοί όταν δίνετε τον αριθμό του κινητού σας τηλεφώνουσεάλλους.Μπορεί να αρχίσετε να λαμβάνετε ανεπιθύμητες κλήσεις και μηνύματα.
Τακινητάτηλέφωναπρέπειπάνταναβρίσκονται υπό την επίβλεψή σας. Μηνταδανείζετε σε τρίτους,εκτόςαν είναι απολύτως απαραίτητο και είστε παρόντες.
Αποφύγετε να συναντάτεάτομα που γνωρίσατε στοκινητόσας τηλέφωνο.
Χρησιμοποιήστε το κινητό σας τηλέφωνο μόνο για να επικοινωνήσετε με κάποιον όταν τοχρειάζεστε και μηνστέλνετε ανεπιθύμητα μηνύματα. Πώς θα νιώθατε αν λαμβάνατε έναανεπιθύμητομήνυμα στο κινητό σας τηλέφωνο;
Εάνλάβετεμήνυμα ή φωνητικό μήνυμα στο κινητό σας τηλέφωνο απόκάποιονπουδενγνωρίζετε, διαγράψτε το χωρίς να απαντήσετε.
Για να φωτογραφίσετεέναάλλοάτομο, πρέπει πρώτα να λάβετε την άδειά του.Ναθυμάστεότιμόλις ανεβάσετε μιαφωτογραφία στο διαδίκτυο,θαπαραμείνειεκεί για πάντα και πιθανόταταθαχρησιμοποιηθεί με τρόπο πουδενείχατεαρχικά σκοπό.
Ένας keylogger (ή keystroke logger) είναι ένα είδος κακόβουλου λογισμικού που καταγράφει τα πλήκτρα που πατάει ένας χρήστης σε έναν υπολογιστή ή άλλη συσκευή εισόδου. Τα keyloggers συγκεντρώνουν πληροφορίες σχετικά με τον τρόπο που πληκτρολογείτε, συμπεριλαμβανομένων των κωδικών πρόσβασης, των ονομάτων χρηστών, των μηνυμάτων email, και άλλων ευαίσθητων πληροφοριών.
Σήμερα θα σας δείξω πως να βρείτε που στέλνονται τα στοιχεία σας όταν χρησιμοποιούμε έναν keylogger.
Tα Web shells είναι μικρά προγραμματα η σκριπτακια τα οποια μπορούν να ανεβάσουν (upload) σε ευπαθείς servers και μετα να ανοιχτουν σε ενα προγραμμα περιηγησης παρεχοντας ενα web interface που θα εκτελει εντολες συστηματος.
Με λιγα λογια ειναι backdoors (οι λεγομενες κερκοπορτες) οι οποιες τρεχουνε απο ενα προγραμμα περιηγησης.
Για καθε server,το σκριπτακι η το web shell που θα χρησιμοποιηθει θα πρεπει να ειναι στη γλωσσα που τρεχει η χρησιμοποιει ο sever.(php,asp κτλ).Ετσι λοιπον, αν προκειται για εναν
php server τοτε θα πρεπει να βρουμε ενα php shell.Tα Web shells τρεχουν λιγο φτωχα στο παγκοσμιο ιστο για αυτο το λογο δεν υπαρχει καποια υποδοχη επικοινωνιας οπως χρησιμοποιητε στη περιπτωση του reverse shell οπου ο web server θα πρεπει να συνδεθει με ενα προγραμμα οπως πχ το netcat στου χακερ το μηχανημα ομως.
Για αυτο το λογο τα web shells ειναι πολυ γρηγορα στο στησιμο τους και την εφαρμογη τους.Ωστόσο το μειονέκτημα τους είναι ότι δεν έχουν το διαδραστικο ύφος ενός τερματικού.
Τα web shells παρεχουν ενα γρηγορο γραφικο περιβαλλον που μπορουν να κανουν τα ακολουθα.
1) να περιηγηθουν σε καταλογους
2) να εμφανισουν αρχεια
3) να παρεμβουν σε αρχεια η αν γραψουν αρχεια
4) να κατεβασει αρχεια
5) να διαγραψει αρχεια
6) να ανεβασει αρχεια
7) να εκετελεσει sql εντολες
8) να κανει bypass στην ασφαλεια
9) να εχει προσβαση σε καταλογους-υποκαταλογους.
10) να εκτελεσει εντολες των shells.
Web shells που υπαρχουν στο kali-linux βρισκονται σε αυτη τη διαδρομη
/usr/share/webshells/
Παρολο που περιεχει αρκετα χρησιμα web shells δεν περιέχει τα πιο ”καταστροφικα” που εχουν οι χακερς.
Το Web shell μπορει να τρεξει απο ενα προγραμμα περιηγησης με ενα url οπως αυτο http://target.com/simple-backdoor.php?cmd=cat+/etc/password
H Get παράμετρος cmd περιεχει την εντολή που θα τρεξει στο συστημα.Το σκριπτακι θα τρεξει την εντολη και θα στειλει πισω το αποτελεσμα.
Οι παράμετροι Get δεν είναι ο μονος τροπος να στελνουμε εντολες. Εντολες μπορουν να σταλθουν μεσω post μεσω cookies η ακομα και απο http.
Οι backdoors εχουν και τους περιορισμους τους.Πολλοι web servers εχουν απενεργοποιησει τη λειτουργια php που χρησιμοποιητε για να τρεξει εντολες.
Σε αυτη τη περιπτωση το web shell αποτυγχανει να τρεξει την εντολη.
Επισης ο σερβερ στοχος μπορει να εχει και firewall antivirus που εντοπιζουν τετιοα shells.H ανιχνευση βασιζεται στο hash md5 του αρχειου.
Σε αυτη τη περιπτωση η θα πρεπει να τροποποιησουμε το αρχειο σε μια καταληξη που να μην ειναι ανιχνευσιμη η να γραψουμε το δικο μας shell.
Tο να γραψουμε ενα δικο μας shell δεν ειναι δυσκολο εαν βεβαια γνωριζουμε τη γλωσσα php.
Διαρροή δεδομένων της Air Europa: Οι πελάτες της προειδοποιήθηκαν να ακυρώσουν τις πιστωτικές τους κάρτες
Η ισπανική αεροπορική εταιρεία Air Europa, η τρίτη μεγαλύτερη αεροπορική εταιρεία της χώρας και μέλος της συμμαχίας SkyTeam, προειδοποίησε τη Δευτέρα τους πελάτες της να ακυρώσουν τις πιστωτικές τους κάρτες, αφού οι επιτιθέμενοι απέκτησαν πρόσβαση στις πληροφορίες των καρτών τους σε πρόσφατη παραβίαση δεδομένων.
“Σας ενημερώνουμε ότι πρόσφατα εντοπίστηκε ένα περιστατικό κυβερνοασφάλειας σε ένα από τα συστήματά μας, το οποίο συνίσταται σε πιθανή μη εξουσιοδοτημένη πρόσβαση στα δεδομένα της τραπεζικής σας κάρτας”, ανέφερε η Air Europa σε μηνύματα ηλεκτρονικού ταχυδρομείου που εστάλησαν στα επηρεαζόμενα άτομα και τα οποία είδε το BleepingComputer.
“Έχουμε ασφαλίσει τα συστήματά μας, διασφαλίζοντας την ορθή λειτουργία της υπηρεσίας. Επιπλέον, έχουμε προβεί στις δέουσες κοινοποιήσεις προς τις αρμόδιες αρχές και τους απαραίτητους φορείς (AEPD, INCIBE, τράπεζες κ.λπ.)”.
Τα στοιχεία των πιστωτικών καρτών που εκτέθηκαν κατά την παραβίαση περιλαμβάνουν αριθμούς καρτών, ημερομηνίες λήξης και τον τριψήφιο κωδικό CVV (Card Verification Value) στο πίσω μέρος των καρτών πληρωμής.
Η Air Europa προειδοποίησε επίσης τους πληγέντες πελάτες να ζητήσουν από τις τράπεζές τους να ακυρώσουν τις κάρτες τους που χρησιμοποιούν στον ιστότοπο της αεροπορικής εταιρείας λόγω “του κινδύνου πλαστογράφησης της κάρτας και απάτης” και “για να αποτρέψουν πιθανή δόλια χρήση”.
Οι πελάτες συμβουλεύτηκαν επίσης να μην παρέχουν τα προσωπικά τους στοιχεία ή τους κωδικούς PIN της κάρτας τους σε οποιονδήποτε επικοινωνεί μαζί τους τηλεφωνικά ή μέσω ηλεκτρονικού ταχυδρομείου και να μην ανοίγουν συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου ή μηνύματα που τους προειδοποιούν για απάτες με τις κάρτες τους.
Ο αριθμός των επηρεαζόμενων πελατών παραμένει άγνωστος
Η εταιρεία δεν έχει ακόμη αποκαλύψει πόσοι από τους πελάτες της επηρεάστηκαν από την παραβίαση των δεδομένων, την ημερομηνία παραβίασης των συστημάτων της και πότε εντοπίστηκε το περιστατικό.
Εκπρόσωπος της Air Europa δεν ήταν διαθέσιμος για σχόλια όταν επικοινώνησε με το BleepingComputer νωρίτερα σήμερα.
Πριν από δύο χρόνια, τον Μάρτιο του 2021, η Ισπανική Υπηρεσία Προστασίας Δεδομένων (DPA) επέβαλε επίσης πρόστιμο 600.000 ευρώ στην αεροπορική εταιρεία για παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης (ΓΚΠΔ της ΕΕ) και για την ενημέρωση της υπηρεσίας προστασίας της ιδιωτικής ζωής για την παραβίαση των δεδομένων περισσότερο από 40 ημέρες αργότερα.
Η παραβίαση δεδομένων το 2021 επηρέασε περίπου 489.000 άτομα, με τους επιτιθέμενους να αποκτούν πρόσβαση στα στοιχεία επικοινωνίας και τραπεζικών λογαριασμών τους (αριθμούς καρτών, ημερομηνίες λήξης και κωδικούς CVV) που ήταν αποθηκευμένα σε 1.500.000 αρχεία δεδομένων.
Ενώ οι εγκληματίες χρησιμοποίησαν τα δεδομένα περίπου 4.000 τραπεζικών καρτών σε δόλιες δραστηριότητες, η Air Europa χαρακτήρισε την παραβίαση ως περιστατικό μέσου κινδύνου και επέλεξε να μην ενημερώσει τα πληγέντα άτομα.
Ασφαλής χρήση παιχνιδιών εικονικής πραγματικότητας
Οι γονείς πρέπει να γνωρίζουντα παιχνίδια εικονικής πραγματικότητας (δηλαδήτις υπηρεσίες και τα προϊόντα που προσφέρουν)καιναέχουνεπίγνωσητουτρόπουμετονοποίο τα παιδιά τουςπερνούν το χρόνο τους στο διαδίκτυο.
Ενεργοποιήστε το λογαριασμό του παιδιού σας στο επιλεγμένο παιχνίδι εικονικής πραγματικότητας χρησιμοποιώντας το emailσας.
Ελέγξτε ανυπάρχουνεργαλείαγονικούελέγχουήφιλτραρίσματοςτουδιαδικτύουστονεικονικόκόσμοπου χρησιμοποιεί το παιδί και βεβαιωθείτε ότι τα εργαλεία αυτάείναιενεργοποιημένα.Ηεπαλήθευσητης ηλικίας πραγματοποιείται συνήθως κατά την αγορά ενόςπροϊόντος.Προςτο παρόν δεν υπάρχει σύστημα που να εγγυάται την επαλήθευση της ηλικίας.
Υπάρχουν εργαλεία που εμποδίζουν την πρόσβαση σε ανεπιθύμητους ιστότοπους.Συνιστάταιηχρήσητους.
Ηεπεξεργασία ευαίσθητων προσωπικών δεδομένων, η πρόσβαση σε δωμάτια συνομιλίας,ηαποστολή διαφημιστικών μηνυμάτωνηλεκτρονικούταχυδρομείου,η επικοινωνία με παιδιά μέσω κινητού τηλεφώνου, ησυλλογή δεδομένωνπαιδιών στοδιαδίκτυοκαι ηχρήση των δεδομένωνγια διαφημιστικούς σκοπούςαπαιτούνσυνήθωςτησυγκατάθεση των γονέων. Εξετάστε προσεκτικά αυτές τις επιλογές.
Όπως γνωρίζετε υπάρχουν πολλά πρωτόκολλα ασφαλείας στα ασύρματα δίκτυα, για παράδειγμα WEP, WPA και WPA2.
Το WEP είναι ένα απο τα πιο αδύναμα και το WPA2 απο τα πιο ισχυρά, οπότε το καθιστά και δύσκολο να σπάσει.
-Μερικοί σημαντικοί όροι –
WEP – Wired Equivalent Privacy
WPS – Wi-Fi Protected Setup
WAP – Wireless Application Protocol
WPA – Wi-Fi Protected Access (From June 2004)
WPA2 – Wi-Fi Protected Access v2
SSID – Service Set Identifier (ESSID and BSSID)
PSK – Pre Shared Key
Υπάρχουν πολλά εργαλεία τα οποία μπορούν να σπάσουν δίκτυα Wifi-fi όπως το Gerix Wi-Fi Cracker και το Fern Wi-Fi Cracker.
Τα περισσότερα όμως απο αυτα περιορίζονται μόνο σε δίκτυα WEP και WPA.
Έτσι σήμερα θα δούμε το εργαλείο FLUXION που είναι γραμμένο σε python και χρησιμοποιείται συνήθως για να σπάσουμε δίκτυα WPA2-PSK.
Βήματα για την εγκατάσταση του Fluxion στο Kali Linux – 1)Εγκατάσταση μέσω git clone με την παρακάτω εντολή git clone https://github.com/wi-fi-analyzer/fluxion
2)Πηγαίνετε στο φάκελο Fluxion με την παρακάτω εντολή cd fluxion
3)Για να τρέξουμε το εργαλείο μας, δώστε την εντολή ./fluxion
4) Μετά την ολοκλήρωση της εγκατάστασης, ενδέχεται να σας δείξει ότι λείπουν κάποια πακέτα. Μπορείτε εύκολα να εγκαταστήσετε αυτά που λείπουν με την εντολή ./Installer.sh
Όσο γίνετε η εγκατάσταση, πιθανών να σας ανοίγει διάφορα παράθυρα τα οποία έχουν να κάνουν με την εγκατάστασή τους.
5)Αφου ολοκληρώσαμε και την εγκατάσταση των packages, μπορείτε εύκολα να χρησιμοποιήσετε το Fluxion πληκτρολογώντας αυτήν την εντολή “sudo ./fluxion”
Χρησιμοποιήστε το google για Hacking! Οδηγός σχετικά με τα Google Dorks
Έχω σκοπό να σας δείξω πως μπορείτε να χρησιμοποιήσετε το Google για hacking έτσι ώστε να μπορείτε να εκμεταλευτείτε ακριβώς όλες τις λειτουργίες που σας παρέχει αυτη η μηχανή αναζήτης και να έχετε καλύτερα αποτελέσματα.
Ας ξεκινήσουμε.
inurl: Το inurl χρησιμοποιείται για να μας εμφανίσει ιστοσελίδες οι οποίες έχουν πάνω ένα αρχείο. Για παράδειγμα, αν βάζαμε στο google inurl:”admin.php” θα μας εμφάνιζε όλες τις ιστοσελίδες που εχουν στο url τους το admin.php
Για παράδειγμα Δηλαδή αν θέλατε να βρείτε απο wordpress σελίδα τη σελίδα συνδεσης (Admin Panel) τότε πολύ απλα τα ψάχνατε για inurl:”wp-admin.php” το wp-admin είναι η σελίδα σύνδεσης σε wordpress.
intitle
Παραπάνω είδαμε οτι το inurl λειτουργεί με βάση το url. Το intitle λειτουργεί με βάση το τίτλο της ιστοσελίδας, οπου συνήθως ειναι αυτος που βρίσκετε αναμεσα στα <title> </title> στον html Κώδικα. Δηλαδή με το intitle:”admin login” θα είχαμε το παρακάτω αποτέλεσμα Ακόμα με το intitle μπορείτε να χρησιμοποιήσετε και την εντολή index of για παράδειγμα
intitle:"index of backup"
Ψάχνει για ιστοσελίδες οπου έχουν ανεβασμένο ενα φάκελο με το ονομα backup και ο οποίος είναι εμφανή. Δηλαδή με το Index of μας εμφανίζει τα περιεχόμενα του φακέλου.
Δηλαδή με το intitle:”index of photos” ψάχνει ιστοσελίδες που έχουν πανω ανεβασμένο κάποιο φάκελο με το όνομα photos ο οποίος είναι προσβάσιμος σε ολους.
Και αν μπούμε πχ στο http://www.efoplistis.gr/photos/ μπορούμε να δούμε τι περιέχει μέσα ο φάκελος..
Για σκεφτείτε κάποιος να είχε ανεβάσει Prive εικόνες, δεν θα τις βλέπατε; η να μπορούσατε εσεις να βρείτε μέσα απο αυτο το dork!! filetype
Το filetype απλά θα σας εμφανίσει ολες τις ιστοσελίδες που έχουν πάνω ενα συγκεκριμένο αρχειο.
Για παράδειγμα:
” filetype:pdf ” θα σας εμφανίσει διάφορα Pdf αρχεία.
Μπορείτε να δοκιμάσετε για αρχεία του τυπου .zip .rar. png. xls .xml .txt κ.λ.π.
Αναζήτηση με βάση τη χώρα.
Ωραία μέχρι εδώ!! Αλλα αν εγω θέλω όλες τις ιστοσελίδες με κατάληξη .gov η .gr τι κανω;
Η Λύση είναι απλή, απλα χρησιμοποιείται το site:gr
Για παράδειγμα intitle:"index of backup" site:".gov"
Μπορείτε ομως για ακόμα καλύτερα αποτελέσματα να δοκιμάσετε απλα να βάλετε .gov
Για παράδειγμα intitle:"index of backup" .gov.
Πάμε να δούμε παρακάτω κάποια dorks που έφτιαξα! inurl:wp-config intext:wp-config 'DB_PASSWORD'
Τι ψάχνει;
wp σημαίνει wordpress, και είναι ένα δημοφιλή CMS. Το όνομα χρήστη και κωδικούς πρόσβασης απο τη βάση δεδομένων αποθηκεύονται σε ενα αρχείο wp-config. Έτσι, ψάχνουμε για wp-config στο inurl, στο intext χρησιμοποιήσαμε το wp-config ‘DB_PASSWORD’ εξασφαλίσει το ακριβές αποτέλεσμα.
Θα καταλάβετε περισσότερα όταν θα ψάξετε στο google με αυτο.
Παράδειγμα
Ακόμα και στη πρώτη σελίδα είχατε το παρακάτω αποτέλεσμα.
http://www.twmisfits.com/wp-config.php%20org
Οπου καταφέρατε και βρήκατε τα στοιχεία απο τη βάση δεδομένων. define('DB_NAME', 'themisf4_bandt_live');
/** MySQL database username */ define('DB_USER', 'themisf4_live');
/** MySQL database password */ define('DB_PASSWORD', 'txX=gKz)&U03');
/** MySQL hostname */ define('DB_HOST', 'localhost'); inurl:admin inurl:userlist χρησιμοποιώντας αυτό μπορούμε να βρούμε τα ονόματα απο τα μέλη (users) κάποιας ιστοσελίδας.
inurl:index.php?id= Ενα απλο dork για Sql Injection.
inurl:index.php?id= intext:Warning: mysql num rows() site:gr Ακόμα ενα dork για sql injection αλλα ψάχνει για ιστοσελίδες που εχουν το παραπάνω σφάλμα, οπότε ειναι ευλαωτες και δεν χρειάζετε να τις ψάχνετε εσεις. Στο site:gr θα ψάξει όλες τις ιστοσελίδες .gr
Η WordPress κυκλοφόρησε αυτήν την εβδομάδα μια ενημέρωση ασφαλείας προκειμένου να διορθώσει μια ευπάθεια εκτέλεσης κώδικα απομακρυσμένου (RCE).
Χρησιμοποιώντας σε συνδυασμό με ένα άλλο ελάττωμα, οι χάκερ θα μπορούσαν να εκτελέσουν αυθαίρετο κώδικα PHP σε έναν ιστότοπο του WordPress και καθώς σχεδόν το μισό διαδίκτυο θεωρείται ότι τρέχει σε WordPress, η επιφάνεια επίθεσης είναι αρκετά ευρεία.
Στην ανακοίνωσή της, η WordPress σημειώνει ότι το σφάλμα RCE δεν είναι απευθείας εκτελέσιμο στον πυρήνα, αλλά που, σε συνδυασμό με ορισμένα πρόσθετα, ενδέχεται να συνιστά υψηλό κίνδυνο.
Το σφάλμα RCE επιδιορθώθηκε στην έκδοση WordPress 6.4.2. Συνιστάται στους ιδιοκτήτες και τους διαχειριστές ιστότοπων να ενημερώσουν στην επιδιορθωμένη έκδοση του CMS το συντομότερο δυνατό.
“Ενώ οι περισσότεροι ιστότοποι θα πρέπει να ενημερωθούν αυτόματα στο WordPress 6.4.2, συνιστούμε ιδιαίτερα τον χειροκίνητο έλεγχο του ιστότοπό σας για να εξασφαλίσετε ότι έχει γίνει η ενημέρωση”, σημειώνει η Wordfence.
Συναγερμός στον Ιατρικό Κόσμο: Κλοπή Ιατρικών Εγγραφών από Θυγατρική της Fresenius
Η ομάδα Fresenius Medical Care (FMEG.DE) ανακοίνωσε την Τετάρτη ότι δεδομένα, συμπεριλαμβανομένων ιατρικών εγγραφών, για 500.000 ασθενείς και πρώην ασθενείς κλάπηκαν από μια θυγατρική εταιρεία στις Ηνωμένες Πολιτείες.
“Ενδέχεται να έχει επηρεάσει περίπου 500.000 ασθενείς, πρώην ασθενείς, εγγυητές και 200 υπαλλήλους που βρίσκονται σε αρκετές πολιτείες, επικράτειες των Ηνωμένων Πολιτειών και τέσσερις χώρες”, δήλωσε η γερμανική εταιρεία σε ανακοίνωση.
Ανέφερε ότι ξεκίνησε μια έρευνα με τη βοήθεια μιας εταιρείας μετά τον εντοπισμό του περιστατικού από τη θυγατρική εταιρεία Cardiovascular Consultants Ltd στις 29 Σεπτεμβρίου, όταν αντιλήφθηκε μια παραβίαση ασφαλείας που επηρέασε ορισμένα από τα υπολογιστικά συστήματά της στις Ηνωμένες Πολιτείες.
“Η έρευνα απέδειξε ότι σε συγκεκριμένα συστήματα είχαν πρόσβαση και τα δεδομένα κρυπτογραφήθηκαν και κλάπηκαν από τον εισβολέα”, πρόσθεσε.
Η Fresenius Medical δήλωσε ότι δεν προβλέπει ότι το περιστατικό θα έχει ουσιαστικό αντίκτυπο στα οικονομικά και τη λειτουργία της, αλλά θα πρέπει να ληφθούν υπόψη πιθανές μελλοντικές νομικές διαμάχες και πιθανές φήμες.
Νέο κακόβουλο λογισμικό από τους ‘Sandman’ hackers
Μια άγνωστη ομάδα χάκερς με την ονομασία “Sandman” στοχεύει παρόχους τηλεπικοινωνιακών υπηρεσιών στη Μέση Ανατολή, τη Δυτική Ευρώπη και τη Νότια Ασία, χρησιμοποιώντας ένα αρθρωτό κακόβουλο λογισμικό κλοπής πληροφοριών με την ονομασία “LuaDream”.
Αυτή η κακόβουλη δραστηριότητα ανακαλύφθηκε από την SentinelLabs σε συνεργασία με την QGroup GmbH τον Αύγουστο του 2023, η οποία ονόμασε τον απειλητικό παράγοντα και το κακόβουλο λογισμικό από το εσωτερικό όνομα του backdoor ‘DreamLand client’.
Το επιχειρησιακό στυλ του Sandman είναι να διατηρεί χαμηλό προφίλ για να αποφεύγει την ανίχνευση, ενώ παράλληλα εκτελεί πλευρικές μετακινήσεις και διατηρεί μακροχρόνια πρόσβαση σε παραβιασμένα συστήματα για να μεγιστοποιήσει τις επιχειρήσεις κυβερνοκατασκοπείας του.
Δημοφιλής στόχος
Η Sandman στοχεύει σε παρόχους τηλεπικοινωνιακών υπηρεσιών στη Μέση Ανατολή, τη Δυτική Ευρώπη και τη Νότια Ασία.
Η SentinelOne αναφέρει ότι ο δράστης απειλής αποκτά πρώτα πρόσβαση σε ένα εταιρικό δίκτυο χρησιμοποιώντας κλεμμένα διαπιστευτήρια διαχείρισης.
Μόλις παραβιαστεί το δίκτυο, ο Sandman έχει παρατηρηθεί να χρησιμοποιεί επιθέσεις “pass-the-hash” για την πιστοποίηση ταυτότητας σε απομακρυσμένους διακομιστές και υπηρεσίες, αποσπώντας και επαναχρησιμοποιώντας τους κατακερματισμούς NTLM που είναι αποθηκευμένοι στη μνήμη.
Η έκθεση της SentinelLabs εξηγεί ότι, σε μια περίπτωση, όλοι οι σταθμοί εργασίας που είχαν ως στόχο οι χάκερς είχαν ανατεθεί σε διευθυντικό προσωπικό, υποδεικνύοντας το ενδιαφέρον του επιτιθέμενου για προνομιακές ή εμπιστευτικές πληροφορίες.
LuaDream malware
Η SandMan έχει παρατηρηθεί να αναπτύσσει ένα νέο αρθρωτό κακόβουλο λογισμικό με την ονομασία “LuaDream” σε επιθέσεις που χρησιμοποιούν αεροπειρατεία DLL σε στοχευμένα συστήματα. Το κακόβουλο λογισμικό παίρνει το όνομά του από τη χρήση του μεταγλωττιστή LuaJIT just-in-time για τη γλώσσα σεναρίων Lua
Το κακόβουλο λογισμικό χρησιμοποιείται για τη συλλογή δεδομένων και τη διαχείριση πρόσθετων προγραμμάτων που επεκτείνουν τη λειτουργικότητά του, τα οποία λαμβάνονται από τον διακομιστή εντολών και ελέγχου (C2) και εκτελούνται τοπικά στο σύστημα που έχει παραβιαστεί.
Η ανάπτυξη του κακόβουλου λογισμικού φαίνεται να είναι ενεργή, με μια ανακτημένη συμβολοσειρά εκδόσεων που υποδεικνύει τον αριθμό έκδοσης “12.0.2.5.23.29”, ενώ οι αναλυτές έχουν δει ενδείξεις για αρχεία καταγραφής και λειτουργίες δοκιμών που πηγαίνουν πίσω μέχρι τον Ιούνιο του 2022.
Η σταδιοποίηση του LuaDream βασίζεται σε μια εξελιγμένη διαδικασία επτά βημάτων στη μνήμη με στόχο να αποφύγει την ανίχνευση, η οποία ξεκινά είτε από την υπηρεσία φαξ των Windows είτε από την υπηρεσία Spooler, η οποία εκτελεί το κακόβουλο αρχείο DLL.
Το LuaDream αποτελείται από 34 στοιχεία, με 13 στοιχεία πυρήνα και 21 στοιχεία υποστήριξης, τα οποία χρησιμοποιούν τον bytecode LuaJIT και το API των Windows μέσω της βιβλιοθήκης ffi.
Τα στοιχεία πυρήνα χειρίζονται τις πρωταρχικές λειτουργίες του κακόβουλου λογισμικού, όπως η συλλογή δεδομένων συστήματος και χρήστη, ο έλεγχος των πρόσθετων και οι επικοινωνίες C2, ενώ τα στοιχεία υποστήριξης ασχολούνται με τις τεχνικές πτυχές, όπως η παροχή βιβλιοθηκών Lua και ορισμών του API των Windows.
Κατά την αρχικοποίηση, το LuaDream συνδέεται με έναν διακομιστή C2 (μέσω TCP, HTTPS, WebSocket ή QUIC) και στέλνει τις πληροφορίες που έχει συλλέξει, συμπεριλαμβανομένων των εκδόσεων κακόβουλου λογισμικού, διευθύνσεων IP/MAC, στοιχείων λειτουργικού συστήματος κ.λπ.
Λόγω του ότι οι επιτιθέμενοι αναπτύσσουν συγκεκριμένα plugins μέσω του LuaDream σε κάθε επίθεση, η SentinelLabs δεν διαθέτει εξαντλητικό κατάλογο όλων των διαθέσιμων plugins.
Ωστόσο, η έκθεση σημειώνει ένα module με την ονομασία “cmd”, το όνομα του οποίου υποδηλώνει ότι παρέχει στους επιτιθέμενους δυνατότητες εκτέλεσης εντολών στην παραβιασμένη συσκευή.
Ενώ έχουν εκτεθεί ορισμένα από τα προσαρμοσμένα κακόβουλα προγράμματα της Sandman και μέρος της υποδομής του διακομιστή C2, η προέλευση του δράστη της απειλής παραμένει αναπάντητη.
Η Sandman έρχεται να προστεθεί σε έναν αυξανόμενο κατάλογο προηγμένων επιτιθέμενων που στοχεύουν εταιρείες τηλεπικοινωνιών για κατασκοπεία, χρησιμοποιώντας μοναδικά μυστικά backdoors που είναι δύσκολο να εντοπιστούν και να σταματήσουν.
Οι πάροχοι τηλεπικοινωνιών αποτελούν συχνό στόχο για κατασκοπευτικές δραστηριότητες λόγω της ευαίσθητης φύσης των δεδομένων που διαχειρίζονται.
Νωρίτερα αυτή την εβδομάδα, αναφερθήκαμε σε ένα νέο σύμπλεγμα δραστηριοτήτων που εντοπίστηκε ως “ShroudedSnooper” και χρησιμοποίησε δύο νέα backdoors, το HTTPSnoop και το PipeSnoop, εναντίον τηλεπικοινωνιακών παρόχων στη Μέση Ανατολή.
Χάκερς παραβίασαν τα συστήματα του Διεθνούς Ποινικού Δικαστηρίου την περασμένη εβδομάδα
Το Διεθνές Ποινικό Δικαστήριο (ΔΠΔ) αποκάλυψε μια κυβερνοεπίθεση την Τρίτη, αφού ανακάλυψε την περασμένη εβδομάδα ότι τα συστήματά του είχαν παραβιαστεί. Ανέφεραν ότι επί του παρόντος διερευνά το περιστατικό με τη συνδρομή των ολλανδικών αρχών, καθώς οι Κάτω Χώρες λειτουργούν ως χώρα υποδοχής του ΔΠΔ. Το ΔΠΔ περιέγραψε επίσης σχέδια για την εντατικοποίηση των προσπαθειών για την ενίσχυση της άμυνας του στον κυβερνοχώρο, συμπεριλαμβανομένης της επιτάχυνσης της υιοθέτησης της τεχνολογίας cloud.
Προς το παρόν, δεν υπάρχουν διαθέσιμες πληροφορίες σχετικά με την έκταση της φύσης της κυβερνοεπίθεσης και τον αντίκτυπο στα συστήματα του ΔΠΔ ή αν οι δράστες κατάφεραν να αποκτήσουν πρόσβαση ή να εξαφανίσουν δεδομένα ή αρχεία από το δίκτυό του. Το Δικαστήριο αποκάλυψε μόνο ότι “συνεχίζει να αναλύει και να μετριάζει τον αντίκτυπο αυτού του περιστατικού”, εστιάζοντας στη “διασφάλιση της συνέχισης του βασικού έργου του Δικαστηρίου”.
Ο εκπρόσωπος Fadi El-Adballah δήλωσε ότι το ΔΠΔ δεν μπορεί να παράσχει περαιτέρω λεπτομέρειες ή πληροφορίες. Το ΔΠΔ είναι ένα διεθνές δικαστήριο που ερευνά και διώκει τα σοβαρότερα αδικήματα που επηρεάζουν τη διεθνή κοινότητα, συμπεριλαμβανομένων των εγκλημάτων πολέμου, της γενοκτονίας και των εγκλημάτων κατά της ανθρωπότητας. Για παράδειγμα, τον Μάρτιο του 2023, το ΔΠΔ εξέδωσε ένταλμα σύλληψης για τον Ρώσο πρόεδρο Βλαντιμίρ Πούτιν σχετικά με εγκλήματα που συνδέονται με την εισβολή της Ρωσίας στην Ουκρανία.
Το ΔΠΔ ιδρύθηκε το 2002 μετά τη θέση σε ισχύ του Καταστατικού του Διεθνούς Ποινικού Δικαστηρίου της Ρώμης (Καταστατικό της Ρώμης) και από τον Μάρτιο του 2023 έχει 123 κράτη μέλη.
Κρίσιμη Ευπάθεια στο WordPress Plugin Backup Migration: Κίνδυνος Για Χιλιάδες Ιστότοπους
Η ασφάλεια του WordPress plugin Backup Migration βρίσκεται σε κρίσιμη κατάσταση, καθώς μια ευπάθεια επιτρέπει σε κακόβουλους επιτιθέμενους να εκτελούν κώδικα απομακρυσμένα, παραβιάζοντας πλήρως τα sites που χρησιμοποιούν αυτό το πρόσθετο.
Το Backup Migration είναι ένα plugin για το WordPress με περισσότερες από 90.000 εγκαταστάσεις, προσφέροντας στους διαχειριστές των ιστότοπων τη δυνατότητα αυτοματοποίησης των αντιγράφων ασφαλείας στον τοπικό χώρο αποθήκευσης ή στο Google Drive.
Η ευπάθεια (CVE-2023-6553), που ανακαλύφθηκε από την ομάδα ασφαλείας Nex Team, θεωρείται κρίσιμη. Η ομάδα ανέφερε το εύρημα στην Wordfence, μια οργάνωση που ασχολείται με θέματα ασφαλείας του WordPress, στο πλαίσιο ενός προγράμματος bug bounty.
Πως λειτουργεί μια επίθεση DDos και τρόποι προστασίας
Οι επιθέσεις DDoS (Distributed Denial of Service) λειτουργούν καταφέρνοντας να υπερφορτώσουν έναν στόχο με κίνηση από πολλούς υπολογιστές ή συσκευές, καθιστώντας τον μη διαθέσιμο για τους νόμιμους χρήστες. Ακολουθούν τα βασικά στάδια του πώς λειτουργεί μια επίθεση DDoS:
Επιλογή του Στόχου: Ο επιτιθέμενος επιλέγει μια ιστοσελίδα, έναν διακομιστή ή μια υπηρεσία ως στόχο για την επίθεση DDoS.
Δημιουργία Botnet Δικτύου (Botnet): Ο επιτιθέμενος συγκεντρώνει ένα μεγάλο αριθμό υπολογιστών ή συσκευών που είναι μολυσμένα από κακόβουλο λογισμικό (malware) και έχουν μετατραπεί σε bot. Αυτά τα μέλη του botnet μπορούν να ελεγχθούν από τον επιτιθέμενο.
Εκτέλεση της Επίθεσης: Ο επιτιθέμενος εκτελεί την επίθεση ενεργοποιώντας τους υπολογιστές στο botnet να στείλουν μεγάλο όγκο αιτημάτων στον στόχο (συνήθως στον διακομιστή του στόχου).
Υπερφόρτωση του Διακομιστή Στόχου: Ο διακομιστής στόχος αντιμετωπίζει τον υπερβολικό όγκο κίνησης από το botnet. Οι αιτήσεις από το botnet συχνά είναι ανώνυμες ή περιέχουν πλαστικά δεδομένα, καθιστώντας δύσκολο τον διαχωρισμό μεταξύ νόμιμων και κακόβουλων αιτημάτων.
Αποτυχία της Διαθεσιμότητας: Η διακίνηση των κακόβουλων αιτημάτων καταφέρνει να υπερφορτώσει τον διακομιστή στόχο, καθιστώντας τον μη διαθέσιμο για τους νόμιμους χρήστες. Αυτό είναι γνωστό ως “αποκοπή της υπηρεσίας” (Denial of Service) και συνήθως είναι το αποτέλεσμα της επίθεσης DDoS.
Οι επιθέσεις DDoS μπορούν να έχουν σοβαρές συνέπειες για τους στόχους τους, όπως διακοπή της λειτουργίας της ιστοσελίδας ή της υπηρεσίας, απώλεια επιχειρηματικής δραστηριότητας και οικονομικές απώλειες. Για αυτόν τον λόγο, οι ιδιοκτήτες ιστοσελίδων και οι διαχειριστές δικτύου πρέπει να λάβουν μέτρα προστασίας, όπως τη χρήση WAFs, CDNs, και λοιπών ασφαλιστικών πρακτικών για την αντιμετώπιση των επιθέσεων DDoS.
Η προστασία από επιθέσεις DDoS (Distributed Denial of Service) είναι σημαντική για τη διατήρηση της διαθεσιμότητας της ιστοσελίδας σας και την προστασία της από υπερφορτώσεις του δικτύου. Εδώ είναι μερικά βασικά μέτρα για την προστασία από DDoS:
Χρησιμοποιήστε Content Delivery Network (CDN): Η χρήση ενός CDN μπορεί να βοηθήσει στην κατανομή του φόρτου των επιθέσεων DDoS σε διάφορες τοποθεσίες, μειώνοντας τον αντίκτυπο στον κύριο διακομιστή σας.
Χρησιμοποιήστε Φιλτρά και Εισόδους Web Application Firewall (WAF): Ένα WAF μπορεί να ανιχνεύσει και να αποτρέψει επιθέσεις DDoS. Συνδυάζοντας το με φιλτρά ανάλυσης κίνησης, μπορείτε να αντιμετωπίσετε τις επιθέσεις πριν φτάσουν στον διακομιστή σας.
Παρακολούθηση της Κίνησης Δικτύου: Χρησιμοποιήστε λύσεις παρακολούθησης της κίνησης του δικτύου για να ανιχνεύετε ασυνήθιστη δραστηριότητα που ενδεχομένως να υποδηλώνει DDoS επιθέσεις.
Αντιμετώπιση της Εξελισσόμενης Κίνησης: Ορίστε μηχανισμούς αυτόματης επέκτασης της υποδομής σας για να αντιμετωπίζετε αυξημένη κίνηση κατά την επίδειξη επιθέσεων DDoS.
Απενεργοποίηση Pingbacks και Trackbacks: Στο WordPress, απενεργοποιήστε τις λειτουργίες Pingbacks και Trackbacks, καθώς μπορούν να χρησιμοποιηθούν για επιθέσεις επικάλυψης DDoS.
Χρησιμοποιήστε Υπηρεσίες Ασφαλείας DDoS: Υπάρχουν πολλές εταιρείες που προσφέρουν υπηρεσίες προστασίας DDoS. Αυτές οι υπηρεσίες μπορούν να αναλάβουν την προστασία της ιστοσελίδας σας και να διαχειριστούν την κίνηση DDoS για εσάς.
Σχεδιασμός για Κλιμάκωση: Σχεδιάστε την υποδομή σας και τον κωδικά της ιστοσελίδας σας με τη δυνατότητα κλιμάκωσης, έτσι ώστε να μπορεί να αντιμετωπίσει αυξημένη κίνηση κατά τις επιθέσεις DDoS χωρίς να αποτύχει.
Εφαρμογή Rate Limiting: Εφαρμόστε περιορισμούς στον αριθμό των αιτήσεων που μπορούν να γίνουν από μια διεύθυνση IP σε σύντομο χρονικό διάστημα.
Εφαρμόστε περιορισμούς: Εάν γνωρίζετε τη γεωγραφική περιοχή από την οποία προέρχονται συχνά οι επιθέσεις, μπορείτε να εφαρμόσετε περιορισμούς που θα αποκλείουν την κίνηση από αυτές τις χώρες.
CloudFlare και προστασία απο επιθέσεις DDos
Η Cloudflare παρέχει εξειδικευμένα εργαλεία και υπηρεσίες για την προστασία από DDoS επιθέσεις. Εδώ είναι μερικά από τα βήματα που μπορείτε να ακολουθήσετε για να ενισχύσετε την προστασία σας χρησιμοποιώντας την υπηρεσία Cloudflare:
Ενεργοποίηση του DDoS Protection: Βεβαιωθείτε ότι έχετε ενεργοποιήσει την προστασία DDoS από τον λογαριασμό Cloudflare σας. Αυτό περιλαμβάνει την προστασία από επιθέσεις (Layer 3/4) και επιθέσεις εφαρμογής (Layer 7).
Διαμορφώστε τους κανόνες ασφαλείας: Στον πίνακα ελέγχου της Cloudflare, μπορείτε να διαμορφώσετε κανόνες ασφαλείας για να ανιχνεύουν και να φιλτράρουν κίνηση που φαίνεται ύποπτη ή από επιθετικές διευθύνσεις IP.
Χρησιμοποιήστε τη λειτουργία “I’m Under Attack”: Η Cloudflare έχει μια επιλογή που λέγεται “I’m Under Attack,” η οποία ενεργοποιεί επιπρόσθετα μέτρα προστασίας κατά των DDoS επιθέσεων. Μπορείτε να τη χρησιμοποιήσετε όταν παρατηρείτε υπερβολική κίνηση.
Καταγραφή και ανάλυση: Ενεργοποιήστε την καταγραφή γεγονότων και ανάλυση κίνησης στο Cloudflare για να παρακολουθείτε την εισερχόμενη κίνηση και να ανιχνεύετε επιθέσεις.
Χρησιμοποιήστε την WAF της Cloudflare: Η Web Application Firewall (WAF) της Cloudflare μπορεί να ανιχνεύει και να προστατεύει την εφαρμογή σας από επιθέσεις εφαρμογής. Ρυθμίστε την WAF σύμφωνα με τις ανάγκες σας.
Χρησιμοποιήστε Rate Limiting: Η υπηρεσία Rate Limiting της Cloudflare μπορεί να περιορίσει τον αριθμό των αιτημάτων από μια διεύθυνση IP σε ένα συγκεκριμένο χρονικό διάστημα, βοηθώντας έτσι στην αντιμετώπιση επιθέσεων που βασίζονται στον όγκο.
Συνεχής ενημέρωση και παρακολούθηση: Παρακολουθείτε συνεχώς τις αναφορές ασφαλείας της Cloudflare και ενημερώνετε τις ρυθμίσεις ασφαλείας σας ανάλογα με τις νέες απειλές.
Η Μεγαλύτερη Συνεργασία Χάκερ στην Ιστορία: Μαζική Κυβερνοεπίθεση κατά Βαλτικής & Πολωνίας
Πρόσφατα, οι υπεύθυνοι της κυβερνοεπίθεσης ανακοίνωσαν τη μαζικότερη συνεργασία χάκερ που έχει ποτέ καταγραφεί. Σύμφωνα με το RIA Novosti, 16 ομάδες φιλορώσικών χάκερ δήλωσαν ότι πραγματοποίησαν επιτυχημένες επιθέσεις εναντίον περισσότερων από 100 στόχων, σε μία μαζική επιχείρηση εναντίον “συνενοχών ουκρανικών επιθέσεων” στη Ρωσία. Ανάμεσα στους στόχους βρισκόταν και η βάση δεδομένων του υπουργείου εσωτερικών ζητημάτων της Λετονίας, μία χώρα της Βαλτικής.
Οι χάκερ ανέφεραν πως απενεργοποίησαν 127 πηγές πληροφοριών σχετικά με την Πολωνία και άλλες βαλτικές χώρες. Επιπλέον, δημοσίευσαν δήλωση που αναφέρει “ο πόλεμος θα τελειώσει μόνο όταν καταστραφεί και ο τελευταίος Ναζί.”
Κατά τη διάρκεια της επίθεσης, παραπέμφθηκαν τα κανάλια ανταλλαγής επίσημων μηνυμάτων κρατικών σωμάτων, ενώ επιβλήθηκε διακοπή στο τραπεζικό σύστημα κινητών τηλεφώνων και διαταράχθηκε η λειτουργία παρκόμετρων.
Επιπλέον, το υπουργείο εσωτερικών της Λετονίας ήταν ένας από τους κύριους στόχους των χακερ. Η επίθεση οδήγησε στη διαρροή αλληλογραφίας, πληροφοριών για τους υπαλλήλους, έγγραφα και προγράμματα διακοπών στο διαδίκτυο, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση σε αυτά.
Αυτή είναι η πρώτη φορά στην ιστορία του Διαδικτύου που τόσες πολλές ομάδες χάκερ συνεργάστηκαν και εκτέλεσαν τέτοια μαζική επίθεση. Σύμφωνα με τις δηλώσεις των χάκερ, στόχος των επιθέσεών τους αποτέλεσαν χώρες που υποστήριξαν την Ουκρανία σε πρόσφατες επιθέσεις της εναντίον ρωσικών στόχων.
Το μήνυμά τους είναι σαφές: σκοπεύουν να συνεχίσουν τις επιθέσεις υποστηρίζοντας την ειδική στρατιωτική επιχείρηση της Ρωσίας εναντίον της Ουκρανίας και του ΝΑΤΟ.
Αυτός ο συντονισμένος κυβερνοεπιθετικός συντονισμός αναδεικνύει τη σοβαρότητα της κυβερνοασφάλειας και την ανάγκη για αυξημένα μέτρα προστασίας στον ψηφιακό χώρο.
Αυτές οι επιθέσεις αποκαλύπτουν την εξαιρετική σημασία της διεθνούς συνεργασίας στον τομέα της κυβερνοασφάλειας, καθώς οι κυβερνήσεις και οι οργανισμοί αντιμετωπίζουν αυξανόμενες απειλές από κυβερνοεπιθέσεις. Η ανταλλαγή πληροφοριών και η συνεργασία σε διεθνές επίπεδο είναι κρίσιμες για την αντιμετώπιση αυτών των απειλών.
Η κυβερνοεπίθεση αυτή αποτελεί επίσης υπενθύμιση για όλους μας να είμαστε επιφυλακτικοί και προστατευμένοι στον ψηφιακό μας κόσμο. Η ασφάλεια των πληροφοριακών συστημάτων και των δικτύων μας είναι αναγκαία για την προστασία των ευαίσθητων πληροφοριών μας και τη διασφάλιση της εθνικής ασφάλειας.
Κυβερνοεγκληματίες Στρέφονται στα Email για Χριστουγεννιάτικες Απάτες
Επιστήμονες έχουν εκδώσει προειδοποίηση προς τους χρήστες των υπηρεσιών ηλεκτρονικού ταχυδρομείου, όπως Gmail και Outlook, καθώς αναμένεται να αυξηθεί ο όγκος των απάτες μέσω email κατά τη διάρκεια των Χριστουγέννων. Μετά από εβδομάδες online αγορών και προσοχή στις επερχόμενες εκπτώσεις, οι ευκαιρίες για κυβερνοεπιθέσεις μέσω ηλεκτρονικού ταχυδρομείου αυξάνονται.
Σύμφωνα με την Vonny Gamot, Υπεύθυνη της ΕΜΕΑ στην McAfee, κυβερνοεγκληματίες χρησιμοποιούν απάτες μέσω ηλεκτρονικού ταχυδρομείου ή ψεύτικες ιστοσελίδες για να παρασύρουν ανθρώπους. Με την προβλεπόμενη εμφάνιση 10 εκατομμυρίων επιπλέον διαδικτυακών απειλών κατά την περίοδο των Χριστουγέννων, είναι σημαντικό να είμαστε επιφυλακτικοί με γορτινές προσφορές και ενημερώσεις παραγγελίας.
Η εταιρεία McAfee προειδοποιεί ότι αν κάτι φαίνεται υπερβολικά καλό για να είναι αληθινό, πιθανότατα δεν είναι. Κατά τη διάρκεια των Χριστουγέννων, οι απάτες μέσω email ή απάτες παράδοσης γίνονται πιο επικίνδυνες. Είναι σημαντικό να επιβεβαιώνετε τις πληροφορίες πριν από κλικ σε συνδέσμους ή ανοίγματος συνημμένων σε emails.
Για προστασία από απάτες μέσω email, αποφύγετε να ανοίξετε ανεπιθύμητα emails ή να κάνετε κλικ σε ύποπτου περιεχομένου συνδέσμους. Προσέξτε επίσης τις προσπάθειες phishing που ζητούν προσωπικές πληροφορίες. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και ενημερώνετε τους περιοδικά. Τέλος, εγκαταστήστε και ενημερώστε το λογισμικό ασφαλείας στη συσκευή σας για αποτροπή απατών μέσω ηλεκτρονικού ταχυδρομείου.
Σε αυτόν τον οδηγό θα χρησιμοποιήσουμε ψεύτικα credits hacks για διάφορα παιχνίδια.
Μπορείτε να τα βρείτε στο youtube γράφοντας για παράδειγμα League of Legends RP Hack.
Βήμα 1o : Πάτε στο youtube και κάντε αναζήτηση για ένα “game hack” (LoL RP Hack,Lineage 2 Hack κτλ.).
Βήμα 2ο : Κατεβάστε το Hex Workshop και εγκαταστήστε το. LINK HERE
Βήμα 3ο : Αφού κατεβάσετε το game hack της επιλογής σας (πιθανότατα να είναι exe η compressed file) μετακινήστε το σε ένα φάκελο της επιλογής σας στον οποίο δεν θα έχετε τίποτα άλλο και κάντε το extract ΑΝ είναι compressed.
Βήμα 4ο : Κάντε δεξί-κλικ πάνω στο “game hack” exe και πατήστε στο “Hex Edit with Hex Workshop v6.7”.
Βήμα 5ο : Θα σας ανοίξει το Hex Workshop και το μόνο που θα βλέπετε είναι Hex Values.Πατήστε Ctrl+F , αλλάξτε το Type: σε Text String και στο Value: δοκιμάστε να βάλετε gmail και πατήστε find.Αν βρει κάτι θα δείτε ένα μαυρισμένο μέρος με Hex Values.Αν δεν βρει κάτι συνεχίστε να ψάχνετε βάζοντας άλλα email providers όπως yahoo,hotmail,live κτλ.
Βήμα 6ο : Μην πειράξετε το μαυρισμένο μέρος. Απλά κοιτάξτε δεξιά στα Texts.
Βήμα 7ο : Αντιγράψτε το μαρκαρισμένο text σε ένα Text Document, αφαιρέστε τις τελείες και μπροστά σας θα έχετε το e-mail + pass του δημιουργού του ψεύτικου “game hack”.