Αλλαγή Διεύθυνσης MAC με το Macchanger στο Kali Linux

2 Δεκεμβρίου 2023 by Αλέξανδρος Βυζάντιος

Το Macchanger στο Kali Linux αποτελεί ένα ισχυρό εργαλείο που επιτρέπει στους χρήστες να αλλάξουν τη διεύθυνση MAC της δικτυακής τους κάρτας, προσθέτοντας ένα επιπλέον επίπεδο ανωνυμίας στις διαδικασίες τους.

Σε αυτό το άρθρο, θα εξετάσουμε πώς να χρησιμοποιήσετε αποτελεσματικά το Macchanger στο Kali Linux, ενισχύοντας την ανωνυμία σας στο δίκτυο.

Η διεύθυνση MAC (Media Access Control) είναι ένα μοναδικό αναγνωριστικό που ανατίθεται σε κάθε δικτυακή συσκευή. Χρησιμοποιείται για τον αναγνωρισμό και την επικοινωνία στο δίκτυο.

Η αλλαγή της διεύθυνσης MAC με το Macchanger επιτρέπει στους χρήστες να τροποποιήσουν αυτό το αναγνωριστικό, έχοντας παραπάνω ανωμία.

Οδηγίες Χρήσης του Macchanger στο Kali Linux

Άνοιγμα Τερματικού:
Εκτέλεση του Macchanger:

sudo macchanger -r [Όνομα Δικτυακής Κάρτας]

Για παράδειγμα:

sudo macchanger -r eth0

Το [Όνομα δικτυακής κάρτας] αναφέρεται στο όνομα της δικτυακής σας κάρτας, π.χ., eth0 ή wlan0.

Για επαναφορά της πραγματικής διεύθυνσης MAC

sudo macchanger -p [Όνομα Δικτυακής Κάρτας]

Για να βρείτε το όνομα της κάρτας Wi-Fi στο Kali Linux, μπορείτε να χρησιμοποιήσετε την εντολή iwconfig ή την εντολή ifconfig. Αυτές οι εντολές εμφανίζουν πληροφορίες σχετικά με τις διαθέσιμες δικτυακές συσκευές, συμπεριλαμβανομένων των ασύρματων.

Εκτελέστε τις παρακάτω εντολές στο τερματικό:

iwconfig

Θα δείτε μια λίστα με τις ασύρματες δικτυακές συσκευές, και το όνομα της κάρτας Wi-Fi θα εμφανίζεται στην αρχή της κάθε εγγραφής.
Χρησιμοποιώντας το

ifconfig

Θα δείτε μια λίστα με όλες τις δικτυακές συσκευές. Η κάρτα Wi-Fi θα είναι συνήθως με τη μορφή wlanX, όπου X είναι ένας αριθμός.

Αλέξανδρος Βυζάντιος

Hacks.gr

Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας. Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους. Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.

https://hacks.gr/

alex@hacks.gr

Αφήστε μια απάντηση Ακύρωση απάντησης

Συμβουλές: Πώς να βοηθήσετε κάποιον που ο λογαριασμός του έχει παραβιαστεί;

Παρόλο που αυτές οι συμβουλές δεν σχετίζονται ειδικά με την ασφάλεια, γνωρίζουμε ότι πολλοί από εσάς έχετε λάβει αναφορές ότι οι λογαριασμοί σας έχουν παραβιαστεί. Δημιουργήσαμε ορισμένα εργαλεία που επιτρέπουν στους χρήστες να επαναφέρουν τους λογαριασμούς τους μόνοι τους, εάν οι λογαριασμοί τους έχουν παραβιαστεί.

Πρώτον, βεβαιωθείτε ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου που σχετίζεται με το λογαριασμό είναι προστατευμένη ή ότι έχει δημιουργηθεί μια νέα διεύθυνση ηλεκτρονικού ταχυδρομείου για την επαναφορά του λογαριασμού.
Καθοδηγήστε τον καταγγέλλοντα να επισκεφθεί την ακόλουθη διεύθυνση: www.facebook.com/hacked. Περισσότερες πληροφορίες σχετικά με τον τρόπο επαναφοράς του λογαριασμού του: https://m.facebook.com/login/identify?refid=69
Εάν ο καταγγέλλων έχει χάσει την πρόσβαση στο email του λογαριασμού του στο Facebook, παρακαλούμε συμβουλέψτε τον να ξεκινήσει από εδώ: https://www.facebook.com/help/132243923516844.
Εάν ο λογαριασμός του χρήστη δεν έχει παραβιαστεί, ο χρήστης δεν θα έχει πλέον πρόσβαση στο λογαριασμό και δεν θα μπορεί να συνδεθεί: https://www.facebook.com/help/292105707596942/.

Δύο συμβουλές για να προλάβετε την παραβίαση από την αρχή:

Κάντε τον έλεγχο ασφαλείας! https://www.facebook.com/help/securitycheckup
Βεβαιωθείτε ότι έχετε διαφορετικούς κωδικούς στο Facebook και στον λογαριασμό ηλεκτρονικού ταχυδρομείου.

Anastasis Vasileiadis

Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.

Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.

https://beacons.ai/cyberkid1987

cyberkid@hacks.gr

Η ομάδα hackers Evasive Gelsemium εντοπίστηκε σε επίθεση κατά της ασιατικής κυβέρνησης

Μια προηγμένη απειλή (APT) που εντοπίστηκε ως Gelsemium παρατηρήθηκε σε επιθέσεις με στόχο μια κυβέρνηση της Νοτιοανατολικής Ασίας που διήρκεσαν έξι μήνες μεταξύ 2022 και 2023.

Η Gelsemium είναι μια ομάδα κυβερνοκατασκοπείας που λειτουργεί από το 2014 και στοχεύει κυβερνήσεις, εκπαιδευτικούς φορείς και κατασκευαστές ηλεκτρονικών ειδών στην Ανατολική Ασία και τη Μέση Ανατολή.

Η έκθεση της ESET από το 2021 χαρακτηρίζει την ομάδα απειλών ως “αθόρυβη”, υπογραμμίζοντας την τεράστια τεχνική ικανότητα και τις γνώσεις προγραμματισμού που τη βοήθησαν να πετάξει κάτω από το ραντάρ για πολλά χρόνια.

Μια νέα έκθεση της Μονάδας 42 της Palo Alto Network αποκαλύπτει πώς μια νέα εκστρατεία της Gelsemium χρησιμοποιεί σπάνια παρατηρούμενα backdoors που συνδέονται με τους φορείς απειλής με μέτρια εμπιστοσύνη.

Πρόσφατες επιθέσεις της Gelsemium

Η αρχική παραβίαση των στόχων της Gelsemium επιτεύχθηκε μέσω της εγκατάστασης κελυφών ιστού, πιθανότατα μετά την εκμετάλλευση ευπαθειών σε διακομιστές που έχουν πρόσβαση στο διαδίκτυο.

Η Μονάδα 42 αναφέρει ότι είδε τα κελύφη ιστού “reGeorg”, “China Chopper” και “AspxSpy”, τα οποία είναι δημόσια διαθέσιμα και χρησιμοποιούνται από πολλές ομάδες απειλών, καθιστώντας την απόδοση δύσκολη.

Χρησιμοποιώντας αυτά τα κελύφη ιστού, το Gelsemium πραγματοποίησε βασική αναγνώριση δικτύου, μετακινήθηκε πλευρικά μέσω SMB και ανέκτησε πρόσθετα ωφέλιμα φορτία.

Αυτά τα πρόσθετα εργαλεία που βοηθούν στην πλευρική μετακίνηση, τη συλλογή δεδομένων και την κλιμάκωση προνομίων περιλαμβάνουν τα OwlProxy, SessionManager, Cobalt Strike, SpoolFool και EarthWorm.

Το Cobalt Strike είναι μια ευρέως χρησιμοποιούμενη σουίτα δοκιμών διείσδυσης, το EarthWorm είναι ένας δημόσια διαθέσιμος tunneler SOCKS και το SpoolFool είναι ένα τοπικό εργαλείο κλιμάκωσης προνομίων ανοικτού κώδικα, οπότε αυτά τα τρία δεν αφορούν ειδικά το Gelsemium.

Ωστόσο, το OwlProxy είναι ένα μοναδικό, προσαρμοσμένο εργαλείο HTTP proxy και backdoor της Μονάδας 42 αναφέρει ότι το Gelsemium το χρησιμοποίησε σε μια παλαιότερη επίθεση με στόχο την κυβέρνηση της Ταϊβάν.

Στην τελευταία εκστρατεία, ο δράστης της απειλής ανέπτυξε ένα εκτελέσιμο πρόγραμμα που αποθήκευσε ένα ενσωματωμένο DLL (wmipd.dll) στο δίσκο του παραβιασμένου συστήματος και δημιούργησε μια υπηρεσία που το εκτελεί.

Το DLL είναι μια παραλλαγή του OwlProxy, το οποίο δημιουργεί μια υπηρεσία HTTP που παρακολουθεί τις εισερχόμενες αιτήσεις για συγκεκριμένα μοτίβα URL που κρύβουν εντολές.

Οι ερευνητές λένε ότι τα προϊόντα ασφαλείας στο σύστημα-στόχο εμπόδισαν την εκτέλεση του OwlProxy, οπότε οι επιτιθέμενοι επέστρεψαν στη χρήση του EarthWorm.

Το δεύτερο προσαρμοσμένο εμφύτευμα που σχετίζεται με το Gelsemium είναι το SessionManager, μια κερκόπορτα IIS που η Kaspersky συνέδεσε με την ομάδα απειλών το περασμένο καλοκαίρι.

Το δείγμα της πρόσφατης επίθεσης παρακολουθούσε τις εισερχόμενες αιτήσεις HTTP, αναζητώντας ένα συγκεκριμένο πεδίο Cookie που μεταφέρει εντολές για εκτέλεση στον υπολογιστή.

Οι εντολές αυτές αφορούν τη μεταφόρτωση αρχείων στον ή από τον διακομιστή C2, την εκτέλεση εντολών, την εκκίνηση εφαρμογών ή τη διαμεσολάβηση για συνδέσεις σε πρόσθετα συστήματα.

Η λειτουργία μεσολάβησης στο πλαίσιο των OwlProxy και SessionManager δείχνει την πρόθεση των φορέων απειλής να χρησιμοποιήσουν τον παραβιασμένο διακομιστή ως πύλη για την επικοινωνία με άλλα συστήματα στο δίκτυο-στόχο.

Anastasis Vasileiadis

Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.

Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.

https://beacons.ai/cyberkid1987

cyberkid@hacks.gr

Χάκερς τροποποιούν τις σελίδες 404 των ηλεκτρονικών καταστημάτων για να κλέψουν πιστωτικές κάρτες

Μια νέα μορφή επίθεσης κατά των καρτών της Magecart, καταλαμβάνει τις σελίδες σφαλμάτων 404 των ιστότοπων των διαδικτυακών πωλητών, κρύβοντας κακόβουλο κώδικα για να κλέψει τα στοιχεία των πιστωτικών καρτών των πελατών.

Η τεχνική αυτή είναι μία από τις τρεις παραλλαγές που παρατηρήθηκαν από ερευνητές της Akamai Security Intelligence Group, με τις άλλες δύο να κρύβουν τον κώδικα στο χαρακτηριστικό “onerror” της ετικέτας HTML και σε ένα δυαδικό αρχείο εικόνας για να φαίνεται ως το απόσπασμα κώδικα Meta Pixel.

Η Akamai αναφέρει ότι η επίθεση επικεντρώνεται σε ιστότοπους Magento και WooCommerce, με ορισμένα θύματα να συνδέονται με γνωστούς οργανισμούς στους τομείς των τροφίμων και του λιανικού εμπορίου.

Χειραγώγηση σελίδων 404

Όλοι οι ιστότοποι διαθέτουν σελίδες σφάλματος 404, οι οποίες εμφανίζονται στους επισκέπτες όταν έχουν πρόσβαση σε μια ιστοσελίδα που δεν υπάρχει, έχει μετακινηθεί ή έχει έναν νεκρό/σπασμένο σύνδεσμο.

Οι δράστες του Magecart αξιοποιούν την προεπιλεγμένη σελίδα “404 Not Found” για να κρύψουν και να φορτώσουν τον κακόβουλο κώδικα κλοπής καρτών, κάτι που δεν έχει παρατηρηθεί ξανά σε προηγούμενες εκστρατείες.

Ο φορτωτής skimmer είτε μεταμφιέζεται ως ένα απόσπασμα κώδικα Meta Pixel είτε κρύβεται μέσα σε τυχαία inline scripts που υπάρχουν ήδη στην παραβιασμένη ιστοσελίδα πληρωμής.

Ο φορτωτής ξεκινά ένα αίτημα λήψης σε μια σχετική διαδρομή με όνομα “icons”, αλλά καθώς αυτή η διαδρομή δεν υπάρχει στον ιστότοπο, το αίτημα καταλήγει σε σφάλμα “404 Not Found”.

Οι ερευνητές της Akamai υπέθεσαν αρχικά ότι το skimmer δεν ήταν πλέον ενεργό ή ότι η ομάδα Magecart είχε κάνει κάποιο λάθος στη διαμόρφωση. Ωστόσο, κατά την προσεκτικότερη εξέταση, διαπίστωσαν ότι ο φορτωτής περιείχε μια ταυτοποίηση κανονικής έκφρασης που αναζητούσε μια συγκεκριμένη συμβολοσειρά στην επιστρεφόμενη HTML της σελίδας 404.

Κατά τον εντοπισμό της συμβολοσειράς στη σελίδα, η Akamai βρήκε μια συνυφασμένη συμβολοσειρά κωδικοποιημένη με base64, κρυμμένη σε ένα σχόλιο. Η αποκωδικοποίηση αυτής της συμβολοσειράς αποκάλυψε το JavaScript skimmer, το οποίο κρύβεται σε όλες τις σελίδες 404.

Επειδή η αίτηση γίνεται σε μια διαδρομή πρώτου μέρους, τα περισσότερα εργαλεία ασφαλείας που παρακολουθούν ύποπτα αιτήματα δικτύου στη σελίδα πληρωμής θα το παραβλέψουν.

Κλέβοντας τα δεδομένα

Ο κώδικας skimmer εμφανίζει μια ψεύτικη φόρμα την οποία οι επισκέπτες του ιστότοπου αναμένεται να συμπληρώσουν με ευαίσθητα στοιχεία, όπως τον αριθμό της πιστωτικής τους κάρτας, την ημερομηνία λήξης και τον κωδικό ασφαλείας.

Μόλις τα δεδομένα αυτά εισαχθούν στην ψεύτικη φόρμα, το θύμα λαμβάνει ένα ψεύτικο σφάλμα “session timeout”.

Στο παρασκήνιο, όλες οι πληροφορίες κωδικοποιούνται με base64 και αποστέλλονται στον επιτιθέμενο μέσω μιας διεύθυνσης URL αίτησης εικόνας που φέρει τη συμβολοσειρά ως παράμετρο ερώτησης.

Αυτή η προσέγγιση βοηθά στην αποφυγή εντοπισμού από εργαλεία παρακολούθησης της κυκλοφορίας δικτύου, καθώς η αίτηση μοιάζει με ένα καλοήθες συμβάν ανάκτησης εικόνας. Ωστόσο, η αποκωδικοποίηση της συμβολοσειράς base64 αποκαλύπτει προσωπικές πληροφορίες και πληροφορίες πιστωτικής κάρτας.

Η περίπτωση της χειραγώγησης των σελίδων 404 αναδεικνύει τις εξελισσόμενες τακτικές και την ευελιξία των φορέων του Magecart, οι οποίοι συνεχώς δυσκολεύουν τους webmaster να εντοπίσουν τον κακόβουλο κώδικά τους σε παραβιασμένους ιστότοπους και να τον αποκαταστήσουν.