Работа в Стамбуле

Метка: CCNP

  • Скачать LOIC для Windows и как работает этот самый LOIC?

    Скачать LOIC для Windows и как работает этот самый LOIC?

    LOIC (Low Orbit Ion Cannon) — приложение, разработанное на платформе Microsoft .NET Framework 3.5 с пакетом обновления 1 группой 4Chan, созданное для организации DDoS атак на веб-сайты с участием тысяч анонимных пользователей, пользующихся программой. Атаки производятся на такие сайты как, например, nsa.gov или cia.gov

    Нужно просто нажать на кнопку в приложении…

    Главной задумкой LOIC было то, что любой пользователь, даже если у него нет ни малейшего представления о проведении атак, может поучаствовать в процессе. Все что вам нужно – это просто скачать LOIC (доступны версии для Windows, Mac и даже Linux!), ввести информацию о цели, например URL, и начать атаку.

    LOIC is a Low Orbit Ion Cannon скачать

    …которое может контролироваться главным пользователем

    Версия Loic для Windows имеет центр управления, который позволяет связать LOIC с IRC сервером. Это позволяет кому-то еще, предположим админу группы Анонимоусов, направлять атаки пользователей на определенный сайт. И благодаря тому, что тысячи людей скоординировано атакуют сайты для оказания воздействия, у центральных администраторов есть возможность просто нажать на «большую кнопку разрушения сайта». Подобный контроль делает систему очень эффективной.

    Добровольно давать хакерам контроль над своим компьютером? Звучит устрашающе. Хотя на самом деле клиент LOIC это доступное open source приложение, написанное на C# и шансы на то, что при загрузке пользователь получит вирус или трояна минимальны.

    …для запуска флуда…

    LOIC превращает ваш компьютер в источник ложных запросов, направленных на атакуемый сайт. Сам по себе один компьютер редко генерирует достаточно TCP, UDP, или HTTP запросов единовременно для вмешательства в работу сайта – ложные запросы могут просто игнорироваться, в то время как правильные запросы на веб-странице будут обрабатываться нормально.
    Но когда тысячи пользователей одновременно запускают LOIC, волна запросов настолько огромна, что зачастую сервер падает (или по крайней мере падает одна из его частей, например сервер баз данных). Если даже сервер продолжает работать часто происходит так, что он не в состоянии обработать правильные запросы.

    …с минимальный риском для пользователя

    Так как DDoS атака приводит к падению – по крайней мере если все идет по плану – системный журнал, который обычно записывает каждое входящее соединение, просто не работает. Да если бы и работал, многие пользователи LOIC заявляют, что другой человек использовал их сеть или что их машина была частью ботнета – DDoS-клиентом, попавшим с вирусом, который работает точно так же как LOIC за исключением того, что пользователи не знают об участии в атаке.
  • Некоторые документы из архива Эдварда Сноудена

    Некоторые документы из архива Эдварда Сноудена

    В одном документе из архива бывшего сотрудника Booz Allen Hamilton и подрядчика Агентства Национальной Безопасности США Эдварда Сноудена,  снабженном грифом «совершенно секретно», содержатся данные о сверхсекретном подразделении АНБ США под названием «Управление специализированным доступом» (Tailored Access Operations, TAO). Данная структура располагается в штаб-квартире АНБ в Форт-Мид, штат Мэриленд. Как следует из рассекреченных слайдов, в TAO есть специальные «ячейки», работающие по определенным «мишеням». В каждую ячейку входят операторы, аналитики и разработчики. Есть страновые ячейки: по России, Китаю и КНДР, а также по Ирану. А есть тематические: по борьбе с терроризмом и по контрразведке.

    Tailored Access Operations

    В еще двух сверхсекретных файлах говорится о подразделении АНБ под названием «Центр дистанционных операций». Девиз его сотрудников: «Ваша информация — это наша информация, ваше оборудование — это наше оборудование». Среди прочего хакеры из этого подразделения 24 часа в сутки отслеживают попытки других иностранных разведок взломать определенные «мишени», например, внутреннюю сеть ООН. Это позволяет АНБ изучать возможности своих коллег из других стран, и при этом нередко перехватывать ценную информацию, добытую соперниками.

    В другом документе из архива Эдварда Сноудена, снабженного грифом «совершенно секретно» рассказывается о том, как сотрудники одного из подразделений АНБ перехватывают посылки с купленными кем-то компьютерами для установки в них вредоносных программ. Перехват осуществляется в том случае, если техника куплена человеком или организацией, представляющими интерес для спецслужб США. Посылка перенаправляется в секретное место, где сотрудники АНБ ее вскрывают, внедряют в ее содержимое программные и аппаратные средства контроля и управления, а затем аккуратно запаковывают и отправляют адресату. Как следует из документа, подобные операции позволяют спецслужбам США получать доступ к самым труднодоступным «мишеням». В частности, таким образом американцам удалось взломать Сирийское телекоммуникационное агентство. Согласно документам из архива Сноудена АНБ размещало шпионское программное обеспечение на компьютерах, жёстких дисках, маршрутизаторах и других устройствах таких компаний, как Cisco Systems, Dell, Western Digital, Seagate, Maxtor, Samsung и Huawei.

    Еще в одном документе из архивов Эдварда Сноудена, также снабженного грифом «совершенно секретно» рассказывается о том, как партнеры АНБ из британского Центра правительственной связи (GCHQ) следят за владельцами iPhone. Как следует из презентации, у каждого iPhone есть уникальный 40-значный идентификационный номер (UDID). Узнать UDID определенного человека GCHQ может разными способами, легче всего — если за телефон заплатили кредитной картой. Узнав желанный UDID, сотрудники GCHQ могут выяснить, какие приложения установлены на конкретном аппарате, а далее, используя имеющиеся в них уязвимости, получить доступ к хранящейся в телефоне информации. Ранее Эдвард Сноуден рассказывал, что сотрудники АНБ также используют уязвимости в самом iPhone, чтобы следить за владельцами мобильных устройств, причем, по его словам, это можно делать, даже если телефон выключен.

  • Сбор паролей PayPal в сети и залив денег на банковскую карту или счет

    Сбор паролей PayPal в сети и залив денег на банковскую карту или счет

    Через ICMP Redirect перенаправляем DNS сервер лоха через свой ноут, таким образом все запросы и ответы от DNS видны как на ладони. 

    Собирать пароли для залива денег удобнее всего в ЦОД Ростелеком

    Допустим, лох хочет сделать перевод денег через PayPal, запрос на разрешение IP адреса службе доменных имён при помощи 0x4553-NAT перенаправляется к DNS серверу. Далее получаем ответ, в котором содержится один или несколько разрешенных IP адресов. 


    Суть процесса в том, что перед передачей лоху ответа DNS, засылаем серию новых ICMP Redirect сообщений, перенаправляя все разрешённые IP адреса PayPal на свой ноут.
    Вот и все.


    Для тех кто не знаком с техникой ICMP Redirect внесу ясность — поснифать все, что движется по сети не получится, есть одно важное ограничение — можно перенаправлять хосты только из других сетей.


    Пример:
    192.168.1.1   — шлюз
    192.168.1.10  — лох
    192.168.1.100 — DNS сервер
    при таком раскладе данная атака не сработает.


    DNS должен быть или 192.168.2.x или из любой другой сети.

  • Перехват sms любого оператора через SS7

    Перехват sms любого оператора через SS7

        Бывший подрядчик АНБ и сотрудник Booz Allen Hamiltom Эдвард Сноуден много рассказал в своих откровениях о работе АНБ о том, как они перехватывают СМС и записывают телефонные переговоры по всему миру. Конечно, если бы всё это происходило только на территории США вопросов бы не возникало.

    Видео: примерно так работают специалисты АНБ с иностранными операторами мобильной связи и провайдерами интернета для организации канала просмотра электронной почты и СМС не только американских граждан

    Спрашивается, как АНБ может прочитать СМС сообщения Васи Луценко, являющегося абонентом Киевстара из Мариуполя? Оказывается очень просто. Всё телекоммуникационное оборудование сотовой связи произведено в США и имеет скрытые возможности удаленного управления без ведома оператора связи и спецслужб Украины.

    Об этом как-то рассказывал Сергей Гордейчик на одной из конференций — вот видео и текст его выступления http://vk.com/topic-33995074_26688537

    Но и это ещё не всё. Оказывается, теперь и сотрудники операторов мобильной связи тоже могут просматривать чужие СМС после того как Сноуден рассказал о бэкдорах в оборудовании всему миру через газету Gardian и сайт WikiLeaks.

    перехват любых SMS при помощи SS7


    Служба Беспеки Украины в настоящее время приняла уже ряд мер по недопущению утечек персональных данных из компаний мобильной связи через описанные Эдваром Сноуденом недокументированные возможности телекоммуникационного оборудования.
  • Do ATMs face new malware threat?

    Do ATMs face new malware threat?

        Research about a new malware attack aimed at U.S. ATMs is garnering attention, but security experts disagree about how threatening this type of attack really is.

    ATM networks are actually very secure

    In April, researchers at security and computer forensics firm Group-IB said they’d discovered new strain of malware designed to target card data stored on or transmitted through point-of-sale devices. While the Group-IB’s report notes ATMs, the company says the malware it had identified had only, so far, been affecting POS systems. The mention of ATMs related more to cultural differences in Eastern Europe. The terms ATM and POS are more often used interchangeably there, Group I-B states.

    However, since publishing the report, the company has noted that ATMs could be vulnerable, if the networks that process their transactions are attacked by malware.

    But Gary Warner, director of research for computer forensics at the University of Alabama at Birmingham and chief technologist at online security firm Malcovery, says ATM networks are actually very secure. While Trojans aimed at retailer POS systems and networks, such as those that targeted MAPCO Express, Bashas’ Family of Stores and Schnucks Markets Inc. are increasingly common, attacks on ATMs are rare, he says. 

    Warner contends the real worry for banking institutions is not attacks on ATMs, but the insiders who often facilitate the compromises. «The most vulnerable POS systems are the ones where insiders, or worse yet, customers, have the ability to insert a USB drive to a Windows-based register that has an attached card reader,» he says. «Mall kiosks are perhaps the most likely place to see this type of software, as the kiosks are often left logged-in and unattended.»

    Nevertheless, some security consultants say banks and credit unions should view new malware as a serious threat to ATMs.

    «It’s the logical evolution of skimming,» says Al Pascual, a financial fraud expert at consultancy Javelin Strategy & Research. «How the malware functions is nothing new, but hackers have leveraged their experience in compromising Windows-based POS systems to now do the same with ATMs.»

    Pascual says banking institutions in the U.S. and abroad have reported increases in ATM fraud. «Unfortunately, that increase is likely to persist with the advent of this new threat,» he says.

    Dump Memory Grabber 

    The malware identified by Group-IB, called Dump Memory Grabber by Ree[4], can attack any Windows-based system, the firm’s researchers say. The typical attack uses an .exe file for RAM memory scanning of credit card data when the network is attacked and then transmits logs containing intercepted card data through FTP gateways, researchers say.

    Group IB says attacks using Dump Memory Grabber have been successful through remote access against POS devices and systems running on Windows XP and Windows Embedded. The firm’s researchers also point out that the malware could exploit similar vulnerabilities in ATMs that are connected through virtual private networks or wireless Global System for Mobile, or GSM, and General Packet Radio Service, or GPRS, networks.

    But Warner believes that assumption is a bit of a leap. «I see absolutely nothing to indicate infections of ATMs,» Warner says.

    «In the past, it has been shown that certain ATM machines were actually managed through some form of remote terminal, including remote desktop or VNC [virtual network computing],» he says. «The implication here is that it would be possible to install this malware onto an ATM machine directly if the ATM machine was running remote desktop on Windows and the hackers either had credentials or the ability to acquire, brute force, or hack the RDP/VNC installation on the ATM.» But those scenarios aren’t likely, Warner says. 

    The researcher believes that the Dump Memory Grabber is not really new. «My belief right now is that Dump Memory Grabber by Ree — the malware by Wagner Richard that Group-IB talked with — is actually the same malware that Symantec calls vSkimmer and that others call BlackPOS,» he says.

    vSkimmer is believed by some to have been the malware used in the February attack on Bashas’ corporate network that allowed hackers to gain access to the retailer’s internal systems and capture sensitive payment information.

    Serious Threat? 

    Jerome Segura, a senior researcher at malware-detection provider Malwarebytes, says the threats outlined by Group-IB should not be taken lightly.

    «I’ve obtained a copy of an actual malware file and it pretty much does what it’s supposed to do: hook onto the system, then call back the command-and-control server located in Russia,» he says. «Probably the most difficult part might be to get the malware onto an ATM or point-of-sale machine. But since everything is wired, one could think that hacking into a company’s network could give them access.»

    Segura acknowledges, however, that an attack on an ATM would more likely occur through an insider — someone who is able to intentionally load malware while servicing the machine.

    Like Warner and Segura, fraud analyst Shirley Inscoe, who works for the consultancy Aite, says employees and contractors are often the sources of attacks that compromise systems and devices, such as ATMs.

    «Fraud rings have been known to target institutions and have members of their rings apply for certain positions in an effort to facilitate their crimes,» she says. «They also have been known to do everything from paying employees to do certain things — or not to do certain things, such as comply with policies — to threatening members of employees’ families to gain their cooperation. So, in a nutshell, while I have no substantive proof that employees may be enabling much of this fraud, I would be very surprised if they are not enabling some portion of it.»