Большинство тимлидов процессинга — это «уличная шпана», они используют для скама процессинга и точек обмена токены площадок, полученные ими через десятые руки друзей и подруг, а также доступ к системам дистанционного банковского обслуживания по сим картам и телефонам своих неразводных дропов, иногда используются простые технологии, такие как CarberP или ZeUS, в основном нацеленные на доверчивых людей и компьютеры с минимальной сетевой защитой.
Но бывает и иначе: изредка появляются очень сложные угрозы, например мощные банковские боты, а в случае, если ты или даже не ты, а работодатель жены твоего племянника представляет серьезный коммерческий интерес в процессинге крипты, то на него вполне даже может быть организована целевая атака с применением специально подготовленного для неё банковского или криптовалютного бота. В обоих этих случаях банкер будет очень хитро спрятан и заранее проверен на «необнаруживаемость» обычным антивирусом.
Однако Каспер вместе с его командой охотников за призраками в доспехах придумал очередной инструмент, который может быть и обнаружит хорошо закриптованый банковский или криптовалютный бот, предназначенный для скама процессинга, а может и не обнаружит… всякое же бывает.
ZETA расшифровывается как «Zero-day, Exploits & Targeted Attack», то есть «угрозы нулевого дня, эксплойты и целевые атаки». Ну а Shield — это защита от всего перечисленного. Евгений Касперский, описывает ZETA Shield так: «ZETA Shield — антивирусный спецмикроскоп для выявления и наказания самых хитрых зловредов, аки матрешки, прячущихся во вложенных сущностях сложных файлов. Короче, это уникальная технология защиты от будущих угроз, которая умеет находить неизвестную киберзаразу в самых неожиданных местах».
Погружаясь в технические подробности, можно сказать, что ZETA Shield сканирует потоки данных на компьютере в поисках фрагментов кода, характерных для эксплойтов, встроенных в легитимные файлы, будь то исполнимый код, внезапно обнаруженный внутри офисного документа, или попытка вызвать подозрительный набор команд в приложении просмотра картинок. Гибкость сканера очень высока, что позволяет проанализировать любое количество файлов и процессов на компьютере, сопоставляя полученные данные в рамках машины, а также запрашивая информацию из Kaspersky Security Network — вдруг подобные симптомы уже обнаруживались у других пользователей? Глубоко разбирая файлы и потоки данных, обнаруживая подозрительные или неуместные элементы, ZETA Shield сопоставляет множество косвенных индикаторов угрозы, чтобы принять решение о её блокировке.
Зачем эта сложная технология, заточенная для борьбы с целевыми атаками, появилась в антивирусе для «простых смертных»?
Сам Касперский объясняет это очень лаконично: «Жертвами целевых атак могут стать и становятся практически все пользователи и любые организации, а ещё помните поговорку «Лес рубят — щепки летят»? Это про компьютерные угрозы. Целевые атаки выходят из-под контроля и накрывают случайных жертв». Чтобы не стать такой жертвой, Каспер советует запускать иногда сканирование компьютера с максимальной глубиной хотя бы раз в месяц.
Однако, как можно защититься от целевого захвата IP адресного пространства площадки процессинга при использовании техники bgp route hijacking с последующим скамом и выводом всей крипты, которая имеется на площадке на текущий момент без использования каких бы то ни было банковских ботов, Каспер и на этот раз умолчал.
Более подробно обсудить со мной вопрос практического применения этого материала можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.
Представьте себе Интернет сам по себе вдруг решил, что ты теперь живёшь где-нибудь в центре Азии, и весь трафик, который должен идти на твой ноут или смартфон, начинает блуждать (bgp route hijacking) по ряду других стран, прежде чем добраться до твоих устройств, но тебя там нет, ты по-прежнему у себя дома и не собираешься вообще никуда ехать. Все твои TCP и IP пакеты, которые обычно имеют маршрут до твоего провайдера, теперь гуляют в другом сегменте сети. Письма, которые тебе кто-то отправляет либо не доставляются, или их читают уже другие люди – это примерно то, о чём мне рассказал сбежавший из США в июне Эдвард Сноуден.
Ни одну банковскую операцию ты провести не можешь. HTTPS сообщает о недопустимых ошибках при получении сертификатов. Конфиденциальность, целостность и доступность твоих персональных данных полностью нарушена, причём не только твоих, и всё из-за того, что твой IP адрес кто-то благополучно угнал (bgp hijack).
А как вообще возможно угнать чей-то IP-адрес?
Автономная система (Multihomed AS) в нашем случае принадлежит NedZone BV Интернет-провайдеру в Нидерландах. Где она зарегистрирована можно посмотреть с помощью запросов Whois для AS 25459 по адресу https://bgp.he.net/AS25459
По данным RIPE эта автономная система объявляла и приземляла 369 префиксов в течение последних 30 дней, из них 310 были необычно малы. Обычно объявление префикса при помощи BGP происходит по маске /24 или 256 уникальных IPv4-адресов пространства Интернет.
Однако в нашем случае их было слишком большое количество, причем с маской /32, то есть объявлялся (bgp spoofing) всего лишь один единственный IP-адрес, с которого и осуществлялся потом весь скам процессинга. Любой поставщик услуг Интернета (ISP), который является частью глобальной сети Border Gateway Protocol (BGP) может объявлять (bgp route injection) маршруты, которыми он владеет. У других провайдеров просто обновляется таблица маршрутизации, в которой адреса прописываются уже в другом месте, а затем обновления уже распространяются по интернету в другие сети.
Примеры некоторых из владельцев диапазонов и пространств IP-адресов, которые были захвачены:
1 AMAZON-AES – Amazon.com, Inc. 2 AS-7743 – JPMorgan Chase & Co. 1 ASN-BBT-ASN – Branch Banking and Trust Company 2 BANK-OF-AMERICA Bank of America 1 CEGETEL-AS Societe Francaise du Radiotelephone S.A 1 FIRSTBANK – FIRSTBANK 1 HSBC-HK-AS HSBC HongKong 1 PFG-ASN-1 – The Principal Financial Group 2 PNCBANK – PNC Bank 1 REGIONS-ASN-1 – REGIONS FINANCIAL CORPORATION
Некоторые пространства в этом списке принадлежали этому провайдеру, однако размер префикса был изменен намеренно, что выглядит весьма странно. Большая же часть анонсировавшегося блоков IP-адресов принадлежит совершенно другим хостинг-провайдерам на других концах планеты.
Можно посмотреть на видео и прочесть в презентации о том, как осуществляется скам процессинга с использованием утечек маршрутов BGP глобальной таблицы маршрутизации (bgp route leaking) сети интернет.
Более подробно обсудить со мной вопрос практического применения этого материала можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.
Скажу пару слов о концепции активной системы. До настоящего времени в сети витала идея перехвата проходящих данных через узлы tor. В этом случае система имеет пассивную концепцию сбора информации, и её оператор вынужден довольствоваться теми данными, которые попадут в их “сети”. Однако, о внутренних ресурсах сети tor можно получить куда больше информации, если для её сбора использовать концепцию активной системы мониторинга.
Обязательным условием для нормального обмена информацией с внешними интернет-ресурсами через exit node является наличие ответа от веб-сервера, который моя выходная нода должна в обязательном порядке доставить до tor-абонента. В противном случае, если через ноду идут только запросы к веб-серверам, остающиеся без ответа, можно понять, что имеет место чья-то DDoS атака.
Основная суть активной системы заключается в возможности организации MiTM-атаки: я могу перенаправлять пользователя на подконтрольный мне веб-ресурс или добавлять свой код в содержимое ответа с помощью фильтров Ettercap NG с целью спровоцировать утечку какой-либо ценной информации с компьютера клиента, в том числе произвести загрузку троянской программы или установить скрытый майнер.
Тема деанонимизации пользователя и описание её техник требуют отдельного времени, но можно сделать вывод, что ряд её техник могут помочь в получении информации об актуальных ресурсах. Задача нетривиальная, и подойти к её решению можно разными способами. В данном случае всё зависит от фантазии владельца exit node. Например, можно использовать техники социальной инженерии и спровоцировать (от имени администратора запрашиваемого ресурса) пользователя сети tor отправить какую-либо информацию о себе и посещённых ресурсах. В качестве альтернативного средства можно попытаться загрузить на компьютер пользователя сети tor какую-либо “полезную нагрузку”, например ZeUS, CarberP или Meterpreter.
Традиционные веб-технологии также могут помочь в решении данной задачи. Например, cookies, которые владельцы веб-сайтов используют для получения статической информации о посетителях. Необходимо отметить, что cookies обладают ограниченным временем жизни и, кроме того, пользователь может удалить их в любой момент. По этой причине разработчики идут на различные уловки, чтобы повысить время жизни и объём информации, хранимой в cookie-файлах.
Одним из способов является использования хранилища Flash, в таком случае информация хранится в LSO-файлах (local shared objects), которые схожи с cookie-файлами и тоже хранятся локально на компьютере пользователя. Кроме того, существует ещё более мощный инструмент для работы с cookies – JavaScript-библиотека evercookie. Данная библиотека предоставляет возможность создавать трудноудаляемые cookies путём использования одновременно обычных HTTP-cookie, LSO-файлов и HTML5.
И как ты понял, всю эту информацию можно извлечь активной системой мониторинга сети tor.
Более подробно обсудить со мной вопрос практического применения этого материала можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.
Ettercap NG – сетевой sniffer /interceptor/ logger для коммутируемых сетей (switched LAN). Программа использует ARP poisoning и “man-in-the-middle” методы нападения, чтобы перехватывать подключения между двумя хостами в реальном времени. Вы можете перехватить трафик между двумя хостами в сети интернет, используя MAC-based sniffing mode. Позволяет перехватывать SSH1, HTTPS и другие защищенные протоколы. В последнее время часто используется для реализации сценариев bgp route hijacking & traffic engineering при MiTM сценариях с майнинговыми пулами, воздействуя на механизмы глобальной маршрутизации трафика.
Позволяет расшифровывать пароли для следующих протоколов – TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG или как это говорят на профильных площадках «Сетевой инженер шатает bgp».
Перехват трафика Ettercap NG и как это работает?
Ettercap NG умеет подменять MAC-адрес шлюза на свой собственный в ARP-таблице целевого устройства. В результате, весь трафик, предназначенный для шлюза, направляется на атакующий компьютер:
Более подробно это выглядит так:
Ettercap NG отправляет поддельные ARP-пакеты, утверждая, что он является шлюзом.
Целевое устройство обновляет свою ARP-таблицу и начинает отправлять весь трафик на машину с Ettercap NG.
Ettercap NG перехватывает этот трафик и может его анализировать, модифицировать или перенаправлять.
Как вариант Ettercap NG может устанавливать себя в качестве промежуточного устройства между клиентом и сервером. Весь трафик, проходящий через это соединение, проходит через Ettercap NG.
Ettercap NG перехватывает соединение между клиентом и сервером.
Модифицирует пакеты таким образом, чтобы клиент и сервер думали, что общаются напрямую.
Ettercap NG может дешифровать и шифровать трафик, а также изменять его содержимое.
Как работать с Ettercap NG на точке обмена трафиком
Если запускать Ettercap NG в домашней сети – толку от этого будет мало, можно увидеть свой трафик и больше ничего. Так как же посмотреть вширь и увидеть нечто большее? На днях довелось мне поработать на одной из точек обмена трафиком, через которую крупные и малые провайдеры интернета и магистральные операторы связи бесплатно обмениваются трафиком друг с другом. Дело всё в том, что в таких точках пиринга оборудование каждого участника подключается в общий коммутатор, хотя обмен маршрутами происходит посредством bgp через route-сервер, как правило под управлением Bird или FRR, ранее этот софт назывался Quagga или Zebra кому как удобнее. Но включены то они все в один управляемый свич, а значит тут возможны варианты:
– <a> или ARP poisoning based sniffing, применяется для прослушивания трафика в коммутируемых локальных сетях второго уровня, а также для применения bgp route hijacking сценариев класса mitm. В данном случае я использовал сценарий arpoison, который модифицирует ARP-таблицы целевых маршрутизаторов, подключенных к точке обмена трафиком таким образом, что все кадры данных с выбранного source шли на мой ноут с Ettercap NG, а с этого ноута уже – на destination в пункт назначения на bgp-роутер участника точки обмена трафиком, как показано на рисунке.
Иными словами, с помощью этого метода прослушивания трафика я проанализировал трафик выбранных мной участников точки обмена Internet Exchange Point, в том числе выходящий за пределы главного коммутатора этого peering point. На основе этого метода, уже с версии 0.6.7 Ettercap NG реализован перехват (dissection) паролей протокола https. У меня получилось даже собрать пароли ssh версии 2, когда я подключил соответствующий фильтр ettercap -F etter.filter.ssh, который подменяет версию ssh-сервера с 1.99 (openssh-0.9.6, etc) на 1.51, поддерживающую только первую версию протокола ssh.
Однако, для реализации сценария arpoison, ettercap’у необходимо зафлудить сеть целой пачкой сгенерированных ARP-пакетов, но на современных управляемых коммутаторах уже есть средства, отлавливающие этот сценарий. С первой попытки сделать ARP-poison на коммутаторе точки обмена трафиком у меня не получилось, но со второй попытки, когда я добавил ложный IP-адрес, всё прекрасно сработало.
– <s>, IP based sniffing и <m>, MAC based sniffing – это варианты обычного пассивного прослушивания трафика локальной сети. Возможности такого перехвата пакетов очень ограничены, хотя меня впечатлило количество поддерживаемых протоколов при относительно небольшом размере программы.
Напихав нужные адреса ASBR роутеров, подключенных к точке обмена трафиком в source, destination или в оба сразу (я выбрал 192.168.0.10 в качестве source), выбирав метод прослушивания сети (я выбрал <a>), и попал в соответствующее окно:
И вот тут я и увидел все интересующие меня соединения, в том числе bgp-сессии, установленные между ASBR роутерами участников обмена трафиком и route-сервером площадки.
Для того, чтобы собрать пакеты с обновлениями bgp, делать не нужно вообще ничего =)) Наведя курсор на нужное мне соединение все данные bgp-сессии появлялись в нужной части экрана, и я сразу получил всё, что мне нужно =))
Нажав на другую кнопку мне сразу открылся новый диапазон возможностей, уверен, он и тебя впечатлит. Убийство соединений, хайджекинг, филтеринг, etc… Что ещё нужно для перехвата bgp-сессии и реализации MiTM сценария через route leaking? =)
На видео более подробно поговорим о traffic engineering и утечках маршрутов (route leaking) и к чему вообще всё это….
Вкусности Route Leaks & Traffic Engineering
Возможности программы Ettercap ng огромны, но я почти уверен, что они тебя не удовлетворят на все 100%. Ну что же, для твоих трафик-нижениринговых целей предусмотрены варианты в виде:
Написания плагинов, – ну тут все просто и понятно: не влезая в кишки ettercap’a, юзаешь плагинный интерфейс этой проги и делаешь нужный тебе компонент, который ты сможешь подгружать в программу всякий раз, когда тебе это нужно.
Возможность bind’ить локальный порт, с которым ettercap проассоциирует нужное тебе соединение, например по 179 порту. Это очень ценное свойство программы: ты сможешь заранее реализовать нужные тебе механизмы, воспроизвести которые в реальном времени обычными средствами весьма затруднительно =)) Проще говоря, влезать в чужие IRC-приваты и материться можно и руками, но если ты захочешь впарить кому-нибудь бекдор, проспуфив http или ftp, или сообщить какому-нибудь биржевому игроку, что его акции упали в цене в четыре раза, или же подменить некий криптомост, где плавают жирные киты на время своим мостом с нужными тебе смартконтрактами, такое свойство программы может оказаться весьма и весьма кстати =))
Хочется отметить, что вот так запросто подключиться в Ethernet или SFP порт коммутатора мне удалось только на точке обмена трафиком (Internet Exchange Point), однако, в реальной жизни на узле того или другого крупного телекоммуникационного оператора все соединения, как правило, упакованы в VPLS/EPIPE/EVPN каналы, и добраться до них новичку с первого раза будет не так то просто, но об этом мы поговорим уже в следующий раз.
Более подробно обсудить со мной вопрос практического применения этого материала можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.
