Работа в Стамбуле

Метка: BGP MiTM

  • Конфігурації мережного устаткування зазвичай забувають видалити за його продажу

    Конфігурації мережного устаткування зазвичай забувають видалити за його продажу

    Аналітики з компанії ESET виявили, що після придбання уживаного маршрутизатора на пристрої нерідко можна виявити забуті конфіденційні дані. Такі дані можуть бути використані для проникнення в корпоративні середовища або отримання інформації про клієнтів.

    Це дослідження почалося з того, що компанія ESET придбала кілька маршрутизаторів для створення тестового середовища, але виявилося, що куплені пристрої не були очищені належним чином і досі містять дані про конфігурацію мережі, а також інформацію, що дозволяє ідентифікувати їх попередніх власників.

    Серед придбаного обладнання було чотири пристрої Cisco (ASA 5500), три Fortinet (серія Fortigate) та 11 девайсів Juniper Networks (SRX Series Services Gateway).

    Загалом дослідники придбали з рук 18 вживаних пристроїв корпоративного рівня. З’ясувалося, що ці зміни, як і раніше, доступні більш ніж на половині з них, і вони все ще актуальні.

    Один пристрій виявився непрацюючим (після чого його виключили з випробувань), а ще два були дзеркалами один одного, і в результаті їх порахували як один. З 16 пристроїв, що залишилися, тільки 5 були очищені належним чином і тільки 2 мали хоч якийсь захист, що ускладнювало доступ до деяких даних.

    На жаль, в більшості випадків на пристроях можна було отримати доступ до повних даних конфігурації, тобто дізнатися безліч подробиць про колишнього власника, як він налаштував мережу, а також про з’єднання між іншими системами.

    Найгірше, деякі з маршрутизаторів зберігали навіть інформацію про клієнтів, дані, які дозволяли сторонньому підключитися до мережі, і навіть «облікові дані для підключення до інших мереж як довірена сторона».

    Крім того, 8 з 9 маршрутизаторів, які розкривали повні дані конфігурації, також містили ключі та хеші для автентифікації між маршрутизаторами. У результаті список корпоративних секретів розширювався до повної «карти» важливих додатків, розміщених локально або у хмарі (включаючи Microsoft Exchange, Salesforce, SharePoint, Spiceworks, VMware Horizon та SQL).

    «З таким рівнем деталізації зловмиснику буде набагато простіше видати себе за мережеві або внутрішні вузли, тим більше що на пристроях часто зберігаються облікові дані VPN або інші токени автентифікації, що легко компрометуються», — пишуть експерти.

    Також, судячи з даних, виявлених у куплених маршрутизаторах, деякі з них раніше працювали в середовищі managed-провайдерів, які обслуговують мережі великих компаній. Наприклад, один девайс взагалі належав постачальнику MSSP (Managed Security Service Provider), який обслуговував мережі сотень клієнтів у різних галузях (освіта, фінанси, охорона здоров’я, виробництво тощо).

    Наводячи цей яскравий приклад, дослідники вкотре нагадують, наскільки важливо правильно очищати мережеві пристрої перед продажем. У компаніях повинні існувати процедури безпечного знищення та утилізації цифрового обладнання. Також експерти зазначають, що використання сторонніх сервісів для цих потреб не є гарною ідеєю. Справа в тому, що повідомивши одного з колишніх власників пристроїв про проблему, дослідники дізналися, що для утилізації обладнання компанія користувалася послугами такого стороннього сервісу. «Щось явно пішло не за планом», — резюмують аналітики.

  • С чего начать работу на площадке процессинга

    С чего начать работу на площадке процессинга

    Некоторые опытные дроповоды, кому уже надоело следить за тем как дропы постоянно прокалываются или их принимают, хотят выйти из темы и думают о том, как бы самим начать лить, и причём по-крупному.
    С чего начать работу на площадке Darkmoney

    И тут сразу возникает вопрос о покупке банковского трояна. В этом месте позвольте задать извечный китайский вопрос: а нахуа его покупать? Банковские трояны ZeUS и CarberP давно уже выложены на торрентах грамотными людьми и их можно просто так скачать. На самом деле по функционалу у них небольшая разница и CarberP отличается от ZeUS наличием загрузчика, который способен отключить антивирус, установленной на банковской машине, перед загрузкой основного тела программы банковского трояна.

    Однако это ещё только начало… чтобы что-либо слить с помощью этих инструментов их нужно установить на какой-нибудь абузный хостинг, написать инжекты под выбранный вами банк и только после этого можно приступать к основной части работы. Во Львое и Ивано-Франковске я разговаривал со многими ботоводами, и все мне рассказывали об одной и той же проблеме — сейчас практически стало невозможно достать качественный трафик, где бы присутствовало много жирных пользователей дистанционных банковских услуг и криптовалютных сервисов.

    Что такое утечки маршрутов или BGP leaks?

    Утечки маршрутов по bgp происходят, когда маршруты, объявленные одной автономным системой (Automomous System), неожиданно становятся доступными для других AS. Причём не обязательно эти две автономные системы могут быть транзитными. Это может произойти из-за ошибок при конфигурировании оборудования Cisco или Juniper, не обязательно их конечно, в этой роли может выступать любой маршрутизатор с поддержкой протокола bgp, преднамеренных действий или уязвимостей в самом протоколе bgp. В результате подмены маршрута в зоне bgp трафик любых пользователей может быть перенаправлен не по намеченным ранее официальным маршрутам, что обязательно приведёт к одному из вариантов развития событий:
    • Перехват данных транзакций криптовалюты — нарушитель может перехватить трафик, собирая конфиденциальные данные, а также подменить данные на лету при помощи простейших средств, в том числе используя Ettercap NG
    • Замедление или полное прекращение работы целевого сервиса в глобальной сети —  неправильная маршрутизация может замедлить доступ к любому интернет-ресурсу или сделать его вовсе недоступным на какое-то время

    Поэтому основное вложение в этом бизнесе приходится делать не в программное обеспечение (его и так можно бесплатно скачать), а в покупку качественного трафика. Самый хороший трафик, это тот, который идет с лома в одни руки, либо снимается с multihomed или транзитной AS каого-нибудь крупного телекоммуникационного провайдера напрямую, методами bgp mitm с реализацией bgp spoofing по сценариям bgp hijacking, провоцируя при этом всевозможные утечки маршрутов.

    Но увы, такого трафика на рынке практически нет и его приходится добывать самому. На добыче крипты такими методами при наличии хорошего трафика, в месяц можно зарабатывать до 1 млн. Евро и больше.
  • GCHQ предпочитает использовать GRE-сниффинг

    GCHQ предпочитает использовать GRE-сниффинг

    GCHQ удалось успешно «модифицировать» некоторые версии программного обеспечения Cisco IOS и планировала взломать продукцию российской компании «Лаборатория Касперского» с целью установки в нее жучков, следует из откровений небезызвестного Эдварда Сноудена, ранее работавшего в компании Booz Allen Hamilton, выполнявшей некоторые щепетильные поручения Агентства Национальной Безопасности США.

    центр пассивного сбора информации GCHQ


    Центр правительственной связи Великобритании (Government Communications Headquarters, GCHQ) предпринял попытку взлома программного обеспечения «Лаборатории Касперского», однако удалось ли ему это сделать, неизвестно. Об этом сообщает газета The Guardian, в распоряжении которой оказался внутренний документ GCHQ, датированный 2008 г. GCHQ — спецслужба Великобритании, занимающаяся радиоэлектронной разведкой и решением вопросов информационной защиты органов власти и вооруженных сил. Документ был предназначен для министра иностранных дел Дэвида Милибэнда (David Miliband). В нем центр просил продлить разрешение на «модификацию» коммерческого программного обеспечения в обход правил, прописанных в лицензионных соглашениях на продукты. В документе были приведены примеры программных продуктов, которые GCHQ уже успешно взломала. В их число вошли популярная платформа для управления интернет-форумами и системы управления контентом веб-сайтов.

    The Guardian не сообщает конкретные названия. Кроме того, в документе говорится о том, что GCHQ удалось успешно взломать маршрутизаторы Cisco, заставив проходящий через них международный трафик выборочно идти через «центр пассивного сбора информации GCHQ». Это напоминает принципы работы Агентства национальной безопасности США, которое, как стало известно ранее, устанавливает жучки в идущее на экспорт оборудование Cisco. «Мы не комментируем сведения о нашей работе, — заявил газете The Guadrian представитель GCHQ. — Тем не менее, спешу убедить вас, что вся наша работа выполняется в строгом соответствии с правовой и рамочной концепциями. Вся наша деятельность разрешена, необходима и соразмерна. Она подвержена строгому контролю, включая контроль со стороны кабинета министров, уполномоченных комиссаров по разведывательной работе и парламентского совета по разведке и безопасности». Представитель центра добавил, что их работа также полностью соответствует Европейской конвенции о защите прав человека.

    Газета The Guardian также приводит выдержки из попавшего в ее распоряжение отчета Национального совета США по разведке (National Intelligence Council) от 2009 году. В нем Россия именуется «одним из основных противников» США в сфере кибер-угроз. В отчете говорится, что Россия располагает «квалифицированными» группами хакеров, которые «уже успешно продемонстрировали свою подготовку». В нем также отмечается, что в 2009 году Китай был основным источником финансирования кибер-атак на США, однако у страны не было того уровня квалификации и тех возможностей, которые есть у российских хакеров.

  • Как создать ботнет при помощи облачных сервисов для процессинга крипты

    Как создать ботнет при помощи облачных сервисов для процессинга крипты

    Дроповодов и ботмастеров Darkmoney всегда интересовало, насколько сложно будет автоматизировать процесс регистрации в учетных записях и создать центральную систему контроля.

    банковские и кроптовалютные приложения по прежнему уязвимы

    Недавно двое дроповодов Darkmoney продемонстрировали возможность вполне законно и бесплатно создавать ботнеты, используя пробные учетные записи в облачных сервисах.

    Один мой знакомый дроповод сообщил, что он и его партнёр по бизнесу хотели проверить, можно ли создать ботнет при помощи доступных облачных сервисов, и последние несколько лет вели исследования в этой области.

    «Нам начали приходить электронные письма и различные уведомления наподобие «Предлагаем бесплатный ящик Amazon EC2, бесплатное хранилище данных и бесплатную платформу для разработки и размещения кода», и мы подумали: «О! Здесь должно быть достаточно мощности для вычислений», — цитирует дроповода известное издание.

    Дроповоды решили проверить, насколько сложно будет автоматизировать процесс регистрации в неограниченном количестве бесплатных учетных записей на предложенных сайтах облачных сервисов и облачного хостинга, а затем создать центральную систему контроля, откуда процесснгом крипты дроповод смог бы управлять криптовалютными или какими ещё ботами. В итоге дроповоды пришли к выводу, что это очень легко и просто. И что самое интересное, создать в облаке криптомаршрутизатор JunOS vSRX 3.0 оказалось ещё проще, чем панель управления ботнетом. Такие виртуальные устройства можно использовать для реализации сценариев bgp mitm обхода и угона трафика с майнинка или криптомоста Etherium.

    «Нам действительно с легкостью удалось получить сотни ящиков определенных провайдеров и создать способ централизовано осуществлять такие действия, как, например, масштабное сканирование портов», — отметил один из них.

    По словам дроповодов, им также удалось разработать концепт добычи криптовалюты Bitcoin: «Если у вас есть столько вычислительной мощности, за которую ещё вам и не надо платить, то почему бы не использовать её для генерации виртуальной валюты? Это могло бы стать огромным стимулом для дроповодов к использованию этих платформ в своей деятельности».