Loki’s MPLSmodule is designed to relabel specified MPLS traffic with a given label. It can be used to manipulate the transport label and change the destination of the packet, or to redirect traffic into another MPLS-VPN. The module automatically detects all MPLS labeled traffic on the wire and let the user easily set up relabeling rules. It is possible to add a tcpdump filter to the relabeling rule, if the module should only redirect some special kind of traffic. Last but not least one can define which label in the label stack should be modified.
It should be noted that this attack requires that the attacker has access to the traffic path of the respective packets. The setup for this example looks like this:
The attacker is in a Man-in-the-Middle situation inside the data path between Provider Edge 1 and Provider Edge 2 in the MPLS backbone.
On PE1 the label association for the both MPLS-VPNs looks like this:
Console: Cisco 3750 Label Overview
Which means outgoing traffic for customer RED’s location 2 is tagged with the MPLS label 18. In the other direction, traffic tagged with MPLS label 20 is sent out to customers RED’s location 1. The same for customer GREEN, outgoing traffic for location 2 is tagged with label 19, incoming traffic with label 21 is sent out to location 1. Both customers use the same IP address space for the two locations, which is possible, as I got a logical separation in the routing of each customer.
Let’s further assume I got a client with the IP address 192.168.113.100 connected to customer GREEN’s location 2. So, it’s possible to ping this client from PE1 in the context of customer GREEN. I need to specify the virtual routing and forwarding context of customer GREEN to use the customer’s specific routing table. If I run the same command in the context of customer RED, no response will be visible:
Next the attacker starts to redirect traffic from PE1 to PE2 in the backbone from customer RED’s MPLS-VPN to customer GREEN’s MPLS-VPN and redirect traffic from PE2 to PE1 in the backbone from customer GREEN’s MPLS-VPN to customer RED’s MPLS-VPN by Loki like this:
Once the redirection is in place it is possible to ping my assumed host from both, customer RED’s and customer GREEN’s context:
So this actually means that with right position in the traffic path and the right tool (e.g. Loki) an attacker can easily redirect a given site’s traffic of a given customer to a different destination (provided the IP addresses are the same which presumably is a valid assumption when it comes to addresses like 10.1.1.1 or 192.168.10.1).
Недавно ко мне обратились грамотные люди с просьбой проконсультировать по теме временного изменения маршрутизации трафика в сети одного очень крупного провайдера интернет Восточной Европы. Парни очень хотели перенаправить трафик ASIC аппаратов на их кастомный майнинговый пул. Кроме этого им ещё очень хотелось временно перенаправить весь трафик по теме крипты на свою площадку. Давайте посмотрим, какие варианты возможны для этого кейса.
По моему предыдущему опыту перво-наперво стоит провести анализ транзитного сетевого трафика с помощью любого сетевого анализатора в “неразборчивом” режиме работы сетевой карты (promiscuous mode). В качестве сетевого анализатора для подобных целей замечательно подходит WireShark или CommView. Чтобы выполнить этот первоначальный этап, мне обычно хватает и пары часов работы. По прошествии этого времени у меня как правило накапливается достаточно много данных для проведения анализа перехваченного трафика. И в первую очередь при его анализе я обращаю внимание на следующие протоколы:
протоколы коммутации (STP, PVST+, CDP, DTP, VTP, и им подобные)
протоколы маршрутизации (LDP, BGP, EIGRP, OSPF, IS-IS и другие)
Что касается открытых протоколов, – вероятность того, что они попадутся мне во время сбора пакетов проходящего мимо трафика в коммутируемой сети, достаточно мала. Однако, если такого трафика много, то в обследуемой сети явно наблюдаются проблемы в настройках сетевого оборудования.
Во всех остальных случаях у меня присутствует возможность проведения красивых сценариев:
классическая MITM (Man in the middle) в случае, когда используется ARP, DHCP, RIP или LSP
получение роли корневого узла STP (Root Bridge), что позволяет перехватывать трафик соседних сегментов
перевод порта в магистральный режим с помощью DTP (enable trunking), позволяет перехватывать весь трафик своего сегмента сети
Для реализации этих сценариев взаимодействия с сетевыми протоколами коммутации я обычно использую такой замечательный инструмент как Yersinia.
В процессе анализа трафика я часто выявляю пролетающие мимо DTP-пакеты (смотри скриншот). Тогда отправка пакета DTP ACCESS/DESIRABLE может позволить мне перевести порт коммутатора в магистральный режим. Дальнейшее развитие этого сценария позволяет мне прослушивать весь Ethernet сегмент этой сети.
После тестирования канального уровня я обычно переключаю внимание на третий уровень модели OSI. Дошла очередь и до проведения сценария взаимодействия через ARP-poisoning. Тут все просто, я очень люблю инструмент Ettercap NG, но всё дело в том, что в случае успешной реализации сценария ARP-poisoning в отношении всего доступного сегмента сети может наступить ситуация, когда MiTM компьютер по середине не справится с потоком поступающих данных и, в конечном счете, это может стать причиной отказа в обслуживании целого сегмента сети, что обязательно заметят. Поэтому наиболее правильным будет выбрать единичные цели, например, рабочие места администраторов и/или разработчиков, какие-либо определенные серверы (возможно контроллер домена, СУБД, терминальный сервер, bgp маршрутизатор и другие важные элементы сети).
Успешно проведенная мною ARP-poisoning позволяет получить в открытом виде пароли к различным информационным ресурсам – СУБД, каталогу домена (при понижении проверки подлинности NTLM), SNMP-community string, bgp пакеты UPDATE, пароли для сетевого оборудования с уровнем доступа level 15 и другие приятные вещи. В менее удачном случае я могу получить хеш-значения от паролей к различным системам, которые нужно будет постараться восстановить по радужным таблицам (rainbow tables), по словарю или методом “в лоб”. Перехваченные пароли могут использоваться где-то ещё на других сайтах в сети интернет, но впоследствии это также необходимо мне подтвердить или опровергнуть.
Кроме того, мне стоит проанализировать весь перехваченный трафик на присутствие CAV2/CVC2/CVV2/CID/PIN, передаваемых в открытом виде. Для этого обычно пропускаю сохраненный .pcap файл с дампом трафика через NetResident и/или 0x4553-Intercepter. Второй, кстати, замечательно подходит для анализа накопленного трафика в целом.
Встраивание в уже созданную BGP сессию и реализация bgp hijacking
Сразу стоит обозначить результат — поменять маршруты движения трафика, но не управлять каким-то bgp роутером через консоль, то есть не проникая в его систему управления от слов совсем и никак, просто модифицировать данные его таблиц маршрутизации.
Для этого я использую обычная реализацию IP Spoofing + TCP hijacking = BGP Spoofing сценария для того, чтобы перенаправить все общение между двумя bgp роутерами через свой хост, то есть осуществление полного перехвата и фильтрации BGP сессий этих роутеров. Об инструментах, которые позволяют сделать это внутри транзитной сети поговорим немного позже.
Реализация BGP spoofing сценария через консоль роутера
После того, как был получен доступ к bgp роутеру, конечный результат реализации сценария bgp hijacking будет зависеть от настроек его bgp соседей. Есть вероятность, что этому bgp роутеру доверяют все его bgp соседи, а им — их bgp соседи и так далее, так можно незаметно поменять пути маршрутизации и сделать bgp обход целых сетевых сегментов, манипулируя при этом огромными объемами сетевого трафика в Интернет.
А возможно, что через этот bgp роутер можно будет изменить пути только в сети, в которой он сам и находиться или в автономной системе этого bgp роутера, но и это на самом деле не такой уж и плохой результат, даже если сеть или Автономная Система небольшие.
Для начала надо определить, из каких AS у нас наиболее вероятен перехват трафика, а это, как правило, соседние AS относительно той, в которой находиться BGP-роутер. Принадлежность определенного IP к AS и соседи определенной AS могут быть получены различными сервисами, например, тот же bgp.tools либо простым выполнением команды show ip bgp neighbors на роутере.
Еще есть интересные сервисы, такие как asnmap.com или bgplay от RIPE. Интерфейс BGP роутера — консоль с ограниченными, определенными командами для управления и конфигурирования текущего BGP демона или устройства и некоторых прилагающихся сетевых сервисов. То есть попав на этот интерфейс можно в реальном времени без каких-либо перезапусков и перезагрузок менять конфигурацию bgp процесса или всего устройства, хотя если попасть в файловую систему роутера, то можно и поменять конфигурацию с его перезапуском.
Какой сценарий выбрать для понимания bgp в крипте?
Эксплуатация уязвимостей протокола BGP в контексте криптовалют и блокчейнов – это довольно специфическая область, которая требует углубленного изучения. Сейчас я расскажу о том, какие сценарии могут быть наиболее востребованы в контексте процессинга крипты.
В сети блокчейнов первого уровня маршрутизация между нодами использует протокол BGP для установления соединений между ними через Интернет, например, Bitcoin или Ethereum. Новые блоки, содержащие транзакции, также распространяются по сети Интернет при помощи BGP, и оно играет важную роль в синхронизации состояния всего блокчейна. BGP помогает поддерживать согласованность состояния блокчейна между всеми нодами.
Децентрализованные биржи (DEX) также осуществляют обмен ордерами при помощи BGP и стабильность его работы влияет на эффективность маршрутизации ордеров между различными DEX. BGP также может помочь в распределении ликвидности по различным пулам.
Так какой же сценарий выбрать?
Выбор конкретного сценария зависит от ваших целей. Если вы новичок и только начинаете изучать BGP в контексте криптовалют, то лучше начать с простых сценариев, таких как маршрутизация в сети Bitcoin и управление bgp роутером через консоль. Но для этого Вам предстоит сначала найти этот роутер и получить к нему доступ ранее озвученными методами.
Если вы уже разрабатываете блокчейн-приложения, то вам будет полезно изучить, как BGP используется для масштабирования и создания децентрализованных сетей. Тажке если вы занимаетесь администрированием блокчейн-инфраструктуры, то вам необходимо понимать, как BGP используется для обеспечения надежности и доступности сети. BGP – это сложный протокол, и его полное понимание требует времени и усилий.
Начните с простых концепций и постепенно углубляйтесь в более сложные темы. Для воздействия на таблицу маршрутизации bgp роутера без доступа в его консоль вам понадобится специализированное программное обеспечение, например ciag-bgp-tools-1.00.tar.gz или Insinuator (ex loki).
Хотите более конкретные рекомендации? Расскажите о ваших текущих знаниях и целях мне в личном сообщении, и я смогу подобрать для вас наиболее подходящий сценарий. Какие из этих сценариев вы хотели бы изучить подробнее?
Скамим на вход: трейдер выключает автоматику и принимает платежи без подтверждения и соответсвующего зачисления средств на депозит клиента. То есть, платежи капают, а деньги с рабочего депозита не списываются. Таким образом трейдер может перелить на баснословные суммы, значения которых даже близкого не соответствуют тем, которые есть у трейдера на рабочем депозите.
Скам на выход: трейдер совершает выплаты с фальсификацией проверочных данных, проще говоря – предоставляет площадке фальшивые чеки, которые в реальном времени подтверждаются системой. Таким образом трейдер набирает нужный себе депозит и выводит его с площадки.
И тот, и другой способ – проблема, особенно для новых площадок, но решение этой проблемы давным-давно найдено
Антискам на Вход: Страховой Депозит и мгновенная реакция службы поддержки, выражающаяся в отключении трафика за малейшие сбои в работе автоматики.
Антискам на Выход: Грамотные площадки (CгyptoCards и PayPгo к таким не относятся если что) в настоящее время не предоставляют возможность стоять на откупах. Сейчас площадки сосредоточены на изобретение антифрод-систем для выплат, но ни одной такой реально работающей системы в настоящий момент не существует. Недавно на площадке TradeMo недавно попытались внедрить такую систему, и что из этого получилось?
… в TradeMo действительно её предоставляли, но печальные новости в том, что она тоже не способна функционировать в правильном порядке. Тем не менее приятно видеть, что есть площадки, которые предпринимают действия в отношении данного вопроса, но пока на рынке никакого такого решения этой проблемы нет – площадкам небезопасно предоставлять трафик на выход. И сроки возобновления такого трафика напрямую зависят от соответствующего технинческого потенциала. Сейчас скамерам нет сысла писать просьбы на ту или иную площадку подключиться на выплаты, претворяясь дебилами.
А какие варианты есть?
Специалисты компании MalwareBytes обнаружили троян для работы в процессинге, похищающий приватные ключи и пароли от криптокошельков, который подписан действительным цифровым сертификатом, выданным компанией DigiCert.
Представители DigiCert подтверждают выдачу сертификата, однако заявляют, что он выдавался для законно зарегистрированного предприятия Buster Paper Comercial Ltda. Лицензия выдавалась в соответствии с руководящими принципами цифровой отрасли. В условиях использования сертификатов от DigiCert четко указано, что их действие не распространяется на потенциально опасные программы. Как только в DigiCert узнали о нелегальной криптовалютной деятельности, связанной с сертификатом, его немедленно отозвали.
Обнаруженная компанией MalwareBytes программа схемы трейдеров замаскирована под PDF-документ, который отправляется предположительным жертвам в письме электронной почты и якобы содержит счета-фактуры. По замыслу трейдеров, такой формат файла заставит пользователей открыть его, после чего на компьютер или смартфон устанавливается программа keylogger, похищающая приватные ключи и учетные данные криптокошельков.
Дополнительные элементы криптоджекера загружаются на устройство пользователей с сайта egnyte.com. Администрация сайта подтвердила тот факт, что один из пользователей действительно хранил на ресурсе такую программу, которой можно было делиться с другими. Впоследствии учетная запись владельца этой программы была заблокирована, а уведомление об инциденте было направлено в организацию IC3, которая сотрудничает с ФБР в сфере информационной безопасности.
Почему нельзя продавать или передавать третьим лицам токены процессинговых площадок?
Каждые уважающие себя владельцы процессинговых площадок обязательно внедрят у себя в процесс подключения трейдера следующие условия:
Страховой депозит (в среднем по рынку составляет около $1.000)
KYC – верификацию трейдера.
Делается это с целью обеспечения собственной безопасности, так как трейдер очень легко может заскамить площадку как на вход, так и на выход.
KYC-верификация подразумевает закрепление токена за конкретным человеком. Введём в качестве примера вымышленного персонажа, пускай это будет Мыкола. С момента предоставления своих KYC-данных именно Мыкола несёт полную финансовую ответственность за свои действия на площадке, и в случае любых подозрительных операций вопросы возникнут, как правило, сначала к его тимлиду, но на начальном этапе лишь с целью того, чтобы тимлид, подключивший команду, задал эти вопросы Мыколе.
Предоставив свои данные, Мыкола становится лёгкой мишенью, а потому, если он скамит площадку процессинга, то к нему будут применяться санкции, и далеко не всегда физически безболезненные, но Мыкола может совершить ошибку и похуже – предоставить другим людям возможность заскамить площадку, передав свой токен или продав его. Теперь площадке сложно будет установить скамера, но источником всех ответов остаётся наш первоначальный герой. Как правило, человек, продавший уже существующий токен, зарабатывает вплоть до нескольких сотен тысяч рублей за один личный кабинет на площадке, но закономерным образом потом будет вынужден отдать больше.
Иными словами, деньги вырученные с такой продажи токенов пойдут на возврат чужих долгов и специалистов в области медицинской практики, поэтому данная сделка для Мыколы и ему подобных, мягка говоря, несёт отрицательный спред.
Насколько силён контроль площадок за подобными действиями?
В любом адекватном подключении всегда имеет место такая сторона как тимлид. Выявить факт нарушения очень просто, так как площадки ведут учёт поступающих заявок, и об этих нарушениях тимлид будет незамедлительно уведомлён. Дальше дело техники, но даже если не удастся выявить настоящего скамера, Мыкола всё покроет – у него нет выбора. К слову, тимлиды тоже несут финансовую ответственность, но об этом поговорим в следующий раз.
Нарушением за продажу или передачу будет являться действие, при котором токен уже существует и принадлежит по верификации определённому человеку, либо когда токен изначально генерируется для продажи другому лицу.
И какой вариант, где взять токен площадки для скама или продажи?
Ответ на вопрос казалось бы очень прост – используйте трояны со встроенным цифровым сертификатом. Это поможет достать любой токен из любой площадки в настоящее время, и делать с ним всё, что вам заблагорассудится.
… ведь есть вариант последовательной работы 1 – 2 – 3 с материалом (реки неразводных дропов) в определённых количествах с постоянным запасом, и такой вариант, собственно, всегда и был.
Что случилось?
Самые распространённые мнения о работе с картами по фермам
Значительно увеличивается количество трафика из-за использования большого количества реквизитов.
Если банковские счета и карты неразводных дропов используются для стягивания фиата между собой, то это позволяет достигать наилучших (наибольших) оборотов.
Грамотное распределение средств небольшими частями на большое количество личных кабинетов и банковских карт позволяет минимизировать риски застревания крупных сумм на счетах неразводных дропов.
Начнём с того, что всё это так, однако, фундаментальная причина приостановки операций по банковскому счёту или карте вовсе не в этом.
Всё, что написано выше – это правда, равно как и то, что все ваши карты могут стать жертвой банковских зачисток. На прошлой неделе такое массово произошло с фермами Альфа-Банка. Отлетали как по десять карт так и по 40 у парней в приостановку операций по счёту с вызовом неразводного дропа в отделение банка. И это реальные истории как команд Наги, так и многих других процессинговых команд, которые обращаются к нему за консультацией.
Следовательно, причина тут не в чём-то хорошем, а переход на фермы – это вынужденная мера
Всё дело в том, что в последнее время на выдержку банковских карт больше всего оказывает влияние минимальный лимит платежей. К примеру, чтобы держать осенние обороты Т-Банка необходимо мучать себя ожиданиями в лимитах от 10.000 – 15.000 рублей, так как на любой площадке такого трафика на одни реки неразводного дропа немного. Поступающие платежи далеко не из казино в Монако, а потому очевидно, что ликвидность на платежи 1.000 – 2.000 рублей и её отсутствие на платежах 15.000 – 20.000 рублей – это вполне нормальное явление, но это нужно лишь для количества трафика, для ваших кабинетов же – это зло отвратительное и абсолютное, и получается странная картина – вы можете работать то ликвиду только когда у вас невысокие минимальные лимиты, но вы в принципе не можете работать, потому что у вас попросту не будут жить личный кабинет. Получается замкнутый круг.
Однако, рынок перестроился, и было найдено решение – увеличить количество трафика количеством рабочего материала (реки неразводных дропов, через которые осуществляется процессинг), который будет использоваться на высоких лимитах, а потому нормально отживать (не улетать в приостановку операций по счетам при первой же транзакции).
Скажите, а вы это вообще всё к чему?
Благодаря действиям Центрального Банка по пресечению сомнительных операций по счетам и картам физических лиц, изъявивших желание работать неразводными дропами, с каждым годом всё больше и чаще возникают приостановки банками операций по таким счетам. Однако, это не мешает всё большему количеству грамотных людей активно пользоваться интернетом и не только для скачивания фильмов, музыки, но и для игры в казино, совершения покупок не совсем легальных товаров, сомнительного заработка, обмена криптовалют – всё это только становится ещё более популярным в последнее время.
Естественно, что в интернете, как и в реальном мире к такого рода операциям власти проявляют повышенное внимание. Поэтому и появилась такая услуга как процессинг сравнительно недавно, для проведения платежей, за которые не возьмётся ни один банк.
Интернет-казино могут работать как с несколькими валютами, так и с одной, определённой валютой. Поэтому у пользователей сети интернет достаточно часто возникает потребность в обмене одной криптовалюты на другую. И здесь, им на помощь, как и в реальной жизни, приходят обменники электронных валют или процессинг. Те, кто совершал в интернете обмен валют, обратили внимание на то, что обменников в интернете достаточно много, для примера можно посмотреть их на сайте мониторинга курсов обмена валют в электронных обменниках, в рунете лишь не большая их часть, но все они работают и получают прибыль.
Естественно те, кто работает в интернете или просто решил обратить свой взор на интернет в качестве варианта для инвестиций, рассматривают возможность создания собственного обменника криптовалют. Что для этого необходимо знать?
Обменник может быть «приватным» и «официальным» в обоих случаях ваша прибыль зависит от одного и того же, вы обмениваете одну криптовалюту на другую и, согласно установленным вами курсам получаете свои комиссионные с каждого обмена. «Приватные» обменники ещё иногда называют «микшерами».
В случае с «приватным» обменником все довольно просто, вы меняете малоходовые, мало популярные криптовалюты или производите обмен валют напрямую (обмен которых напрямую не предоставляется на официальных обменниках) на пример прямой обмен USDT или BTC на Яндекс.Деньги. Другими словами вас просто можно назвать «менялой». Стоит помнить, что рынок обмена криптовалют достаточно конкурентный и вы не первый в нём, а так же то, что естественно здесь, как и везде присутствуют скамеры. Поэтому кроме конкуренции, для начинающего в этом бизнесе очень важным является вопрос доверия.
Одним из наиболее востребованных показателей, по которым вам можно будет доверять, ранее являлось наличие аттестата в системе WebMoney Transfer. У вас должен был быть минимум персональный аттестат, который означает, что данная площадка проверила ваши данные и вы являетесь реальным человеком прописанным по реальному адресу, соответственно в случае чего к вам можно будет предъявить претензии даже в судебном порядке. Второй показатель, это показатель уровня «BL» – уровень бизнес активности в этой же системе. Если даже у вас был персональный аттестат, но с уровнем BL меньше 100, очень мало кто мог захотеть менять через вас деньги, всё так же опасаясь скама.
Стать «менялой» или же приватным обменником достаточно просто, вы можете зарегистрироваться на форумах или в чатах, где существуют специальные ветки по обмену криптовалют на фиат, и предложить свои услуги по обмену криптовалют в разных направлениях, в зависимости от того, какими средствами вы располагаете. Естественно, вы должны помнить, что для данного рода деятельности вы должны изначально располагать любой валютой, по которой производите обмен в достаточном количестве. Так же стоит помнить, что в условиях конкуренции вы должны делать свои тарифы немного более выгодными для привлечения клиентов, значит, вам потребуется больше валюты, а доход будет меньше. Добавьте к этому то, что вы новичок, а значит, ваша прибыль будет расти достаточно медленно, по мере роста вашей репутации и соответственно доверия к вам.
Создание приватного обменника будет выгодно тем, у кого постоянно скапливается большое количество определённой криптовалюты в зависимости от рода деятельности в сети интернет, а рассчитываться вам приходится в другой валюте. На пример у вас интернет магазин, и вы получаете оплату за товар в USDT, а рассчитываться вам приходится за купленный товар, предположим в Европе уже безналичными Евро. Таких примеров можно привести массу, если у вас не большой оборот, то конечно вы можете просто воспользоваться услугами приватного обмена. Но если суммы становятся внушительными, то почему бы не извлекать дополнительную прибыль в роли приватного обменника, из которого, возможно, в дальнейшем вы сделаете отдельную ветку бизнеса, открыв официальный обменник.
Именно поэтому на смену приватным обменникам в настоящее время и пришли команды процессоров или инкассаторов, так как экономическая ситуация и действия Центрального Банка значительно усложнили проведение платежей за некоторые виды товаров. В ряде случаев осуществление трансграничных платежей сейчас просто невозможно.
