Kulisy sławnych włamań #2

Komentarze

Transkrypt

Kulisy sławnych włamań #2
Your Logo Here
Zimowisko Linuksowe 2014
Marcin Stępnicki
Kulisy sławnych włamań #2
Silkroad
LOGO
●
Dread Pirate Roberts - Ross William Ulbricht
●
Expectations:
Silkroad
●
Reality
LOGO
Silkroad
LOGO
●
sprzedaż: 1.2 mld $. Narkotyki, dokumenty, usługi czarnorynkowe.
●
Monitorowanie aktywności DPR na forum,
●
Przechwycenie zawartości dysków (włamanie do OVH):
●
●
komunikacja DPR z administratorami nieszyfrowana,
Zlecenie zabójstwa FriendlyChemista
Źródło: http://www.scribd.com/doc/172764080/Ulbricht-Criminal-Complaint
Silkroad
●
Shroomery – altoid, 27.01.2011
●
Dane z wordpress.com
●
Post na forum
I came across this website called Silk Road. It's a Tor hidden service that claims to allow you to
buy and sell anything online anonymously.
I'm thinking of buying off it, but wanted to see if anyone here had heard of it and could
recommend it.
I found it through silkroad420.wordpress.com, which, if you have a tor browser, directs you to the
real site at http://tydgccykixpbu6uz.onion.
Let me know what you think...
LOGO
Silkroad
●
LOGO
Bitcointalk.org – altoid,
●
Szukasz pracy? - [email protected]
●
Dane użytkownika z Google
●
Profil na Google+ i YT, zainteresowania – Mises
●
IP z Gmaila / geolokacja – kolega z YT
●
Strefa czasowa
Silkroad
●
LOGO
Analiza serwera
●
●
Dostęp dla konkretnego IP z VPNa z “certain
server-hosting company”. Połączenie z VPNem z IP
kawiarenki z San Francisco.
Przesyłka z fałszywymi ID
Silkroad
●
LOGO
Stack Overflow:
●
●
Konto Ross Ulbricht, pytanie o Hidden Services z
kodem
Zmiana nicka i maila na “frosty” - 1 min. później
●
Ten sam kod na serwerze
●
[email protected] - klucze ssh
Wikileaks
●
Cables.csv
●
Daniel Domscheit-Berg & David Leigh
LOGO
Wikileaks
LOGO
The Guardian journalist had to set up the PGP encryption system on his laptop at home across the
other side of London. Then he could feed in a password. Assange wrote down on a scrap of paper:
ACollectionOfHistorySince_1966_ToThe_PresentDay#. “That’s the password,” he said. “But
you have to add one extra word when you type it in. You have to put in the word ‘Diplomatic’
before the word ‘History’ Can you people to theremember that?” “I can remember that.” Leigh set
off home, and successfully installed the PGP software. He typed in the lengthy password, and was
gratified to be able to download a huge file from Assange’s temporary website. Then he realized
it was zipped up – compressed using a format called 7z which he had never heard of, and couldn’t
understand. He got back in his car and drove through the deserted London streets in the small
hours, to Assange’s headquarters in Southwick Mews. Assange smiled a little pityingly, and
unzipped it for him.
Źródło: WikiLeaks: Inside Julian Assange's War on Secrecy, David Leigh, Luke Harding
Fizyczne włamanie do Selective Service
●
https://www.schneier.com/blog/archives/2014/02/1971_social_eng.html
LOGO
OVH
●
●
●
LOGO
Silkroad, Freedom Hosting, Tormail
Incydent parę dni po przechwyceniu przesyłki
do DPR – przez konto pracownika, 10 lipca
Lista klientów, serwer z domyślnymi kluczami
ssh
OVH
●
●
●
●
Między 22 lipca 2013 a 2 sierpnia 2013, w powiązaniu z innym śledztwem, FBI otrzymało
w oparciu o Traktat o Wzajemnej Pomocy Prawnej z Francją kopię komputera
zlokalizowanego we Francji, który zawierał dane i informacje z serwera poczty Tormail,
włączając w to zawartość skrzynek pocztowych Tormail.
W oparciu o Traktat o Wzajemnej Pomocy Prawnej 23 lipca lub w okolicy tego dnia
wykonano, a następnie przekazano FBI, obraz serwera www Silk Road.
OVH: W ciągu ostatnich kilku miesięcy mieliśmy do czynienia z kilkoma postępowaniami
prawnymi związanymi z użyciem sieci Tor do rozpowszechniania pedofilii i obecnie
zakazujemy korzystania z niej tak jak i z innych systemów anonimizujących. Zwiększają
one poziom nadużyć oraz ilość zapytań organów ścigania.
FBI w oficjalnym komunikacie dziękuje francuskiemu oddziałowi ds. zwalczania
przestępczości internetowej za wsparcie w sprawie Silk Road
źródło: Zaufana Trzecia Strona
●
LOGO
Anakata
●
Applicate - InfoTorg
●
5 adresów z Ludviki – diROX
●
Dane o sobie
Źródło: http://zaufanatrzeciastrona.pl/historia-pewnego-wlamania/
LOGO
Anakata
●
ciekawość to pierwszy stopień do piekła
LOGO
Anakata
●
●
●
LOGO
tlt @ #hack.se
diROX miał dostęp do serwera od 2010 roku FTP
AVIY356 – konto szwedzkiego parlamentu do
automatycznego transferu plików
●
klon konfiguracji
●
exploity: HTTP i CNMUNIX
Anakata
●
Follow the white rabbit
LOGO
Anakata
●
Konta 120000 użytkowników
●
Manipulacja uprawnieniami
●
Backdoory:
LOGO
●
Dodatkowy serwer /bin/sh w inetd
●
CSQXDISP: połączenie poza firmę na port 443
●
Własny klucz dopisany do .ssh/authorized_keys
Anakata
●
Używane toole:
●
REXX
●
HLASM (asm z/Architecture)
●
JCEL
LOGO
Anakata
●
Analiza – diROX, logi #hack.se
LOGO
Anakata
●
<tlt> port 443: listening.
●
<tLt> waiting for the APTback<TM>...
●
<tLt> alert!!! advancing port 443 threat!
●
<tLt> accepted persistent tcp connection from 93.186.170.54:26773
●
<tLt> $APTM1337 ENTERING ADVANCED PRINTER/TYPEWRITER MODE
●
<tLt> pwd
●
<tLt> uname -a ; id
●
<tLt> 0S/390 SYS19 22.00 03 2817
●
<tLt> uid=2147483647(BPXDFLTU) gid=548400(E484)
●
<tLt> chmod 755 /tmp/duku
●
<tLt> l3tz g3t us s0m3 0f d4t [email protected]#
●
<tLt> eu: 0 u: 0 g: 0
●
<tLt> g0t r00t ?
●
<tLt> id
●
<tLt> uid=0(SUPERUSR) gid=0(STCGROUP) groups=548400(E484)
LOGO
Anakata
●
●
LOGO
Połączenia z Kambodży do serwerów Logica
Wyszukiwania w InfoTorg – konto Monique
Wadstedt (prawniczka vs TBP) + anakata
●
Przechwycenie dysków: TrueCrypt
●
Przechwycenie laptopa + logi
●
Deportacja
Anakata
●
LOGO
Nordea
●
●
Te same exploity co w Logica
Bank nie poinformował policji mimo przelewów na
3mln PLN z cudzych rachunków – z wyjątkiem
pierwszego resztę zablokowano
●
Atak z terminala, nie przez interfejs www
●
Wszystkie zrzuty ekranu były na dysku
Anakata
●
Terminal
LOGO
Anakata
●
Dodatki – sprawa w toku:
●
System duńskiej policji
●
Baza duńskich praw jazdy
●
System Informacyjny Schengen
LOGO
Gówniana sprawa
●
Bidet, woda, suszarka, klapa
●
Źródło: Niebezpiecznik.pl
LOGO
Kupowanie tożsamości
●
Ssnob.ms (0.50$ - 15$)
●
UGNazi → exposed.su , dla celebrytów
●
Ssnob hacked, baza wykradziona
●
Własny botnet
Źródło: Krebs on Security
LOGO
Kupowanie tożsamości
●
●
●
●
LOGO
… on-demand employment background screening, drug and health screening, and employment
eligibility solutions that help employers automate, manage and control employment screening
and related programs
LexisNexis provides information to business, government and legal professionals for legitimate,
approved purposes. This information includes public records, other publicly available information
and some non-public information.
Examples of public records include the following: Judgments and Liens, Secretary of State filings,
Uniform Commercial Code filings, U.S. and Canadian business finder directories, Dun & Bradstreet
Global Market Identifiers Worldbase, Experian Business Reports, Fictitious Business Name
Information (DBA or doing business as), Dun & Bradstreet Federal Employer Identification
Numbers, the Franchise Index, an inactive business index, tax liens, Securities of Exchange
Commission Form 4 abstracts, FAA aircraft registrations
D&B is the world's leading source of commercial information and insight, enabling companies to
Decide with Confidence® since 1841. D&B's global commercial database contains more than 225
million business records, which we compile through a wide variety of commercial partners and
public sources.
Kupowanie tożsamości
●
●
LOGO
Dane o historii kredytowej ważne przy
przyznawaniu nowych kredytów
●
U kogo? Ile? Ostatnia rata? Poprzedni adres? Itd.
●
Więcej błędów u prawdziwych klientów
Inne dane do uwierzytelniania
Kupowanie tożsamości
●
Baza:
LOGO
Kupowanie tożsamości
●
●
●
●
LOGO
Atak na serwery webowe, niezałatane
Coldfusion - z nich dostęp do wewnątrz,
Dodatkowa aplikacja – komunikacja z
wewnątrz sieci do kontrolera na zewnątrz,
Reseller dla innych – kolejne źródło dochodu,
Raporty po usunięciu zagrożenia nadal
generowane “from law student ID”
Kupowanie tożsamości
●
LOGO
Kupowanie tożsamości
●
Dodatek:
●
National White Collar Crime Center
●
Internet Crime Complaint Center
●
Niezałatany serwer VPN → serwery webowe z
niezałatanym Coldfusion
●
http://www.exploit-db.com/exploits/24946/
●
http://www.exploit-db.com/exploits/25305
●
http://www.exploit-db.com/exploits/27755/
●
http://www.exploit-db.com/exploits/14641/
●
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2861
LOGO
Kupowanie tożsamości
●
LOGO
‘I1211100143194982′, ‘Kernersville Police Dept.’, ’174.98.xxx.xxx’, ’2012-11-10
01:43:19′, ’2012-11-10 01:47:01′, ‘I was on an adult website (I don\’t know which one)
when suddenly a screen popped up that had the FBI logo at the top and all this
information about my having violated copyright laws or child pornography laws and
my computer had been locked by the FBI and if I didn’t pay a $300 fine within 72 hours
by MoneyPak a criminal charge would automatically be filed and I would go to prison
for 2 to 12 years.
Konto na Twitterze
●
Scenariusz:
●
●
●
Konto @n na Twitterze
Mail podpięty pod domenę zarezerwowaną na
GoDaddy
Konto PayPal
LOGO
Konto na Twitterze
●
Najlepsze urządzenie hakerskie
LOGO
Konto na Twitterze
●
●
LOGO
Telefon do Paypala jako pracownik → 4 ostatnie
cyfry karty
Telefon do GoDaddy → “zagubienie” karty, 4
ostatnie+2 pierwsze cyfry → reset hasła
●
Zmiana DNSa w GoDaddy
●
Inicjalizacja resetu hasła na Twitterze
●
Wolna propagacja DNSa
●
Mail od włamywacza
Konto na Twitterze
●
LOGO
Sygnały:
●
sms z PayPala – two-factor auth zadziałał,
●
Logowanie na maila – mail z GoDaddy
●
Telefon do GoDaddy – dane już zmienione
●
Konto zostało oddane w zamian za hasło do
GoDaddy
Źródło: http://niebezpiecznik.pl/post/jak-przejac-czyjes-konto-na-twitterze-nie-znajac-hasla/
Hack The Planet
●
.edu – EDUCAUSE
●
●
Pierwsze logowanie udane
we can't say we expect much from a registrar
running ASPX on their backend
- zmiana DNSów MIT na Cloudflare
●
Zmiana rekordu MX
●
root server
Źródło: http://www.exploit-db.com/papers/25306/
LOGO
Hack The Planet
●
Drobna zmiana
Domain Name: MIT.EDU
Registrant:
Massachusetts Institute of Technology
Cambridge, MA 02139
UNITED STATES
Administrative Contact:
I got owned
Massachusetts Institute of Technology
MIT Room W92-167, 77 Massachusetts Avenue
Cambridge, MA 02139-4307
UNITED STATES
(617) 324-1337
[email protected]
Technical Contact:
OWNED NETWORK OPERATIONS
ROOT
US
DESTROYED, MA 02139-4307
UNITED STATES
(617) 253-1337
[email protected]
Name Servers:
FRED.NS.CLOUDFLARE.COM
KATE.NS.CLOUDFLARE.COM
Domain record activated:
23-May-1985
Domain record last updated: 22-Jan-2013
Domain expires:
31-Jul-2013
LOGO
Hack The Planet
●
Korespondencja
From:
"CloudFlare Support" <[email protected]>
Subject:
[CloudFlare Support] Pending request: Why is cloudflare staff
modifying my dns records? (ticket #12053)
Date:
Wed, January 23, 2013 4:48 pm
To:
"Fuckmit" <[email protected]>
Justin, Jan 22 11:48 am (PST)
Hi,
We have reason to believe you are not the actual owner of the mit.edu domain.
We have been in contact with the actual owner this morning.
As such we have taken steps to secure the account, and the domain has already
been returned to the actual owner.
---------------------------------------------Fuckmit, Jan 22 11:45 am (PST)
Two questions:
Why is cloudflare staff modifying my dns records without authorization?
Why is cloudflare staff repeatedly regenerating my API key every time they
decide to modify my dns records without authorization?
LOGO
LOGO
THE END

Podobne dokumenty