در این یه هفته تا ۱۰ روز گذشته موجی از هک سایت های معتبر رو داشتیم.

گروه  Kdms مسئول هک شدن این سایت ها بود. سایت های Alexa، Avira، AVG و Red Tube در مرحله اول و سپس Metasploit و Rapid7 و بعد هم Eset و Bitdefender.

نکته مشترک سایت های گفته شده، سرویس دهنده های دامنه هاشونه. مثلا اون ۴ سایت اول همگی وسیله  Network Solutions ثبت شدند. شرایط هک، انگشت اتهام رو به سوی ثبت کننده های دامنه نشونه گرفته و خب درست هم است. مشخص شد که  Network Solutions به خاطر فریب خوردن یکی از کارمندهاش در یک حمله فیشینگ، بهش نفوذ شده. هکرها پس از نفوذ به این سرویس دهنده تونستند که DNS دامنه ها رو تغییر بدن به سرورهای خودشون که شامل پیام زیر بود:

بگذریم از حواشی و پیامشون و اینکه در ابتدا کارشناس ها چی فکر می کردن و بعدش به چه نتیجه ای رسیدن. اونها به جای خودش مهمه ولی از دید من نکته مهم تری وجود داره: نقطه شروع هک.

در سری بعدی سایت ها که متا اسپلویت و رپید۷ بود، شیوه تغییر DNS از فیشینگ هم ساده تر بود و یه جورایی شرم آور برای سرویس دهنده. هکرها با ارسال یه فکس تقلبی به register.com اونها رو فریب دادن تا DNS رو تغییر بدن. به قول HD Moore مدیر تحقیقات شرکت امنیتی rapid7 این هک شبیه اتفاق های سال ۱۹۶۴ بوده.

سرویس دهنده هایی در این سطح که کلاینت هایی در سطح جهانی دارند باید دقت بیشتری در سیستم های امنیتی داشته باشند. اول اینکه باید مروری بر دانش کارمندهاشون بکنند. در این شرایط معمولا کارشناس های امنیتی پیشنهاد برگذاری مانورهای امنیتی مثل حملات شبیه سازی شده فیشینگ رو می دن. دوم اینکه الگوریتم ثبت و تغییر اطلاعات کاربریشون رو به روز کنند و مطابق پیشرفت هکرها، خودشون رو ارتقا بدن.

من بارها و بارها در همین وبلاگ در مورد فیشینگ و حدودش گفتم و اینکه یک حمله موفق فیشینگ می تونه چه تبعاتی رو در پی داشته باشه. مهمترین نکته در فیشینگ اینه که کم دانش ترین کارمند شما می تونه کل سیستم رو زمین بزنه.

سایت IBTimes UK تونسته از طریق اکانت توییتر گروه KDMS و سپس از طریق ایمیلشون باهاشون یه مصاحبه رو ترتیب بده. جالبه بدونید که تا قبلا از هفته پیش کسی اسمی از این گروه نشنیده بود.

این گروه که از ۴ فلسطینی تشکیل شده و گویا نگارش انگلیسی خوبی هم نداشتن، گفته اند که ۳ هدف دارن:
آشنا کردن دنیا با فلسطین (از صطلاح قانونی Unlawfully murdered برای فلسطین استفاده کردند)
نشون بدن که امنیت کامل وجود نداره
سایت های معتبر و شناخته شده رو هک کنند تا پیامشون در تمام دنیا شنیده بشه

وقتی ازشون پرسیدن که بخشی از گروه انانیموس اند یا خیر، پاسخ همیشگی گروه های دیگه رو دادند: “ناراحت می شیم وقتی مردم فکر می کنند انانیموس یه گروهه، اون یه ایده است و هر کسی می تونه انانیموس باشه.”

منبع و منبع و منبع

توی پست های گذشته زیاد در مورد فیشینگ گفتم. الان اما میخوام که قدم به قدم یه حمله فیشینگ رو جلو ببریم. البته تا یک مرحله مونده به آخر 🙂 چون قرار نیست که واقعا کسی رو هک کنیم. قراره فقط بدونیم هکرها چکار می کنن تا بتونیم جلوشون رو بگیریم.

هدف: نیویورک تایمز

ابزار: متا اسپلویت، یه براوزر (فرقی نمی کنه کدوم)، یه هاست رایگان و البته یه سرویس یافتن سرور ایمیل

از اینجا به بعد باید مثل یه هکر فکر کنیم.

قصد داریم به سرور نیویورک تایمز نفوذ کنیم و شیوه رو هم فیشینگ انتخاب کردیم که بتونیم به یه سری ایمیل داخلی دسترسی داشته باشیم که اگر تونستیم با اون ایمیل ها وارد سایت بشیم و خبری منتشر کنیم و یا کنترل اکانت توییتر صاحب ایمیل رو به دست بگیریم و کلی ایده دیگه.

اول باید یه سری ایمیل داخلی گیر بیاریم. برای اینکار از متا اسپلویت استفاده می کنیم. یه ابزار قدرتمند برای استفاده از اکسپلویت های مختلف که می تونه مورد استفاده ترکیبی با ابزارهای دیگه مثل ست (SET) هم قرار بگیره و رایگان هم است. متا اسپلویت رو می تونیم در سیستم عامل های مختلف استفاده کنیم که من با کالی لینوکس کار می کنم. کاری که ما اینجا برعهده اش میذاریم اینه که با گوگل و یاهو و بینگ بگرده و هرچی می تونه برامون ایمیل کارکنان نیویورک تایمز رو پیدا کنه.

ابتدا کنسول متا اسپلویت رو اجرا می کنیم و با توجه به اینکه یه ابزار گسترده است، برای پیدا کردن اون ماژول خاصی که لازم داریم از دستور سرچ استفاده می کنیم.

یه پرانتز باز کنم. اگه بعد از دستور سرچ با این اعلام مواجه شدین:

معنیش اینه که یه مشکل در ارتباط با دیتابیس وجود داره. اول میایم چک می کنیم که آیا ارتباط برقراره یا نه و اگر مثل تصویر زیر کانکشن مشکل داشت:

پیام خطای جستجو و روش حل مشکل

ابتدا از کنسول خارج می شیم و بعد با این دستورها سرویس دیتابیس رو راه میندازیم و بعد دوباره وارد کنسول می شیم:

پرانتز بسته.

حالا با جستجوی کلمات زیر به ماژول مورد نظر می رسیم

و پس از مشخص کردن ماژول و انتخاب دامنه. دستور اجرا می دهیم:

اجرای دستور

می بینید که ۹۱ ایمیل پیدا شد که خب اگه بتونیم ۵ درصد آدما رو هم فریب بدیم می شه ۴ تا ایمیل که برای ادامه کار خیلی مناسبه.

نتایج جستجو

بعد از پیدا کردن قربانی ها وقت آماده کردن صفحه تقلبی رسیده. باید صفحه لاگین ایمیل تحت وب سایت نیویورک تایمز رو پیدا کنیم. با استفاده از سرویس های آنلاین این دامنه رو چک میکنیم و می بینید که نیویورک تایمز از سرویس گوگل برای ایمیل استفاده می کنه و خب مشکل ما حل نشد:

با یه آزمون و خطا سعی میکنیم آدرس رو پیدا کنیم. معمولا برای راحتی کاربرها از زیر دامنه mail  استفاده می شه. چک می‌کنیم و بله. پیدا شد:

صفحه ورود ایمیل نیویورک تایمز

حالا با راست کلیک روی صغحه و  مشاهده source می تونیم اون رو کپی کنیم و توی صفحه ای که روی سرور خودمون داریم ازش استفاده کنیم. می بینید که مو نمی زنه. البته غیر از آدرسش:

و یه تغییر توی کد صفحه می دیم. جایی که فرم دریافت مشخصات اطلاعات رو به سایت گوگل ارسال می کنه رو جوری تغییر می دیم که اطلاعات کاربر برای ما بیاد. مقصد اطلاعات می تونه یه فایل پی‌اچ‌پی باشه که اطلاعات دریافتی رو توی یه فایل روی سرور ذخیره کنه و یا اینکه بلافاصله برای ما ایمیل کنه که اگر کاربر شک کرد و خواست بعد از فکر کردن، پسوردش رو تغییر بده ما وقت داشته باشیم تا مرحله بعدی حمله رو انجام بدیم.

آدرس مقصد اطلاعات کاربر

مرحله بعدی می تونه استفاده از ایمیل های هک شده برای فریب کاربرهای دیگه باشه که اونها هم اطلاعاتشون رو توی صفحه تقلبی وارد کنند. آدما خیلی راحت تر به کارهایی که دوست شون یا همکارشون گفته عمل می کنند (خنده شیطانی).

به این خاطر که قرار نیست کسی رو واقعا هک کنیم این پست رو همینجا تموم می کنم.

پ ن ۱ : دوستی پرسید که چطور بایدکاربرها رو ترغیب کنیم که اطلاعات کاربریشون رو توی صفحه تقلبی وارد کنند. خب اینجاش دیگه بحث مهندسی اجتماعیه. باید ببینیم هدفمون کیه و به چی علاقه داره. اینا خبرنگارن. پس می تونیم بگیم فلانی بیا یه خبر داغ برات ایمیل کردم که می تونی باهاش تتیر یک فردا رو بگیری. یا یه همچین چیزی. و بعد بفرستیش که بره با لینک به صفحه تقلبی، ایمیلش رو چک کنه.

بعد از یکی دو تا پست گذشته در مورد ارتش الکترونیک سوریه و هک های موفقی که انجام داده و با توجه به اینکه می دونستم روش اصلیشون فیشینگه، کمی در مورد کارهای موفقشون جستجو کردم.

فیشینگ چیست؟
این روش در واقع فریفتن کاربره (با سایت های جعلی و نظیر آن) برای به دست آورد اطلاعات حیاتی مثل پسورد. در ویکیپدیا فارسی می تونید توضیحات بیشتری رو ببینید که من از تکرارشون اجتناب می کنم.

هک شدن واشنگتن پست
بریم سراغ مطلب اصلی. حمله به واشینگتن پست از یه آخر هفته شروع شد. یک صفحه جعلی به شکل لاگین وبمیل سایت اصلی برای برخی از اعضای گروه خبر ایمیل شده بوده احتمالا. اطلاعات دقیقتری پیدا نکردم که چطور فریب دادن نفرات رو برای رفتن به صفحه جعلی ولی معمولا این کار با یک ایمیل جعلی انجام می شه. ارسال ایمیل جعلی با وجود همه روش های جلوگیری از دریافت این ایمیل ها (مثل اسپم فیلترینگ سرویس جیمیل) هنوز امکان پذیره.

صفحه جعلی لاگین به وبمیل

ابتدا یکی از نویسندگان گروه ورزش فریب می خوره و پسوردش رو وارد می کنه. اگر با دقت عکس بالا رو نگاه کنید می بینید که آدرس سایت با آدرس سایت واشنگتن پست متفاوته ولی به خاطر طولانی بودن آدرس و دقت نکردن کاربر، هکر به هدفش رسیده. حالا دیگه کار هکر راحت تره. با استفاده از یه ایمیل شناخته شده (فرض کنید دوستتون) به بقیه قربانی ها ایمیل می زنه. همونطور که در اییل زیر می بینید، گفته شده که از طرف ایمیل هک شده برای سایرین ایمیل های فریب دهنده ارسال می شه

ایمیل داخلی واشنگتن پست

همونطور که از متن برمیاد روی کامپیوتر قربانی هم یک کیلاگر قرار گرفته به احتمال زیاد چون با وجود تغییر پسورد بازهم هکرها به ایمیل دسترسی دارند.

همونطور که در تصویر اول می بینید صفحه جعلی در دامنه site88.net آپلود شده. بیایم یه نگاه دقیقتر به این دامنه بدازیم.
اطلاعات ثبت کننده سایت که مخفی شده:

اطلاعات ثبت کننده و ادمین

عکسهای صفحه اول این دامنه در سال های ۲۰۰۸، ۲۰۱۲ و ۲۰۱۳ نشون می ده که در تمام این سالها دامنه روی سرورهای رایگان ۰۰۰webhost.com استفاده شده.

هک شدن اونیون
این سایت هم توسط گروه SEA هک شد. نقطه شروع از ایمیل جعلی بود که مثلا از طرف یکی از اعضای سازمان ملل برای اعضای این سایت ارسال شد که حاوی لینکی بود به خبری از واشنگتن پست در مورد این اونیون

ایمیل جعلی

این لینک در واقع قربانی رو منتقل می کرد به لینک دومی که این بود:
http://hackedwordpresssite.com/theonion.php
و سپس منتقل می شد به لینک دیگری که این بود:
http://googlecom.comeze.com/a/theonion.com/Service.Login?&passive=1209600&cpbps=1&continue=https://mail.google.com/mail/
لینک سوم که دیگه از کار افتاده و صفحه ای بوده که روی سرورهای رایگان ۰۰۰webhost.com بارگذاری شده بود. این صفحه از قربانی اطلاعات حساب گوگل رو می پرسید و سپس به صفحه گوگل منتقل می شد.

این ایمیل به تعداد محدودی از کاربران فرستاده شده بود که حساسیت ایجاد نکنه. یکی از کاربران فریب می خوره و اطلاعات رو وارد می کنه. حالا هکر با استفاده از اکانت به دست آورده، دوباره ایمیل رو به اعضای سایت می فرسته. اکثر کاربرها لینک رو باز می کنند ولی فقط دو نفر از اونها فریب می خورند و پسوردشون در اختیار هکر قرار می گیره. یکی از اونها به اکانت های شبکه های اجتماعی سایت دسترسی داشته. اینجوری می شه که اکانت های سایت هک می شه.
حالا زمانی می رسه که پشتیبان های امنیت سایت متوجه می شن و ایمیلی به همه اعضا می فرستند که سایت هک شده و پسوردشون رو تغییر بدن. هکرها دوباره از این موقعیت استفاده می کنند و ایمیل مشابهی به کاربران (منهای اعضای آی‌تی) می فرستند و لینک صفحه فیشینگ دیگه ای رو به اسم لینک تغییر پسورد می فرستند. این حمله جدید منجر به فریب دو عضو دیگه می شه که یکی از اونها دسترسی به اکانت توییتر سایت داشته و بنابرای اکانت توییتر هم در اختیار هکرها قرار می گیره.
در این مرحله آِ‌تی به این نتیجه می رسه که تشخیص امن و هک شده بودن اکانت ها غیر ممکنه. بنابراین پسورد همه اکانت ها رو شخصا تغییر می ده.

همونطور که قبلا هم گفتم اون ضرب المثل معروف رو، امنیت یک مجموعه به اندازه امنیت ضعیف ترین بخش اون مجموعه است. اینجاست که باز هم می رسیم به نگرش غلط مدیران آی‌تی ایرانی مبنی بر بیشتر کردن محدودیت کاربرها برای داشتن امنیت بیشتر. برای جلوگیری از حملاتی مثل فیشینگ، قدم اول آموزشه، قدم دوم تقویت سیستمهای فیلتر کردن ایمیل های فیشینگ و قدم سوم طراحی سیستم های دسترسی و توزیع ایمیل ها و اکانت ها بر پایه یک ساختار امن.

منبع و منبع