Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker

Dark-forum

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Dark-forum » Социальная инженерия » Теория метода


Теория метода

Сообщений 1 страница 2 из 2

1

Всё это показалось мне очень интересным и было решено опробовать. Выбрал знакомую мне организацию (название которой не указано по известным причинам) и начал планирование. Решено, что это будет CD диск, на котором будет размещаться, непосредственно, само яблоко. В программной части оно представляло из себя 2 самостоятельные программы:
1. Инсталлер яблока, на который ссылался autorun.ini нашего CD
2. Само яблоко.
Как мне стало известно из предварительных исследований, во всём офисе стоит Kaspersky AntiVirus с модулем Анти-хакер и, соответственно, с встроенным фаерволлом. Т.е. вынос информации через сеть становится проблематичной задачей, решение которой было «пущено лесом». Изначально была идея ограничиться отправкой СМС на телефон содержания типа “Hello form Apple: Mission completed”, но фаерволл испортил такое удовольствие. Коли мы сами не можем отправить уведомление, придется заставить легального пользователя обратиться к нам. Решено, что яблоко не будет нести ни шпионских, ни деструктивных функций. Само Яблоко выполняло 2 функции: создавало текстовое послание на C:\ap.txt и меняло заголовки всех доступных окон и кнопок на «Смотри C:\ap.txt». В послании был текст приветствия, объяснение что и как получилось и «Для КОРРЕКТНОГО УДАЛЕНИЯ этого ПО свяжитесь с…», тем самым увеличивая шансы на обратную связь со мной легальными пользователями, под страхом деструктивных функций при не правильном удалении. Да, была создана функция корректного удаления, но на самом деле вполне можно удалить подручными средствами, не опасаясь за целостность системы =). Учитывая, что там стоит KAV, вполне вероятен был перехват функции hidden install в реестр, поэтому кроме неё сделан мгновенный принудительный запуск Яблока, хотя это и палит инсталлер.

2

Практика метода

Всё это добро записано на CD-R, осталось только добавить привлекательную надпись на диск. Посоветовавшись с коллегами (благодарности им), ничего более вызывающего любопытство кроме слова «Яблоко» не придумали =). Изначально, по плану было проникнуть на территорию организации и оставить диск на подоконнике в туалете +), но надёжность этого плана оставляла большую тень сомнения. По идее, кто бы ни нашел бы диск на территории организации из персонала, диск обязательно должен быть передан системному администратору для дальнейших разбирательств (на что и рассчитано). Но на практике может быть совсем иначе… Тогда было решено пойти на хитрость и договориться с охраной организации что бы диск с яблоком передали лично в руки системного администратора с описанием того, что диск найден случайно на запланированном подоконнике =). В назначенный день я прибыл в организацию, договорился с охраной, сделал все свои дела и благополучно уехал домой, ожидать последующие несколько дней обратной связи офиса со мной.
Увы, системный администратор не посчитал нужным связаться со мной, но я связался с ним сам и выяснил все подробности произошедшего. Как оказалось, охрана успешно передала диск системному администратору и он успешно вставил его в CD-ROM с ОС MS Windows с не отключенным автозапуском, что привело к успешному запуску инсталлятора Яблока. Но тут начались не предвиденные проблемы. Их система обнаружения вторжения(СОВ) подняла тревогу на этапе принудительного запуска Яблока и заражение системы Яблоком было предотвращено. Т.е. единственная ошибка была в использовании не безопасных алгоритмов при программировании, которые считаются «подозрительными» для СОВ.


Вы здесь » Dark-forum » Социальная инженерия » Теория метода


Рейтинг форумов | Создать форум бесплатно